Abilitare e configurare DLP (Data Leak Prevention)

Funzionalità DLP:

  • Prevenzione delle connessioni di dispositivi Bluetooth;
  • Blocco configurabile di chiavette USB e dischi rigidi esterni;
  • Blocco dei dispositivi collegati tramite protocollo MTP (es. smartphone, fotocamere, lettori multimediali);
  • Disabilitazione della scrittura su unità CD/DVD;
  • Prevenzione della modifica o rimozione non autorizzata dell’agente StaffCounter;
  • Blocco controllato del caricamento di file su risorse esterne;
  • Limitazione dell’accesso alle cartelle condivise nella rete locale;
  • Blocco del download e dell’esecuzione di applicazioni da Internet o dispositivi esterni.

Come abilitare le funzioni di sicurezza

Dopo la registrazione sul nostro server e l’ installazione dell’agente StaffCounter, apri la pagina Impostazioni e scorri verso il basso fino alla sezione DLP.

Impostazioni DLP in StaffCounter

Configurazione

Disabilitare l’accesso ai dispositivi Bluetooth

Abilita l’opzione “Disabilita l’invio di file tramite Bluetooth”.
Una volta abilitata, il trasferimento dati da e verso i dispositivi Bluetooth sarà bloccato.

Accesso personalizzato alle unità USB

Usa il campo Controlla chiavette USB e HDD tramite numero di serie per creare regole di accesso basate sul numero di serie (SN), Vendor ID (VID) e Product ID (PID) di un dispositivo.
Per trovare questi valori, usa l’utility ChipGenius.

Formato regola:
VID:PID:SN=''/r/w

  • Il simbolo * significa „qualsiasi” — utile quando il solo numero di serie è sufficiente per l’identificazione.
  • Un valore vuoto dopo = significa che non è consentito alcun accesso (lettura, scrittura o formattazione).

Esempi:
*:*:SN=rw — Consente l’accesso in lettura e scrittura solo per il numero di serie specificato.
*:*:SN=r — Consente solo la lettura; la scrittura è bloccata.
*:*:*= — Blocca tutte le azioni per tutti i dispositivi.
*:*:*=r — Consente la lettura per tutti i dispositivi, blocca la scrittura.
*:*:*=rw — Consente l’accesso completo a tutti i dispositivi (nessuna restrizione).
Nota: La modalità r (sola lettura) non impedisce la cancellazione o la formattazione dei file. Usare con cautela.

Blocco dei dispositivi collegati tramite protocollo MTP

Abilita l’opzione “Blocca l’accesso a smartphone e fotocamere collegati via USB”.
Questo impedisce il trasferimento di dati a dispositivi come telefoni, fotocamere e lettori multimediali collegati tramite USB. Questi dispositivi non saranno accessibili né in lettura né in scrittura.

Disabilitare la scrittura su unità CD/DVD

Abilita l’opzione “Disabilita la scrittura di file su registratore DVD”.
Questo blocca la scrittura su CD e DVD, sia tramite Esplora file che tramite software di masterizzazione dedicati.

Blocco controllato del caricamento di file su risorse esterne

Abilita “Disabilita il caricamento di dati con i seguenti browser”.
Nel campo delle regole, inserisci uno o più browser supportati, separati da punti e virgola senza spazi:

  • chrome – Google Chrome
  • explore – Internet Explorer / Microsoft Edge
  • firefox – Mozilla Firefox
  • skype – Skype (trasferimento file)

Esempio: chrome;explore;firefox;skype
Il caricamento di file tramite i browser selezionati sarà bloccato.

Impedire l’accesso alle cartelle condivise nella rete locale

Abilita l’opzione “Blocca l’accesso a tutte le cartelle condivise”.
Questo impedisce la scrittura nelle cartelle condivise sulla rete locale (incluso FTP). La lettura dei file rimane consentita.

Bloccare il download e l’esecuzione di applicazioni

Abilita “Disabilita il download di applicazioni dal web”.
Questa funzione blocca:

  • Il download di file eseguibili da Internet;
  • L’estrazione di programmi di installazione da archivi;
  • L’installazione di nuovo software.

Impedisce inoltre la rimozione non autorizzata dell’agente StaffCounter. Per disinstallare il programma, è necessario prima disabilitare questa protezione.

Note importanti:

  1. Solo gli utenti con accesso al pannello di controllo StaffCounter possono modificare le impostazioni DLP. Gli utenti regolari — anche quelli con diritti di amministratore — non possono modificare o disabilitare queste protezioni.
  2. Prima di disinstallare StaffCounter, è necessario disabilitare la protezione DLP; in caso contrario, la disinstallazione sarà bloccata.
  3. Quando si installa l’agente su Windows 7 o Windows Server 2008, assicurarsi che siano installati gli ultimi aggiornamenti di sicurezza, incluso il patch menzionato nel Microsoft Security Advisory.
  4. Dopo aver abilitato o disabilitato qualsiasi opzione DLP, salva le impostazioni e riavvia il computer di destinazione affinché le modifiche abbiano effetto.