ELOCK电子文档安全系统用户手册Word文件下载.docx

ELOCK电子文档安全系统用户手册Word文件下载.docx

《ELOCK电子文档安全系统用户手册Word文件下载.docx》由会员分享，可在线阅读，更多相关《ELOCK电子文档安全系统用户手册Word文件下载.docx（54页珍藏版）》请在冰豆网上搜索。

第三章客户端操作说明34

3.1、客户端登录34

3.2、手工加密37

3.3、手工解密40

3.4、切换用户41

3.5、文件解密审批41

3.6、邮件外发解密申请45

第四章文件防损坏操作47

第五章文件外发操作48

外发打包48

1.第一章软件安装与卸载

1.1.1.1、软件安装所需软硬件环境

E-LOCK服务器端程序的安装和配置

OS

Windows2000/XP/2003/2000server/2003server

CPU

Pentiumш500Hz以上

占有内存空间

5M

使用硬盘空间

20M

数据库

E-LOCK系统自带数据库

E-LOCK客户端运行环境

10M

1.2.1.2、加密服务器控制台安装

加密服务器控制台程序“Server_Console.exe”：

为加密服务器控制台安装程序，是加密系统的数据库平台，对计算机配置没有特殊要求，但建议安装于长期开启的计算机，保证客户端程序的随时登录连接。

◆首先运行\Disk\Server\Server_Console.exe文件，进入语言选择界面，请根据客户端计算机的语言种类进行选取。

并点击“下一步”继续安装。

◆选择安装路径，可以选择缺省安装路径，也可以另选路径。

◆点击“安装”，进入安装过程。

◆点击“完成”，完成加密控制台的安装。

安装完成后，系统会自动运行服务控制台。

1.3.1.3、授权码的申请与安装

在安装完加密控制台后，需要授权码系统才能正常运行，如果没有授权码，系统会提示用户需要授权，用户需要把Localmachineid机器码发给E-LOCK公司，E-LOCK公司会根据用户机器码计算出授权文件Authorized.dat，用户将此文件拷贝至Server_Console安装目录下，并再次启动控制台即可。

界面如下：

点击“

”按钮，加密控制台即可正常运行，点击“

”按钮可以进行启动电脑时自动启动加密控制台的设置，如下图所示：

选择后点击OK按钮即可。

1.4.1.4、加密控制台卸载

直接从控制面板的添加或删除程序的界面可以进行卸载即可。

1.5.1.5、加密服务管理工具安装与卸载

加密服务管理工具程序安装

加密服务管理工具程序“Server_Manager.exe”：

是加密系统的管理平台，用于对用户管理、策略管理、日志管理、配置管理与监视管理等操作。

对计算机配置没有特殊要求，但建议安装于管理员电脑上，以便管理员随时更改企业内部信息，安装步骤如下：

◆首先运行\Disk\Server\Server_Manager.exe文件，进入语言选择界面，请根据客户端计算机的语言种类进行选取。

◆点击“完成”，完成加密服务管理工具安装，退出安装界面。

加密服务管理工具卸载

1.6.1.6、客户端安装

只有安装了E-LOCK客户端软件的计算机才能受到加密控制，客户端可以进行用户登录、切换工作组、手工加解密、解密申请、文件外发申请、文件恢复、设置外发用户信息等操作。

具体安装过程如下：

◆点击运行安装文件（\Disk\Client\E-LOCKClient2.exe），安装界面如下。

选择安装语言，点击下一步继续安装。

◆点击下一步，进入输入客户端安装密码界面，如下图：

◆客户端的安装密码为：

timelink，然再点击“下一步”进入模块选择安装界面：

“加解密模块”：

用户勾选后在用户电脑上实现基本的加解密功能。

“加密狗驱动程序”：

用户使用E-LOCK狗时需要此程序进行驱动。

“自动备份模块”：

此模块实现用户文件损坏时恢复到保存文件的最近3-10个版本。

“外发打包模块”：

把文件打包成E-LOCK专有的文件格式，在保证文件安全的前提下实现和外界用户进行信息交流。

注：

加密狗驱动程序模块、文件自动备份模块和外发打包模块为增值模块，用户可以根据自己情况进行选择安装。

◆用户根据自己的需求勾选安装的模块后，点击下一步，客户端会强制安装到内定的目录下，不允许用户进行交互选择安装目标路径。

◆点击“完成”后，必须重新启动计算机（由于E-LOCK产品是基于驱动层开发的，只有重启电脑后驱动才能正常运行），才能完成客户端的安装过程。

1.7.1.7、客户端的卸载

◆点击“开始->

设置->

控制面板->

添加/删除程序”，找到E-LOCKclient2的项，然后点击右边的删除键，进入客户端卸载界面，此时需要输入卸载密码，客户端卸载密码是随机产生的，需要通过专有的工具算出随机密码才能够正常卸载，如图所示：

◆然后打开安装包里面\E-LOCK2\客户端卸载工具\目录并运行Gen.exe，进入以后界面：

◆把客户端卸载界面里面的SerialNumber

的随机码输入到上图的随机码对应的位置，然后点击“生成密码”按钮，如下图：

◆再点击“复制到剪贴”按钮，把卸载密码拷贝到客户端卸载界面对应的位置：

◆然后点击下一步，便可成功卸载加密客户端。

卸载完成后会提示是否要重启电脑的界面，如果需要马上安装加密客户端，必须要重启电脑，如果不需要安装加密客户端，可以不重启电脑。

2.第二章加密服务管理工具说明

2.1.2.1、登录加密服务管理工具

加密服务管理工具用来配置加密服务器控制台和对客户端进行管理，可在任意一台安装有加密服务管理工具程序的机器上登录，首次运行需要确定服务器IP（加密控制台的IP地址），手动添加服务器IP地址，如：

192.168.1.88（如果加密服务管理工具和加密控制台同时安装在一台电脑上，那么服务器IP地址可以默认为127.0.0.1）,端口设置为7000，然后输入用户名和密码，默认用户名和密码是admin，如图所示：

点确定即可进入管理界面：

该界面分为两大部分：

界面上部和左部功能菜单区，主要分为用户组管理、策略管理、日志管理、配置管理、监视管理等；

中间部分为功能设置区，主要是对详细功能的设置。

下面是每个功能菜单操作的详细介绍：

2.2.2.2、用户组管理操作

用户组管理用来建立公司内部的组织架构，用户可以根据自己的实际情况进行灵活设置，点击主界面功能菜单区的

按钮，在功能设置区会出现详细的设置信息。

“已分组用户”：

是指安全组的用户成员，该组用户可以根据组设定的策略及权限进行规定的操作。

“未分组用户”：

该组用户可以进行用户登录等有限的操作，但是不能查看加密文件。

“冻结用户”：

该组用户为已经失效用户。

2.2.1.2.2.1、用户组的建立

右键点击“已分组用户”，出现如下界面：

“域设置”：

可以自动提取域信息，作为加密系统中的用户信息。

“独立组”：

在创建独立组时系统会自动对该组产生一个唯一的密钥，独立组内用户可以相互访问，实现信息共享；

独立组之间信息不能共享，从而实现部门之间信息的独立性。

“继承组”：

继承组继承上级独立组密钥，继承组之间信息共享，便于公司行政管理。

手工建立独立组和继承组：

右键点击“已分组用户”，点击“新建独立组”，如图：

根据公司组织架构输入组名，点击确定即可；

建立继承组和建立独立组的操作步骤一样。

独立组显示蓝色图标、继承组显示橙色图标，如图所示：

“销售部”为独立组，“销售一部”和“销售二部”为继承组，它们继承“销售部”的密钥，它们之间信息共享。

用户可以用此方法根据自己的实际情况来建立组织架构。

2.2.2.2.2.2、分组分权限设置

用户建立完成后的组织架构图如下：

组与组之间的关系：

如上图所示：

总公司中的“研发部”、“销售部”同时继承自“总公司”这个组，他们是各自独立组，那么“研发部”与“销售部”不能打开彼此加密的文件，挂接在“研发部”或挂接在“研发部”下的所有继承组（研发小组一、研发小组二）的员工与挂接在“销售部”或挂接在“销售部”下的所有继承组（销售一部，销售二部）的员工都不能相互访问彼此加密的文件；

而研发部内部的“研发小组一”、“研发小组二”是同时继承自“研发部”这个组，由于他们都是继承组，所以挂接在这两个组下的员工可以打开彼此加密文件，进行正常沟通。

同理销售部内部的“销售一部”，“销售二部”是同时继承自“销售部”这个组，所以挂接在这两个组的员工也可以相互打开彼此的加密文件。

分级权限：

如上图所示：

如果领导A是总公司的董事长，他是挂接在独立组总公司，那么他的权限是最大的，他可以打开分公司1、分公司2所有员工的所加密的文件，而分公司1、分公司2所有员工都不能打开他所加密的文件；

同理如果领导B他是分公司1的总经理，他是挂接在独立组分公司1，那么他就可以打开分公司1下所有部门员工所加密的文件，而分公司1下所有部门员工都不能打开他所加密的文件。

由于分公司1与分公司2都是挂接在集团公司，都是独立组，所以领导B并不可能打开分公司2的员工所加密的文件。

2.2.3.2.2.3、用户建立

建立好组织结构以后就可以建立用户了，建立用户有两种方法：

◆方法一：

右键点击该用户所要挂接的组，然后点击新增用户，如图：

方法二：

可以直接点击该用户所要挂接的组，然后右键点击右边的空白的地方，如图：

然后点击新建设用户便会弹出以下界面：

“用户登录名”：

是指客户端登录时的用户名，如：

test

“显示名”：

是指客户端登录后显示的用户名，便于管理员识别，如：

测试。

“用户密码”：

是指客户端登录时的密码。

按提示信息填写所要建立的用户的信息，点击确定，用户建立完成。

该用户绑定到“研发部”，是独立组；

如果勾选“显示密码”，用户的密码将会显示出现，缺省时用户密码显示为多个*号；

用户创建后，可以通过托放用户的方式把用户挂到多个组下。

如果企业已经采用域管理了，则不需要再手工建立用户，可以直接从域中自动刷新用户信息到加密用户组中。

2.2.4.2.2.4、用户管理

2.2.5.2.2.4.1、特殊权限的设置

用户建立完成后，可以根据不同操作人员进行不同的权限设定，右键点击要修改权限的用户，点击“编辑用户”，界面如下：

该用户同时挂接两个组：

销售部和研发部。

管理员可以根据用户情况对所选用户进行详细的信息设置及权限设置，其中在特殊权限部分选中为该用户拥有此项特殊权限，默认为不选，各选项信息如下：

◆“允许截屏键”：

缺省不允许截屏，勾选后允许截屏。

截屏功能并非此项勾选后立刻生效。

◆“是手工解密审批员”：

勾选后成为解密手工审批员，用户进行手工解密时需要输入手工解密审批员的用户名和密码。

◆“用户绑定到计算机”：

勾选后该账户不能在其它计算机登录。

◆“需要加密狗登录”：

用户登录时必须要通过加密狗的验证。

◆“允许打印功能”：

缺省是不允许打印，勾选后才允许打印；

打印功能并非勾选择此项后立即生效。

◆“允许拷贝与拖拽”：

缺省时根据策略决定进程间是否允许相互拷贝与拖拽；

勾选此项，一律允许拷贝与拖拽。

◆“允许追加授权”：

缺省时不允许追加授权；

勾选时允许追加授权。

◆“不允许右键菜单运行”：

缺省时允许客户端右键菜单的运行；

勾选时不允许客户右键菜单的运行。

◆“允许修改用户密码”：

缺省时不允许用户在客户端自己修改用户客户端的登录密码；

勾选后允许用户在客户端自己修改用户客户端的登录密码；

◆“不显示加密锁图标”：

缺省时显示加密锁图标；

勾选后不显示加密锁图标。

◆“是文件/邮件解密审批员”：

勾选后用户有权限对文件/邮件的解密申请进行解密。

◆“不允许切换用户”：

勾选后在用户电脑上不能进行用户切换操作，默认是允许。

如果某组内的所有用户都需要拥有选中某个特殊权限，可以选中该组，点击右键，点击“组特殊权限”，在弹出的特殊权限对话框内所需要的权限保存后，该组内的所有用户都拥有此特殊权限。

2.2.6.2.2.4.2、对离线用户的控制

选中需要修改的用户，点击右键，选择“修改有效属性”，如图所示：

管理员可以根据离线用户的实际离线时间进行设定，如：

允许离线的有效时间、控制用户在某天正常使用及重复使用时间段等，在有效时间段内，离线用户可以正常的对电脑上的加密文件进行操作，新建立的文件根据该用户所拥有的策略自动加密；

如果离线时间超过了管理员设定的离线时间段内没有连接到加密服务器，那么该用户将无法打开本机加密文件，用户策略受控的程序新建编辑后将不能保存。

2.2.7.2.2.4.3、制作加密设备

加密狗功能

◆配合登录认证。

如果把“编辑用户”→“修改用户特殊权限”：

“需要加密狗登录”选项勾选后，那么必须得有特定的加密狗插在计算机上，策略才会生效。

否则一旦加密狗不在机器上，或被拔除，策略就是空的，用户将无法打开本机加密文件。

◆配合离线时间

超出设定的离线时间，员工将无法继续工作。

如果有特定的加密狗插在机器上，此员工的离线时间就可以继续使用，直至加密狗被拔除。

◆配合手工解密

有些员工通常是没有手工解密权限的，但是某些时候需要临时给他们增加手工解密权限，使用特定的加密狗可以临时增加此权限，一旦加密狗拔除手工解密权限将恢复到原来状态。

◆配合离线手工解密

一旦离线，或采用第（3）点临时得到手工解密权限的，将限制手工解密次数。

需要特定的加密狗分配允许手工解密次数，最多999次。

◆加密狗密码验证

如果指定加密狗密码，那么每次插入加密狗，加密狗生效之前都要求用户输入加密狗密码。

如果在用户特殊权限里选择了“需要加密狗登录”，那么该用户登录时必须要配合加密狗认证才能正常使用，制作加密设备的方法如下：

选中需要制作加密设备的用户点击右键，选择“制作加密设备”，如下图所示：

“登录验证”：

配合用户特殊权限“需要加密狗登录”使用，验证登录用户的身份。

“离线时间无限”：

配合离线用户使用，如果用户超出离线时间，可以配合加密狗使用户能够正常操作。

“补充手工解密权限”：

为用户临时增加解密权限。

“离线手工解密次数”：

允许离线用户手工解密的次数，取值范围为1~999次

“超级解密员”：

勾选过此选项后，其他选项都不生效，该用户拥有无限次的解密权限。

管理员根据实际情况对加密设备进行设置完成后，点击“开始创建”即可完成。

2.3.2.3、策略管理操作

策略管理是E-LOCK文件安全管理系统最为强大的功能，完全开放的策略库、简单直观的操作方式是其他加密软件无可比拟的，用户完全不需要进行二次开发就可以为自己定制一套完全属于自己的加密软件。

进入主界面，点击功能菜单区的

，在功能设置区就可以看到其详细信息，如图所示：

2.3.1.2.3.1、新增策略

E-LOCK提供了一个功能全面的策略库，但是并不能满足所有用户的需求，如果在现有策略库内没有用户所需要的策略，那么就需要用户自己定制一条策略，点击上图中“新增”按钮，出现如下界面：

◆“加密策略名称”：

用户制定的策略名称，便于用户后期识别管理，如：

“winword策略”、“写入移动磁盘强制加密”等。

◆“加密受控程序”：

用户希望加密受控程序的进程名，如：

“winword.exe”、“notepad.exe”等，获取加密受控程序（进程名）的时候，可以从系统的资源管理器查看，也可以用加密软件安装包Tool文件夹里面的compare.exe进行程序的跟踪获取。

◆“程序指纹”：

采集需要受控程序的指纹作为唯一的识别码，即使将受控程序名进行修改，保存后的文件仍被强制加密，将其他程序名冒充为合法程序名的行为也将被禁止。

◆“强制加密文件类型”：

用户希望加密受控程序所产生的那种类型文件进行强制加密，如“*.c、*.h、*.doc、*.txt”等，如果希望对受控程序产生的所有文件都加密，那么此处只需要一个“*”就可以实现。

设定完成后，然后点击确定，策略便自定制完成。

由于定制策略涉及到一些比较复杂的技术问题，在这我们就不做太详尽的说明，如果客户在定制策略的时候遇到问题可以咨询我们的技术工程师。

附：

用来标注以区分不同策略。

是指该策略对那些应用程序进行控制（强制加解密），不同的应用程序之间用“|”隔开。

◆“禁止PrtSc”：

配合组特殊权限配置里的“是否允许截屏键”一起使用，可禁止用户对屏幕进行截屏操作。

◆“禁止打印”：

用来禁止用户对打印机的操作。

◆“复制监控”：

用来控制该受控程序生成的文件的内容是否可以复制，勾选为允许复制，缺省为不允许复制。

◆“允许粘贴”：

用来控制该受控程序是否可以粘贴其他受控程序复制过来的内容，勾选为允许粘贴，缺省为不允许粘贴。

是指明该策略对上述“加密受控程序”产生的哪些后缀名的文件进行加解密处理。

添加多个文件类型可用“|”隔开。

◆“文件读取时自动解密（透明解密）”：

是指该用户对策略控制的文件进行读操作时会自动透明解密，不影响用户的正常工作习惯。

◆“文件拒绝写”：

是指用户对该策略控制的文件进行写操作时，加密软件会自动拒绝用户些操作。

◆“文件操作全部拒绝”：

是指用户对该策略控制的文件的读、写、修改、删除等操作全部拒绝。

◆“文件透传”：

是指用户对该策略控制的文件全部操作不受加密软件的监控。

◆“打开文件加密”：

是指用户对该策略控制的文件进行打开操作时，文件会自动进行强制加密。

◆“文件写入加密”：

是指用户对该策略控制的文件进行写操作时，该文件会自动进行强制加密。

◆“重命名文件加密”：

是指用户对该策略控制的文件进行重命名操作时该文件会自动进行强制加密。

◆“新建与覆盖加密”：

是指用户对该策略控制的文件进行新建或者覆盖操作时该文件会自动进行强制加密。

◆“策略注释”：

用来对策略进行更加详细地说明。

2.3.2.2.3.2、策略的导入与导出

管理员可以把现有的策略导入到现有的策略库中或者把现有的策略导出，如下图所示：

然后点击“导入策略文件”，便弹出下面窗口：

然后可能进行选择“

”或“替换现有策略”来进行策略的导入；

选择后点击确定便会弹出选择策略文件界面：

然后找到要导入的策略文件*.stg文件，此文件在加密软件安装包的Sample目录下。

然后再点击打开即可导入策略，导入策略后便可以进行组策略的选择下发。

“导出策略文件”与“导入策略文件”类同，导出策略可以导出一条，也可以导出多条或全部策略。

2.3.3.2.3.3、策略的下发

策略只能下发到组，而不可以下发到用户，策略一旦下发到组后，所有挂接在同一个组的用户都具有相同的策略。

策略选择的步骤：

首先右键点击你要下发策略的组，如图：

然后点击“组策略设定”，便显示以下界面：

然后勾选择需要下发的策略，选定后点击保存此页即可完成组策略的选择下发。

如果需要策略要调整优先级，点击“上移”或“下移”把选中策略移到适当位置即可（策略是按至上而下顺序执行）。

2.4.2.4、日志管理操作

单击功能菜单区的

按钮，可查看相关日志信息，如图所示：

此界面可以查看手工解密文件操作日志（文件名称、解密时间、解密人，文件的大小等）；

员工登录查询；

管理员操作查询；

员工加密及授权查询；

解密审批查询；

可以根据“登录用户”，“解密帐号”，“进程名”，“文件名”，“文件大小”以及“解密日期”来查询具体的解密日志；

同时日志可以导出为excel文档。

◆“手工解密查询”：

点击“手工解密查询”，在右半部分出现手工解密查询的详细，如图所示：

该部分可以查看详细的手工解密信息，包括：

登录名、IP地址、解密账号、解密进程，文件路径及文件名、文件大小、文件创建时间、文件最后修改时间等信息。

界面底部是查询条件筛选区，用户可以根据登录用户、解密账号、进程名、文件名、文件大小、解密日期等筛选条件进行精确的查找手工解密信息日志，如果对筛选条件不做设置，将列出所有手工解密的日志。

◆“员工登录查询”：

详细显示员工登录名、显示名、操作类型、登录IP、登录时间等信息进行查询，可以对所有登录员工进行查询，也可以对指定条件进行筛选，进行精确查询。

◆“管理员操作查询”：

详细记录管理员的操作，包括：

管理员登录名、时间、操作类型、IP地址、操作对象、对象权限等信息。

◆“员工加密及授权查询”：

详细记录加密授权日志，包括：

登录名、操作类型、追加授权人、IP地址、文件名、文件大小、文件创建时间等信息。

◆“解密审批信息查询”：

查询解密审批及邮件外发审批信息，包括：

登录名、审批人、操作类型、处理结果、文件名、申请时间、外发mail、接收mial等信息，管理员还可以把日志信息下载到本机进行审计。

解密审批文件还可以下载到本地，查看解密文件内容，便于事后责任追究，方法是：

选中要下载到本地的文件点击右键，点击“下载文件到本地”即可，如图所示：

文件下载完成后，双击下载对话框里的文件即可打开该文件。

以上所有日志信息都可以导出到Excel表格，方便用户审计。

2.5.2.5、配置管理操作

，即可对加密软件作相应的设置

◆管理员密码设置：

在该选项卡可设置如下内容：

“管理员登录名”、“新密码”管理员应该定期修改管理员密码，防止该密码被其他用户非法获取。

◆自动升级设置：

自动升级的时候中茂维信公司会提供一个自动升级的服务器端，用户可以安装在任何一台内部所有电脑都可以访问的电脑上，然后再设置好升级服务器的IP以及升级端口号，再点击测试，如果测试成功，那么客户端重启便可以自动升级。

加密服务器升级也一样。

◆邮件黑白名单设置

邮件黑白名单功能自动阻止或自动解密审批发往指定收件人地址的邮件，提高员工工作效率，减少解密审批员的工作量。

如图所示：

◆黑名单邮件：

如果用户申请外发邮件的接收人邮件地址在黑名单邮件中，那么服务器将自动拒绝外发邮件解密审批消息。

◆白名单邮件：

如果用户申请外发邮件的接收人邮件地址在白名单邮件中，那么服务器将自动同意外发邮