IPguard使用手册.docx
《IPguard使用手册.docx》由会员分享,可在线阅读,更多相关《IPguard使用手册.docx(90页珍藏版)》请在冰豆网上搜索。
IPguard使用手册
第一章IP-guard简介
1.1前言
在知识型经济之下,企业信息资产显得特别重要,能否有效保护专有技术等内部信息,更是求存成功的关键,业务保障的基础。
进入信息年代,互联网成为企业与本土外地公司沟通、交换业务数据及信息的主要渠道。
利用互联网沟通固然方便,但却使机密的商业资料很容易透过开放的互联网泄露给竞争对手。
机密商业资料一经泄漏,不论是有意还是无意,始终会对企业的资产构成损失。
因此企业需要严格监管员工使用电脑,防止因知识产权和机密商业资料通过电脑被泄漏而造成的重大损失。
最近公布的一项调查结果表明,目前员工在工作场所花费在网上的与工作无关的时间越来越多,企业的生产力受到很大影响,为此造成大量的金钱损失。
以前大部分员工可能都认为办公室的电脑属于他们所有,他们可以想干什么就干什么,因此应对他们进行严密的监管,使这些人不能再为所欲为,促进生产力的提高,降低因滥用电脑带来的损失。
根据GartnerGroup及ForresterResearch的研究调查,信息系统管理部门接近一半的工作时间用于为计算机安装及升级软件,占计算机的总体拥有成本很大比重。
IT人员为PC做简单的日常维护工作所花的时间占其总工作量的70-80%,大大增加计算机网络的综合管理成本。
而且如果问题没有得到及时有效的处理,也会极大影响企业的生产力。
因此有必要减少了IT人员的一些无谓操作,大幅度提升他们的工作效率,使得IT人员更加关注于管理工作,并将精力集中于能够提升企业管理效率的信息系统中。
IP-guard正是一个为企业解决上述问题的有利的工具。
IP-guard严格监控和记录企业内部各台计算机和用户的使用情况,它具有强大的日志统计、策略管理、屏幕快照、实时跟踪、资产管理、系统补丁漏洞管理、软件分发及远程维护等功能。
IP-guard根据需要自动截取客户机的屏幕快照、计算机用户使用电脑的记录,并可以根据客户需要回播这些记录来报告用户的工作状况。
这样,IP-guard可以让您随时了解您公司的计算机用户的资源利用情况,从而保障企业信息安全、提高生产力。
1.2功能介绍
现代企业不仅要保护自己的基础建设的资源,还必须维护其商誉、资产及员工。
IP-guard提供的这种有效的监控管理可协助降低企业进行商业活动时所面临的风险。
具体而言,IP-guard是一个对企业网络进行监视和管理的有效工具,其主要功能包括:
运行统计
IP-guard会生成管理人员所关心的公司员工各项应用程序、上网浏览和网络流量的统计报告,以供对员工的工作情况进行评估。
实时监视
透过IP-guard的协助,管理人员可随时查看或实时监视员工在计算机上所进行的活动,包括应用程序的运行,上网浏览,文档操作和打印,屏幕快照,即时通讯内容,邮件内容等。
策略控制
通过限制员工对计算机的操作,包括应用程序、上网浏览、文档操作和打印限制,网络端口和流量控制,外部设备禁用等,可以有效地保障企业信息安全,提高员工的工作效率和合理规划企业资源的使用。
实时维护
IT人员可远程查看计算机的实时信息,并可通过远程控制控制员工计算机,帮助分析和解决远程计算机的故障。
资产管理
详细记录每台计算机的硬件和软件资产信息,以及硬件设备的变更,软件的安装和卸载,并对异动情况及时报警;可根据需要查询各类软硬件资产;自动汇总硬件配置,统计软件资产。
系统补丁和安全漏洞管理
Windows安全补丁定时检查和下载,并自动分发和安装到客户端;对系统的安全漏洞进行周期性扫描、分析和修补。
软件分发
派发文件或部署安装第三方软件到企业内各台计算机,减轻IT人员工作,提高效率。
IP-guard的基本特性包括:
强大的数据压缩,归档和查看功能
优化的数据压缩算法确保了资料的高效存取。
历史的屏幕快照信息通过系统的内部归档子系统按特定的格式存储在服务器端并可由系统管理员将它备份到指定的后备存储设备中。
经授权的用户可以在需要时利用系统的查看功能随时对特定的计算机在特定的时间段的历史信息进行查阅。
强大的资料加密功能
工作站与服务器之间的数据传输利用DES算法进行加密。
这种加密的处理让系统有足够的能力保护资料和防止非法资料截获。
系统具有认证功能
通过系统独特的服务器、代理及控制台之间的认证功能,工作站的代理只向经过认证的服务器响应,从而有效防止非法服务器窃取系统资料。
友好的用户接口
IP-guard既有强大的监视和数据管理功能,又有简单易用的用户接口。
图形化的用户接口让系统的所有功能一目了然。
可扩展的和节约成本的解决方案
IP-guard系统充分利用现有的计算机设备,并且可以随时从单个工作站方便的扩充到网络环境,受监控的工作站的多少也可以随时按需调整。
这种系统的特性减少了硬件和网络提升后所带来的软件成本上升的压力。
第二章IP-guard安装和部署
2.1基本运行框架
IP-guard基本系统由三个不同的模块组成:
客户端模块(Agent)、服务器模块(Server)和控制台模块(Console)。
用户可以根据具体需要将它们安装在网络中的计算机上。
客户端模块安装在每一台需要被监视的计算机上。
服务器模块用来存储和管理所有安装有客户端模块的计算机,用于管理监视所产生的资料,一般安装在一台具有大容量内存的用作服务器的计算机上。
控制台模块主要用于监视每台安装有客户端模块的计算机及查看历史记录,一般安装在公司的管理人员的计算机上,也可以和服务器模块安装在同一台计算机上。
系统的基本框架如下图所示。
IP-guard系统基本架构图
服务器模块的基本功能包括:
▪定时搜索网络,管理所有已安装客户端模块的机器,并向客户端模块传递相关的设置和命令信息
▪收集客户端模块的采集的数据,并将其保存到数据库中
▪备份历史资料
▪提供方便灵活的历史记录管理、查看、归档、搜索等功能
控制台模块的基本功能包括:
▪实时获取受监视计算机的屏幕快照等信息
▪对单个或对一组目标机进行实时监视,并可以轮流显示多个目标机的屏幕快照
▪设置监视和控制规则
▪查看并播放记录在服务器端的历史记录
▪查询特定机器特定时刻的历史记录
客户端模块的基本功能包括:
▪定时采集数据并保存
▪定时将采集的数据传送到服务器
▪响应控制台发出的监视请求,传送实时的屏幕快照信息
▪根据系统的设置控制计算机和用户的操作
2.2软硬件环境
IP-guard系统需要安装服务器、控制台和客户端模块,安装服务器之前需要先安装数据库,每个模块支持的操作系统以及硬件建议配置如下表:
安装模块
计算机基本要求
数据库
SQLServer2000SP4或以上/SQLServer2005SP1或以上
MSDESP4/SQLServer2005Express
服务器模块
操作系统Win2000SP4/XPSP2/2003SP1/Vista
最低配置PentiumⅢ500/256MB内存/10GB可用硬盘空间
建议配置Pentium42G/512MB内存/50GB可用硬盘空间
控制台模块
操作系统Win2000SP4/XP/2003/Vista
最低配置Pentium166/64MB内存/10MB可用硬盘空间
建议配置PentiumⅢ1G/256MB内存/100MB可用硬盘空间
客户端模块
操作系统Win98/2000SP4/XP/2003/Vista
最低配置Pentium166/64MB内存/10MB可用硬盘空间
建议配置PentiumⅢ500/128MB内存/100MB可用硬盘空间
注意:
如果服务器模块安装在Windows2000SP4系统上,请先确认安装SP4更新汇总-Win2000-KB891861-v2-x86-CHS.exe升级补丁。
2.3安装和部署服务器和控制台
2.3.1安装数据库
服务器模块的数据库使用SQLServer2000SP4或以上、SQLServer2005SP1或以上,如果没有SQLServer可以安装微软免费提供的MSDESP4或SQLServer2005Express。
注意:
MSDE的数据库容量有2G的限制,2005Express容量有4G的限制,而且对服务器的性能也会有一定影响,所以如果数据量比较大,建议尽量使用SQLServer数据库。
安装SQLServer2000请确认安装SP4补丁,安装SQLServer2005请确认安装SP1补丁。
如果导致服务器无法启动,请先在系统的“计算机管理->事件查看器->应用程序日志”查看是否属于SQLServer版本问题。
MSDE的安装
1)双击MSDE的安装执行文件,它会提示一个解压缩的目录,请选择一个目录,将安装文件解压到这个目录下;
2)打开这个解压后的目录下的MSDE目录,里面有一个setup.ini文件,这个文件的内容默认是
[Options]
请修改这个文件,在下面增加一行成为:
[Options]
BLANKSAPWD=1
保存文件。
3)然后执行MSDE目录下的setup.exe,开始MSDE的安装。
SQLServer2005Express的安装
我们推荐安装ExpressEditionwithAdvancedServices。
安装条件:
1.互联网信息服务器IIS5.0或更高
如果Windows服务器没有安装IIS,请从“开始”->“控制面板”->“添加删除程序”->“添加删除Windows组件”进行安装;
2..NETFramework2.0
从微软网站上下载.NETFramework2.0(x86)。
下载完成后,执行dotnetfx.exe文件,然后根据提示一步一步地操作安装。
3.WindowsInstaller3.1
请下载并安装WindowsInstaller3.1。
安装步骤:
1)从微软网站下载SQLServer2005ExpressEditionwithAdvancedServicesSP1,运行安装程序,接受用户许可协议,并点击【下一步】;
2)安装SQLServer之前需要安装一些组件,单击【安装】按钮安装这些内容,安装成功后单击【下一步】开始SQLServer的安装;
3)单击【下一步】继续,安装程序会显示必要条件的列表,点击【下一步】继续;
4)在【注册信息】界面,将【隐藏高级配置选项】勾选项去掉,单击【下一步】继续;
5)在【功能选择】中请确认已选择【ManagementStudioExpress】;
6)在实例安装选择时,请确认选择默认的数据库实例(Defaultinstance),如果选择其他实例,会导致服务器不能正常启动;
7)设置服务帐户时,请选择本地系统帐户(LocalSystem);
8)之后的设置直接选择默认值,安装向导将为您完成数据库的安装。
2.3.2安装服务器和控制台模块
安装完数据库后,就可以开始安装服务器和控制台了,具体操作步骤如下:
1)双击IPguard3.exe,选择安装过程的语言界面,点击【确定】;
2)系统会弹出欢迎安装的界面,点击【下一步】继续;
3)安装程序会提示用户确定安装的路径,用户也可以自己选择安装的路径,可以选择一个存储空间较大的盘符来安装IP-guard服务器;
4)安装程序会提示用户选择安装类型和组件:
用户可以根据需要选择安装IP-guard的服务器和控制台,点击【下一步】;
5)选择开始菜单的快捷方式的目录,点击【下一步】;
6)确认设置无误,点击【下一步】,复制文件结束后系统安装完毕,单击“结束”按钮结束,服务器模块启动,在托盘有个小图标
显示。
安装服务器时,安装程序会判断安装的条件,包括操作系统和SQLServer的版本,如果无法正常安装,请按照提示完善安装环境。
管理员也可以在其它机器上单独安装控制台程序,以便查看数据和监视客户端机器的操作。
2.3.3服务器注册
在第一次安装服务器后,IP-guard会自动生成一个有30天试用期的演示序列号,它是由6组4个字符组成的字符串。
右键单击【服务控制器】,选择“工具->注册”输入管理员密码进入注册界面。
管理员点击【升级】按钮,序列号栏会变为可编辑状态,输入购买的正式序列号,再单击【确定】按钮,如果您输入的序列号无误,系统会提示“序列号升级成功”并且提示您需要激活产品。
您必须通过产品注册得到注册码来注册您的产品。
注意:
您必须在输入正式序列号以后15天内注册您的产品,否则系统将无法继续运行。
如果IP-guard所在服务器可以联网,有2种注册方法:
1.在线注册在产品注册对话框中填写您公司的信息,包括公司名称、联系人、联系电话和邮件地址,点击【在线注册】会自动返回注册码,单击【注提示“注册成功”即可;册】按钮,
2.邮件注册假如因特殊原因无法在线注册时,可以使用邮件注册。
在产品注册对话框中填写您公司的信息,包括公司名称、联系人、联系电话和邮件地址,点击【发送邮件】,系统会弹出发送邮件窗口,请确认填写信息无误后发送邮件。
我们会将注册码发到您填写的电子邮件地址,收到后请将注册码复制到相应地方,点击【注册】按钮,系统提示“注册成功”就完成了整个注册的过程。
如果因为网络或别的问题,无法在线注册或即时发送邮件获得注册码,您也可以在其他可上网的机器上将注册信息和识别码发送邮件给我们进行处理。
注意:
第一次注册时填写的电子邮箱地址是非常重要的,以后因为其他原因需要再次注册时,新的注册码我们仍然会发到第一次注册时填写的电子邮箱内。
2.3.4设置系统检验码
检验码是服务器和客户端除了序列号外唯一的识别码。
客户端的检验码必须和服务器一致才能被服务器所接管。
所以建议您先设置检验码,再打包客户端安装程序,这样就会把服务器的序列号和检验码一起打包到客户端,防止外来非法的服务器接管企业内的客户端。
当第一次安装服务器后,右键单击【服务控制器】选择菜单“工具->检验码”,系统会要求输入管理员的账号和密码,才能设置检验码。
输入检验码,再次输入,点击【确定】按钮,设置检验码成功。
系统默认检验码为空,如果客户端没有检验码,第一次设置检验码后,服务器会自动更新所有连接上的客户端的检验码,使客户端的检验码与服务器保持一致。
如果服务器再次设置新检验码,只要客户端识别到服务器之前设置的检验码中有一个与客户端现在的匹配,客户端就会主动将检验码更新为服务器现在的检验码。
警告:
⏹管理员请务必牢记自己设置的检验码,以便服务器重装或者换了系统后可以顺利接管以前的客户端,否则您可能需要重新部署客户端。
⏹如果发现客户端有运行但是无法在控制台显示,请在IP-guard控制台“日志->系统事件”中查看是否属于检验码验证失败的问题。
2.3.5服务器日志
右键单击【服务控制器】选择菜单“工具->日志”会自动链接到操作系统的【事件查看器】。
选择【应用程序】可以查看OSERVER3的运行日志,包括:
oserver3.exe的启动和停止、错误日志等。
管理员通过这些日志信息可以分析服务器的运行情况。
2.4部署客户端模块
客户端模块的部署有多种方式:
直接安装、远程推送、域登录脚本安装,您可根据实际需要完成对客户端机器的部署。
2.4.1直接安装客户端
直接安装客户端模块需要先生成客户端安装程序,然后到需要部署的机器上手工运行安装程序,安装客户端程序需要管理员权限。
在安装了IP-guardServer的机器,点击“开始->所有程序->IP-guardV3->创建客户端安装程序”打开客户端生成工具。
服务器IP地址系统默认是当前计算机的IP地址,如果服务器有多个IP地址,请输入一个有效IP地址。
目标文件路径客户端安装程序的文件名以及存放路径。
静默安装选中该复选框,客户端安装程序为静默安装,没有安装界面;不勾选该复选框,则为非静默安装包。
用户名和密码安装客户端需要管理员权限,如果计算机上登录的用户是user权限,可能会无法成功安装,这种情况下,可以在创建客户端安装包时,在这里输入具有计算机管理员权限的用户和密码,这样打包的客户端在user权限下也能安装成功。
点击【创建客户端安装程序】按钮,客户端安装程序创建成功。
2.4.2远程推送客户端
对于较大的企业,计算机数量较多,分布的较广,不方便在计算机上进行手工安装,逐台计算机进行安装也会消耗大量的精力。
此时,我们可以通过远程安装的方式来解决这个问题,既可以批量安装客户端程序,也省去了亲自到该计算机上安装的麻烦。
在安装了IP-guardServer的机器,点击“开始->所有程序->IP-guardV3->远程安装客户端模块”运行远程安装工具。
该工具只能对WindowsNT4.0/2000/XP的机器进行安装,要安装Windows9x/ME的计算机请直接在所需的计算机上安装。
功能说明:
1.扫描设置:
系统默认扫描本网段的所有计算机,如果需要扫描其它网段的计算机,请选择菜单“文件->扫描设置”打开扫描设置对话框,添加其它网段的IP范围,也可以对扫描包间隔进行设置。
2.在计算机列表中各种图表代表的含义
图标
颜色
Window
NT4.0/2000/XP
Window
95/98/me
是否
在线
是否安
装Agent
深蓝
是
否
是
否
深蓝
否
是
是
否
灰色
是
否
否
否
灰色
否
是
否
否
浅蓝
是
否
是
是
浅蓝
否
是
是
是
3.安装
选择需要安装客户端模块的计算机,可同时选择多个计算机,点击“操作->开始安装”开始客户端模块的安装,在安装状态栏可以查看每台计算机的安装状态,在下面的安装日志窗口可以查看所有计算机的安装日志。
【常见问题】
a)当前登录的用户没有操作目标计算机的权限,此时会弹出一个安装出错的窗口,请输入具有目标计算机管理员权限的用户名和密码;
b)目标计算机没有打开admin共享,这时需要到目标计算机上开启admin共享,打开命令提示符cmd.exe,netshare查看ADMIN$共享是否开启,如果没有打开,netshareADMIN$打开admin的共享;
c)目标计算机无法访问本机共享文件,可能是本机的admin共享没有打开,目标计算机没有权限访问本机共享文件。
提示:
由于WindowsNT网络内部的一些安全权限的设定影响程序正常运行,所以可能某些时候并不能使你有足够的权限在远程的计算机上执行远程安装。
在这情况下,请你用IP-guardAgent的安装程序到所需的计算机直接安装。
2.4.3域登录脚本安装
假如企业内有域环境,可以通过设置域登录脚本来安装客户端程序。
具体的操作步骤为:
1.在安装光盘中找到LogonScript,将LogonScript目录复制到域服务器上;
2.在IP-guardV3的服务器上生成客户端安装程序,命名为ASetup.exe;
3.将ASetup.exe复制到域服务器上的LogonScript目录下;
4.运行域服务器上LogonScript目录下的LgnManV3.exe程序进行域登陆脚本的设置;
LgnManV3.exe使用说明:
1.在域服务器上运行LogonScript目录下的LgnManV3.exe程序;
2.LgnManV3.exe扫描并显示域服务器上的用户信息列表;
3.选择需要安装客户端模块的用户,可以结合CTRL,SHIFT等键同时选择多个用户,单击右键“选择”选定多个用户;
4.对选定的用户进行登陆脚本的设置操作:
添加安装命令,删除安装命令,移除登录脚本文件。
添加安装命令将在选定用户的登录脚本中添加安装客户端的命令,设置了安装命令的用户图标底色用绿色表示。
删除安装命令将在选定用户的登录脚本中删除安装客户端的命令。
移除登录脚本将选定用户设置为没有登录脚本(不会删除脚本文件)。
5.设置了安装命令的用户下次登录时会自动安装客户端程序。
2.5系统升级
2.5.1升级服务器和控制台
升级服务器和控制台可以通过升级包来完成,也可以直接覆盖安装IP-guard安装程序到原来的目录,升级服务器和控制台的具体步骤如下:
1.首先到系统的服务中停止2个服务:
OCULARV3SERVER、OCULARV3UPDATE;
2.退出服务控制器OControl3.exe和控制台OConsole3.exe;
3.运行升级包程序或直接运行IP-guard新版本安装程序覆盖安装到原来的目录;
4.手工启动服务OCULARV3SERVER和OCULARV3UPDATE(如果直接覆盖安装,不需要手工启动)
2.5.2升级客户端
服务器升级成功后,会自动将客户端升级文件传给每个连接上来的客户端,但是需要客户端机器重启才能升级成功。
2.6卸载IP-guard
2.6.1卸载IP-guard服务器和控制台
首先关闭IP-guard服务器和控制台等应用程序,然后选择“开始”菜单的“所有程序->IP-guardV3->卸载IP-guardV3”进行卸载,也可以选择在“控制面板->添加/删除程序”中选择IP-guard3进行卸载。
2.6.2卸载客户端
对于不再需要安装客户端模块的计算机,管理员可以将客户端模块卸载,卸载客户端有2种方式:
控制台卸载
选择“控制->卸载客户端”将客户端模块移除,此后客户端模块不再运行,如果您、以后需要在该计算机上再运行客户端模块,必须再重新安装。
客户端工具卸载
对于处于离线状态的客户端机器,也就是无法与服务器连接的客户端机器,我们提供了另外一种卸载客户端的方法,具体步骤如下:
1)在客户端机器的“开始->运行”中输入命令"agt3toolocularadv",打开客户端工具;
2)选择“卸载客户端”,点击【生成操作码】按钮;
3)会弹出一个“检验操作码”对话框,请把原始操作码报告给管理员;
4)管理员在控制台“工具-客户端工具-确认码生成器”输入客户端的操作码,会解析出该客户端的操作以及相应的客户端信息;
5)管理员确认后点【生成确认码】;
6)管理员将确认码告诉客户端,输入正确的确认码执行指定的操作。
提示:
卸载客户端和删除客户端的区别:
卸载客户端仅仅是卸载客户端,并不减少license数,在控制台上可以显示该计算机并查看日志;而删除客户端包括卸载客户端和减少license数。
第三章IP-guard使用
3.1登录控制台
3.1.1登录控制台
单击安装目录下的OConsole3.exe或者“开始->所有程序->IP-guardV3->IP-guardV3控制台”启动控制台模块。
在启动控制台模块之前必须先在网络上运行服务器模块,控制台模块在启动后会显示登录窗口。
服务器输入服务器的IP地址或计算机名称;
账户初始时预设了系统管理员为“amin”,系统审计员为“audit”,管理员也可以根据不同的权限设置多个管理员账户,在“工具->账户”中添加;
密码管理员的初始密码均为空,登录控制台后可以修改管理员密码,在“工具->修改密码”中修改密码,管理员需要保管好自己设置的密码。
输入正确的账户和密码,单击【确定】登录控制台。
当与服务器连接中断,或需要连接到不同的服务器,或需要用不同的用户身份进入控制台时,可以选择“工具->重新登录”功能重新登录控制台。
升级会员 