keyfety单机版产品手册.docx
《keyfety单机版产品手册.docx》由会员分享,可在线阅读,更多相关《keyfety单机版产品手册.docx(15页珍藏版)》请在冰豆网上搜索。
keyfety单机版产品手册
国瑞信安终端安全登录与监控审计系统
产品手册
Version
江苏国瑞信安科技有限公司
国瑞信安(北京)科技有限公司
版权声明
非常感谢您使用国瑞信安(北京)科技有限公司的安全产品,我们将竭诚为您的终端信息安全提供全面的服务。
本手册及其中所包含内容的版权属国瑞信安(北京)科技有限公司所有,未经许可,不得对此手册全部或部分内容复制、改编或做其他用途的使用。
本手册所介绍的TMKeySafetyTM产品是由国瑞信安(北京)科技有限公司自主开发的信息安全产品,其版权受中华人民共和国版权法保护。
国瑞信安(北京)科技有限公司尽最大的努力保证本手册的准确性和完整性。
如果您在使用中发现问题,希望及时将情况反馈给我们以完善产品,我们将非常感谢您的支持。
国瑞信安(北京)科技有限公司
江苏国瑞信安科技有限公司
2016年4月
第一部分KeySafety产品总体介绍
系统总体介绍
产品是国瑞信安(北京)科技有限公司针对网络信息系统开发的内部网络信息防泄密系统,该系统从多方面入手,解决网络中信息泄密的安全性问题。
主要包括:
网络用户和操作系统用户安全身份认证(内核级动态口令技术)、终端资源访问控制、安全审计和终端安全防护及管理。
在用户身份的认证上,该产品利用USBKEY技术,结合动态口令技术,全面替换了操作系统的认证模块,实现了用户身份的登录系统一次一密,确保局域网络和远程拨号网络用户的身份安全认证。
(支持各种介质,目前常用的使用USBKEY,还可以支持是用指纹认证、IC卡、射频卡等。
)
在终端设备的访问控制上,实现了对移动终端存储介质(软盘、u-盘、光盘等)、调制解调器、宽带ADSL、无线上网、终端设备上运行的程序、打印设备等按照已定义的策略进行控制。
特别针对涉密移动介质(U-盘、移动硬盘等)提供注册、授权管理。
实现对移动介质的控制,不区分具体的接口、区分具体的移动介质的实体(如:
不区分是移动硬盘或是移动U-盘,CD-ROM还是可擦写的ROM);
对打印设备的控制,不区分打印设备所采用的接口类型及型号,本地打印、网络打印、虚拟打印同样受控;
在审计上,对系统的身份认证,移动存储设备、打印设备、调制解调器的合法使用行为、本地操作系统的操作等进行审计,如:
用户将文件拷贝到U-盘,系统将自动记录拷贝的文件信息,以利于信息的跟踪;用户将文件通过打印机打印,系统将自动记录用户打印文件信息,便于对打印输出文件的跟踪。
第二部分KeySafety单机版产品安装
2.1KeySafety的应用环境
国瑞信安系统主要应用在windows环境。
单机版可以实现没有联网的各个单机多用户身份保护及授控资源安全。
没有联网的各个单机安装了KeySafety系统后可以实现单机保护,具有用户帐号安全管理和身份安全认证、终端资源访问控制、安全审计功能和主机防护等功能。
通过KeySafety系统管理员安装Key的使用在各终端配置策略。
独立的单机审计功能,日志支持本地查看、导出及导入统一的审计平台中。
2.2系统安装软硬件需求
硬件需求
USB口(使用IC卡可没有USB口)
内存:
512M以上
CPU:
PII233mHz以上
可用硬盘空间:
500M以上
光驱
网卡(网络身份认证需要)
软件环境需求
USBKEY驱动程序
操作系统支持XP32bit,Win732/64bit
2.3安装前准备
请根据前面的软硬件需求准备安装产品的PC工作站,并安装好操作系统和相关应用系统。
请确定计算机有USB接口。
从国瑞信安(北京)科技公司获得产品的安装文件及安装KEY。
请确认您还拥有其它通过国瑞信安公司注册的用户USBKEY,以便您在安装系统之后能够正常使用:
安装,您至少要有一把用户USBKEY,用于建立用户帐号。
2.4KeySafety产品安装步骤
2.4.132位WindowsXP/Windows7系统安装步骤
注意事项:
1、产品安装前,请先临时关闭杀毒软件防护功能。
2、请在Windows管理中将Administrator帐号设置为密码永不过期。
(1)将产品提供的安装光盘打开进行安装并点击下一步,如图2-1:
图2-1
(2)安装管理员钥匙(USBToKen3003)安装向导,点击“开始安装”按钮即可。
如图2-2:
(3)将系统安装USBKEY插入USB接口上,系统自检成功
注意:
先安装USBKEY驱动,再插入USBKEY,并且每个USB口都需要在插入USBKEY自检安装驱动。
(4)出现安装提示,接着查入管理员KEY,点确定,选择要安装的模块。
产品点数提示
图3-4
注意:
不要中断安装,中断安装可能会丢失安装点数。
如果确定不想安装,请等安装完后卸载
(5)点击安装后,进去KeySafety用户管理中心界面,此时需要创建一个新的用户,此时要求插入管理员KEY以及输入管理员PIN码(),如图3-5:
图3-5
(6)此时需要输入用户钥匙key的pin码,(密码默认为1234),请点击确定,如图3-6:
图3-6
(7)然后将出现USBKEY用户管理中心画面,在左边菜单上选择“增加系统用户—创建新用户”,在相应的栏目中填入相对信息,如下图:
图3-7
(8)点击确定后,然后点击修改系统用户,进行用户的绑定,输入key的pin码,进行用户的绑定,如图3-8;
图3-8
注意:
安装身份认证软件必须在计算机重新启动之前绑定一把KEY,否则系统重新启动后会因为没有登录KEY用户而无法登录。
(9)绑定用户后,退出即可,然后会显示本计算机的硬件信息,然后点击“确定“继续进行安装,如图3-9
图3-9
(10)弹出注册信息出来,将下面的信息填满即可,如图3-9
图3-9
(11)完成后按提示重新启动机器。
安装注意事项:
(1)先安装USBKEY驱动,然后插入USBKEY,系统自检安装。
需要每个USB口都插入自检一遍。
(2)注册KEY用户的时候,采用单位内部的统一且唯一的命名规则建立用户,不能采用Administrator帐号(内置帐号)。
如原来Administrator帐号被改名,请更正.
(3)帐号名称不能和计算机名称重名。
Windows764位系统安装步骤
注意事项:
1、产品安装前,请先临时关闭杀毒软件防护功能。
2、请在Windows管理中将Administrator帐号设置为密码永不过期。
(1)把产品光盘放入光驱,进入安装目录,在该目录下有安全产品的安装程序,如图所示:
(2)安装自动钥匙驱动,点击“开始安装”按钮即可。
3003驱动安装如图:
(3)将系统安装USBKEY插入USB接口上,系统自检成功
注:
先安装USBKEY驱动,再插入USBKey。
(4)点击“Next”按钮,接着再点击“完成”按纽。
需要验证管理员key。
验证管理员Pin码:
(5)安装刻录支持程序插件。
选择Repair,
选择完成,继续下一步,
同意安装协议,继续下一步,
选择同意,继续安装插件,直到插件安装完成。
(6)选择要安装的模块:
安装验证之后,在弹出的重启提示选择稍后重启:
(7)选择“下一步”,在安装完成后提示“用户管理中心”,必须创建用户和一把key进行绑定,录入用户名、密码和确认即可,全称和描述不需要填写,步骤如图:
在注册用户Key时,注意现拔出管理员KEY,管理员KEY与用户KEY不能同时插:
输入用户KeyPin码(初始为1234):
注册成功:
提示
(8)在左边菜单上选择“增加系统用户—创建新用户”,在相应的栏目中填入相对信息。
如果没有成功注册的USBKEY用户,安装程序提示以下信息,安装失败并退出安装,如图:
(9)注册用户成功后,如下图:
(10)注册完成后按提示重新启动机器。
注意:
安装身份认证软件必须在计算机重新启动之前注册一把KEY,否则系统重新启动后会因为没有登录KEY用户而无法登录。
必须注册一把具有Administrator权限的KEY,用于本机登录。
如果没有系统管理员权限,重新启动机器后就没有系统管理员了,无法添加新用户,无法管理此系统。
如非域控制器需要加入到域建议在安装KeySafety系统前执行。
主机审计单机无Key版(支持XP32位、Win732/64位)安装
注意事项:
1、安全前请临时关闭杀毒软件的防护功能。
2、在计算机用户管理中将Administrator用户帐号设置为永不过期。
KeySafety产品客户端安装步骤如下:
(1)把产品光盘放入光驱,进入安装目录,在该目录下有国瑞信安公司系列安全产品的安装程序,如图所示:
(2)安装自动钥匙驱动
(3)点击“Next”按钮,接着再点击“完成”按纽。
需要验证管理员key。
验证管理员Pin码:
选择安装模块
验证管理员Key点数:
(4)验证成功后,需要对默认策略进行一次设置,如下图:
(5)注册完成后按提示重新启动机器。
第三部分KeySafety单机版产品使用
系统登录
在安装完成后,重新启动计算机,客户端的登录界面发生了改变。
安装了KeySafety客户端的终端机提供两种登录方式,一种是支持Administrator帐号登录,使用使用管理Key+PIN码的登录或者密码登录(此功能不支持windowsHome家庭版系统),二是支持USBKey帐号使用Key+PIN码登录,其余用户不能登录系统。
在欢迎界面下,将KEY插入USB口中,按下Ctrl+Alt+Del键。
录入用户名、PIN值和登录域名。
如果用户没有插入KEY,将提示用户插入KEY,否则不能系统登录。
如果用户名非法或KEY非法,则登录失败,重新回到欢迎界面。
如下图:
KeySafety用户管理中心
KeySafety系统的管理配置基本上是在KeySafety用户管理中心完成的,其主要操作有:
增加系统用户、配置系统用户、修改系统用户、删除系统用户和查看用户信息。
如图所示:
3.2.1增加系统用户
当增加一个新用户时,必须是KeySafety系统管理员才有权限注册。
打开KeySafety用户管理中心,把新用户USBKEY插入计算机的USB口,选择左边菜单中的“增加系统用户—创建新用户”选项,在相应的栏目中填入相对信息,点击创建。
用户key不能复制,备份key只能在创建的时候按提示备份。
如果用户希望只有一把KEY,经过注册后既可以登录本机也可以登录网络,那么只需将这把KEY在本地的KEY管理中心注册,再到所要登录的域的KEY管理中心中将相应的用户帐号绑定到key即可。
3.2.2修改系统用户
用户帐号绑定到KEY:
将本机已存在的用户帐号绑定到KEY,用于登录本机(注意:
只有KeySafety系统管理员才有权限)。
修改KEY中的PIN值:
用于修改KEY中的PIN值(注意:
PIN值只能为数字)
3.2.3删除系统用户
删除本地用户帐号:
删除本机系统中的用户帐号。
删除KEY中的用户信息:
删除KEY中的帐号,删除后的KEY可以重复使用。
3.2.4查看用户信息
查看KEY中的用户名:
当不确定KEY中的用户名时,可用此选项查看。
管理平台使用
3.3.1安全保密员
开始菜单中启动管理平台,提示插入管理员key,如图:
插入管理员key后,按提示填入管理员帐号及密码,初始帐号为:
“auth_admin”,密码“auth_admin”。
登录平台后可以修改,如图:
3.3.1.1用户权限设置
(1)打印控制
KeySafety可以区分网络打印、本地打印、虚拟打印三种打印方式控制,设置用户可打印或不可打印。
只要在“设置用户控制信息”对话框,其中的“打印控制”区域内,在“允许使用打印机”旁边打上对勾,并点击“设置”按钮,该用户即能使用打印机。
在允许打印的情况下,不管是打印机采用的硬件接口还是型号都一样收控。
策略可以下发或者客户端注销得到策略。
(2)软盘控制
“允许使用软盘”的选择框中打上对勾,点击“设置”,则该存储介质可用;将对勾去掉,点击“设置”则该存储介质不可用。
客户端不能使用软盘时的反映是插入软盘后,点击软驱盘符,显示软驱中没有软盘。
策略可以下发或者客户端注销得到策略。
(3)CD-ROM控制
在“允许使用CD-ROM”的选择框中打上对勾,点击“设置”,则该存储介质可用;将对勾去掉,点击“设置”则该存储介质不可用。
不可用的时候客户端显示为没有插入光盘。
光驱的禁用可以策略下发或者注销生效,光驱启用需要重新启动客户端。
(4)普通移动盘控制
普通移动盘包括U盘和移动硬盘,以及一些即插即用存储介质,如不需要安装驱动的数码相机、MP3等。
在“允许使用普通移动盘”的选择框中打上对勾,点击“设置”,则该存储介质可用;将对勾去掉,点击“设置”则该存储介质不可用。
不可用的时候客户端插入移动介质,该移动介质会被自动弹出。
客户端注销得到策略。
(5)涉密注册介质控制
移动介质(主要指优盘和移动硬盘)使用方便而且频繁,不能与普通存储介质一样以简单的“可用”或“不可用”鉴别,需要进一步管理。
RierKeySafaty提供涉密介质管理功能,可以对具体的涉密介质读取特征进行注册、授权,将指定的优盘或者移动硬盘与具体的用户帐号结合,实现专用优盘专人使用。
可以一人使用多个涉密介质也可以一个涉密介质多个人使用。
一个账号最多可以授权使用10个普通格式涉密介质,涉密介质格式化后需要重新注册授权。
RierSecDisk注册后授权不限制使用个数。
不可用的时候客户端插入移动介质,该移动介质不被识别。
注册介质授权可双击设置“可读写”或“只读”权限。
注意,要授权的介质必须先注册,详情见下文。
(6)RierSecDisk介质管理(标准版不带此功能)
采用Rier格式化工具格式化过的移动介质,可以在安装了Rier客户端的终端上使用,但移动介质接到没有安装Rier客户端的机器上,移动介质则不能使用。
“允许使用RierSecDisk”复选框上打钩表示可以使用所有RierSecDisk盘。
同时RierSecDisk盘也可以注册授权使用,与注册普通优盘相仿,特别注意的是,注册RierSecDisk盘时应在RierSecDisk客户端没有加载前注册。
操作:
为用户设置权限为“允许使用普通移动介质”、“不允许使用RierSecDisk”;注销获取策略,接入RierSecDisk盘注册;从新设置用户策略;注销使用。
(7)允许刻录普通光盘
本系统提供专用刻录工具,通过权限控制,禁止一切违规刻录行为,通过本系统可以正常刻录普通光盘。
(8)允许刻录安全光盘
在基于光盘刻录的基础上,提供保密要求更高的安全光盘刻录模式,安全光盘在刻录时需要添加打开密码及设置光盘有效期,打开安全光盘需要验证密码。
(9)定期更改PIN码
本系统身份认证如采用USBKEY+PIN码方式登录系统,可在服务器设置定期提醒客户端用户更改PIN码。
3.3.1.2RierSecDisk初始化(标准版不带此功能)
将普通移动介质格式化为RierSecDisk。
格式化后的移动介质可以在内网中使用,有keysafety终端软件加载。
外网不能识别,以达到保护内网数据。
通过单机平台“Riersecdisk初始化工具”启动格式化工具。
注意,必须插入管理员key才能启动。
过程如下图:
使用RierSecDisk格式化过的存储介质没有安装Rier客户端的机器不能识别。
3.3.1.3介质加载(标准版不带此功能)
客户端在具有使用RierSecDisk的权限的情况下,接入介质施系统将自动加载。
如不能加载请确定权限,并且右下角RierSecDisk图标“
”在运行。
如果加载的是移动硬盘,加载时间稍长。
3.3.1.4主机授权中心
主机授权只要针对机器硬件端口及一些主机防护措施设置。
硬件端口控制:
包括串口、并口、USB口、1394口、红外线接口等。
禁用了客户端硬件端口后,客户端该端口的所有设备被禁用。
其中禁用USB口不禁用RierKey。
设置立即生效。
禁止设备接入:
禁止客户端的非注册硬盘(安装过程注册)、网卡、非存储类USB设备、红外设备的接入。
IP锁定:
客户端不能修改ip地址;
禁止考屏:
客户端不能使用“printscreen”按键截取屏幕;
账户审计:
针对终端账户信息的统计和管理。
帐号加固:
对指定终端机中进行帐号加固或者解除帐号加固。
帐号加固的终端机中所有非USBKEY帐号将被停用(管理员帐号除外),管理员帐号被强制更改为十六位带特殊字符的强口令。
在这种状态下,用户试图启用帐号或者更改帐号口令的操作都是无效的。
在服务器端监控器中执行了“取消加固帐号”后,用户在客户机上启用帐号或者更改管理员密码才能生效。
硬件信息:
查看终端的硬件信息。
软件信息:
查看终端的所有安装的软件信息。
进程黑名单:
设置终端的进程黑名单,很对非法进程的管理控制。
服务黑名单:
设置终端的服务黑名单,进行服务的管理控制。
注册表黑名单:
设置终端的注册表黑名单,针对注册表的管理控制。
3.3.1.5审计管理中心
审计管理中心主要查看操作系统日志和用户的所有行为审计日志
(1)用户可以自定义以事件类型、时间、事件名称、用户名、事件客体、行为类别及描述信息等为过滤条件的审计信息查看器。
(2)日志信息支持输出为html文档及excel文档,用于汇报或者备案。
(3)日志信息数据库文件可导入统一审计系统中,用于管理员集中审计各个终端的日志。
3.3.1.6资源使用
用户在每次登录系统的时候到KeySafety服务器读取属于自己的权限策略,当用户具有资源使用权限的时候,使用与平时无异。
当不具有使用权限的时候,有不同表现。
①该用户没有使用移动存储介质权限,当用户插入移动存储介质的时候系统中将不会出现对应的磁盘驱动器。
②该用户没有打印权限的时候,打印不能进行。
③该用户没有拨号的权限的时候,拨号自动断开。
④该用户没有使用某应用程序的权限的时候,程序启动后自动结束。
⑤该用户没有开放IPC权限的时候,其他主机无法访问本机共享文件。
⑥该用户没有使用涉密移动介质权限的时候,则无法使用没有为该用户注册过的移动介质。
3.3.1.7锁屏机制
当用户暂时离开时,为了确保计算机在工作期间资料的安全保密,我们可通过对屏幕的锁定来实现。
自动锁屏
用户暂时离开的时候,可以直接拔除key,系统将自动锁屏。
手动锁屏
用户暂时离开的时候,可以按ctrl+Alt+Delete三个键,在菜单中选取“锁屏”,屏幕将锁定。
屏幕保护
用户设定了屏幕保护,并且设置了密码,屏幕保护启动后等于锁屏状态。
解锁
用户在锁定屏幕后登录系统时,只需插入锁屏用户的key,按ctrl+Alt+Delete三个键,出现如下登录画面,输入正确的PIN码,即可回到锁屏前的屏幕。
注意:
解锁的用户必须是锁屏的用户或者使用本机Administrator帐号注销解锁。
3.3.2系统管理员
开始菜单中启动管理平台,提示插入管理员key,如图:
插入管理员key后,按提示填入管理员帐号及密码,初始帐号为:
“audit_admin”,密码“audit_admin”。
登录平台后可以修改,如图:
安全设置:
三员登录口令的长度和复杂度,最少8位并包含数字和字母
身份鉴别次数指三员账号连续输入口令错误达到次数(最多设为5次)后,账号会锁定
系统锁定时间为三员账号锁定的时间长短,单位为分钟,最少10分钟
超时时间:
登录三员平台,无任何操作到一定时间后需要重新输入账号口令登录,单位为秒。
3.3.3安全审计员
开始菜单中启动管理平台,提示插入管理员key,如图:
插入管理员key后,按提示填入管理员帐号及密码,初始帐号为:
“censor_admin”,密码“censor_admin”。
登录平台后可以修改,如图:
审计员主要功能是查看三员所有行为操作日志
光盘刻录工具使用说明
3.4.1光盘刻录工具主界面简介
点击系统【开始】—>【程序】—>【国瑞信安】—>【刻录工具】,打开主界面,如下图所示:
光盘刻录工具主界面如上图所示,具体的功能结构如下:
(1)光盘结构区:
刻录光盘默认卷标为DataCD,右键点击光盘结构区,弹出光盘结构区菜单,如下图所示:
添加文件:
在刻录内容中添加所需文件,包括文件夹、各种格式文档及ISO文件等;
新建文件夹:
在刻录内容中创建所需要的文件夹;
重命名:
可对文件夹和光盘卷标作重命名;
删除:
删除刻录内容中的各种文件夹;
全部删除:
删除刻录内容中的全部文件,包括文件夹、各种格式文档及ISO文件等;
修改卷标:
只可对刻录光盘的卷标进行修改,不能对文件夹名进行修改。
(2)添加文件区:
主要显示所要刻录的所有内容,包括文件夹、各种格式文档及ISO文件等;右键点击添加内容区,弹出内容区菜单,如下图所示:
添加文件:
和光盘结构区【添加文件】功能一致,可在刻录内容中添加所需文件,包括文件夹、各种格式文档及ISO文件等;
删除:
删除刻录内容中的各种文件夹;
全部删除:
删除刻录内容中的全部文件,包括文件夹、各种格式文档及ISO文件等;
(3)快捷方式功能区域:
分为两部分,分别位于光盘内容区的上下两部分区域中。
如下图所示:
上半区:
添加文件功能:
和上文中【添加文件】功能一致。
可在刻录内容中添加所需文件,包括文件夹、各种格式文档及ISO文件等;
刻录:
添加完刻录内容,点击【刻录】按钮,程序开始正式刻录所需内容;选择刻录光驱及刻录镜像文件:
点击向下箭头打开列表,可看到终端机所含光驱及镜像文件功能,可根据需求自行选择;
刻录镜像:
是将前者刻好的ISO文件成功刻录到光盘中;
擦除光盘:
将可擦写光盘中所刻内容擦除掉;
刻录速度:
点击向下箭头打开列表,可自行选择刻录的速度。
下半区:
数据光盘:
将文件夹、各种格式文档和ISO文件刻录到光盘;
安全光盘:
将文件夹、各种格式文档和ISO文件刻录成特殊格式的数据光盘;
音乐光盘:
将音乐格式的播放文件刻录成音乐光盘;
Mp3光盘:
将mp3格式的音乐文件刻录成音乐光盘,其它格式不支持;
VCD光盘:
将视频格式的播放文件刻录成VCD光盘,并且可自行播放;
DVD光盘:
将视频格式的播放文件刻录成DVD光盘,并且可自行播放;
弹出、关闭光盘:
点击【向下箭头】,弹出刻录光驱;点击【向上箭头】,弹出刻录光驱。
说明:
在上图所示中,左下角中,可显示放入光驱中光盘的详细信息,包括光盘格式、是否为空白光盘、是否可写和光盘所剩容量等问题。
注意:
刻录CVD/DVD视频光盘时,大部分文件可能不是mpeg格式的音频文件,则需要重新编码,建议用户选择重新编码,否则可能对视频光盘造成损坏。
刻录数据光盘时,如果不关闭光盘,则可多次刻录。
3.4.2光盘刻录工具主界面简介
(1)在数据光盘窗口中,可以将任何目录或文件刻录到所有类型的光盘中,包括所有的蓝光、CD和DVD光盘。
(2)点击【添加文件】按钮
,可以选择目录或是文件,也可以通过右键弹出菜单来进行相关操作。
(3)点击【刻录】按钮
,开始刻录数据光盘或镜像文件(可以在光驱下拉列表中选择刻录为镜像文件)。
(4