IPguard使用手册.docx

1、IPguard使用手册第一章IP-guard简介1.1前言在知识型经济之下，企业信息资产显得特别重要，能否有效保护专有技术等内部信息，更是求存成功的关键，业务保障的基础。进入信息年代，互联网成为企业与本土外地公司沟通、交换业务数据及信息的主要渠道。利用互联网沟通固然方便，但却使机密的商业资料很容易透过开放的互联网泄露给竞争对手。机密商业资料一经泄漏，不论是有意还是无意，始终会对企业的资产构成损失。因此企业需要严格监管员工使用电脑，防止因知识产权和机密商业资料通过电脑被泄漏而造成的重大损失。最近公布的一项调查结果表明，目前员工在工作场所花费在网上的与工作无关的时间越来越多，企业的生产力受到很大影

2、响，为此造成大量的金钱损失。以前大部分员工可能都认为办公室的电脑属于他们所有，他们可以想干什么就干什么，因此应对他们进行严密的监管，使这些人不能再为所欲为,促进生产力的提高，降低因滥用电脑带来的损失。 根据Gartner Group 及Forrester Research 的研究调查，信息系统管理部门接近一半的工作时间用于为计算机安装及升级软件，占计算机的总体拥有成本很大比重。IT 人员为PC 做简单的日常维护工作所花的时间占其总工作量的70-80%，大大增加计算机网络的综合管理成本。而且如果问题没有得到及时有效的处理，也会极大影响企业的生产力。因此有必要减少了IT 人员的一些无谓操作,大幅度

3、提升他们的工作效率，使得IT 人员更加关注于管理工作,并将精力集中于能够提升企业管理效率的信息系统中。IP-guard正是一个为企业解决上述问题的有利的工具。IP-guard严格监控和记录企业内部各台计算机和用户的使用情况,它具有强大的日志统计、策略管理、屏幕快照、实时跟踪、资产管理、系统补丁漏洞管理、软件分发及远程维护等功能。IP-guard 根据需要自动截取客户机的屏幕快照、计算机用户使用电脑的记录，并可以根据客户需要回播这些记录来报告用户的工作状况。这样，IP-guard 可以让您随时了解您公司的计算机用户的资源利用情况，从而保障企业信息安全、提高生产力。1.2功能介绍现代企业不仅要保护

4、自己的基础建设的资源，还必须维护其商誉、资产及员工。IP-guard提供的这种有效的监控管理可协助降低企业进行商业活动时所面临的风险。具体而言，IP-guard是一个对企业网络进行监视和管理的有效工具，其主要功能包括：运行统计IP-guard会生成管理人员所关心的公司员工各项应用程序、上网浏览和网络流量的统计报告，以供对员工的工作情况进行评估。实时监视透过IP-guard的协助，管理人员可随时查看或实时监视员工在计算机上所进行的活动，包括应用程序的运行，上网浏览，文档操作和打印，屏幕快照，即时通讯内容，邮件内容等 。策略控制通过限制员工对计算机的操作，包括应用程序、上网浏览、文档操作和打印限制

5、，网络端口和流量控制，外部设备禁用等，可以有效地保障企业信息安全，提高员工的工作效率和合理规划企业资源的使用。实时维护IT人员可远程查看计算机的实时信息，并可通过远程控制控制员工计算机，帮助分析和解决远程计算机的故障。资产管理详细记录每台计算机的硬件和软件资产信息，以及硬件设备的变更，软件的安装和卸载，并对异动情况及时报警；可根据需要查询各类软硬件资产；自动汇总硬件配置，统计软件资产。系统补丁和安全漏洞管理Windows安全补丁定时检查和下载，并自动分发和安装到客户端；对系统的安全漏洞进行周期性扫描、分析和修补。软件分发派发文件或部署安装第三方软件到企业内各台计算机，减轻IT人员工作，提高效率

6、。IP-guard的基本特性包括：强大的数据压缩，归档和查看功能优化的数据压缩算法确保了资料的高效存取。历史的屏幕快照信息通过系统的内部归档子系统按特定的格式存储在服务器端并可由系统管理员将它备份到指定的后备存储设备中。经授权的用户可以在需要时利用系统的查看功能随时对特定的计算机在特定的时间段的历史信息进行查阅。强大的资料加密功能工作站与服务器之间的数据传输利用DES算法进行加密。这种加密的处理让系统有足够的能力保护资料和防止非法资料截获。 系统具有认证功能通过系统独特的服务器、代理及控制台之间的认证功能，工作站的代理只向经过认证的服务器响应，从而有效防止非法服务器窃取系统资料。友好的用户接口

7、IP-guard 既有强大的监视和数据管理功能,又有简单易用的用户接口。图形化的用户接口让系统的所有功能一目了然。可扩展的和节约成本的解决方案IP-guard系统充分利用现有的计算机设备，并且可以随时从单个工作站方便的扩充到网络环境，受监控的工作站的多少也可以随时按需调整。这种系统的特性减少了硬件和网络提升后所带来的软件成本上升的压力。第二章IP-guard安装和部署2.1基本运行框架IP-guard基本系统由三个不同的模块组成：客户端模块（Agent）、服务器模块（Server）和控制台模块（Console）。用户可以根据具体需要将它们安装在网络中的计算机上。客户端模块安装在每一台需要被监视

8、的计算机上。服务器模块用来存储和管理所有安装有客户端模块的计算机，用于管理监视所产生的资料，一般安装在一台具有大容量内存的用作服务器的计算机上。控制台模块主要用于监视每台安装有客户端模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算机上。系统的基本框架如下图所示。IP-guard系统基本架构图服务器模块的基本功能包括：定时搜索网络，管理所有已安装客户端模块的机器，并向客户端模块传递相关的设置和命令信息收集客户端模块的采集的数据，并将其保存到数据库中备份历史资料提供方便灵活的历史记录管理、查看、归档、搜索等功能控制台模块的基本功能包括：实时获取受监

9、视计算机的屏幕快照等信息对单个或对一组目标机进行实时监视，并可以轮流显示多个目标机的屏幕快照设置监视和控制规则查看并播放记录在服务器端的历史记录查询特定机器特定时刻的历史记录客户端模块的基本功能包括：定时采集数据并保存定时将采集的数据传送到服务器响应控制台发出的监视请求，传送实时的屏幕快照信息根据系统的设置控制计算机和用户的操作2.2软硬件环境IP-guard系统需要安装服务器、控制台和客户端模块，安装服务器之前需要先安装数据库，每个模块支持的操作系统以及硬件建议配置如下表：安装模块计算机基本要求数据库SQL Server 2000 SP4或以上/SQL Server 2005 SP1或以上M

10、SDE SP4/SQL Server 2005 Express服务器模块操作系统 Win2000 SP4/XP SP2/2003 SP1/Vista最低配置 Pentium 500/256MB内存/10GB可用硬盘空间建议配置 Pentium4 2G/512MB内存/50GB可用硬盘空间控制台模块操作系统 Win2000 SP4/XP/2003/Vista最低配置 Pentium 166/64MB内存/10MB可用硬盘空间建议配置 Pentium 1G/256MB内存/100MB可用硬盘空间客户端模块操作系统 Win98/ 2000 SP4/XP/2003/Vista最低配置 Pentium

11、166/64MB 内存/10MB可用硬盘空间建议配置 Pentium 500/128MB内存/100MB可用硬盘空间 注意： 如果服务器模块安装在Windows 2000 SP4系统上，请先确认安装SP4 更新汇总- Win2000-KB891861-v2-x86-CHS.exe升级补丁。2.3安装和部署服务器和控制台2.3.1安装数据库服务器模块的数据库使用SQL Server 2000 SP4或以上、SQL Server 2005 SP1或以上，如果没有SQL Server可以安装微软免费提供的MSDE SP4或SQL Server 2005 Express。 注意： MSDE的数据库容量

12、有2G的限制，2005 Express容量有4G的限制，而且对服务器的性能也会有一定影响，所以如果数据量比较大，建议尽量使用SQL Server数据库。安装SQL Server 2000请确认安装SP4补丁，安装SQL Server 2005 请确认安装SP1补丁。如果导致服务器无法启动，请先在系统的“计算机管理-事件查看器-应用程序日志”查看是否属于SQL Server版本问题。MSDE的安装1)双击MSDE的安装执行文件，它会提示一个解压缩的目录，请选择一个目录，将安装文件解压到这个目录下；2)打开这个解压后的目录下的MSDE目录，里面有一个setup.ini文件，这个文件的内容默认是Op

13、tions请修改这个文件，在下面增加一行成为：OptionsBLANKSAPWD=1保存文件。3)然后执行MSDE目录下的setup.exe，开始MSDE的安装。SQL Server 2005 Express的安装我们推荐安装Express Edition with Advanced Services。安装条件：1.互联网信息服务器IIS5.0或更高如果Windows服务器没有安装IIS，请从“开始”-“控制面板”-“添加删除程序”-“添加删除Windows组件”进行安装；2.NET Framework 2.0从微软网站上下载.NET Framework 2.0（x86）。下载完成后，执行do

14、tnetfx.exe文件，然后根据提示一步一步地操作安装。3.Windows Installer 3.1请下载并安装Windows Installer 3.1。安装步骤：1)从微软网站下载SQL Server 2005 Express Edition with Advanced Services SP1，运行安装程序，接受用户许可协议，并点击【下一步】；2)安装SQL Server之前需要安装一些组件，单击【安装】按钮安装这些内容，安装成功后单击【下一步】开始SQL Server的安装；3)单击【下一步】继续，安装程序会显示必要条件的列表，点击【下一步】继续；4)在【注册信息】界面，将【隐藏高

15、级配置选项】勾选项去掉，单击【下一步】继续；5)在【功能选择】中请确认已选择【Management Studio Express】；6)在实例安装选择时，请确认选择默认的数据库实例（Default instance），如果选择其他实例，会导致服务器不能正常启动；7)设置服务帐户时，请选择本地系统帐户（Local System）；8)之后的设置直接选择默认值，安装向导将为您完成数据库的安装。2.3.2安装服务器和控制台模块安装完数据库后，就可以开始安装服务器和控制台了，具体操作步骤如下：1)双击IPguard3.exe，选择安装过程的语言界面，点击【确定】；2)系统会弹出欢迎安装的界面，点击【下

16、一步】继续；3)安装程序会提示用户确定安装的路径，用户也可以自己选择安装的路径，可以选择一个存储空间较大的盘符来安装IP-guard 服务器；4)安装程序会提示用户选择安装类型和组件：用户可以根据需要选择安装IP-guard的服务器和控制台，点击【下一步】；5)选择开始菜单的快捷方式的目录，点击【下一步】；6)确认设置无误，点击【下一步】，复制文件结束后系统安装完毕，单击“结束”按钮结束，服务器模块启动，在托盘有个小图标显示。安装服务器时，安装程序会判断安装的条件，包括操作系统和SQL Server的版本，如果无法正常安装，请按照提示完善安装环境。管理员也可以在其它机器上单独安装控制台程序，以

17、便查看数据和监视客户端机器的操作。2.3.3服务器注册在第一次安装服务器后，IP-guard会自动生成一个有30天试用期的演示序列号，它是由6组4个字符组成的字符串。右键单击【服务控制器】，选择“工具-注册”输入管理员密码进入注册界面。管理员点击【升级】按钮，序列号栏会变为可编辑状态，输入购买的正式序列号，再单击【确定】按钮，如果您输入的序列号无误，系统会提示“序列号升级成功”并且提示您需要激活产品。您必须通过产品注册得到注册码来注册您的产品。 注意： 您必须在输入正式序列号以后15天内注册您的产品，否则系统将无法继续运行。如果IP-guard所在服务器可以联网，有2种注册方法：1. 在线注册

18、 在产品注册对话框中填写您公司的信息，包括公司名称、联系人、联系电话和邮件地址，点击【在线注册】会自动返回注册码，单击【注提示“注册成功”即可；册】按钮，2. 邮件注册 假如因特殊原因无法在线注册时，可以使用邮件注册。在产品注册对话框中填写您公司的信息，包括公司名称、联系人、联系电话和邮件地址，点击【发送邮件】，系统会弹出发送邮件窗口，请确认填写信息无误后发送邮件。我们会将注册码发到您填写的电子邮件地址，收到后请将注册码复制到相应地方，点击【注册】按钮，系统提示“注册成功”就完成了整个注册的过程。如果因为网络或别的问题，无法在线注册或即时发送邮件获得注册码，您也可以在其他可上网的机器上将注册信

19、息和识别码发送邮件给我们进行处理。 注意： 第一次注册时填写的电子邮箱地址是非常重要的，以后因为其他原因需要再次注册时，新的注册码我们仍然会发到第一次注册时填写的电子邮箱内。2.3.4设置系统检验码检验码是服务器和客户端除了序列号外唯一的识别码。客户端的检验码必须和服务器一致才能被服务器所接管。所以建议您先设置检验码，再打包客户端安装程序，这样就会把服务器的序列号和检验码一起打包到客户端，防止外来非法的服务器接管企业内的客户端。当第一次安装服务器后，右键单击【服务控制器】选择菜单“工具-检验码”，系统会要求输入管理员的账号和密码，才能设置检验码。输入检验码，再次输入，点击【确定】按钮，设置检验

20、码成功。系统默认检验码为空，如果客户端没有检验码，第一次设置检验码后，服务器会自动更新所有连接上的客户端的检验码，使客户端的检验码与服务器保持一致。如果服务器再次设置新检验码，只要客户端识别到服务器之前设置的检验码中有一个与客户端现在的匹配，客户端就会主动将检验码更新为服务器现在的检验码。 警告：管理员请务必牢记自己设置的检验码，以便服务器重装或者换了系统后可以顺利接管以前的客户端，否则您可能需要重新部署客户端。如果发现客户端有运行但是无法在控制台显示，请在IP-guard控制台“日志-系统事件”中查看是否属于检验码验证失败的问题。2.3.5服务器日志右键单击【服务控制器】选择菜单“工具-日志

21、”会自动链接到操作系统的【事件查看器】。选择【应用程序】可以查看OSERVER3的运行日志，包括：oserver3.exe的启动和停止、错误日志等。管理员通过这些日志信息可以分析服务器的运行情况。2.4部署客户端模块客户端模块的部署有多种方式：直接安装、远程推送、域登录脚本安装，您可根据实际需要完成对客户端机器的部署。2.4.1直接安装客户端直接安装客户端模块需要先生成客户端安装程序，然后到需要部署的机器上手工运行安装程序，安装客户端程序需要管理员权限。在安装了IP-guard Server的机器，点击“开始-所有程序-IP-guard V3-创建客户端安装程序”打开客户端生成工具。服务器IP

22、地址 系统默认是当前计算机的IP地址，如果服务器有多个IP地址，请输入一个有效IP地址。目标文件路径 客户端安装程序的文件名以及存放路径。静默安装 选中该复选框，客户端安装程序为静默安装，没有安装界面；不勾选该复选框，则为非静默安装包。用户名和密码 安装客户端需要管理员权限，如果计算机上登录的用户是user权限，可能会无法成功安装，这种情况下，可以在创建客户端安装包时，在这里输入具有计算机管理员权限的用户和密码，这样打包的客户端在user权限下也能安装成功。点击【创建客户端安装程序】按钮，客户端安装程序创建成功。2.4.2远程推送客户端对于较大的企业，计算机数量较多，分布的较广，不方便在计算机

23、上进行手工安装，逐台计算机进行安装也会消耗大量的精力。此时，我们可以通过远程安装的方式来解决这个问题，既可以批量安装客户端程序，也省去了亲自到该计算机上安装的麻烦。在安装了IP-guard Server的机器，点击“开始-所有程序-IP-guard V3-远程安装客户端模块”运行远程安装工具。该工具只能对Windows NT 4.0/2000/XP的机器进行安装，要安装Windows 9x/ME的计算机请直接在所需的计算机上安装。功能说明：1.扫描设置：系统默认扫描本网段的所有计算机，如果需要扫描其它网段的计算机，请选择菜单“文件-扫描设置”打开扫描设置对话框，添加其它网段的IP范围，也可以对

24、扫描包间隔进行设置。2.在计算机列表中各种图表代表的含义图标颜色WindowNT4.0/2000/XPWindow95/ 98 / me是否在线是否安装Agent深蓝是否是否深蓝否是是否灰色是否否否灰色否是否否浅蓝是否是是浅蓝否是是是3.安装选择需要安装客户端模块的计算机，可同时选择多个计算机，点击“操作-开始安装”开始客户端模块的安装，在安装状态栏可以查看每台计算机的安装状态，在下面的安装日志窗口可以查看所有计算机的安装日志。【常见问题】a)当前登录的用户没有操作目标计算机的权限，此时会弹出一个安装出错的窗口，请输入具有目标计算机管理员权限的用户名和密码；b)目标计算机没有打开admin共享

25、，这时需要到目标计算机上开启admin共享，打开命令提示符cmd.exe，net share 查看ADMIN$共享是否开启，如果没有打开，net share ADMIN$ 打开admin的共享；c)目标计算机无法访问本机共享文件，可能是本机的admin共享没有打开，目标计算机没有权限访问本机共享文件。 提示：由于Windows NT网络内部的一些安全权限的设定影响程序正常运行，所以可能某些时候并不能使你有足够的权限在远程的计算机上执行远程安装。在这情况下，请你用IP-guard Agent的安装程序到所需的计算机直接安装。2.4.3域登录脚本安装假如企业内有域环境，可以通过设置域登录脚本来安装

26、客户端程序。具体的操作步骤为：1.在安装光盘中找到LogonScript，将LogonScript目录复制到域服务器上；2.在IP-guard V3的服务器上生成客户端安装程序，命名为ASetup.exe；3.将ASetup.exe复制到域服务器上的LogonScript目录下；4.运行域服务器上LogonScript目录下的LgnManV3.exe程序进行域登陆脚本的设置；LgnManV3.exe使用说明： 1.在域服务器上运行LogonScript目录下的LgnManV3.exe程序；2.LgnManV3.exe扫描并显示域服务器上的用户信息列表；3.选择需要安装客户端模块的用户，可以结合

27、CTRL, SHIFT 等键同时选择多个用户，单击右键“选择”选定多个用户；4.对选定的用户进行登陆脚本的设置操作：添加安装命令，删除安装命令，移除登录脚本文件。添加安装命令 将在选定用户的登录脚本中添加安装客户端的命令，设置了安装命令的用户图标底色用绿色表示。删除安装命令 将在选定用户的登录脚本中删除安装客户端的命令。移除登录脚本 将选定用户设置为没有登录脚本(不会删除脚本文件)。5.设置了安装命令的用户下次登录时会自动安装客户端程序。2.5系统升级 2.5.1升级服务器和控制台升级服务器和控制台可以通过升级包来完成，也可以直接覆盖安装IP-guard安装程序到原来的目录，升级服务器和控制台

28、的具体步骤如下：1.首先到系统的服务中停止2个服务：OCULAR V3 SERVER、OCULAR V3 UPDATE；2.退出服务控制器OControl3.exe和控制台OConsole3.exe；3.运行升级包程序或直接运行IP-guard新版本安装程序覆盖安装到原来的目录；4.手工启动服务OCULAR V3 SERVER和OCULAR V3 UPDATE（如果直接覆盖安装，不需要手工启动）2.5.2升级客户端服务器升级成功后，会自动将客户端升级文件传给每个连接上来的客户端，但是需要客户端机器重启才能升级成功。2.6卸载IP-guard2.6.1卸载IP-guard服务器和控制台首先关闭I

29、P-guard服务器和控制台等应用程序，然后选择 “开始”菜单的“所有程序-IP-guard V3-卸载IP-guard V3”进行卸载，也可以选择在“控制面板-添加/删除程序”中选择IP-guard3进行卸载。2.6.2卸载客户端对于不再需要安装客户端模块的计算机，管理员可以将客户端模块卸载，卸载客户端有2种方式：控制台卸载选择“控制-卸载客户端”将客户端模块移除，此后客户端模块不再运行，如果您、以后需要在该计算机上再运行客户端模块，必须再重新安装。客户端工具卸载对于处于离线状态的客户端机器，也就是无法与服务器连接的客户端机器，我们提供了另外一种卸载客户端的方法，具体步骤如下：1)在客户端机

30、器的“开始-运行”中输入命令agt3tool ocularadv，打开客户端工具；2)选择“卸载客户端”，点击【生成操作码】按钮；3)会弹出一个“检验操作码”对话框，请把原始操作码报告给管理员；4)管理员在控制台“工具-客户端工具-确认码生成器”输入客户端的操作码，会解析出该客户端的操作以及相应的客户端信息；5)管理员确认后点【生成确认码】；6)管理员将确认码告诉客户端，输入正确的确认码执行指定的操作。 提示：卸载客户端和删除客户端的区别：卸载客户端仅仅是卸载客户端，并不减少license数，在控制台上可以显示该计算机并查看日志；而删除客户端包括卸载客户端和减少license数。 第三章IP-

31、guard使用3.1登录控制台3.1.1登录控制台单击安装目录下的OConsole3.exe或者“开始-所有程序-IP-guard V3- IP-guard V3 控制台”启动控制台模块。在启动控制台模块之前必须先在网络上运行服务器模块，控制台模块在启动后会显示登录窗口。服务器 输入服务器的IP地址或计算机名称；账户 初始时预设了系统管理员为“amin”，系统审计员为“audit”，管理员也可以根据不同的权限设置多个管理员账户，在“工具-账户”中添加； 密码 管理员的初始密码均为空，登录控制台后可以修改管理员密码，在“工具-修改密码”中修改密码，管理员需要保管好自己设置的密码。输入正确的账户和密码，单击【确定】登录控制台。当与服务器连接中断，或需要连接到不同的服务器，或需要用不同的用户身份进入控制台时，可以选择“工具-重新登录”功能重新登录控制台。