用戶手冊-Chinasec可信系統(tǒng)基礎(chǔ)平臺-v2.2.8 Realease 2

1、Chinasec TM可信系統(tǒng)基礎(chǔ)平臺用戶手冊 2010年12月版權(quán)聲明= Chinasec可信系統(tǒng)基礎(chǔ)平臺用戶手冊Version 2.2.8 Release 2非常感謝您查看本手冊:本手冊詳細(xì)介紹Chinasec可信系統(tǒng)基礎(chǔ)平臺Version 2.2.8 Release 2 的使用方法,為用戶在使用本系統(tǒng)時提供參考。本手冊(帶電子文檔和系統(tǒng)一并出售。Copyright © 2005-2010 by Wondersoft,北京明朝萬達(dá)科技有限公司版權(quán)所有。未經(jīng)書面許可,用戶不得使用任何形式或任何途徑,包括使用影印、錄制在內(nèi)的電子或機(jī)械手段以及其他信息儲存和恢復(fù)系統(tǒng)等對本手冊任何部分進(jìn)

2、行復(fù)制或傳播。警告和承諾:本手冊用于提供關(guān)于“Chinasec可信系統(tǒng)基礎(chǔ)平臺”的操作使用信息。盡管我們做了大量的努力使本手冊盡可能的完備和準(zhǔn)確,但疏漏和缺陷之處在所難免。任何人或?qū)嶓w由于本手冊提供的信息造成的任何損失或損害,北京明朝萬達(dá)科技有限公司不承擔(dān)任何義務(wù)或責(zé)任。系統(tǒng)版權(quán):中文名稱:Chinasec可信系統(tǒng)基礎(chǔ)平臺開發(fā)單位:北京明朝萬達(dá)科技有限公司系統(tǒng)版權(quán)單位:北京明朝萬達(dá)科技有限公司地址:北京市海淀區(qū)安寧莊西路9號院金泰富地大廈1003電話:010-*傳真:010-*郵箱:supportwonder-Chinasec可信系統(tǒng)基礎(chǔ)平臺是北京明朝萬達(dá)科技有限公司自主研發(fā)的受法律保護(hù)的商業(yè)

3、軟件。遵守法律是共同的責(zé)任,任何人未經(jīng)授權(quán)人許可,不得以任何形式或方法及出于任何目的復(fù)制或傳播本軟件,否則權(quán)利人將追究侵權(quán)者責(zé)任并保留要求賠償?shù)臋?quán)利。反饋信息:如果您對本手冊有任何疑問、意見或建議,請與我們聯(lián)系。感謝您對我們的支持和幫助。 目錄= 1.CHINASEC可信系統(tǒng)基礎(chǔ)平臺 (11.1.系統(tǒng)介紹 (11.1.1.系統(tǒng)概要 (11.1.2.服務(wù)器 (11.1.3.綜合控制臺 (21.1.4.客戶端 (21.2.服務(wù)器使用指南 (31.2.1.服務(wù)器安裝 (31.2.2.服務(wù)器升級 (71.2.3.服務(wù)器卸載 (81.2.4.服務(wù)器狀態(tài)檢測 (81.2.5.服務(wù)器管理 (101.3.控制

4、臺使用指南 (111.3.1.控制臺安裝 (111.3.2.控制臺卸載 (131.3.3.控制臺基本操作 (131.4.客戶端管理 (861.4.1.客戶端安裝 (861.4.2.客戶端升級 (871.4.3.卸載客戶端 (89 1.Chinasec可信系統(tǒng)基礎(chǔ)平臺1.1.系統(tǒng)介紹1.1.1.系統(tǒng)概要1.1.1.1.概述可信系統(tǒng)基礎(chǔ)平臺(Trusted Computing System Platform,TCSP是為其他各可信系統(tǒng)(如可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)、可信網(wǎng)絡(luò)保密系統(tǒng)、可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)、可信數(shù)據(jù)管理系統(tǒng)等提供基礎(chǔ)架構(gòu)的平臺,包括了令牌管理、客戶端管理以及規(guī)則策略組織和應(yīng)用管理等功能。1.1.1

5、.2.結(jié)構(gòu)可信系統(tǒng)基礎(chǔ)平臺包括客戶端-服務(wù)器-控制端三部分,如圖1.1-1所示。 圖 1.1-11.1.2.服務(wù)器1.1.2.1.功能服務(wù)器提供所有系統(tǒng)的數(shù)據(jù)支持,采用軟件形式提供,操作系統(tǒng)支持Windows2000/XP/2003。 1.1.2.2.特點服務(wù)器具有如下特點:軟件形式提供,安裝簡潔方便;采用自主研發(fā)的數(shù)據(jù)庫引擎,無需安裝第三方數(shù)據(jù)庫軟件;服務(wù)器效率高,一臺服務(wù)器可支持上萬用戶;方便的備份與恢復(fù)手段,災(zāi)難情況可迅速恢復(fù)。1.1.3.綜合控制臺1.1.3.1.功能綜合控制臺是集中管理本產(chǎn)品的操作界面。通過綜合控制臺,您可以完成絕大多數(shù)系統(tǒng)管理功能。采用軟件形式提供,操作系統(tǒng)支持Wi

6、ndows2000/XP/2003/7.0。1.1.3.2.特點本產(chǎn)品控制臺主要特點包括:遠(yuǎn)程管理:只要在一臺能與服務(wù)器進(jìn)行網(wǎng)絡(luò)通訊的計算機(jī)上安裝控制臺,配合管理員令牌就可以實現(xiàn)對服務(wù)器的遠(yuǎn)程管理;標(biāo)準(zhǔn)Windows管理界面:控制臺采用標(biāo)準(zhǔn)的Windows管理界面(MMC,操作簡便符合絕大多數(shù)用戶的習(xí)慣。1.1.4.客戶端1.1.4.1.功能客戶端主要是受控制的對象,根據(jù)管理員所設(shè)置的策略來進(jìn)行嚴(yán)格的控制,達(dá)到認(rèn)證、保密、監(jiān)控的效果。采用軟件形式提供,操作系統(tǒng)支持Windows 2000/XP/2003/7.0。1.1.4.2.特點本產(chǎn)品客戶端主要特點包括:客戶端一旦安裝后,不可以自行卸載,需

7、要管理員才能卸載。 安裝了客戶端的計算機(jī),策略對客戶端用戶來說是透明的?？蛻舳朔衷诰€和離線兩種狀態(tài),可以針對不同的狀態(tài)進(jìn)行不同的控制。1.2.服務(wù)器使用指南1.2.1.服務(wù)器安裝1.2.1.1.安裝環(huán)境硬件環(huán)境至少一個空閑的USB端口,支持USB1.0/1.1/2.0端口。安裝過程需要使用光盤驅(qū)動器。建議:采用專門的服務(wù)器作為服務(wù)器的硬件平臺。軟件環(huán)境本系統(tǒng)支持操作系統(tǒng)為Windows2000/XP/2003。1.2.1.2.安裝步驟安裝準(zhǔn)備在安裝本系統(tǒng)服務(wù)器軟件前,請確認(rèn)以下幾個方面:1服務(wù)器安裝文件Setup_Z_SVR.exe;2您已經(jīng)有合法的服務(wù)器令牌;3目標(biāo)計算機(jī)沒有安裝任何本系統(tǒng)的

8、客戶端軟件;4若您計劃將控制臺和服務(wù)器安裝到同一計算機(jī)上,請先安裝控制臺軟件;5若服務(wù)器操作系統(tǒng)上啟用了防火墻,請確認(rèn)服務(wù)器使用的端口均處于開放狀態(tài)。具體設(shè)置方法參見防火墻設(shè)置。安裝過程1請將產(chǎn)品安裝光盤放入光盤驅(qū)動器,找到其中的服務(wù)器安裝目錄,執(zhí)行安裝文件Setup_Z_SVR.exe,跟隨安裝向?qū)У闹敢湍J(rèn)值,完成服務(wù)器安裝工作。2在完成文件安裝過程后,請重新啟動服務(wù)器計算機(jī)。3重啟后插入服務(wù)器令牌,服務(wù)器即可正常工作。 防火墻設(shè)置若服務(wù)器操作系統(tǒng)上安裝了桌面防火墻,或者使用了Windows XP/2003系列的自帶防火墻,請確認(rèn)服務(wù)器使用的端口均處于開放狀態(tài)。服務(wù)器使用的端口號為:50

9、00050020,共計21個端口,協(xié)議為TCP/IP、UDP。下面以Windows XP自帶的防火墻為例,說明如何將這些端口開放。在“開始”的“設(shè)置”菜單中打開“網(wǎng)絡(luò)連接”,如圖 1.2-1所示: 圖 1.2-1在“網(wǎng)絡(luò)連接”中找到服務(wù)器的網(wǎng)絡(luò)連接,如圖 1.2-2所示: 圖 1.2-2選擇其“屬性”菜單,找到“高級”選項卡,如圖1.2-3所示: 圖 1.2-3在“Windows防火墻”中點擊“設(shè)置”,彈出防火墻的設(shè)置對話框,找到其“例外”選項卡,如圖 1.2-4所示: 圖 1.2-4點擊“添加端口”對話框,如圖1.2-5所示: 圖 1.2-5依次將使用的端口號添加上去,然后點擊“確定”。注意

10、事項1服務(wù)器安裝后默認(rèn)支持服務(wù)器令牌和FT99令牌。如果要使用其它的eSafe令牌,需進(jìn)行設(shè)置轉(zhuǎn)換。轉(zhuǎn)換操作步驟見“注意事項2”,轉(zhuǎn)換和查看令牌類型都不需要插入令牌。2設(shè)置可信系統(tǒng)由支持FT99令牌轉(zhuǎn)換成支持eSafe令牌的操作步驟:(也可將支持eSafe令牌轉(zhuǎn)換成支持FT99令牌,操作步驟相同。 圖 1.2-6點擊“開始”->“運行”,輸入cmd,打開cmd窗口。輸入命令:tcccmd key,查看令牌類型編號和當(dāng)前系統(tǒng)支持令牌的類型,如圖 1.2-6所示,圖中0-10是令牌類型編號,esafe類型(編號0和FT99類型(編號9是目前常用的兩種令牌類型。 圖 1.2-7令牌類型轉(zhuǎn)換輸入

11、轉(zhuǎn)換命令:tcccmd key 令牌類型編號,如輸入tcccmd key 0,轉(zhuǎn)換成支持esafe令牌,如圖 1.2-7所示。可再用命令:tcccmd key查看當(dāng)前系統(tǒng)支持令牌的類型。1.2.2.服務(wù)器升級服務(wù)器升級包文件有以下兩種:UpdateSVR.exe/ UpdateSVR_MINI.exe,1UpdateSVR_MINI.exe:服務(wù)器升級文件。點擊升級包后服務(wù)器進(jìn)行升級,升級成功后,重啟服務(wù)器生效。2UpdateSVR.exe:服務(wù)器全面升級文件。點擊升級包后服務(wù)器進(jìn)行升級,同時驅(qū)動客戶端自動升級(注:data目錄下有客戶端升級文件,升級成功后,重啟服務(wù)器生效。注意事項服務(wù)器從非

12、數(shù)據(jù)庫版本升級到數(shù)據(jù)庫版本不能直接運行服務(wù)器升級包,需要卸載原來的服務(wù)器,備份相應(yīng)的data目錄,安裝數(shù)據(jù)庫版本服務(wù)器后,登陸控制臺,將原有備份的data目錄通過“系統(tǒng)運行參數(shù)管理”->“備份/恢復(fù)系統(tǒng)數(shù)據(jù)”導(dǎo)入才可實現(xiàn)升級。 1.2.3.服務(wù)器卸載卸載服務(wù)器的方法有以下兩種:方法一:打開系統(tǒng)開始菜單下“所有程序”->“Chinasec可信系統(tǒng)服務(wù)器”,點擊“卸載 Chinasec 可信系統(tǒng)服務(wù)器”。方法二:打開“控制面版”->“添加或刪除程序”,在其程序列表中選中“Chinasec可信系統(tǒng)服務(wù)器”點擊刪除。注意:如果您需要保留服務(wù)器的數(shù)據(jù),請在卸載前進(jìn)行服務(wù)器數(shù)據(jù)的備份工作

13、。參見服務(wù)器數(shù)據(jù)備份與恢復(fù)章節(jié)。1.2.4.服務(wù)器狀態(tài)檢測檢測方法由于服務(wù)器軟件為后臺服務(wù),檢測服務(wù)器是否正常運行可以通過如下方式:1找一臺可以和服務(wù)器網(wǎng)絡(luò)通訊的計算機(jī)。2打開“開始”菜單的“運行”界面,鍵入“Telnet 服務(wù)器IP地址 50000”,如圖1.2-8所示: 圖 1.2-83若服務(wù)器工作正常,將顯示服務(wù)器的運行狀態(tài),如圖 1.2-9所示。若不出現(xiàn)此界面,請檢查與服務(wù)器之間的網(wǎng)絡(luò)連接,以及服務(wù)器端的防火墻設(shè)置。 圖 1.2-9狀態(tài)內(nèi)容解釋圖 1.2-9中說明了服務(wù)器的狀態(tài),各項內(nèi)容解釋如下:1Server Status 服務(wù)器狀態(tài):顯示服務(wù)器版本號、客戶端升級版本號、服務(wù)器開啟時

14、間。2服務(wù)器令牌的狀態(tài):如果沒有插入或者插入了錯誤的令牌,將顯示“Key Not Present”。若插入了正確令牌,則顯示服務(wù)器令牌的相關(guān)內(nèi)容,如許可時間、軟件序列號、硬件序列號、首次使用時間、許可產(chǎn)品列表、許可客戶端數(shù)量。許可產(chǎn)品列表代號為:TIS:可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)VCN:可信網(wǎng)絡(luò)保密系統(tǒng)MGT:可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)DMS:可信數(shù)據(jù)管理系統(tǒng) RSM:可信移動存儲設(shè)備管理系統(tǒng)3注冊狀態(tài):如果未注冊,則顯示“Not Registed”,否則顯示令牌的注冊信息。(服務(wù)器注冊方法參見產(chǎn)品注冊章節(jié)4負(fù)載模塊處理狀況:依次為:總計處理線程數(shù)量、當(dāng)前處理線程數(shù)量和峰值處理線程數(shù)量。5數(shù)據(jù)信息:服務(wù)器的數(shù)據(jù)情

15、況,反映服務(wù)器當(dāng)前數(shù)據(jù)數(shù)量,依次為:用戶(組數(shù)量,客戶端(組數(shù)量、規(guī)則(組數(shù)量、策略應(yīng)用數(shù)量。6控制臺:控制臺登錄情況,若有控制臺登錄,則顯示控制臺登錄的IP地址,否則顯示“No Controller online”。1.2.5.服務(wù)器管理服務(wù)器管理是對服務(wù)器的日志數(shù)據(jù)和策略數(shù)據(jù)進(jìn)行管理,主要包括:服務(wù)器日志查看與導(dǎo)出、服務(wù)器數(shù)據(jù)的備份與恢復(fù)。1.2.5.1.系統(tǒng)日志查看與導(dǎo)出服務(wù)器日志的查看與導(dǎo)出由審計員在日志查看器來操作,使用方法詳細(xì)見用戶手冊-日志查看器。1.2.5.2.服務(wù)器數(shù)據(jù)備份與恢復(fù)服務(wù)器數(shù)據(jù)備份1、在服務(wù)器上直接進(jìn)行備份,備份數(shù)據(jù)包括Data 、CltLog、Log目錄的數(shù)據(jù),

16、服務(wù)器所有數(shù)據(jù)默認(rèn)保存在服務(wù)器的C盤上,可以根據(jù)實際情況進(jìn)行修改。備份或恢復(fù)服務(wù)器均只需將上述目錄中的文件進(jìn)行備份或恢復(fù)即可,恢復(fù)數(shù)據(jù)需要重新啟動服務(wù)器。1Data目錄:服務(wù)器系統(tǒng)數(shù)據(jù),是系統(tǒng)數(shù)據(jù)備份的關(guān)鍵,主要包括用戶信息、計算機(jī)信息、規(guī)則和策略信息。2Log目錄:服務(wù)器日志數(shù)據(jù),監(jiān)控中的審計日志信息存儲目錄。3CltLog目錄:客戶端上收集到的數(shù)據(jù),主要包括客戶端在審計管理策略中的審計信息、郵件附件、打印附件等信息。2、在控制臺上進(jìn)行系統(tǒng)數(shù)據(jù)備份操作,可以進(jìn)行Data目錄下的數(shù)據(jù)的備份。詳細(xì)操作見“系統(tǒng)運行參數(shù)管理”章節(jié)。 服務(wù)器快速恢復(fù)在您的服務(wù)器遇到災(zāi)難情況需要快速恢復(fù)時,可以參考如下

17、步驟:1將損壞的服務(wù)器關(guān)閉。2將任意一臺安裝了Windows2000/XP/2003操作系統(tǒng)的計算機(jī)的IP地址設(shè)定為舊服務(wù)器的IP地址,并安裝服務(wù)器端軟件。3將舊服務(wù)器中的Data目錄或者備份的Data目錄內(nèi)容放置到新服務(wù)器的Data目錄。4重新啟動服務(wù)器,插入服務(wù)器端的令牌,即可正常提供服務(wù)。注意事項在修改了任何數(shù)據(jù)后,請及時備份Data目錄的文件,以便您能在災(zāi)難情況下迅速恢復(fù)服務(wù)器。1.3.控制臺使用指南1.3.1.控制臺安裝1.3.1.1.安裝環(huán)境硬件環(huán)境至少一個空閑的USB端口,支持USB1.0/1.1/2.0端口。安裝過程需要使用光盤驅(qū)動器。軟件環(huán)境本系統(tǒng)支持操作系統(tǒng)為Windows

18、2000/XP/2003/7.0。1.3.1.2.安裝步驟安裝準(zhǔn)備在安裝本系統(tǒng)控制臺前,請確認(rèn)以下幾個方面:1控制臺安裝文件Setup_Z_MMC.exe。2您已經(jīng)有合法的管理員令牌。3安裝目標(biāo)計算機(jī)可以正確連接服務(wù)器,并確保服務(wù)器版本和控制臺版本相同。4目標(biāo)計算機(jī)沒有安裝任何本系統(tǒng)的客戶端軟件。 安裝過程1請將產(chǎn)品安裝光盤放入光盤驅(qū)動器,找到其中的控制臺安裝目錄,執(zhí)行安裝文件Setup_Z_MMC.exe,請跟隨安裝向?qū)У闹敢M(jìn)行操作。如圖 1.3-1所示: 圖 1.3-1選擇控制臺安裝組件“選擇安裝組件”參數(shù)設(shè)置如下:FT99令牌支持+控制臺文件:安裝控制臺文件,默認(rèn)支持FT99令牌。eS

19、afe令牌支持+控制臺文件:安裝控制臺文件,默認(rèn)支持eSafe令牌。此選項適用于已安裝有客戶端或服務(wù)器軟件的計算機(jī)。eSafe令牌支持+驅(qū)動文件+控制臺文件:安裝控制臺文件和eSafe令牌驅(qū)動文件,默認(rèn)支持eSafe令牌。此選項適用于沒有安裝客戶端或服務(wù)器軟件的計算機(jī)。僅安裝控制臺文件:只安裝控制臺文件不重置令牌支持。此選項適用于不重置原來的令牌支持。2安裝過程中,將要求您輸入服務(wù)器的IP地址,請輸入正確的服務(wù)器IP地址以完成安裝過程。3在完成文件安裝后,桌面上會出現(xiàn) Chinasec可信網(wǎng)絡(luò)安全平臺控制臺的快捷方式,插入管理員令牌后,雙擊控制臺打開即可進(jìn)行工作。詳細(xì)操作見“控制臺基本操作”。

20、注意事項1如果計算機(jī)上只安裝了默認(rèn)支持FT99令牌的控制臺沒有安裝客戶端或者服務(wù)器,需要重新安裝帶eSafe令牌驅(qū)動文件的控制臺才能使用eSafe令牌。eSafe令牌需要驅(qū)動,FT99令牌不需要驅(qū)動。2在DOS命令行敲入tcccmd key 9命令可使用FT99令牌,敲入tcccmd key 0命令可使用eSafe令牌。轉(zhuǎn)換操作步驟見“服務(wù)務(wù)器安裝步驟注意事項”。 3如果控制臺和客戶端安裝在一臺計算機(jī)上,建議先安裝控制臺再安裝客戶端。如果已安裝了客戶端再安裝控制臺會提示文件已存在,點擊“忽略”按鈕繼續(xù)安裝。在安裝服務(wù)器的計算機(jī)上安裝控制臺時會提示文件已存在,點擊“忽略”按鈕繼續(xù)安裝。4如果控制

21、臺和客戶端裝在一臺計算機(jī)上,卸載客戶端后插入管理員令牌不能登錄控制臺,會提示請插入管理員令牌,需要卸載控制臺重新安裝才能登錄。1.3.2.控制臺卸載卸載系統(tǒng)控制臺有以下兩個方法:方法一:打開系統(tǒng)開始菜單下“所有程序”->“Chinasec可信系統(tǒng)控制臺”,點擊“卸載 Chinasec 可信系統(tǒng)控制臺”方法二:打開“控制面版”->“添加或刪除程序”,在其程序列表中選中“Chinasec可信系統(tǒng)控制臺”點擊刪除1.3.3.控制臺基本操作綜合控制臺是本系統(tǒng)的控制中心,可以完成所有控制任務(wù)。包括系統(tǒng)管理、用戶管理、計算機(jī)管理、規(guī)則與策略管理、日志管理。系統(tǒng)管理:對服務(wù)器進(jìn)行操作,包括設(shè)置服

22、務(wù)器地址、應(yīng)用全部系統(tǒng)數(shù)據(jù)、系統(tǒng)參數(shù)運行管理、快速重啟服務(wù)器、系統(tǒng)網(wǎng)絡(luò)參數(shù)設(shè)置。用戶管理:管理系統(tǒng)中的用戶信息,主要是用戶的新建、修改、刪除、掛失、用戶權(quán)限信息等的管理。計算機(jī)管理:管理系統(tǒng)中的客戶端計算機(jī)信息,包括計算機(jī)的刪除、更新計算機(jī)的策略等。規(guī)則策略管理:管理系統(tǒng)中的規(guī)則和策略信息,包括規(guī)則策略的新建、修改、刪除。日志管理:查看客戶端審計日志。啟動控制臺您可以使用下列方式啟動綜合控制臺:在“開始”菜單中點擊“Chinasec可信系統(tǒng)控制臺”在桌面中點擊“Chinasec可信系統(tǒng)控制臺”在快速啟動菜單欄中點擊“Chinasec可信系統(tǒng)控制臺” 控制臺布局綜合控制臺界面如圖1.3-2所示,

23、分為如下區(qū)域:菜單及按鍵區(qū)域:在控制臺上部分,提供一些系統(tǒng)相關(guān)的操作,很少用到。模塊選擇區(qū)域:在控制臺左側(cè),提供各子系統(tǒng)模塊選擇索引,具體操作方法見下節(jié)。功能操作區(qū)域:在控制臺右側(cè),提供各種功能的詳細(xì)操作指引,由于各種功能操作方法不同,請參看下面各節(jié)的操作指南。 圖 1.3-2 可信系統(tǒng)控制臺界面1.3.3.1.系統(tǒng)管理產(chǎn)品注冊注冊產(chǎn)品-生成注冊文件服務(wù)器安裝成功后,您可以使用系統(tǒng)的全部功能,但是只有14天的試用期。在此期限內(nèi),您需要對本產(chǎn)品進(jìn)行激活注冊。若使用控制臺登錄服務(wù)器,將出現(xiàn)如圖 1.3-3所示: 圖 1.3-3 導(dǎo)入廠家注冊文件首先您需要使用控制臺登錄服務(wù)器(參見控制臺使用部分,插

24、入管理員令牌,打開控制臺,在控制臺根節(jié)點上點擊鼠標(biāo)右鍵,在彈出菜單中選擇“生成注冊文件”功能,如圖 1.3-4所示: 圖 1.3-4選擇后將出現(xiàn)如圖 1.3-5所示的填寫注冊信息的界面。 圖 1.3-5 注冊界面請詳細(xì)填寫如下信息:單位名稱、聯(lián)系地址和郵政編碼聯(lián)系人名稱聯(lián)系人電話電子郵件地址填寫完成后點擊“下一步”,將出現(xiàn)選擇保存注冊信息的位置,如圖1.3-6所示: 圖 1.3-6 導(dǎo)出注冊文件請點擊“瀏覽”找到一個保存位置,然后點擊“下一步”生成注冊信息。 生成完成后將彈出提示界面,提示生成注冊文件完成。請將注冊請求信息發(fā)送給經(jīng)銷商,然后經(jīng)銷商將給您正確的注冊文件。注意事項1生成注冊信息需要

25、大約1分鐘,期間請不要拔出服務(wù)器端令牌,這樣可能會導(dǎo)致服務(wù)器令牌損壞。另外,本功能僅一次生效,若多次使用,只有最后一次的請求信息有效。2生成的注冊信息文件請妥善保存,里面包含您服務(wù)器令牌上的一些關(guān)鍵信息。這些信息將作為廠家識別您產(chǎn)品的唯一依據(jù)。當(dāng)出現(xiàn)令牌丟失或者損壞時,此文件供廠家恢復(fù)您的令牌使用。3服務(wù)器到期后若不能登錄控制臺,右鍵菜單點擊“生成變更請求文件”與“生成注冊文件”功能相同。如圖1.3-7所示: 圖 1.3-7注冊產(chǎn)品-導(dǎo)入廠家注冊文件使用控制臺登錄服務(wù)器,在“綜合控制臺”節(jié)點上點擊鼠標(biāo)右鍵,在彈出菜單中選擇“導(dǎo)入廠家注冊文件”功能,如圖 1.3-8所示: 圖 1.3-8選擇后將

26、出現(xiàn)如圖 1.3-9所示的導(dǎo)入界面。 圖 1.3-9 導(dǎo)入注冊文件選擇經(jīng)銷商發(fā)給您的注冊文件,然后點擊“下一步”進(jìn)行注冊過程。注冊完成后將彈出提示界面,提示注冊完成。注意事項 注冊服務(wù)器過程大約要1分鐘時間,這期間請不要拔出服務(wù)器端令牌,這樣可能會導(dǎo)致服務(wù)器令牌損壞。注冊產(chǎn)品-查看注冊信息注冊完成后,再次登錄控制臺將不彈出任何警告信息。在根節(jié)點上點擊鼠標(biāo)右鍵,在彈出菜單中選擇“查看服務(wù)器注冊信息”功能可以查看此產(chǎn)品的注冊信息,如圖 1.3-10所示: 圖 1.3-10 注冊信息設(shè)置服務(wù)器地址在使用控制臺前,需要確認(rèn)其管理服務(wù)器的地址,請在控制臺左邊“ChinaSec(安元可信系統(tǒng)”下“綜合控制

27、臺”處點擊右鍵,在右鍵菜單中選擇“設(shè)置服務(wù)器地址”,如圖1.3-11所示: 圖 1.3-11在提示輸入服務(wù)器名稱的對話框中可以輸入服務(wù)器的計算機(jī)名或者IP地址,如圖 1.3-12所示: 圖 1.3-12成功連接目標(biāo)服務(wù)器后將看到該服務(wù)器的信息,如圖 1.3-13所示: 圖 1.3-13 系統(tǒng)網(wǎng)絡(luò)設(shè)置在控制臺左邊“Chinasec(安元可信系統(tǒng)”下“綜合控制臺”處點擊鼠標(biāo)右鍵,在右鍵菜單中選擇“系統(tǒng)網(wǎng)絡(luò)設(shè)置”(注:僅在具有可信網(wǎng)絡(luò)保密系統(tǒng)功能模塊的產(chǎn)品上出現(xiàn)此菜單。系統(tǒng)網(wǎng)絡(luò)設(shè)置主要是進(jìn)行內(nèi)外網(wǎng)的劃分、開放服務(wù)器設(shè)置、安全服務(wù)器設(shè)置、設(shè)備地址列表的設(shè)置(非法IP接入阻斷、接入網(wǎng)關(guān)的設(shè)定、硬件熱備網(wǎng)

28、關(guān)設(shè)定。如圖1.3-14所示: 圖 1.3-14內(nèi)部網(wǎng)絡(luò)地址設(shè)定 設(shè)置內(nèi)網(wǎng)IP范圍系統(tǒng)管理員根據(jù)局域網(wǎng)內(nèi)的規(guī)劃,首先設(shè)定內(nèi)部網(wǎng)絡(luò)范圍。設(shè)定時注意將所有可能使用的地址范圍均設(shè)定進(jìn)入系統(tǒng),不在此范圍內(nèi)的計算機(jī),系統(tǒng)認(rèn)為是外部網(wǎng)路,內(nèi)外網(wǎng)的通訊詳見“允許訪問外部網(wǎng)絡(luò)”的設(shè)置。如圖 1.3-15所示: 圖 1.3-15 內(nèi)部網(wǎng)絡(luò)地址范圍內(nèi)部網(wǎng)絡(luò)范圍在“網(wǎng)絡(luò)相關(guān)參數(shù)設(shè)定”對話框中的“1.內(nèi)部網(wǎng)絡(luò)地址范圍”屬性頁中進(jìn)行設(shè)置。設(shè)置方法如下:1添加:添加新的內(nèi)網(wǎng)IP范圍。設(shè)置內(nèi)網(wǎng)的“起始IP”、“中止IP”,點擊“添加”按鈕,則可設(shè)置該IP地址段的范圍為內(nèi)網(wǎng)的IP范圍。2修改:修改已有的內(nèi)網(wǎng)IP范圍。選中需要

29、修改的IP范圍,“起始IP”、“中止IP”會進(jìn)行同步顯示,對其進(jìn)行相應(yīng)的修改,點擊“修改”按鈕即可保存修改。3刪除:刪除已有的內(nèi)網(wǎng)IP范圍。選中要刪除的IP范圍,點擊“刪除”即可刪除該內(nèi)網(wǎng)IP范圍。注意:本系統(tǒng)不限制IP地址范圍個數(shù)。設(shè)置開放服務(wù)器IP范圍系統(tǒng)管理員可根據(jù)局域網(wǎng)內(nèi)的計算機(jī)操作系統(tǒng)情況,將所有客戶端和非客戶端計算機(jī)需要訪問的網(wǎng)絡(luò)資源的網(wǎng)絡(luò)地址設(shè)定在開放服務(wù)器區(qū)域。由于開放服務(wù)器區(qū)域的特殊性,設(shè)定時需要注意以下原則:1開放服務(wù)器區(qū)域中的計算機(jī)采用靜態(tài)IP地址。因為開放服務(wù)器區(qū)域的識別采用IP地址識別,若IP 變化則客戶端無法正常訪問服務(wù)器。2開放服務(wù)器區(qū)域中的IP地址受到其他系統(tǒng)(

30、如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、物理網(wǎng)關(guān)的嚴(yán)格控制,防止網(wǎng)絡(luò)內(nèi)其他計算機(jī)冒用此IP地址造成信息外泄。3開放服務(wù)器區(qū)域遵循最小設(shè)置原則,盡量采用單個IP方式設(shè)置。 圖 1.3-16 開放服務(wù)器地址設(shè)定開放服務(wù)器區(qū)域在“網(wǎng)絡(luò)相關(guān)參數(shù)設(shè)定”對話框中的“2.開放服務(wù)器地址”屬性頁中進(jìn)行設(shè)置。如圖1.3-16所示。設(shè)置方法如下:1分組設(shè)定:為開放服務(wù)器設(shè)定分組。開放服務(wù)器IP地址范圍可以設(shè)定八組,在網(wǎng)絡(luò)策略中對不同的開放服務(wù)器有不同的策略,該分組序號會在VCN域的屬性、工作模式屬性設(shè)置中使用。2添加:添加新的開放服務(wù)器IP范圍。設(shè)置開放服務(wù)器的“起始IP”、“中止IP”,點擊“添加”按鈕,則可添加該IP范圍設(shè)置。3修改

31、:修改已有的開放服務(wù)器IP范圍。選中需要修改的IP范圍,“起始IP”、“中止IP”會進(jìn)行同步顯示,對其進(jìn)行相應(yīng)的修改,點擊“修改”按鈕即可保存修改。4刪除:刪除已有的開放服務(wù)器IP范圍。選中要刪除的IP范圍,點擊“刪除”即可刪除該開放服務(wù)器IP范圍。注意:設(shè)置開放服務(wù)器IP地址范圍可以設(shè)定八組,每組里不限制能設(shè)置的服務(wù)器IP地址范圍個數(shù)。設(shè)置安全服務(wù)器參數(shù)系統(tǒng)管理員根據(jù)局域網(wǎng)內(nèi)的計算機(jī)操作系統(tǒng)情況,將所有客戶端需要訪問的,但非客戶端計算機(jī)不能 訪問的計算機(jī)的網(wǎng)絡(luò)地址設(shè)定在安全服務(wù)器區(qū)域。由于安全服務(wù)器區(qū)域的特殊性,設(shè)定時需要注意以下原則:1安全服務(wù)器區(qū)域中的計算機(jī)必須通過安全網(wǎng)關(guān)接入網(wǎng)絡(luò),不能

32、直接接入網(wǎng)絡(luò)。2安全服務(wù)器區(qū)域中的計算機(jī)需采用靜態(tài)IP地址,因為安全服務(wù)器區(qū)域的識別采用IP地址識別,若IP地址是變化的,則客戶端無法正常訪問安全服務(wù)器。 圖 1.3-17 安全代理服務(wù)器設(shè)定安全服務(wù)器區(qū)域在“網(wǎng)絡(luò)相關(guān)參數(shù)設(shè)定”對話框中的“3.安全代理服務(wù)器設(shè)置”屬性頁中進(jìn)行設(shè)置。如圖 1.3-17所示。設(shè)置方法如下:1分組設(shè)定:為安全服務(wù)器設(shè)定分組。安全服務(wù)器IP地址范圍可以設(shè)定八組,在網(wǎng)絡(luò)策略中對不同的安全服務(wù)器有不同的策略,該分組序號會在VCN域的屬性設(shè)置中使用。2添加:添加新的安全服務(wù)器IP范圍。設(shè)置安全服務(wù)器的“服務(wù)器地址”和“安全網(wǎng)關(guān)地址”,點擊“添加”按鈕,則可添加該IP范圍設(shè)置

33、。3修改:修改已有的安全服務(wù)器IP范圍。選中需要修改的IP范圍,“服務(wù)器地址”、“安全網(wǎng)關(guān)地址”會進(jìn)行同步顯示,對其進(jìn)行相應(yīng)的修改,點擊“修改”按鈕即可保存修改。4刪除:刪除已有的安全服務(wù)器IP范圍。選中要刪除的IP范圍,點擊“刪除”即可刪除該安全服務(wù)器IP范圍。注意:設(shè)置安全服務(wù)器IP地址范圍可以設(shè)定八組,每組里不限制能設(shè)置的服務(wù)器IP地址范圍個數(shù)。 應(yīng)用全部系統(tǒng)數(shù)據(jù)在系統(tǒng)中任何的數(shù)據(jù)改變,如修改策略,設(shè)置內(nèi)網(wǎng)IP范圍,設(shè)置服務(wù)器IP范圍,添加刪除計算機(jī),添加刪除策略等。為使這些數(shù)據(jù)立即生效,需要應(yīng)用所有數(shù)據(jù),應(yīng)用方法如下:在“綜合控制臺”處點擊右鍵,在右鍵菜單中選擇“應(yīng)用全部系統(tǒng)數(shù)據(jù)”,如

34、圖 1.3-18所示: 圖 1.3-18出現(xiàn)如下的提示框,點“是”按鈕,如圖1.3-19所示: 圖 1.3-19出現(xiàn)如下應(yīng)用成功的提示框,點“確定”按鈕,應(yīng)用成功。修改控制臺令牌口令控制臺可以對一級管理員令牌設(shè)置密碼,增加管理員令牌的安全性。管理員令牌初始密碼為6個0,改變密碼后,登錄控制臺需要輸入密碼,當(dāng)密碼在改為6個0后,重新登錄控制臺無需密碼。 圖 1.3-20系統(tǒng)運行參數(shù)管理系統(tǒng)運行參數(shù)管理主要包括:服務(wù)器運行參數(shù)、windows域同步參數(shù)設(shè)置、客戶端運行參數(shù)、備份/恢復(fù)系統(tǒng)數(shù)據(jù)及服務(wù)器存儲參數(shù)五部分。 圖 1.3-21服務(wù)器運行參數(shù)服務(wù)器運行參數(shù)主要是設(shè)置負(fù)載均衡服務(wù)器和熱備服務(wù)器。

35、如圖 1.3-22所示: 圖 1.3-22 服務(wù)器運行參數(shù)客戶端首次注冊原則:(1尋找客戶端操作系統(tǒng)注冊表中的證書,沒有則重新生成:當(dāng)重新安裝客戶端軟件后,不會在控制臺出現(xiàn)新的計算機(jī)節(jié)點,而是在客戶端機(jī)器上查找證書,啟用第一次登錄時的節(jié)點。(2在本系統(tǒng)中根據(jù)客戶計算機(jī)硬件信息尋找證書,不存在則重新生成:當(dāng)重新安裝客戶端系統(tǒng)后,可以根據(jù)計算機(jī)硬件信息自動尋找證書,不產(chǎn)生新的計算機(jī)節(jié)點。負(fù)載均衡服務(wù)器:把大量的并發(fā)訪問或數(shù)據(jù)流量分擔(dān)到多臺節(jié)點設(shè)備上分別處理,減少用戶等待響應(yīng)的時間,提高服務(wù)器接入客戶端的數(shù)量。熱備服務(wù)器:主服務(wù)器崩潰時,熱備服務(wù)器會替代主服務(wù)器工作?？刂婆_不能對熱備服務(wù)器進(jìn)行數(shù)據(jù)修

36、改等操作。從客戶端角度來看,負(fù)載均衡服務(wù)器和熱備服務(wù)器都是透明狀態(tài),感覺不到其存在。 圖 1.3-22界面參數(shù)說明:1獨立服務(wù)器:服務(wù)器處于獨立工作狀態(tài),與其它服務(wù)器無聯(lián)系。2主服務(wù)器:服務(wù)器狀態(tài)改變?yōu)橹鞣?wù)器,與熱備從服務(wù)器、負(fù)載均衡從服務(wù)器是主從關(guān)系。3熱備從服務(wù)器:服務(wù)器狀態(tài)改變?yōu)闊醾浞?wù)器,與主服務(wù)器是從主關(guān)系。4負(fù)載均衡從服務(wù)器:服務(wù)器狀態(tài)改變?yōu)樨?fù)載服務(wù)器,與主服務(wù)器是從主關(guān)系。5主服務(wù)器地址:填寫主服務(wù)器的IP地址。6客戶端連接策略:將主服務(wù)器的部分客戶端劃分到負(fù)載服務(wù)器。格式:客戶端起始IP-客戶端中止IP:第1負(fù)載服務(wù)器IP,第2負(fù)載服務(wù)器IP,第N負(fù)載服務(wù)器IP(每行為一條策

37、略。注意事項1主服務(wù)器地址的設(shè)置只有在對“熱備從服務(wù)器”和“負(fù)載均衡從服務(wù)器”功能進(jìn)行設(shè)置時才需要填寫。2設(shè)置生效:在主服務(wù)器和負(fù)載服務(wù)器的控制臺上設(shè)置好后,要右鍵“綜合控制臺”點擊“快速重新啟動服務(wù)器”,服務(wù)器啟動后,客戶端也需要重啟才能接收到負(fù)載策略,被劃分到負(fù)載服務(wù)器上。熱備服務(wù)器設(shè)置生效步驟同負(fù)載服務(wù)器。3取消負(fù)載設(shè)置:客戶端與負(fù)載服務(wù)器聯(lián)機(jī)正常時取消負(fù)載設(shè)置,登錄控制臺將兩個服務(wù)器都設(shè)置為“獨立服務(wù)器”,快速重啟服務(wù)器,客戶端也重啟后,恢復(fù)以前的連接。負(fù)載服務(wù)器癱瘓時,需在客戶端用命令恢復(fù)對主服務(wù)器的連接,步驟:開始運行cmdtcccmd severset 主服務(wù)器IP,重啟客戶端后

38、恢復(fù)。(推薦:負(fù)載癱瘓時將普通服務(wù)器IP改為負(fù)載IP。舉例說明1、負(fù)載服務(wù)器設(shè)置:主服務(wù)器IP為:192.168.1.55,負(fù)載服務(wù)器IP為:192.168.1.201。1登錄主服務(wù)器控制臺,右鍵點擊“綜合控制臺”選擇“服務(wù)器運行管理”菜單,打開“服務(wù)器運行參數(shù)”屬性頁,選中“主服務(wù)器”選項,設(shè)置客戶端連接策略192.168.1.1-192.168.1.199:192.168.1.201,如圖 1.3-23所示: 圖 1.3-23 在主服務(wù)器上設(shè)置負(fù)載服務(wù)器IP2右鍵點擊“綜合控制臺”選擇“快速重新啟動服務(wù)器”菜單。3在負(fù)載服務(wù)器上插入負(fù)載服務(wù)器令牌,登錄負(fù)載服務(wù)器控制臺,打開“服務(wù)器運行參數(shù)

39、”對話框,選中“負(fù)載均衡從服務(wù)器”選項,設(shè)置主服務(wù)器地址:192.168.1.55,如圖1.3-24所示: 圖 1.3-24 在負(fù)載服務(wù)器上的設(shè)置4右鍵點擊“綜合控制臺”選擇“快速重新啟動服務(wù)器”菜單。5重啟客戶端計算機(jī)。Windows域同步參數(shù)Windows域同步功能主要是同步windows域控制器的用戶數(shù)據(jù),將windows域用戶名稱同步到控制臺用戶管理中,并作為口令用戶來進(jìn)行管理。同步過程中有自動同步和手動同步兩種。自動同步需要預(yù)先設(shè)置好windows域名、服務(wù)器的用戶名和密碼,以及是否精確到單位信息,同步時間間隔等。Windows 域同步界面,如圖1.3-25所示: 圖 1.3-25

40、windows域同步參數(shù)界面上各個參數(shù)定義如下:1啟用且自動從域控制器同步用戶數(shù)據(jù):自動同步數(shù)據(jù)。選中該選項,對以下的域名、用戶等參數(shù)進(jìn)行設(shè)置,測試通過后,就不需要管理員來手動控制,可以進(jìn)行自動同步。2精確同步單位信息:同步組織單元OU(Orgnaization Units信息,選中該選項即同步過來的信息包括OU,用戶在各自的組織單元目錄下;不選中該選項,則同步后所有的用戶都在用戶根目錄下。3同步間隔時間(分鐘:每間隔設(shè)定的時間進(jìn)行一次同步操作(注:同步時間間隔填寫0,則默認(rèn)為60分鐘。4域名:windows域服務(wù)器的域名。5用戶:windows域服務(wù)器的登錄用戶名。6密碼:windows域服

41、務(wù)器的登錄密碼。7單位:即OU(Orgnaization Units,域中所劃分的組織單元的名稱。 8測試:響應(yīng)按鈕,測試所填寫的參數(shù)是否正確,控制臺是否能夠正確連通到域服務(wù)器上。9立刻同步:響應(yīng)按鈕,即由管理員手動進(jìn)行同步域用戶的信息到可信系統(tǒng)服務(wù)器。在立刻同步之前,需要保證可信系統(tǒng)服務(wù)器與windows域服務(wù)器能夠連通。10自動為新用戶設(shè)定初始密碼123456,用戶需自行登錄口令用戶:同步域用戶到控制臺后,域用戶即作為口令用戶來進(jìn)行管理,用戶名稱即域用戶名稱,初始密碼即123456,計算機(jī)域用戶登錄計算機(jī)后,用戶須手動登錄到Chinasec系統(tǒng)。11計算機(jī)域用戶登錄后,自動登錄對應(yīng)的口令用

42、戶:計算機(jī)域用戶登錄計算機(jī)后,自動登錄到Chinasec 系統(tǒng),登錄的口令用戶名和登錄計算機(jī)的域用戶名一致,初始密碼是123456。注意事項1操作中出現(xiàn)“測試”通過但是“立刻同步”不能進(jìn)行正常同步的情況,此時保證可信系統(tǒng)的服務(wù)器與windows域服務(wù)器能夠連通,用戶同步就可以正常進(jìn)行。原因是點擊“測試”按鈕測試通過后,即說明控制臺上填寫信息正確,控制臺與windows域服務(wù)器可以正常連通。2如果“立刻同步”按鈕不可用,先將參數(shù)設(shè)置好后,點擊“確定”按鈕進(jìn)行數(shù)據(jù)保存,然后重新打開windows域同步參數(shù)屬性頁可以使用“立刻同步”按鈕。3如果設(shè)置了“登錄計算機(jī)域后自動登錄對應(yīng)的口令用戶”,需要在不

43、同的域用戶之間切換登錄時請重啟電腦登錄。4如果域同步時報“無法訪問域服務(wù)器”錯誤,可以嘗試以下方法解決:在可信服務(wù)器的首選DNS服務(wù)器地址里設(shè)置為域服務(wù)器的IP地址。5如果啟用windows域同步設(shè)置,又下發(fā)非域同步用戶的授權(quán)策略,登錄系統(tǒng)后會出現(xiàn)非域同步用戶沒有登錄到客戶端的情況。建議域用戶同步過來后取消同步設(shè)置,以免影響認(rèn)證策略?？蛻舳诉\行參數(shù)此功能對客戶端的一些參數(shù)進(jìn)行設(shè)定,包括客戶端一般設(shè)置、客戶端與服務(wù)器的網(wǎng)絡(luò)參數(shù)設(shè)定、客戶端兼容性設(shè)置?？蛻舳诉\行參數(shù)設(shè)定界面如圖1.3-26所示: 圖 1.3-26 客戶端運行參數(shù)客戶端一般設(shè)置各個參數(shù)定義如下:1不顯示啟動時左上角圖標(biāo)及文字:客戶端

44、計算機(jī)啟動進(jìn)入操作系統(tǒng)時,左上角不提示“Powered by Chiansec Trusted System”。2強(qiáng)制不顯示托盤圖標(biāo):強(qiáng)制不顯示右下角任務(wù)欄客戶端圖標(biāo)。3強(qiáng)制使用復(fù)雜密碼:強(qiáng)制客戶端登錄令牌用戶或口令用戶時使用復(fù)雜密碼,密碼分low、middle、high三個級別。Low級別密碼設(shè)置要求:位數(shù)大于等于8位,小于等于16位,要包含字母。middle級別密碼設(shè)置要求:位數(shù)大于等于8位,小于等于16位,要包含字母、數(shù)字。high級別密碼設(shè)置要求:位數(shù)大于等于8位,小于等于16位,要包含字母、數(shù)字、特殊字符。4控制文件外發(fā)時彈出提示:外發(fā)文件被控制時在客戶端右下腳彈出對應(yīng)進(jìn)程外發(fā)文件被

45、控制的提示。5與服務(wù)器進(jìn)行時間同步:強(qiáng)制與服務(wù)器時間進(jìn)行同步。 6不顯示工作盤設(shè)定菜單:點擊任務(wù)欄客戶端圖標(biāo),菜單中不顯示“系統(tǒng)設(shè)置”選項。7不顯示自動登錄菜單:用口令用戶登錄客戶端后,菜單中不顯示“自動登錄設(shè)定”選項。8遠(yuǎn)程控制彈出提示:當(dāng)實時監(jiān)控遠(yuǎn)程控制客戶端時,在被控制的客戶端彈出遠(yuǎn)程控制的提示?？蛻舳司W(wǎng)絡(luò)參數(shù)設(shè)定各個參數(shù)定義如下:1重連服務(wù)器間隔(秒:設(shè)定客戶端在和服務(wù)器斷開連接后,隔多少秒再次進(jìn)行嘗試連接。2服務(wù)器命令間隔(秒:設(shè)定服務(wù)器間隔多長時間向客戶端發(fā)送一次命令。此值越大,對服務(wù)器壓力越小,但可能客戶端日志收集不及時。3判斷離線失敗次數(shù)(次:設(shè)定客戶端嘗試多少次連接服務(wù)器失敗

46、后,判斷客戶端進(jìn)入離線狀態(tài)。4最大網(wǎng)絡(luò)數(shù)據(jù)包(KB:客戶端向服務(wù)器發(fā)送日志包時,最大每次發(fā)送多少字節(jié)。5判斷網(wǎng)絡(luò)超時時間(秒:設(shè)定網(wǎng)絡(luò)接收包超時時間,此值越大,對網(wǎng)絡(luò)連接的要求越低,建議使用VPN客戶設(shè)定到30或以上?？蛻舳思嫒菪栽O(shè)置各個參數(shù)定義如下:1不禁用非TCP/IP層的NetBIOS協(xié)議:關(guān)閉對客戶端NETBIOS模塊的控制。安裝客戶端后,系統(tǒng)將默認(rèn)禁用非TCP/IP層的NetBIOS協(xié)議;選擇該選項后,客戶端將不在禁用NetBIOS協(xié)議。2強(qiáng)制不加載網(wǎng)絡(luò)數(shù)據(jù)包驅(qū)動模塊:關(guān)閉客戶端網(wǎng)絡(luò)數(shù)據(jù)包驅(qū)動模塊。網(wǎng)絡(luò)數(shù)據(jù)包驅(qū)動模塊關(guān)閉后,網(wǎng)絡(luò)保密系統(tǒng)、數(shù)據(jù)管理系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)控制將不生效。模塊名:

47、NDIS3強(qiáng)制不加載網(wǎng)絡(luò)過濾驅(qū)動模塊:關(guān)閉客戶端網(wǎng)絡(luò)過濾驅(qū)動模塊。網(wǎng)絡(luò)過濾驅(qū)動模塊關(guān)閉后,網(wǎng)絡(luò)監(jiān)控系統(tǒng)中所有的網(wǎng)絡(luò)監(jiān)控策略不生效。模塊名:SPI4禁止使用動態(tài)磁盤:禁止對計算機(jī)上的動態(tài)磁盤進(jìn)行讀寫,作用于DMS模塊中工作盤的使用。5強(qiáng)制與服務(wù)器通訊不加密:關(guān)閉客戶端與服務(wù)器通信加密模塊,模塊關(guān)閉后,網(wǎng)絡(luò)保密系統(tǒng)中客戶端與可信系統(tǒng)服務(wù)器的通訊不加密。模塊名:SERVERENC6禁止自動升級WSUS:禁止進(jìn)行windows自動更新,作用于VCN模塊中操作系統(tǒng)保護(hù)開關(guān)-開啟策略、DMS模塊中進(jìn)入控制本地存儲的工作模式。7啟動驅(qū)動保護(hù)機(jī)制:對客戶端驅(qū)動進(jìn)行保護(hù),啟動后客戶端會自動打開AHKU模塊。在A

48、HKU模塊打開的情況下,AHK模塊開啟則所有加密盤和工作盤都可正常使用,AHK模塊關(guān)閉則所有加密盤和工作盤都無法打開。8使用用戶態(tài)登錄控制:選中此選項,登錄方式改變,見注意事項。9令牌驅(qū)動:客戶端支持的key的驅(qū)動。10文件特權(quán)進(jìn)程設(shè)定(分號分隔:客戶端使用該進(jìn)程,不會受到文件讀寫的控制,可以看到隱藏文件,訪問禁止讀寫的U盤。比如notepad.exe,用記事本可以打開下發(fā)了禁用策略的移動存儲設(shè)備。 11網(wǎng)絡(luò)特權(quán)進(jìn)程設(shè)定(分號分隔:客戶端使用該進(jìn)程,不會受到網(wǎng)絡(luò)相關(guān)策略的控制。比如:msnmsger.exe,網(wǎng)絡(luò)監(jiān)控策略中msn不會受到控制。12DMS提示進(jìn)程設(shè)定(分號分隔:DMS模塊中,在重

49、啟或者關(guān)閉計算機(jī)時,若指定的進(jìn)程正在運行,則給出提示。注意事項1客戶端運行參數(shù)設(shè)置后,需要重啟客戶端才生效。2重連服務(wù)器間隔(秒和判斷離線失敗次數(shù)(次最少設(shè)置為5。3選中使用用戶態(tài)登錄控制選項,下發(fā)計算機(jī)登錄控制開關(guān)和用戶登錄計算機(jī)授權(quán)策略后,登錄界面在系統(tǒng)登錄后出現(xiàn),如圖1.3-27所示: 圖 1.3-27 客戶端認(rèn)證登錄界面?zhèn)浞?恢復(fù)系統(tǒng)數(shù)據(jù)用戶信息、計算機(jī)信息、密鑰和策略等數(shù)據(jù)可以通過備份服務(wù)器上的Data目錄備份,也可以通過控制臺直接備份和恢復(fù)。1、導(dǎo)出數(shù)據(jù):用于備份當(dāng)前控制臺所有的數(shù)據(jù)信息,包括用戶信息、計算機(jī)信息、規(guī)則與策略信息。導(dǎo)出數(shù)據(jù)操作步驟,如圖1.3-28所示: 圖 1.3

50、-28 備份系統(tǒng)數(shù)據(jù)步驟1:點擊“瀏覽”,選擇導(dǎo)出數(shù)據(jù)存放位置,確認(rèn)數(shù)據(jù)導(dǎo)出按鈕變亮可用。步驟2:點擊“確認(rèn)導(dǎo)出數(shù)據(jù)”,即可導(dǎo)出數(shù)據(jù)。這個過程需要過大約一分鐘的時間,導(dǎo)出成功后,會給出提示“導(dǎo)出成功”的提示。步驟3:導(dǎo)出完成,點擊“確定”,關(guān)閉對話框。2、導(dǎo)入數(shù)據(jù):導(dǎo)入備份的數(shù)據(jù),以恢復(fù)控制臺所有的數(shù)據(jù)信息為備份數(shù)據(jù)信息,導(dǎo)入數(shù)據(jù)成功后,控制臺與服務(wù)器斷開,重新開啟控制臺生效。導(dǎo)入數(shù)據(jù)操作步驟,如圖1.3-29所示: 圖 1.3-29 恢復(fù)系統(tǒng)數(shù)據(jù)步驟1:點擊“瀏覽”,選擇導(dǎo)入數(shù)據(jù)位置。步驟2:點擊“確認(rèn)導(dǎo)入數(shù)據(jù)”,即可導(dǎo)入數(shù)據(jù),數(shù)據(jù)導(dǎo)入成功后按鈕變亮可用。步驟3:點擊“確定”,關(guān)閉對話框。注

51、意事項恢復(fù)數(shù)據(jù)后,需要快速重啟服務(wù)器。服務(wù)器存儲參數(shù)服務(wù)器上日志文件和Data目錄的存儲路徑設(shè)置。 圖 1.3-30普通日志路徑設(shè)置:指服務(wù)器上Log文件存儲路徑。附件日志路徑設(shè)置:指服務(wù)器上CltLog文件存儲路徑。數(shù)據(jù)備份路徑設(shè)置:指服務(wù)器上Data文件存儲路徑?？焖僦匦聠臃?wù)器當(dāng)更新服務(wù)器端升級文件后或者修改服務(wù)器相關(guān)策略后,需要重新啟動服務(wù)器。為了提高服務(wù)器的重啟效率,可以使用“快速重新啟動服務(wù)器”功能。在“綜合控制臺”處點擊右鍵,在右鍵菜單中選擇“快速重新啟動服務(wù)器”,如圖 1.3-31所示: 圖 1.3-31出現(xiàn)如下的提示框,點“是”按鈕。如圖1.3-32所示: 圖 1.3-32

52、 快速重啟服務(wù)器提示重新啟動服務(wù)器后,請退出控制臺,等待約1分鐘以后,再次啟動控制臺即可連接進(jìn)入服務(wù)器。1.3.3.2.用戶管理控制臺中“用戶組根節(jié)點”模塊用于系統(tǒng)中的用戶管理。組織結(jié)構(gòu)圖,如圖1.3-33所示: 圖 1.3-33 用戶管理組織結(jié)構(gòu)圖其中有用戶組根節(jié)點、用戶組及三種形式的用戶,以下將做詳細(xì)解釋:1:“用戶組根節(jié)點”包含所有的用戶組、用戶,“(28”指該系統(tǒng)中有28個用戶。2:“口令用戶”指用戶組名稱,“(6”指該用戶組中共有6個用戶。3:同步windows域用戶,作為口令用戶來管理。4:令牌用戶5:口令用戶用戶組的管理對用戶組的管理包括用戶組的添加、用戶組名稱修改、用戶分組信息

53、修改,用戶組的刪除。用戶組添加右擊用戶組根節(jié)點,點擊“新建用戶組”,則可以進(jìn)行用戶組的新建。如圖 1.3-34所示: 圖 1.3-34 新建用戶組操作界面 用戶組名稱修改用鼠標(biāo)左鍵在選中需要修改名稱的用戶組節(jié)點,在上面再次單擊鼠標(biāo)左鍵,或按F2功能鍵,或者點擊右鍵選擇“重命名”,可輸入要修改的用戶組的名稱,完成對用戶組的改名操作,如圖 1.3-35所示: 圖 1.3-35修改用戶組名稱用戶分組信息修改方法1:選中需要修改上級節(jié)點的用戶組,把它拖放到目標(biāo)用戶組節(jié)點(即:將需要修改的上級用戶組的節(jié)點上按下鼠標(biāo)左鍵不放,移動鼠標(biāo)到新的上級節(jié)點上,然后松開鼠標(biāo)左鍵即可,如圖1.3-36所示: 圖 1.3-36修改用戶組分組信息1方法2:選中需要修改選中需要修改上級節(jié)點的用戶組,右擊選擇“剪切”,然后再選中目標(biāo)用戶組節(jié)點,右擊選擇“粘貼”,如圖 1.3-37所示: 圖 1.3-37修改用戶組分組信息2注意事項:此功能在2000操作系統(tǒng)下不能實現(xiàn)。 用戶組刪除右擊需要刪除的用戶組,點擊“刪除”,即