.png)
软件介绍
DeviceLock是一款由DeviceLock安全公司针对全球商业、教育和政府机构的端点设备/端口控制和数据泄漏量身定做的加密软件。根据统计,外部的安全威胁实际上仅占所有安全威胁的 20% 而已,其余 80% 往往是由于组织内部的员工行为导致。尽管在企业内,加密与
防病毒
软件已是基本所需,但却不是企业内部信息安全的唯一需求。恶意或心怀不满的员工可能窃取公司的机密文件。员工将木马程式(Trojans)、蠕虫(Worms)、甚至病毒(Viruses)带进公司内部网络。员工有可能是心怀不轨想要采取报复行动,或者只是无知地在他们的个人电脑中使用即插即用(plug and play)装置。机密档案在不知不觉中被错误覆盖、以及在错误操作下发生损毁。而DeviceLock恰好就是专门针对这一方面对重要设备和文件进行加密,软件使用灵活,操作简单,充分学习了一些大型互联网安全公司的数据保护理念,可以通过组策略(Group Policy)集中配置、存储与同步策略内容,大幅减少管理时间与降低学习成本。DeviceLock也是DeviceLock Endpoint DLP Suite的基本模块,该模块主要是针对电脑的外设装置进行控管与审计。在任何时间、任何地点、任何人均无法将公司的机密资料透过外设装置复制出去,也可以设定不能使用 U 盘,以避免病毒透过 U 盘入侵到企业的内部网络。可管理 USB、FireWire、蓝牙(Bluetooth)、WiFi、软盘机、CD/DVD光驱、磁带机、ZIP装置、串口与并口(Serial & Parallel Ports)、红外线、以及其他随插即用(plug-and-play)设备。除此之外,管理者即可根据每日时间与每周日期,来控管任何周边设备的存取。
功能
1、外设装置访问控制(DL_Permission)
DeviceLock针对电脑常见的外设装置均能进行控管与审计(支持哪些外设装置请参考产品规格说明)。用户可以针对不同的用户或群组指定不同的读写权限(例如:不能使用、只能读取、或可读可写),而且可以根据不同的工作日及时段来设定权限。
2、移动设备更细腻地控管
针对常见的移动设备(如iPhone、Windows Mobile、BlackBerry、Palm、MTP…等),提供更细腻的控管策略,例如:你可以对日历、联系人、邮件、任务、便签、备分…等细项进行更细部的设定。无论该设备是通过何种接口(USB、COM、IrDA、蓝牙)与电脑连接都适用一致的策略,该功能可以让员工生产力、方便性与安全性之间达到平衡。
3、剪切板控制(Clipboard Control)
DeviceLock 可以让数据泄漏在萌芽阶段即被有效地阻止。DeviceLock 可以选择性地控制用户在剪贴板的各种类型复制或操作,包括文件、文本数据、图像数据、音频片段(如Windows声音记录器捕获的记录)和不明身份的数据类型。截屏操作可以阻止计算机的 Windows 截图功能和第三方应用程序的截图功能。
4、完整的设备使用记录(Audit Log)
提供设备使用情形的完整审计记录。包含事件时间、设备类别、执行动作、执行身份、当时的程序(Process)。记录以操作系统的记录(Event Log)格式暂存于使用者电脑上,也可设定自动集中回传存储服务器端,以达到集中且方便的报表与审计目的。
5、提供外存档案的留档(Data Shadow)
为审计外存文件的实际内容,可针对许可写出文件的人员设定外存文件留档的功能。当员工通过复制文件至外部储存装置或刻录至光盘,都可以备份一份并回传至服务器端;当设备不在内部网络时,留档的资料会暂存于个人电脑端,待回到内网后再将留档文件回传到服务器。
6、即插即用设备盘点报告
协助用户针对特定用户或电脑的即插即用设备进行盘点报表,从报表中可以看出哪些设备在何时曾被何人接入到哪些电脑,该报表可盘点USB、FireWrie、及PCMCIA的各种设备。
7、USB设备白名单
USB设备的生产厂商会依据其取得的厂商编号,产品编号加上设备序号合并作为DeviceID,因此,我们可以针对特定设备型号或序号(DeviceID)进行允许或锁定。常见的应用情境:单位内仅可使用经过申请的特定设备,其他设备一律禁止。设定权限时可针对产品整批开放,或者是针对唯一设备序号进行开放。
8、暂时白名单(Temporary White List)
针对出差在外有临时需要使用移动存储设备的人,可以通过电话/Email等方式向相关人员申请临时性的许可权限。使用者汇报电脑上显示的设备序号,管理者可据此产生一个临时性开放码,该开放码可以制定放行的时间段或直到设备拔除。中间的沟通可通过语音电话完成,而开放期间的使用行为也可留下记录。
9、真实文件格式管控
支持依据档案的真正格式制定允许或禁止传输的策略,使用户不能通过篡改文件后缀名来规避策略。例如:用户可以禁止如CAD、PSD等设计图文件,输出到计算机外部;DeviceLock目前的文件格式特征
数据库
超过 3,000 种文件。
10、媒体白名单(Media White List)
可针对特定的DVD/CD-ROM光盘建立特定的媒体指纹,并且设定仅有特定的指纹才能使用。常见的应用是在一些开放的资料查询电脑上,如图书馆、公共展示Kisok机等,要锁住仅能使用特定的光盘资料,甚至锁住光盘弹出按钮,避免被未经授权的人员抽取调换。
11、加密软件整合应用
DeviceLock可以识别经过加密的PGP、TrueCrypt与DriveCrypt磁盘(含U盘等各种便携式存储设备)。可以在策略指定唯有外接设备是加密的情况下,才准许写出文件,如果接入的是未加密的U盘,则仅能只读,以符合企业的安全策略。
特色
1、与 AD 组策略无缝整合
当 DeviceLock 应用于使用微软 AD 域环境中,可以通过组策略(Group Policy)集中配置、存储与同步策略内容。与企业中暨有的网域采用相同的管理方法,可以大幅减少管理时间与降低学习成本。
2、DeviceLock 用户端服务监控
当用户的环境有安装 DeviceLock Enterprise Server 时,可以即时监控分散在个人电脑的客户端程序的运作状况,并进行集中记录与统计。
3、Tamper Protection篡改保护
客户端程序设计了一系列防破坏措施,以保护本身不被用户破坏。保护措施包含:服务无法被用户任意停用、后台程序无法被暴力停止、即使拥有本机管理员权限也无法破坏。系统可以指定特定DeviceLock管理员账号,只有管理员才能进行相关的维护与管理操作。
4、防键盘记录 Anti-keylogger 功能
可以侦测使用者的电脑键盘是否有被偷偷串接硬件式键盘记录设备。当 DeviceLock 侦测到这些设备存在时,除了会发出警告外,还可以欺骗 PS/2 界面的键盘输入,使得其记录到的只是一串无意义的乱码。
5、内、外网的策略差异化
DeviceLock提供内、外网感知能力,你可以针对用户在内部网络或外部网络时,套用不同的策略。例如:当用户端的有线网络接到内网时,就禁止使用 WiFi 无线网络,以避免有线与无线桥接带来的风险。
6、报警(Alerting)
DeviceLock 通过终端的数据防护提供了SNMP 和基于SMTP的报警能力,对于用户在设备上的行为对主管或管理员,进行实时的通知。
7、服务器优化选择(Optimal Server Selection)
当你的用户数较多时,可以安装多台 DeviceLock 服务器,用户端会自动从企业服务器列表上选择最快且可用的服务器,对审计和留档的日志进行传输。
8、流量控制
DeviceLock 可以为发送审计和留档文件到企业服务器时,进行带宽的限制,这样有助于降低网络的负载。
9、回传资料流量最佳化与压缩
针对记录与留档文件的资料回收操作,可以制定带宽使用限制,并可对回传的资料流自动压缩以降低网络负载,减少资料大量回传时所造成的网络冲击。当部署多个资料回收服务器的情况下,可自动选择识别最佳化的回传路径。
10、Search Server
Search Server模块提供针对 DeviceLock Enterprise Server 所收回的留档文件,进行「全文检索」方式的审计。它可以对常用的文件格式中文字内容进行检索查询,这些格式包含:Adobe Acrobat(PDF)、Ami Pro、压缩文件案(GZIP、RAR、 ZIP)、Lotus 1-2-3、Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Word、Microsoft Works、OpenOffice(documents、spreadsheetsand presentations)、以及其他常用格式。
安装教程
1、解压安装包,双击“setup.exe”,等待片刻自动弹出安装界面,直接跳过点击next
2、按提示框点击“next”
3、勾选“I accept the terms in the license agreement(我接受许可协议中的条款)”,协议的内容自行决定是否要浏览,可直接跳过内容浏览点击next
4、选择程序的安装路径,默认路径为C:Program Files (x86)DeviceLock,可点击change更换安装路径,或直接默认,请确保所选择的硬盘满足其安装要求,然后点击“next”
5、按提示框点击“install”进入安装
6、开始正式的安装,因电脑配置不同安装所需时间也不同,请耐心等待
7、如出现下图表示安装完成,点击“finish”即可
常见问题
问题:DeviceLock® 的用途?
回答:DeviceLock® 是管理员用来控制用户可以使用何种外设的一个管理工具。一旦 DevickLock 被安装到电脑上,管理员可以根据每周和每天的时间来设置用户的使用权限。DeviceLock 加强了管理员对移动存储设备的管理和控制,通过这些管理保护技术算计和网络不被移动存储设备上的病毒、木马、和恶意软件攻击。管理员也可以使用它来限制用户使用移动存储设备和刷新移动 Device’s buffers。
问题:既然我可以使用组策略(Group Policy),我为什么还要使用 DeviceLock® ?
回答:Windows 系统标准权限控制方案中没有可以分配控制 USB、1394、WiFi、蓝牙、和红外接口的使用权。任何人(不需要是管理员)都可以使用基于这些接口的设备从电脑上下载大量的数据。而管理员不能通过组策略来控制 WiFi、蓝牙、USB、和 1394 设备。
问题:有没有定时将客户端 Agent 状态发送给我的功能?
回答:DeviceLock 本身并不提供这样的功能,但是你可以安装达友科技开发的 Docutek DeviceLock Reporter 软件,可以设置发送报表到指定的邮箱。
问题:怎样正确安装控制台?怎样安装企业管理器?怎样安装DeviceLock策略管理器?
回答:在 DeviceLock 中所有部件都是在一个安装包中,只有一个安装文件 setup.exe。
setup.exe 包含有 DeviceLock® 管理控制台、策略编辑器、企业管理器和 Agent 以及产品说明书和帮助文件。
DeviceLock® 企业管理器是用来同时管理多台电脑的控制平台。可以用它来修改策略、安装、更新、和卸载 Agent 也可以用来查看联网电脑的审核记录。如果没有域而且有一个比较大的网络的话推荐使用企业管理器来管理。
DeviceLock® 控制台是一个 MMC 接件。用它可以查看或修改一台电脑外设的权限控制、安装和升级 Agent、查看电脑上的审核记录。同时也可以用它来查看 DeviceLock® 服务器上的审核记录和管理服务器设置。
DeviceLock® 组策略管理 Windows 2000 及以后版本的组策略编辑器整合在一起。用它可以在整个域范围内定义 DeviceLock 设置,设置权限和审核记录规则。
问题:Windows NT/2000/XP/Vista/7/8 系统中没有管理员权限的情况下我可以安装 DeviceLock® 吗?
回答:不行。在 NT/XP/2000/Vista/7/8 系统中必须有管理员权限才可以安装此软件。如果是单机系统就必须是电脑的管理员才可以安装此程序,如果是在域环境中则必须是域管理员权限才可以装好 DeviceLock。
问题:我在 WIN 95/98/ME 系统中可以安装 DeviceLock®吗?
回答:在 Windows 9x/Me 系统中,使用 DeviceLock® Millennium 版本来做相应的控制。
问题:DeviceLock® 能自动安装到系统中去吗?
回答:可以。在运行 DeviceLock® Setup.exe 的时候加 /s 参数 (例如:setup.exe /s)。 有一个配置文件给安静模式安装使用:deviceLock.ini,配置好只有可以用批处理文件来运行 setup.exe /s 详细信息请参手册。
问题:可以使用微软的系统管理服务器来安装 DeviceLock® 软件吗?
回答:可以。安装包里面有一个叫 sms.zip 的文件,就是用于系统管理服务器安装的。
问题:不到电脑面前可以安装 DeviceLock® 软件吗?
回答:可以。DeviceLock® 支持远程安装,用管理控制台连接到远程电脑上,如果没有安装软件或者版本过老,控制台就会建议你安装或者是升级 DeviceLock® Agent。可以在后面的界面里面选取安装或升级的 exe 文件(安装目录下的DLService.exe)。
问题:怎样给 DeviceLock® Agent 指定端口?
回答:默认情况下 Agent 会使用动态端口,每次服务器启动都会动态分配一个端口,但是如果有防火墙的话就不好指定开放那个端口了,为了克服这个困难你可以修改注册表来给 Agent 指定一个端口。
键: HKEY_LOCAL_MACHINESOFTWARESmartLine VisionDeviceLock
名称: ncacn_ip_tcp[port number]
类型: REG_SZ
值: not used (can be empty)
端口号:就是指定 Agent 和控制台用来通讯的端口,这个值是可以为空。 注册表编辑完毕之后应该重启 DLService 服务,使更改生效。 重启服务之后要连接到客户机,控制台要使用机器名[端口号]这样的格式来连接 DeviceLock。 请注意如果给 Agent 指定端口,则远程安装/升级功能就失效了。也就不可远程对 Agent 进行安装/升级,同时呀是没有开放 139 端口的话远程审核记录查看也将受到限制。
问题:为使 DeviceLock® 正常运行,我需要开放那些端口?
回答:可以给 Agent 指定端口以方便设置防火墙,配置方法上面已经说过了。你也可以给 Agent 指定动态端口。如果要给 Agent 指定动态端口则可以按照下面的方法执行。
开放135-139端口和1024以上的所有端口:
Port 135 (TCP) – Remote Procedure Call (RPC) Service
Port 137 (UDP) – NetBIOS Name Service
Port 138 (UDP) – NetBIOS Netlogon and Browsing
Port 139 (TCP) – NetBIOS session (NET USE)
Ports above 1024 (TCP) – 用于 RPC 通讯
DeviceLock® 的运作模式和其他 Windows NT/2000/XP/Vista/7/8 管理工具 (如:时间查看器、服务管理器 Services、计算机管理…等是一样的,因此只要这些管理工具可以使用,DeviceLock® 也就可以正常使用。要获得更多关于端口的信息请查看微软知识库。
问题:当我连接到远程计算机时,收到 1722 错误 (“The RPC Server is unavailable”) 是怎么回事?
回答:1722 错误意味着 DeviceLock 控制台不能控制到远程电脑的 Agent,原因主要有下面一些:
计算机不在网络中(计算机名称或 IP 地址错误或者是已经关机但是名称还在网络浏览器中存在)。
远程计算机不是 Windows NT/2000/XP/Vista/7/8 系统,Agent不能被安装到此计算机上。
远程计算机在没有被正确配置的防火墙保护中(怎么配置防火墙,请看上面的FAQ)。
远程计算机在本机不可以通讯的网段。例如:没有设置好路由,你不可以和远程计算机所在网段通讯。
注意事项
1、特定行业(如HIPAA)的关键字匹配模板,包含 ‘整个单词’ 或 ‘情况’ 的选项,支持对英文、法文、意大利语、德语、西班牙语/加泰罗尼亚语、俄罗斯、葡萄牙、波兰语等语言的转译字及字词的形态分析
2、内建各种常用的正则表达式模版,整合数值阀值条件与布尔(and/or/not/…)规则连接(如 SSN、护照、其他政府签发号码、信用卡、银行产业数字…等)
3、文件和扩展的文档属性(名称、文件大小、是否密码保护、是否包含特定文件、上次修改时间、标题、主题、标签、类别、注释、作者、Oracle IRM…等)
4、外传内容的留档,对于可移动储存装置、即插即用的存储设备、打印、网络协议,PDA本地同步、剪贴板操作等所有可分析的文件格式或数据类型
更新日志
1、增加全面支持微软 Windows 8/8.1 和 Windows Server 2012 。
2、增加了对Apple OS X支持。DeviceLock 支持 Mac 客户端(需要单独授权),它提供 DeviceLock 在 Mac 电脑上的控制功能。
3、修正 Microsoft Word 和 Microsoft Outlook 打印后文件留档的问题。
4、提升 DeviceLock 客户端在不同版本Windows 操作系统及补丁包上的稳定性。
5、修正 DeviceLock 企业管理器(DLEM)控制台的”安装服务”插件的问题。
6、修正 DeviceLock 企业管理器(DLEM)控制台选择特定的服务设置模板(.dls文件)时歇性停止的问题文件。
7、修正 DeviceLock 企业服务器在使用监测任务时有时提示”您的计算机的不支持的服务器版本”的错误消息的问题。
8、修正与第三方软件产品兼容性问题:赛门铁克端点保护 11.0.7101.1056。
