IPtrust使用手册

网盾IPtrust内网安全管理系统

使用手册

上海网程通信科技发展有限公司

二零零五年十月

目录

概述 (5)

一、主要功能 (5)

二、基本运行框架 (6)

安装 (8)

一、安装模块选定策略 (8)

二、系统要求 (8)

三、安装 (9)

1、服务器、控制台和远程交换机的安装 (10)

2、代理模块的安装 (11)

3、代理模块的远程安装 (11)

4、Web安装方式 (11)

五、卸载 (13)

1、代理模块的卸载 (13)

2、服务器、控制台和远程交换机的卸载 (13)

服务器模块的使用 (14)

一、服务器的启动、停止和退出 (14)

二、系统注册 (15)

三、屏幕历史备份 (16)

四、磁带机的操作： (18)

1、格式化 (18)

2、解锁 (18)

五、远程连接设置 (18)

六、选择数据库 (19)

七、升级序列号 (20)

控制台模块的使用 (21)

一、启动 (21)

1、启动 (21)

2、选择服务器连接 (21)

3、控制台界面简介 (22)

二、计算机及分组操作 (23)

1、选择操作的对象 (23)

2、建立新的分组 (23)

3、为计算机指定分组和改变分组 (24)

4、代理计算机的参数设置 (25)

5、删除 (28)

6、改名 (28)

7、导出 (28)

8、打印，打印预览 (28)

三、计算机控制操作 (28)

1、锁定/解锁计算机 (29)

2、向计算机发通知消息 (29)

5、卸载代理模块 (30)

四、监视操作 (31)

1、自动跟踪屏幕快照 (31)

2、多屏监视 (31)

五、查看操作 (32)

1、基本信息 (32)

2、每日应用程序报告 (32)

3、每日浏览网站报告 (33)

4、运行日志 (33)

5、即时通信消息 (34)

6、软硬件配置 (35)

7、资产管理 (35)

8、文档操作日志 (35)

9、网络共享 (35)

10、报警规则 (36)

11、查看历史画面 (38)

六、高级控制 (38)

1、禁止运行应用程序 (38)

2、禁止浏览网站 (39)

3、设备控制和禁止 (39)

4、网络端口管理 (40)

七、工具操作 (41)

1、重新登录 (41)

2、修改用户密码 (41)

3、计算机管理 (42)

4、描述说明管理 (42)

5、用户管理 (42)

6、软件分发 (43)

7、历史查询 (44)

8、系统日志 (45)

9、应用程序统计 (46)

10、浏览网页统计 (46)

11、升级序列号 (46)

12、升级代理模块 (46)

13、参数设定 (47)

屏幕查看器 (50)

一、显示帧和播放 (50)

二、显示方式 (51)

三、多窗口功能 (51)

远程交换机 (52)

一、启动和关闭 (52)

二、查看状态 (52)

三、设置参数 (53)

技术支持 (54)

版权所有

版权所有? 2004 上海网程通信科技发展有限公司。保留所有权利。

本手册之所有咨询皆有版权。本手册之任何资料非经上海网程通信科技发展有限公司书面同意，不得以电子、机械、磁性、光学、化学、手写或任何之形式加以复制、传送、改写及存储在存取系统，或者翻译成任何语文或电脑语言。

IPtrust是在企业网络内监视和记录各台计算机的全面使用情况的工具。它具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档，设备管理及控制等功能。IPtrust 根据需要自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况，记录用户在计算机上的各项操作并能对指定的操作进行限制。这样，IPtrust 可以让您随时了解您公司的计算机用户的资源利用情况，从而保证企业的信息安全，提高生产效率。

一、主要功能

IPtrust是一个对企业网络进行监视的有效工具。它的主要功能包括：

?可以实时监视和记录局域网上各个计算机上的屏幕快照；

?可以将所有计算机的屏幕快照归档保存，并能方便快速地查阅和回放所保存的历史记录；

?可以记录所有计算机各项应用运行的情况以及浏览互联网的情况，并能产生统计图表让管理者查看用户的工作情况；

?阻止计算机运行某些指定的应用程序或浏览指定的网站；

?对所有计算机的软硬件配置进行审计；

?记录用户对文档的操作和打印；

?启用/禁用系统的外部设备；

?管理者可以通过互联网或其它远程通讯的方式管理远程网内的运行情况。

现代企业不仅要保护自己的基础建设的资源，还必须维护其商誉、资产及员工。IPtrust提供的这种有效的监视可协助降低企业进行商业活动时所面临的风险。具体而言，通过IPtrust 的有效监视解决方案可获得的利益包括：

实时监视计算机

透过IPtrust的协助，管理人员可以随时监控员工在计算机上所进行的活动，并可作出实时响应。

运行统计

IPtrust会生成管理人员所关心的用户各项应用程序以及浏览的网站的统计报告，以供对工作人员的工作情况进行评估。

强大的数据压缩，归档和查看功能.

优化的数据压缩算法确保了资料的高效存取。历史的屏幕快照信息通过系统的内部归档子系统按特定的格式存储在服务器端并可由系统管理员将它备份到指定的后备存储设备中。经授权的用户可以在需要时利用系统的查看功能随时对特定的计算机在特定的时间段的历史信息进行查阅。

强大的资料加密功能

工作站与服务器之间的数据传输利用DES算法进行加密。这种加密的处理让系统有足够的能力保护资料和防止非法资料截获。

系统具有认证功能

通过系统独特的服务器、代理及控制台之间的认证功能，工作站的代理只向经过认证的服务器响应，从而有效防止非法服务器窃取系统资料。

远程管理

系统允许用户通过互联网的方式连接到异地的局域网中，实时管理和查看异地的计算机使用。

友好的用户界面

IPtrust 既有强大的监视和数据管理功能,又有简单易用的用户界面。图形化的用户界面让系统的所有功能一目了然。

可扩展的和节约成本的解决方案

IPtrust系统充分利用现有的计算机设备，并且可以随时从单个工作站方便的扩充到网络环境，受监控的工作站的多少也可以随时按需调整。这种系统的特性减少了硬件和网络提升后所带来的软件成本上升的压力。

二、基本运行框架

IPtrust基本系统由四个不同的模块组成：代理模块（Agent）、服务器模块（Server）、控制台模块（Console）和远程交换模块（Switch）。用户可以根据具体需要将它们安装在网络中的计算机上。代理模块安装在每一台需要被监视的计算机上。服务器模块用来存储和管理所有安装有代理模块的计算机，用于管理监视所产生的资料，一般安装在一台具有大容量内存的用作服务器的计算机上。控制台模块主要用于监视每台安装有代理模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算机上。而远程交换模块安装在互联网上或两个不同的网络的连接处。系统的基本框架如下图所示。

IPtrust系统基本架构图

代理模块的基本功能包括：

?定时采集数据并保存

?定时将采集的数据传送到服务器

?响应控制台发出的监视请求，传送实时的屏幕快照信息

?根据系统的设置控制计算机的操作

服务器模块的基本功能包括：

?定时搜索网络，管理所有已安装代理程序的机器，并向代理模块传递相关的设置和命令信息?收集代理模块的采集的数据，并将其保存到数据库中

?备份历史资料

?提供方便灵活的历史记录管理、归档、搜索、查看等功能

?根据用户的需要可以将系统运行的状态和报告通过邮件发给远程的用户

控制台模块的基本功能包括：

?实时获取被监视计算机的屏幕快照等信息

?按需要，对单个或对一组目标机进行实时监视

?设置监视和控制规则

?查看并播放记录在服务器端的历史记录

?查询特定机器特定时刻的历史记录

远程交换模块

?远程交换模块负责建立并保持远程的控制台与局域网上的服务器的通信

一、安装模块选定策略

IPtrust系统由四个不同的模块组成：代理模块（Agent）、服务器模块（Server）、控制台模块（Console）、远程交换模块（Switch）。用户可以根据具体需要将它们安装在企业网络上的计算机上。

服务器模块用来存储和管理所有安装有代理模块的计算机用于监视所产生的资料，一般安装在一台具有大容量内存的用作服务器的计算机上。这台计算机一般由公司的计算机操作员管理。注意：局域网上同一个网段中只允许在一台计算机上运行服务器模块。

代理模块安装在每一台需要被监视的计算机上。代理模块在安装到需要被监视的计算机上后，每次在被监视的计算机用户登录时，代理模块会自动运行。安装有代理模块的计算机具有较强的安全保护功能。代理模块经过安装后在系统后台运行，用户看不到代理模块的运行痕迹，可防止被非授权用户删除。用户可以利用控制台模块来实时了解安装有代理模块的计算机的代理程序运行情况，并且根据需要卸载代理模块。

控制台模块主要用于实时监视每台安装有代理模块的计算机，以及查看保存在服务器上的历史资料，一般安装在公司的经过授权的管理人员的计算机上。

远程交换模块主要用于连接远程的控制台和局域网上的服务器，并保障它们的通信。它应该安装在能连接到互联网的机器上或者是可以直接被服务器和远程控制台访问的位置上。

二、系统要求

安装代理模块的计算机的基本要求：

?操作系统Win95 OSR2/98/ME/NT/2000/XP

?最低配置Pentium 166/64MB 内存/10MB可用硬盘空间

?建议配置PentiumⅢ500/128MB内存/100MB可用硬盘空间以上

安装服务器模块的计算机的基本要求：

?操作系统Win95 OSR2/98/ME/NT/2000/XP

?最低配置PentiumⅢ500/128MB内存/10GB可用硬盘空间

?建议配置PentiumⅢ1G/256MB内存/50GB可用硬盘空间以上

安装控制台的计算机的基本要求：

?操作系统Win95 OSR2/98/ME/NT/2000/XP

?最低配置Pentium 166/64MB内存/10MB可用硬盘空间

?建议配置PentiumⅢ500/128MB内存/100MB可用硬盘空间以上

安装远程交换机的计算机的基本要求：

?操作系统Win95 OSR2/98/ME/NT/2000/XP

?最低配置Pentium 166 /64MB内存/10MB可用硬盘空间

?建议配置PentiumⅢ500/128MB内存/100MB可用硬盘空间以上

三、安装

运行安装光盘上的setup.exe程序，会弹出一个安装画面，我们可以从这里选择安装服务器、控制台、交换机和代理程序。

1、服务器、控制台和远程交换机的安装

（1）选择“安装服务器、控制台程序”开始安装。

（2）系统会弹出安装程序窗口，按照安装系统的提示逐步点击“下一步”按钮，在继续安装前请仔细阅读《软件最终用户许可协议》，你只有同意该协议才可以继续安装。

（3）接着系统会提示用户确定安装的路径，用户也可以自己选择安装的路径，可以选择一个存储空间较大的盘符来安装IPtrust 服务器。

（4）安装程序会提示用户选择安装类型和组件：

（5）您可以根据需要选择安装IPtrust的服务器、控制台和交换机组件。

（6）点击下一步继续，假如你想在Windows桌面创建IPtrust 控制台的快捷方式，你可选取“在桌面创建IPtrust 控制台快捷方式”复选框。

（7）点击“下一步”按钮继续，系统此时显示用户的安装信息，提示用户现在将进行复制文件，用户确定安装后单击“安装”按钮开始复制文件。

如果是在Win95/98/NT4.0上安装服务器模块时，系统还会自动安装微软的数据组件（MDAC 2.5）。

安装程序会弹出创建数据库窗口, 用户可以选择微软的Access和SQL Server数据库。

如果选择的数据库已经存在，系统将会作出以下的提示：

（8）复制文件结束后系统安装完毕，单击“结束”按钮结束。

2、代理模块的安装

在安装画面选择“安装代理程序”可以在该计算机上安装代理模块。按照安装程序的提示逐步点击“下一步”按钮执行安装步骤。

3、代理模块的远程安装

在一个较大规模的网络中，逐个地到每台计算机上安装代理模块对管理员来说是一件相当繁琐的事情。我们为您提供了两种远程安装的方式。

(1)通过登录脚本安装

在安装有Windows NT/2000域服务器的NT网络，对在Windows登录时要登录到域的计算机可以采用设置登录脚本的安装方式。

具体的设置方式可以参看安装光盘的RInst目录下的Script.doc文件。

(2)NT系统下的远程安装

对于不登录到域或不运行登录脚本的WinNT/2000/XP的计算机上，我们可以使用这种远程安装的方式。详细情况也请参看安装光盘的Rinst目录下的说明文件readme.doc。

4、Web安装方式

可在安装光盘的WebInstaller中找到相应的文件：

一、系统需要的文件

1.intro.htm 起始文件

2.start.htm 安装文件

3.IPtrust.gif 系统Logo

4.webinst2.cab 安装用的组件

5. IPgAKit.exe 在光盘上的Agent安装程序

二、实施

1.将上述1--4文件复制到Web服务器下的一个目录。

3.建立对intro.htm的一个链接。

4.在客户端运行指向intro.htm的页面可以按照提示进行安装。如下是示意图：

设定属性如图所示：

请设置好虚拟目录名和执行页面。

在需要安装电脑上输入默认WEB页面链接地址(圈起的改成相应内网中建WEB页面计算机的IP地址)，见下图，点击“开始安装网络管理组件客户端”就可以在安装了。

五、卸载

1、代理模块的卸载

代理模块无法自行卸载，您必须在控制台里对该代理模块手工卸载。如果是演示版的代理程序则在试用期过后会自动自己卸载。

2、服务器、控制台和远程交换机的卸载

首先关闭IPtrust服务器、控制台和远程交换机等应用程序，然后选择系统“开始”菜单的“程序->IPtrust->卸载IPtrust”进行卸载，也可以选择在“控制面板->添加/删除程序”中选择IPtrust进行卸载。

服务器模块用来存储和管理所有安装有代理模块的计算机用于监视所产生的资料，一台计算机上只能运行一个服务器模块。为了系统的安全性，在同一个网段，系统只允许一台计算机运行服务器模块，从而我们可以发现是否有未经授权的服务器模块在运行，当已经有服务器模块在运行时，我们再启动服务器模块系统会提示已有服务器模块运行并退出。服务器模块主要的操作包括服务器的启动、停止和退出，资料的备份以及系统的一些基本参数设定等。

一、服务器的启动、停止和退出

系统安装完毕后服务器模块会在系统启动时自动开始运行，也可以单击所安装到程序夹位置处的“IPtrust 服务器”手工启动服务器模块。

如果在局域网中已经有其它的服务器模块正在运行，系统会报告正在运行的运行服务器模块的计算机的IP 地址并退出。如下图所示。

如果希望在新的计算机上运行服务器模块，则必须关闭在其它计算机上的服务器模块。

服务器模块在启动成功后，在屏幕的沙盘里会出现一个小图标。

用鼠标右键单击沙盘里的服务器图标，系统会弹出如下图所示的菜单。

用户可以选择启动或停止服务器的工作。在服务器停止的时候，沙盘里的图标会变成灰色的。

【注意：在选择停止或关闭服务器时，系统会提示用户输入用户名和密码来确认用户是否有此权限来进行此操作。在初始时系统有一个管理员的帐户是“admin”，密码是空的。管理员可以在控制台程序里对用户进行管理。参见：“用户管理”】

二、系统注册

在启动服务器后我们会提示您输入正式的序列号，这是由我们或经销商给您的一个序列号码。它是由8加16个字符组成的字符串：

当您输入了序列号以后，我们还需要您注册您的产品。

【注意：您必须在输入序列号以后14天内注册您的产品。否则系统将无法继续运行。】

在下面的注册对话框中的第一步填写您的用户名称，邮件地址和联络电话。产品号是根据您的服务器的硬件配置生成的。

您在填写完后选择在线注册可以即时获得我们给您提供的注册码。如果因为网络或别的问题，无法即时获得注册码，您也可以使用邮件注册的方式，发送邮件给我们进行处理。我们会在处理完后将注册码发送到您的邮箱。

在第二步输入您获得的注册码，按“确定”后您的注册就成功了。如果您暂时还无法获得注册码，可以先按“以后再注册”继续运行服务器，等您获得注册码之后再完成注册工作。

三、屏幕历史备份

【注意：用户需要具有系统设置的权限才能对相关参数进行设置。】

由于计算机的屏幕历史数据很大，我们对每台计算机每天的历史记录有单独的文件存放。如果这些资料很重要，您需要备份它们以备将来查阅使用。在“工具->选项”菜单中选择“备份”栏：

资料备份的参数包括以下参数：

类型：用来设定服务器模块备份历史资料时的移动设备的类型。

移动设备的类型可分为：

?无：如果选择无，则系统不会自动备份；

?磁盘：如果选择磁盘，则使用CDRW，DVD驱动器以及网络驱动器备份，但是要保证它能像硬盘机一样可以直接进行档案读写的操作。您可以直接输入移动设备的路径或按右边的

浏览按钮选择路径；

?磁带：如果选择磁带，则必须指定磁带机的序号，第一个为0，第二个为1，如此类推。您可以用验证按钮验证已选择的磁带机。

时间：您可以设定服务器定时自动将屏幕快照历史资料复制到历史数据库中。我们在如下图中简单描绘一下屏幕历史记录的备份过程：

如移动设备的类型为磁盘或磁带，系统会激活自动备份，用户可以选择自动复制的执行时间：

?每天第一次启动时：每天服务器模块启动时进行复制；

?每天定时在：在每天指定的时间进行复制；

?记录保留天数：这个选项设定备份记录的在服务器上的保留天数，默认值为5天。

四、磁带机的操作：

【注意： IPtrust并不是支持所有类型的磁带机设备。请在购买前向经销商或我们查询IPtrust是否支持您的磁带机。目前系统支持与HP DAT24兼容的磁带机。】

1、格式化

对一个未被IPtrust 系统格式化化的磁带，在备份之前，您需要在菜单中选择“工具->格式化磁带”进行格式化操作。假如磁带已经被格式化，系统将会作出以下的提示，提醒您磁带已经被格式化。

当格式化完成后，系统将会作出以下的提示。

2、解锁

在开始做磁带备份后，系统会将磁带锁定并开始读写操作。当备份完成后，如果想取出磁带机内的磁带，选择菜单“工具->解锁磁带”。这样磁带锁解除，可以取出磁带了。

五、远程连接设置

在系统中，远程的控制台和服务器是通过远程交换机来通讯的，这就要求服务器连接到远程交换机上。用户可以设置远程连接的参数来设置服务器是否允许远程控制及如何建立网络连接。如下图所示：

远程参数包括

?允许远程控制：选择此项表示服务器允许远程的控制台登录到系统中并进行远程管理；否则将禁止

远程的控制台登录。如果有多个服务器同时连到远程交换机，而每一个服务器设定

了编号，可以直接输入服务器编号选定允许远程的控制台登陆的服务器。

?固定网络地址/名称：如果远程交换机具有固定的IP地址或名称，则使用此项可以使服务器通过IP地

址或名称连接到远程交换机上。

?从邮件获取网络地址：如果远程交换机的IP地址是动态的，则我们可以通过邮件来获取远程交换机的

地址。

?POP3 服务器：设置指定邮箱的POP3服务器。

?帐号：设置指定邮箱的帐号。

?密码：设置指定邮箱的密码。

六、选择数据库

IPtrust支持Microsoft Access和Microsoft SQL Server两种数据库。用鼠标右键单击沙盘里的服务器图标，，选择菜单“工具->选择数据库”，用户就可以根据需要更改当前的数据库设置。

如果用户想使用Microsoft SQL Server数据库，在安装IPtrust服务器的机器上必须安装MSDE或Microsoft SQL Server。为了在服务器上成功创建数据库，用户必须输入MSDE或SQL Server登录的用户名和密码。

设置完后可以按测试按钮检查设置是否正确。

如果数据库连接成功，系统将会作出以下的提示：

如果数据库连接失败，系统将会作出以下的提示：

【注意：更改后的数据库只能在用户重新启动服务器后才生效。】

七、升级序列号

我们的每一个服务器模块都可以管理一定数量的代理模块，当您在网络上要管理的计算机超过您的服务器模块所能管理的代理模块数目时，您可以向为您提供IPtrust产品的经销商或我们购买一个能支持更多代理模块的序列号。

当您得到新的序列号之后，点击菜单“工具->升级序列号”项，在对话框中输入您新的序列号。当您输入正确后，系统会提示您更新序列号成功。如果您已经成功注册过，输入新序列号以后无需再注册。