思智ERM系统管理员操作手册

目录第一部分 管理员操作使用说明2一、管理员Administrator21.1 登陆与首页21.1.1 登陆控制台21.2 帐号管理4部门管理5用户管理71.5 客户端管理81.5.1 在线用户绑定81.5.2 离线用户管理101.5.3 绑定信息列表121.6 策略应用131.6.1 基本策略131.7 文件解密审批151.8 高级设置192.1 日志列表23附录（补充工具介绍）2427 第一部分 管理员操作使用说明一、管理员Administrator提示：思智ERM系统服务器安装完成后，为了确保其已经安装成功，应首先登陆控制台界面进行验证，看控制台能否正常登陆。1.1 登陆与首页1.1.1 登陆控制台1. 安装服务器端程序成功后，在任意一台能够与服务器正常连接的内网计算机中（若服务器架设在公网上，也可通过任意一台联网计算机进行访问），访问格式如下：http:/服务器端程序IP地址:9999（若服务器未架设在公网上，则此处输入内网ip地址即可，若服务器架设在公网上，则此处ip访问地址为公网ip），如下图：2. 初次使用控制台，需要安装根证书，该步由系统自动进行检测，界面如下，首先页面提示控制台正在检查根证书是否已安装，点击继续浏览此网站即可：3. 假设此机器第一次登陆控制台，那么将提示安装根证书。点击“是”添加证书：4. 紧接着会弹出安全性警告，点击“是”按钮，允许安装根证书：5. 继续点击“是”按钮，开始安装根证书：6. 待此根证书安装结束后，IE浏览器将自动转入登陆页面。思智ERM系统控制台登录界面如下图所示，输入正确的用户名、口令及校验码后，点击“登录”按钮，即可进入控制台界面。提示：输入用户名 和 口令7. 控制台主界面如下图所示： 操作区菜单区组织结构1.2 帐号管理提示：思智ERM为管理员提供了首次登陆的帐号与密码，为保证系统安全可靠，思智泰克建议管理员在首次登陆控制台时，及时修改为自定义密码，以保障管理员权限不受侵害。该功能可以通过“账号及安全”选项实现。1. 将鼠标移至“账号管理”选项，在下拉菜单中点击“账号及安全”选项，如下图所示：2. 在“账号管理”界面，可以进行当前登陆用户的密码修改操作。 “用户名”即为当前所登陆的用户名，口令要求具有一定的复杂度限制。 部门管理说明：在将客户端机器和组织机构中创建的ERM进行绑定前，管理员可先进行部门设置。部门设置即在思智ERM系统中创建和企业实际一致的部门组织图，可通过菜单“机构管理”中的“部门管理”来实现。1. 将鼠标移至“机构管理”选项，在下拉菜单中点击“部门管理”选项，如下图所示：2. 首先通过“创建部门”创建一个完整的部门组织结构，部门调整及部门撤销是在已存 在的部门基础上进行。3. 部分字段含义如下： 部门共享隔离性：有默认，共享和隔离三种隔离特性。“默认”即用户与用户之间文件不可互相查看，除非授权（即701默认的实现模式）；“共享”即该部门内员工的文件可互相访问（即不需要解密或授权即可相互查看）；“隔离”即该部门内员工可以直接查看别的部门文件，反过来不可以，如下图示说明：A部门属性为默认，即A部门内部员工之间文件互访时需要授权后才能查看。B部门属性为共享，即整个B部门内部员工之间文件可互相查看（无需授权），如C部门内部文件互通，D部门内文件也互通，由于B的下属部门D部门为隔离，则D部门可以直接查看C部门的文件，但C部门若要查看D部门文件，则需要D的授权。 特权部门：即不接受统一策略管理的部门。如若为全公司员工统一下发“禁止使用USB设备”策略，则特权部门不在本策略下发范畴内。提示：特权部门中的用户为特权用户，同样也不会接收统一下发策略的管理。 批量创建部门（INI）：即批量录入部门信息，这里需要提前准备好的格式文件，（如无事先准备好的该ini格式文件，可采取手动一项一项录入的方式）。另外，还可通过Windwos域导入的方式实现部门批量导入（前提是公司内IT系统架构采用了域管理方式并已建立了组织机构），具体操作请参考这里。用户管理说明：对于绑定了客户端的用户，需要将其调整到与实际相符的部门中并设置该用户相应的属性等信息，菜单中位置如下：重要字段含义说明如下： 用户角色：相当于一种用户职能，每种角色其操作范围是不同的，系统中默认的角色有五种（管理范畴是系统提前设置好的），同时系统也支持用户自定义角色。 认证方式：分为磁盘认证，智能卡认证方式等，默认为磁盘认证（即客户端登陆的认证信息写入到本地磁盘文件中，进入windows系统即可进入客户端环境），智能卡认证即采用硬件绑定方式，将该客户端的认证信息写入到某硬件中（即进入客户端环境需要使用相应的硬件钥匙，该钥匙由思智泰克提供）。 文件远程备份设置：及将本地加密文件自动上传到某个指定的服务器上。 批量创建用户：同批量创建部门，提交一定格式的某种文件上传成功后即可实现用户的批量创建。 策略模式：默认即保持原有自身的策略，继承即主动继承其所在部门的策略。1.5 客户端管理通过“客户端管理”选项，可以查看已安装了思智ERM系统客户端程序的机器，其绑定情况和在线或离线状态。1.5.1 在线用户绑定“绑定”含义：指将思智ERM系统组织结构中建立的用户与该用户实际使用的计算机进行关联的操作。通过绑定操作，管理员在控制台对思智ERM系统组织结构中的用户进行的管理，才能够应用于该用户实际使用的计算机中。安装完思智ERM客户端程的机器，重启后，该计算机会自动连接到思智ERM系统服务器，并向服务器发送“绑定请求”，然后由管理员在控制台决定是否受理该绑定请求。绑定过程如下：1. 将鼠标移至“客户端管理”选项，在下拉菜单中选“在线用户绑定”选项，如下图所示：注：“在线用户”是指安装了客户端并能连通ERM服务器的用户，如在一个企业内网环境内或以VPN、VLAN等方式使客户端和服务器处在一个企业管理环境内。2. 这里有三种绑定查询条件：“未绑定”、“已绑定”和“全部”三个选项，按照绑定情况并结合其他查询条件可筛选出需要的记录： 3. “绑定用户”项目栏为空的即为未绑定客户端，已绑定的客户端在“绑定用户”项目中会显示绑定用户名称，如下图所示：4. 选中某条客户端发来的绑定请求，点击“绑定”，在弹出的界面上选择该机器所要对应的ERM用户，如下图所示：5. 绑定成功后，弹出提示框，并在“绑定用户”列中出现已绑定用户名称：6. 至此，该用户的绑定过程结束。使用相同的方法，可以完成更多的组织结构中的用户与该用户实际操作计算机之间的绑定。注意：“清除”会清除掉用户已有的绑定（包括该ERM用户的本地证书等信息），即解除用户与计算机之间的绑定关系。清除完成一段时间后，该客户端会自动发送绑定请求信息到控制台，可以根据之前的操作，再次对该客户端进行绑定。1.5.2 离线用户管理“离线用户”：指客户端连不上ERM服务器，如长期带出去出差的笔记本。 1主界面如下，该界面分为两个部分，离线信息导入：即导入由客户端生成的客户端基本信息文件，格式为ini文件；离线客户端信息导出：即将对该客户端所下发的策略以策略脚本形式进行导出。2. 首先需要在客户端运行一个客户端信息导出工具（查找位置C:Program FilesCommon FilesSagetechcommapp），导出客户端信息并保存，如下图：为避免使用相同的ghost文件进行系统恢复的情况，可以勾选“使用硬盘序列号”，然后“导出”即可。3. 接下来返回到上述的离线用户管理界面，执行 “离线信息导入”操作，将刚才导出的文件从这里导入，如图所示：文件正确导入后，接着该界面下方会多出一个用户绑定界面，绑定操作可参考在线用户绑定操作，如图： 注：一个用户只能存在一种绑定（离线或在线），若已存在在线绑定，则需删除原来的绑定在进行。4. 接下来选择该离线绑定用户，并为该离线用户下发相应的管理策略。5. 设置完毕后将针对该客户端的所下发的管理策略以脚本形式导出： 时间选项：该项为可选项，当选中时，可以设置所设置策略对该用户的作用时间，若不选择（即默认），则对该离线用户的策略设置永久有效。 安全选项：该项也为可选项，当选中时，会提示设置密码信息。6. 设置完成后，导出保存即可。7.返回该离线客户端，使用客户端离线导出工具将刚导出的ini文件导入到该客户端工具中，如导出时设置了口令，在此输入导入口令即可，如下图所示：至此即完成了离线用户与服务器绑定操作，该离线用户即可正常接受控制台统一管理。到这里，客户端基本设置，包括用户的建立和离线设置已经完成，接下来即进入为用户设定操作策略阶段，可进入到策略应用中针对用户进行策略下发操作。1.5.3 绑定信息列表在需要查看系统中所有客户端绑定情况时，可在此进行查看。1. 将鼠标移至“客户端管理”选项，在下拉菜单中点击“绑定信息列表”选项，如下图所示：2. 默认状态下，该界面显示的是已绑定客户端的绑定信息。这里提供了两种查看方式：按绑定情况和排序方式查看；1.6 策略应用在思智ERM系统中，管理员通过策略实现对客户端机器的管理，向客户端下发策略可以通过“策略应用”功能实现。1.6.1 基本策略在需要向思智ERM用户下发基本策略的时候，可以通过菜单“策略应用”中的“基本策略”来实现。1. 将鼠标移至“策略应用”选项，在下拉菜单中点击“基本策略”选项，如下图所示：2. 接下来为选定用户下发基本策略管理。在控制台左侧组织机构图中，选择需要接收策略的用户，如下图所示：系统策略库中所列出的所有策略的具体含义可参考策略列表。3.该界面分为两个组成部分：左边框为系统中所有的策略集合，并且已按照属性进行了分类，右边框为已经添加的策略集合，中间通过“添加”和“删除”按钮来控制选择。策略可通过按住CTRL键进行选择多个。3. 对该用户所要下发的策略选择完成后，点击“应用”弹出如下策略应用确认窗口。选择“确定”，提示策略下发成功，至此，基本策略下发操作完成。这里针对用户所下发的基本策略是一段时间内相对稳定的，除非再次手动进行修改。还有一些策略仅在某些必要的情况下进行应用，在此情况下可以对某个用户下发一次性策略，该策略只能执行一次，具体操作见接下来的一次性策略介绍。为各个用户设定基本操作策略之后，还可查看策略下发统计信息，即某条策略的执行人员有哪些，能从另一个角度观察用户与策略之间的操作关系，可参考策略应用明细。1.7 文件解密审批功能：指定解密审批规则，即由哪些人通过何种审批顺序对要求解密的文件进行解密审批；操作位置如下：审批流程的建立在控制台，选择“文件审核”“制定流程”。可以每个部门有自己单独的流程，也可以多个部门用同一个流程。 新建审批流程解密流程名称：用户自定义；解密流程备注：此流程的详细备注信息（可不填写）；解密文件总数量：申请人每次提交文件的最大限制（如不填则无数量限制）；解密文件大小：申请人每次提交文件的总大小限制（如不填则无大小限制）； 1.2、建立流程节点节点：即每个流程的审核管理职位，每个节点可以设置多个人进行同时审批（节点名称可以取名为主管、经理、部长等方便识别的信息）。注：审核顺序以创建节点顺序为准，如先由主管审批通过以后再由经理审批。 设置相应审批规则添加人员：选择相应节点，选择组织机构人员，在人员列表里进行添加。设置规则：针对每个节点人员设置审批规则。 单选单人审批：节点只有一个人的时候使用； 多选单人审批：节点有多人时，只要一人通过即通过； 多选多人审批：节点有多人时，需要其中两个一上的人员通过才可以通过； 全部审批：节点所有人都需要通过方可流程方可通过； 允许申请者细选审核人：此选项只在多选单人、多选多人规则里；允许审核这细选审核人：勾选此项以后，申请解密人可以自己选择每个节点的审核人员；如不勾选此项，审批信息将会同时发给每个审批人，然后按相应规则进行审核。注：流程创建完毕下发应用以后便不能修改名称不能修改内容，如需修改流程必须重新创建一个新流程。 应用审批流程创建流程完毕以后用户下发，“文件审核”“应用流程”。 给部门下发流程 给用户下发流程继承流程：为此用户所属部门的流程（如果为空，即部门没有流程）。注：如果用户即有部门流程，又有用户本身流程，以用户自身流程优先。 查看流程明细下发流程完毕以后可以查看每个流程所应用的部门和用户。菜单：“文件审核”“应用流程明细”。查看界面：注：所有流程创建并下发以后，需要给申请人员下发“使用审批策略”，申请用户才可以进行解密申请。 1.8 高级设置该模块是针对高级操作用户而设置的，它对用户提供了更为灵活和细致的操作。查找位置及该功能模块所能实现的功能如下，以下将一一做介绍。打印信息设置菜单位置：高级设置-打印设置操作界面如下：注：打印机查找工具及其使用见“附录（补充工具介绍）-5.打印机查找工具”。自定义策略设置自定义策略即将一组策略捆绑成一个策略包，以策略包的形式一次性向某用户下发。1 主界面介绍：可分为两大部分，创建自定义策略名称及为自定义新策略捆绑策略。2 操作步骤： 在“新建策略组合”框中输入需要创建的新策略名称，并在“操作类型”中选择新建，输入完毕后，点击“确定”即加入到“策略组合列表”中。注：这里由两种操作类型可供选择：新建及复制。复制：在“策略组合列表”中选中一条需要复制的策略，则新建的策略内容将和被复制的策略内容一致了。 为该新建的用户策略设置具体的策略组合明细，如下图所示。添加策略可通过“用户策略明细”框右边的“添加基本策略”及“添加特殊策略”按钮实现。注：“用户策略明细”框中的每条策略均为策略集合，如在“添加特殊策略”中添加了“office透明加密”和“Adobe系列透明加密”两条策略之后，这里只显示一条“透明加密进程”，具体的加密进行信息可通过下图的“策略参数”进行查看及编辑等。 策略参数即用户策略明细所对应的具体策略格式信息。每条用户策略都有其对应的策略参数，双击某条策略参数即可进行修改。同时，也可以通过右边框的“添加”，“修改”按钮为该用户策略添加一条新策略或删除一条现有策略，如要设置office系列word文档不在该“透明加密进程”管束之下，则选中策略参数中的“office winword”，然后点击“删除”即可。新“添加”的策略参数出现在“安全应用进程”窗口最下方。3 设置完毕后“保存策略参数”即可。提示：新建的自定义策略会出现在菜单栏“策略应用-基本策略”界面下的“自定义”策略列表中，以供特殊需要时进行下发。邮件设置含义：将某人发送邮件中的附件发送到某指定邮箱时做自动解密处理。操作提示：对某客户端进行邮件设置时，同时需要为其下发“邮件监控策略”（基本策略-自定义-邮件监控）。位置：菜单-高级设置-邮件设置，如下图所示：主操作界面如下：备注：1.若仅开启该邮件监控模块，而不对客户端进行任何邮件设置，则默认客户端发送及接收邮件不受控制，即发送附件若为明文，对方收到也是明文，发送为密文，对方接收到的也是密文。2. “发送邮箱白名单、接收邮箱白名单及邮件附件” 设置时可根据实际情况配置部分或全部，有如下几种情形：l 仅配置发送邮件白名单（未设置接收邮箱白名单）：则凡是从该邮箱发送的邮件会自动解密，接收方不限制接收邮箱，收到均为明文。l 仅配置接收白名单（未设置发送邮件白名单）：则无论客户端使用何邮箱发送邮件，接收方使用提前设置的邮箱接收到即为明文。l 发送及接收邮箱白名单均设置：则发送方用特定的邮箱发送且接收方用特定的邮箱接收到时，附件才为明文。二日志管理图 日志控制台2.1 日志列表功能：日志基表-某段时间内的操作日志；日志归档表-即每隔一段时间（在控制台系统设置中进行设定），用户的操作日志会归档到这里，并可设定定期将该日志记录删除；位置：菜单-日志；注：日志类型又分为客户端日志和控制台日志，客户端日志即各个客户端用户所做的操作记录，控制台日志即各管理员通过控制台所做的设置的操作记录。操作：选中一个用户及日志表类型，即可按照操作时间、事件（可按CTRL多选）及文件名称进行日志查询了。界面如下：附录（补充工具介绍）. 工具所在目录192.168.0.8ERMClienttools常用系统工具：KillClient.exe 重启客户端进程，用于初始化客户端配置；Procexp.exe 进程查看工具，常用于添加特征码；SigScanner.exe 进程特征码提取工具，需要放到C:WindowsSystem3220055bin目录下，Unins_64.cmd 64位ERM客户端卸载工具 unins_new.cmd 32位ERM客户端卸载工具 客户端配置工具l 查找地址：C:Program FilesCommon FilesSagetechcommappl 工具图标：l 作用：当服务器IP地址由于某种原因更改后，导致客户端不能正常连接上服务器，可使用该配置工具手动设置指向服务器IP地址。l 使用对象：客户端用户l 使用方法：l 正确填写服务器端IP地址，端口号一般取默认即可。l 接着配置与服务器断开连接后客户端冲连的事件间隔，建议设成30秒（时间间隔太短会导致客户端连续向服务器发出请求，从而占用系统资源）。l 最后，如果您使用WINDOWS域漫游，需要勾选下方的选择框。2. 离线客户端工具l 查找地址：C:Program FilesCommon FilesSagetechcommapp（与客户端配置工具在同一目录下，都属于客户端管理使用工具）l如果ghost版本，需要手动输入值混合到客户端标识中；l 工具图标：l 作用：为离线用户绑定机器并接受控制台策略管理时使用。l 使用对象：客户端用户l 使用方法：与控制台界面菜单的“客户端管理-离线用户管理”功能配合使用，操作过程可参考离线用户管理。