IP-Guard专栏

升级IP-guard服务器出问题的概率较小，若遇到IP-guard服务启动不了，手动重启“Ocular V3 SERVER”服务，重启失败，则重启电脑。（4）升级时需要停止ipg相关服务，升级过程中会弹出“需停止相关服务才能继续升级“的窗口，点确定IP-guard服务会自动停止，等待升级完成即可。（4）服务器升级完成后，可以生成一个新版本的IP-guard客户端安装包，后续有电脑需要安装IP-guard客户端，提供新版本安装包给用户安装。升级过程中会出现升级程序“未响应”，属于正常现象，等待即可。

.pptx|warn=禁止 修改文件后缀”配置效果：在客户端机器上对 office 类型文件修改文件后缀都会修改失败，并且会弹窗 提示“禁止修改文件后缀”，其他非 office 类型文件后缀正常修改不会被禁止。二、功能详细 新增配置启用功能，支持设置对指定类型的文件禁止修改文件后缀和自定义警告提示语。一、功能简介 支持禁止修改文件后缀名。

步骤 2，在出现问题的 32 位操作系统的客户端上，安装 dbg_x86_6.11.1.404.msi 调试程序（64 位操作系统安装 dbg_amd64_6.11.1.404.msi，其它操作步骤和 32 位一样）；32 位操作系统： http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.11.1.404.msi。步骤 3，在出现问题的客户端重现问题，并确认 c:\result1.dmp 是否存在，若是存在则移动到其 它地方；

关键字： do_landingFile_delayTime。启动扩展功能，需要落地加密文件扩展名全部键入文件类型。IP-Guard如何配置文件落地加密且没有延时。

关键字hookapi_filterinj_external内容chrome.exe;关键字hookapi_disinj_tsd内容chrome.exe;IP-Guard和Google冲突解决方案。控制台-策略-定制配置-分类-自定义.

一、功能简介 使用文档云备份过程可能出现需要迁移旧数据到新目录的情况（如一开始存储目录设置 不合理，之后变更存储目录），下面介绍迁移备份数据到新目录的方法，迁移后可正常查看、 下载、删除原备份文件。2、将原存储路径下的所有文件，复制或剪切到新存储路径中。1、停止文档云备份服务器。

支持通过文档标签、文档密级对文档进行外传控制和落地控制。给文档赋予一个标签信息作为特征，标明文档的归属、用途等等。给文档赋予不同的程度或等级，用于标记文档内容的重要性。管理员根据公司制度对公司文档进行分级分类，并定义标签。落地操作可根据敏感内容和文档类型自动添加标签和密级。、支持对文档落地自动添加文档标签、文档密级。、控制台“敏感信息”字眼改为“涉敏信息”、功能属于独立功能模块，归于主序列号。密级，用户可根据管理员定义好的标签。包含企业的机密内容的数据或文件。、支持用户查看、设置。、支持基于文档密级对。

2. 直 接 解 压 替 换 OTransLog 压缩包 内 的 文 件 到 TOOL 目 录 下 ， 并 将 原 OKafkaUploadTool.ini 更名为 OTransLog.ini。Path：设置移交目录路径，IPG 服务器会把收集完成的日志缓存文件移交到该目录中， 给工具进行转换上传。2.1 数据目录移交设置 在服务器安装目录下 OServer3.ini 文件中，添加工具启动配置，配置五分钟内生效。配置移交指定时间的日志数据，不填写时移交上传目录内所有日期 的日志，填写时支持三种格式，如下。

IP-GUARD可以通过设备管理模块禁止USB接口，所以USB外置摄像头很容易就可以禁止了。

如果有加密模块，就加设置客户端配置TSDED_Encrypt_Mode=0（设置加密时的加密格式为V3版本），enable_tsdencryptdrv=2；只读模式下，office导出PDF文件加密解决方法，safe_filepolicy_by_office_com = 2。hookapi_filter_proc【加密钩子过滤，可以打开加密文件，打印和截屏控制不能修改】hookapi_inj21_mode=0【驱动注入】hookapi_filterinj_external=进程【普通模块，屏蔽主动注入】

4、一直下一步，直到看到下图，根据加密需求添加文件的后缀名（如：测试.txt 则添加 *.txt），如果加密文件打不开则在加密文件添加格式。1、进入控制台 -> 找到文档安全管理 -> 点击授权软件管理 -> 导出授权软件(名称自定义)7、进入控制台 -> 找到文档安全管理 -> 点击授权软件管理 -> 将导出的文件进行导入。8、选择刚编辑好的软件进行导入（注意: 是合并到原有的授权软件库）6、注意，选择另存为，再点击下一步，再命名文件名后再点击下一步。5、一直下一步并完成，再选择相应软件进行保存/导出。

2.2 第三方架构配置 为自建应用开通权限完成后，在自建应用管理页面继续点击 基础信息 – 凭证与基础信 息，获取自建应用的 App ID 以及 App Secret。完成同步后， 会将飞书上的组织架构同步到内置用户系统中，根节点的名称为飞书中的企业名称。domain：自定义飞书组织架构在内置用户系统中的域名，不可与内置用户系统中的其 他域名重复；创建完成后在权限管理中开通 获取企业信息、获取通讯录基本信息、以应用身份读取 通讯录、获取通讯录部门组织架构信息、获取用户 user ID 五项权限。

IP-guard邮件管控可帮助企业规范管控邮件外发行为，完整记录邮件正文、附件、主题、大小、时间等信息内容，想要实现更细致的管控，我们还可以结合IP-guard屏幕监控，记录邮件发送时的屏幕画面，为后续审计提供更具体的依据，还可以结合IP-guard敏感内容识别，检测邮件内容是否含有机密信息并根据做出阻断管控，防止机密外泄。管理员可以对部分员工的邮件发送设置屏幕记录策略，控制台-高级-邮件控制策略，勾选记录屏幕，当员工使用邮件客户端发送邮件时，会自动记录当前的屏幕快照，以便管理人员对其审计。

IP-guard发布新版本4.83.907.0。

漏洞修补程序，可用于使用任意IP-guard版本环境的Web系统执行修复，修补程序会根据当前系统中安装的web系统执行相应的修复处理；近期收到反馈，IP-guard Web服务器存在远程命令执行漏洞（RCE），经过分析，确认是因为Web系统的申请审批功能使用了开源插件 flexpaper 实现文件在线预览功能，此插件存在远程代码执行漏洞。使用完整更新包会同时更新所有Web系统使用的组件，为减少更新Web系统带来的兼容性影响，需要根据当前使用的IP-guard版本采取不同的更新方式。使用漏洞修补程序处理。

2.1、安装新版本解决：最新发布的新版本，针对以上问题，IP-guard客户端采取的处理方案是在注入模块前判断当前进程是否存在数字签名验证策略，是则不注入模块，这种方法只能让IP-guard客户端模块不会强制加载到这些浏览器进程当中，但是需要注意的是，还可能存在其它软件未进行相应处理尝试直接注入到浏览器。此两条配置的作用是屏蔽对 chrome/edge 浏览器进程执行主动注入，屏蔽后，客户端的功能模块还可以通过其它方式注入到浏览器进程中，客户端与浏览器相关的功能（包括加密功能）不会受到影响。

由于IP-guard客户端的邮件监控处理功能会接管SMTP邮件的发送操作，当Outlook使用SMTP协议发送包含大量收件人的邮件时，客户端处理邮件发送耗时超出了Outlook的超时判断，导致Outlook认为邮件发送失败，不停重发邮件。在邮件收件人较少时，发送耗时短，不会出现此问题。通过邮件客户端发送SMTP邮件时，由于IP-guard客户端处理执行异常，会导致重复向SMTP服务器添加一次收件人，如果邮件服务器自身没有支持去重处理（即不向同一个用户发送重复邮件），所有收件人都会收到两封相同的邮件。

IP-guard的打包方式

内容proc=msedgewebview2.exe|cmd=--disable-features=RendererCodeIntegrity,msUseSpellCheckCorrectionsCard|osver=10,0|prover=0|pos=2|not=--type=;制配置添加：hookapi_filterinj_external=msedge.exe;

可对登录的用户配置用户定制配置来开启TBS引擎。另外，当启用 TBS引警后，可通过用户定制配置来实现“指定的文件类型大于等于某个大小后，使用 tbs引警打开”。开启 TBS引擎后，指定的文档类型(默认为ppt\pptxdpsldpt)用TBS引警打开，其他文档用内置引警打开。如果内置引警发生异常无法打开文件时，会自动切换到 ts引警打开。需要注意的是，TBS打开文件会有些缺陷:docx文件中的图，形不显示;Excel插入的图表不显示;TBS引警查看pptx，文件中有些部分柱状图显示异常，文本框信息不显示。