IP-Guard专栏

明文复制进去有两种情况：文件（例如：*.SLDDRW 文件）在复制到加密目录（本地 视图）的时候，explorer会对其进行写入操作，此时非加密文件会变为加密文件；4. 若授权库中存在explorer.exe授权软件，并在授权软件中设置为授权，则此时explorer 的截屏、打印、剪切板等控制与授权软件中的设置相同。若存在进程的加密模式是智能模式的，需要在受保护服务器中添加对应的服务器ip+端 口，且应与安全网关配置的受保护服务器的设置相同。4. 预览效果 在本地视图中，可以正常预览加密文件和非加密文件。

2、如果生成的外发压缩文件缺少查看器或者都没有，可能是被杀毒软件杀掉了，可以先退出杀毒软件或者在杀毒软件的信任区中将查看器添加为信任的文件。1、外发申请解密的文件还是加密文件，只是需要通过外发查看器才能查看。可以在外发配置根据需求是否限制文件复制粘贴、修改、打印以及设置密码等。

审批人审批流程使用说明在统计-基本信息找到用户的域用户信息，sunway\ 后面即为需要创建的域用户。并给审批人分配审批人权限（使Windows用户能够打开审批平台）整个网络\sunway\ABU\营销部\客服部1、控制台-工具-账户，打开1、控制台-申请管理-加密申请管理-审批流程管理，打开新建的审批流程在最上面，为了方便查阅管理，需要将审批流程移动到对应事业部区域，并保存。如图将ABU客服部流程移动到186行之前。到此审批流程创建完成。PS:1、审批流程优先级：场景：人力资源部大部门给一个领导审批，其下

设置用户需要离线的时长以及需要的权限 -> 授权软件勾选需要的软件 -> 确定 -> 完成后对策略进行导出。如果长期离线授权后面存在*，需要先点击刷新进行策略下发（需要客户端在线设置）在离线后，如果托盘是灰色并打不开加密文件，加密托盘右键查看加密功能是否启用；加密托盘右键选择导入授权 -> 导入长期离线授权文件 -> 文件导入即可。注：一般是对于外出出差的用户设置离线策略。

只能使用集团的电脑账号登录，如果没有账号请联系就近的IT同事。（审批账号只能使用集团账号，亚力盛和声学的审批人已经安排IT同事创建了集团账号并发送给各位审批人，如果没有或不能正常登录请联系就近IT同事。1.4登录后在解密申请页面双击“审批中”的流程，选择批准或拒绝，拒绝必须填写审批意见。如果勾选记住密码和自动登录，每三个月账号更改密码后，需要在此处更新密码，否则会因密码错误次数过多导致账号锁定。确认是否是审批员，提供计算机名、用户名、IP地址以及域账号。审批平台登录后，如果有新的审批请求，会有弹窗提醒。

屏蔽客户端所有功能，重启两次生效。

升级IP-guard服务器出问题的概率较小，若遇到IP-guard服务启动不了，手动重启“Ocular V3 SERVER”服务，重启失败，则重启电脑。（4）升级时需要停止ipg相关服务，升级过程中会弹出“需停止相关服务才能继续升级“的窗口，点确定IP-guard服务会自动停止，等待升级完成即可。（4）服务器升级完成后，可以生成一个新版本的IP-guard客户端安装包，后续有电脑需要安装IP-guard客户端，提供新版本安装包给用户安装。升级过程中会出现升级程序“未响应”，属于正常现象，等待即可。

.pptx|warn=禁止 修改文件后缀”配置效果：在客户端机器上对 office 类型文件修改文件后缀都会修改失败，并且会弹窗 提示“禁止修改文件后缀”，其他非 office 类型文件后缀正常修改不会被禁止。二、功能详细 新增配置启用功能，支持设置对指定类型的文件禁止修改文件后缀和自定义警告提示语。一、功能简介 支持禁止修改文件后缀名。

步骤 2，在出现问题的 32 位操作系统的客户端上，安装 dbg_x86_6.11.1.404.msi 调试程序（64 位操作系统安装 dbg_amd64_6.11.1.404.msi，其它操作步骤和 32 位一样）；32 位操作系统： http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.11.1.404.msi。步骤 3，在出现问题的客户端重现问题，并确认 c:\result1.dmp 是否存在，若是存在则移动到其 它地方；

关键字： do_landingFile_delayTime。启动扩展功能，需要落地加密文件扩展名全部键入文件类型。IP-Guard如何配置文件落地加密且没有延时。

关键字hookapi_filterinj_external内容chrome.exe;关键字hookapi_disinj_tsd内容chrome.exe;IP-Guard和Google冲突解决方案。控制台-策略-定制配置-分类-自定义.

一、功能简介 使用文档云备份过程可能出现需要迁移旧数据到新目录的情况（如一开始存储目录设置 不合理，之后变更存储目录），下面介绍迁移备份数据到新目录的方法，迁移后可正常查看、 下载、删除原备份文件。2、将原存储路径下的所有文件，复制或剪切到新存储路径中。1、停止文档云备份服务器。

IP-GUARD可以通过设备管理模块禁止USB接口，所以USB外置摄像头很容易就可以禁止了。

4、一直下一步，直到看到下图，根据加密需求添加文件的后缀名（如：测试.txt 则添加 *.txt），如果加密文件打不开则在加密文件添加格式。1、进入控制台 -> 找到文档安全管理 -> 点击授权软件管理 -> 导出授权软件(名称自定义)7、进入控制台 -> 找到文档安全管理 -> 点击授权软件管理 -> 将导出的文件进行导入。8、选择刚编辑好的软件进行导入（注意: 是合并到原有的授权软件库）6、注意，选择另存为，再点击下一步，再命名文件名后再点击下一步。5、一直下一步并完成，再选择相应软件进行保存/导出。

2.2 第三方架构配置 为自建应用开通权限完成后，在自建应用管理页面继续点击 基础信息 – 凭证与基础信 息，获取自建应用的 App ID 以及 App Secret。完成同步后， 会将飞书上的组织架构同步到内置用户系统中，根节点的名称为飞书中的企业名称。domain：自定义飞书组织架构在内置用户系统中的域名，不可与内置用户系统中的其 他域名重复；创建完成后在权限管理中开通 获取企业信息、获取通讯录基本信息、以应用身份读取 通讯录、获取通讯录部门组织架构信息、获取用户 user ID 五项权限。

IP-guard邮件管控可帮助企业规范管控邮件外发行为，完整记录邮件正文、附件、主题、大小、时间等信息内容，想要实现更细致的管控，我们还可以结合IP-guard屏幕监控，记录邮件发送时的屏幕画面，为后续审计提供更具体的依据，还可以结合IP-guard敏感内容识别，检测邮件内容是否含有机密信息并根据做出阻断管控，防止机密外泄。管理员可以对部分员工的邮件发送设置屏幕记录策略，控制台-高级-邮件控制策略，勾选记录屏幕，当员工使用邮件客户端发送邮件时，会自动记录当前的屏幕快照，以便管理人员对其审计。

IP-guard发布新版本4.83.907.0。

漏洞修补程序，可用于使用任意IP-guard版本环境的Web系统执行修复，修补程序会根据当前系统中安装的web系统执行相应的修复处理；近期收到反馈，IP-guard Web服务器存在远程命令执行漏洞（RCE），经过分析，确认是因为Web系统的申请审批功能使用了开源插件 flexpaper 实现文件在线预览功能，此插件存在远程代码执行漏洞。使用完整更新包会同时更新所有Web系统使用的组件，为减少更新Web系统带来的兼容性影响，需要根据当前使用的IP-guard版本采取不同的更新方式。使用漏洞修补程序处理。

2.1、安装新版本解决：最新发布的新版本，针对以上问题，IP-guard客户端采取的处理方案是在注入模块前判断当前进程是否存在数字签名验证策略，是则不注入模块，这种方法只能让IP-guard客户端模块不会强制加载到这些浏览器进程当中，但是需要注意的是，还可能存在其它软件未进行相应处理尝试直接注入到浏览器。此两条配置的作用是屏蔽对 chrome/edge 浏览器进程执行主动注入，屏蔽后，客户端的功能模块还可以通过其它方式注入到浏览器进程中，客户端与浏览器相关的功能（包括加密功能）不会受到影响。

2.1、安装新版本解决：最新发布的新版本，针对以上问题，IP-guard客户端采取的处理方案是在注入模块前判断当前进程是否存在数字签名验证策略，是则不注入模块，这种方法只能让IP-guard客户端模块不会强制加载到这些浏览器进程当中，但是需要注意的是，还可能存在其它软件未进行相应处理尝试直接注入到浏览器。此两条配置的作用是屏蔽对 chrome/edge 浏览器进程执行主动注入，屏蔽后，客户端的功能模块还可以通过其它方式注入到浏览器进程中，客户端与浏览器相关的功能（包括加密功能）不会受到影响。

由于IP-guard客户端的邮件监控处理功能会接管SMTP邮件的发送操作，当Outlook使用SMTP协议发送包含大量收件人的邮件时，客户端处理邮件发送耗时超出了Outlook的超时判断，导致Outlook认为邮件发送失败，不停重发邮件。在邮件收件人较少时，发送耗时短，不会出现此问题。通过邮件客户端发送SMTP邮件时，由于IP-guard客户端处理执行异常，会导致重复向SMTP服务器添加一次收件人，如果邮件服务器自身没有支持去重处理（即不向同一个用户发送重复邮件），所有收件人都会收到两封相同的邮件。

IP-guard的打包方式

内容proc=msedgewebview2.exe|cmd=--disable-features=RendererCodeIntegrity,msUseSpellCheckCorrectionsCard|osver=10,0|prover=0|pos=2|not=--type=;制配置添加：hookapi_filterinj_external=msedge.exe;

新建两个文件夹，分别命名为word,excle,将收集到word,excel信息，制作好的word,excel授权库分别剪切到对应的文件夹，并压缩成压缩包。打开WPS,新建excel文件，输入任意内容，另存到桌面，文件名命名为“练习”，然后最小化WPS，把excel转为PDF，转换完之后关掉WPS。另存到桌面，文件名命名为“测试”，然后最小化WPS，把word转为PDF，转换完之后关掉WPS。然后最小化，打开Notepad++,然后再打开。打开蓝宝石，打开提前导出的授权软件库。制作excel授权软件。

可对登录的用户配置用户定制配置来开启TBS引擎。另外，当启用 TBS引警后，可通过用户定制配置来实现“指定的文件类型大于等于某个大小后，使用 tbs引警打开”。开启 TBS引擎后，指定的文档类型(默认为ppt\pptxdpsldpt)用TBS引警打开，其他文档用内置引警打开。如果内置引警发生异常无法打开文件时，会自动切换到 ts引警打开。需要注意的是，TBS打开文件会有些缺陷:docx文件中的图，形不显示;Excel插入的图表不显示;TBS引警查看pptx，文件中有些部分柱状图显示异常，文本框信息不显示。

内部分析过pml，发现C:\Users\*\AppData\Roaming\kingsoft\wps\addons\data\win-i386\kconfigcenter\kccsdkdb\kccsdkpriortydb\mdbx.lck目录writefile失败，返回FILE LOCK CONFLICT，第3种，tsded_decryptunmatch=1，这个配置慎用，会解密所有文件。第1种，改库的话，可能存在本来有些人比如wps能插入一些非加密文件格式的文件，改后就插入不了了。我建议就 过滤先吧。

1、先在控制台-加密-加密授权设置-常规中，勾选允许登录审批管理平台开启客户端登录审批管理平台的功能。如何实现特定安全区域/密级的文件申请解密，只能让特定的审批人进行审批？2、然后客户端电脑，右键加密托盘登录审批账号后即可正常审批。在创建审批流程的时候，就可以设置相应的安全区域/密级。如何在客户端上进行审批管理？

申请【解密、外发、安全属性变更、临时离线】，在设置完申请信息后，弹出审批流程选择框，选择对应流程完成申请操作。加密增加USBKEY功能，对USBKEY授予相应的加密特权，包括在线权限、直接解密权限和直接外发权限。支持，管理员可为某个或某些员工，创建多个不同的解密审批流程，员工在发起解密申请的时候可以自主选择要进行的审批流程。1、在控制台对USBKEY注册并设置对应的加密权限：在线权限、直接解密权限和直接外发权限；2、使用者在指定客户端机器上插入USBKEY，输入密码验证后，可以实现加密权限的提升。

3、在控制台执行设置好临时离线并批准通过，把页面产生的离线延时码保存，然后从客户端加密托盘中，选择导入授权-导入临时离线延时码，填入延时码即可。在控制台-申请管理-加密申请管理-审批流程管理中，设置审批流程时，有个文档安全属性，这里就是设置可审批的文件安全级别的。在控制台-【文档安全管理】-【加密日志】-【加密文档操作日志】-中输入对应文件名去查询加密日志可以查看文件加密的情况。2、直接在控制台设置好长期离线授权策略，导出授权信息，然后从客户端的加密托盘中，选择导入授权-导入长期离线授权文件。

1、添加安全检测条件，在控制台-安全检测条件中，添加新的检测条件，在“系统补丁检查”中手动添加补丁号，例如：4022162。（支持在数据库中存储的补丁中选择，也支持手动添加补丁号）进行以上设置后，客户端同步策略会进行检测，检测结果可以在控制台-安全检测-安全检测日志中查看。（按中shift或者ctrl键再点击审批流程，即可选择多条审批流程。批量选中审批流程，将需要更换的审批人替换为新的即可。如何检测客户端机器是否安装了某个指定的补丁？如何批量更换审批流程的审批人员？

FileStoreDir2表示旧目录（支持配置多个路径，英文格式的逗号隔开），这样配置后可以和新目录一起加载。1、该配置不支持直接设置网络盘，但可以设置本地磁盘的其他目录后，设置软链接到网络盘。FileStoreDir为新目录(只能配置一个路径)，后面新产生的数据存放在这里；支持设置多个路径，多个路径间用英文逗号隔开，重启服务器生效。是否支持修改服务器收取客户端日志的间隔时间？服务器接收到这些日志之后还要转换成数据文件，服务器如何配置多个文件存储目录？生效时间：重启服务器后生效。默认是5分钟通讯一次，

需配置按计算机名分组时，需要加上标志“AGTNAME:”，用以区分按计算机名分组（其中 “XXX*” 表示计算机名的前缀为XXX，“ *XXX* ”表示计算机名包含字段XXX）；则新上线的客户端机器，计算机名前缀是support的会自动分配到“技术部”分组，前缀是testing的会自动分配到“测试部”分组下。当客户端机器的计算机名称是按照一定规律命名区分不同部门时，适合按照计算机名进行自动分组。组名称3=AGTNAME:前缀*,AGTNAME:*字段*组名称2=AGTNAME:*字段*

3）IP段中，若结束IP小于起始IP，或包含不存在的IP，如168.2.100-192.168.2.300，则会被认为是不合理IP段。新安装的客户端计算机，IP若处于不合理IP段中，则会被自动分配到“未分组”里；A和C装上客户端之后，被随机分配到名为“test”组中，两者可能同在一组，也可能不在同一组，具有不确定性。1）IP数据支持单个IP，IP段，以及IP、IP段的交叉组合，多个IP条件用逗号隔开；A和B 和 c都装上客户端后，A被分配到“test”组 ，B和C都被分配到未分组；

因性能关系，解密申请文件数量默认是限制1000个。超过1000个会提示：申请解密的文文件数量超过设置值1000，只完成部分文件申请操作，超过部分被忽略。如果一次申请要超过1000个文件数量，可通过配置自定义文件数量。注意：配置策略最好不要超过阈值，阈值和机器的的CUP、内存等硬件因素相关，不同机器的阈值不同。控制台设置客户端配置策略：apply_decrypt_upper = 申请解密文件数量。

支持，从4.64.1005.0版本开始，支持对打了文档水印的文档做去水印的操作，但只是支持去除非图片类型的显式水印。支持右键文件去除、申请去除、自我备案去除三种方式。在客户端右键已经有文档水印的文件，会出现“去除文档水印”选项，直接点击就可以去除了。是否支持对打了水印的文档去除水印？对客户端设置好手动去除水印的权限。

3、softcenter_url支持配置多个地址，多个地址时用英文分号隔开，客户端会按照网络距离优先连接距离近的软件中心服务器/软件中心中继器。先安装好需上传的软件，运行软件中心辅助工具可以获取安装的软件信息。1、给客户端设置定制配置策略 softcenter_url=软件中心服务器IP/域名 即可开启软件中心客户端功能；在控制台【资产管理】-【软件资产】中可以查看，这种方法需要有资产管理模块，并且客户端需要安装了对应软件；2、软件中心客户端只支持连接一台软件中心服务器/软件中心中继器；

备注：目前我们默认关联用户为域用户才是合法有效的，本地用户为无效，包括组织架构同步、文档云备份。端口3：云备份helper模块和主服务器通讯，主要获取备份服务器授权和解密密钥等信息，固定端口号8248。端口1：安装云备份服务器时设置的端口号，也可在右键云备份服务器图标选项中查看相应端口号；仅备份跟加密有关的文档，比如对文件进行加密时就会备份。文档云备份：属于文档云备份模块。可以备份所有文档，不需要操作加密就能备份。备份时段：在此时段内才向备份服务器上传备份；文档云备份策略中备份间隔和备份时段是什么意思？

控制台菜单【工具】-【邮件报告设置】中，新建邮件配置，设置邮件发送时间间隔、收件人、最大报警个数、报警级别等。控制台菜单【工具】-【选项】-【邮件报告服务器设置】中，设置好邮件服务器；如何统计用户在指定时间段内登录的所有客户端机器上的应用程序使用情况？报表控制台【查询】【应用程序报表查询】，查询条件选择对应用户即可。【加密文档操作报表查询】中，高级条件选择对应操作类型即可。如何将触发策略的报警信息按照一定周期发送到指定邮箱？如何统计客户端机器解密申请审批的次数？PS：录入时改为控制台模块。

1、当Shell Hardware Detection服务启动时，操作系统检测硬件的速度要快于客户端，而此时操作系统是不能识别加密后的移动盘的，因此认为加密盘异常，提示需要格式化，策略-客户端配置，选择禁止windows7播放功能。需要配置一条客户端配置：undis_udisk=1(1为插入U盘时，判断策略前，不禁止U盘)1）将U盘插入控制台的机器电脑上，选择“分类管理-移动存储”，打开移动存储库，点击“操作-本地移动存储信息”3）格式化成加密盘后，图标会改变成加密盘图标，同时U盘属性也会显示为加密盘。

分发vbs时，创建分包程序包，命令行需要加参数cscript，例如 cscript desktop.vbs；分发msi时，命令行参数“msiexec /qn xxx.msi”（/qn参数表示无安装界面），分发模式也是选择安装软件，并根据设置必要条件和检测条件。5、在系统的服务窗口，找到“OCULAR V3 Update”的服务， 将此服务启动即可。1、补丁管理–参数设置中，勾选新出现的客户端自动安装，和新发现的补丁自动下载；2、已安装的客户端，在计算机模式下，选中计算机右键，选择“安装”。