DeviceLock是一個(gè)功能強(qiáng)大的電腦加密工具，針對(duì)電腦的外設(shè)裝置進(jìn)行控管與審計(jì)，在任何時(shí)間、任何地點(diǎn)、任何人均無法將公司的機(jī)密資料透過外設(shè)裝置復(fù)制出去，也可以設(shè)定不能使用U盤，以避免病毒透過U盤入侵到企業(yè)的內(nèi)部網(wǎng)絡(luò)。從而保護(hù)的公司內(nèi)部重要資料的安全，使用這個(gè)軟件后將無法通過任何首段將數(shù)據(jù)帶出去，將其牢牢鎖定在電腦中。

軟件特色

1、外設(shè)裝置訪問控制（DL_Permission）

DeviceLock針對(duì)電腦常見的外設(shè)裝置均能進(jìn)行控管與審計(jì)（支持哪些外設(shè)裝置請(qǐng)參考產(chǎn)品規(guī)格說明）。用戶可以針對(duì)不同的用戶或群組指定不同的讀寫權(quán)限（例如：不能使用、只能讀取、或可讀可寫），而且可以根據(jù)不同的工作日及時(shí)段來設(shè)定權(quán)限。

2、移動(dòng)設(shè)備更細(xì)膩地控管

針對(duì)常見的移動(dòng)設(shè)備（如iPhone、Windows Mobile、BlackBerry、Palm、MTP…等），提供更細(xì)膩的控管策略，例如：你可以對(duì)日歷、聯(lián)系人、郵件、任務(wù)、便簽、備分…等細(xì)項(xiàng)進(jìn)行更細(xì)部的設(shè)定。無論該設(shè)備是通過何種接口（USB、COM、IrDA、藍(lán)牙）與電腦連接都適用一致的策略，該功能可以讓員工生產(chǎn)力、方便性與安全性之間達(dá)到平衡。

3、剪切板控制（Clipboard Control）

DeviceLock 可以讓數(shù)據(jù)泄漏在萌芽階段即被有效地阻止。DeviceLock 可以選擇性地控制用戶在剪貼板的各種類型復(fù)制或操作，包括文件、文本數(shù)據(jù)、圖像數(shù)據(jù)、音頻片段（如Windows聲音記錄器捕獲的記錄）和不明身份的數(shù)據(jù)類型。截屏操作可以阻止計(jì)算機(jī)的 Windows 截圖功能和第三方應(yīng)用程序的截圖功能。

4、完整的設(shè)備使用記錄（Audit Log）

提供設(shè)備使用情形的完整審計(jì)記錄。包含事件時(shí)間、設(shè)備類別、執(zhí)行動(dòng)作、執(zhí)行身份、當(dāng)時(shí)的程序（Process）。記錄以操作系統(tǒng)的記錄（Event Log）格式暫存于使用者電腦上，也可設(shè)定自動(dòng)集中回傳存儲(chǔ)服務(wù)器端，以達(dá)到集中且方便的報(bào)表與審計(jì)目的。

5、提供外存檔案的留檔（Data Shadow）

為審計(jì)外存文件的實(shí)際內(nèi)容，可針對(duì)許可寫出文件的人員設(shè)定外存文件留檔的功能。當(dāng)員工通過復(fù)制文件至外部儲(chǔ)存裝置或刻錄至光盤，都可以備份一份并回傳至服務(wù)器端；當(dāng)設(shè)備不在內(nèi)部網(wǎng)絡(luò)時(shí)，留檔的資料會(huì)暫存于個(gè)人電腦端，待回到內(nèi)網(wǎng)后再將留檔文件回傳到服務(wù)器。

6、即插即用設(shè)備盤點(diǎn)報(bào)告

協(xié)助用戶針對(duì)特定用戶或電腦的即插即用設(shè)備進(jìn)行盤點(diǎn)報(bào)表，從報(bào)表中可以看出哪些設(shè)備在何時(shí)曾被何人接入到哪些電腦，該報(bào)表可盤點(diǎn)USB、FireWrie、及PCMCIA的各種設(shè)備。

7、USB設(shè)備白名單

USB設(shè)備的生產(chǎn)廠商會(huì)依據(jù)其取得的廠商編號(hào)，產(chǎn)品編號(hào)加上設(shè)備序號(hào)合并作為DeviceID，因此，我們可以針對(duì)特定設(shè)備型號(hào)或序號(hào)（DeviceID）進(jìn)行允許或鎖定。常見的應(yīng)用情境：單位內(nèi)僅可使用經(jīng)過申請(qǐng)的特定設(shè)備，其他設(shè)備一律禁止。設(shè)定權(quán)限時(shí)可針對(duì)產(chǎn)品整批開放，或者是針對(duì)唯一設(shè)備序號(hào)進(jìn)行開放。

8、暫時(shí)白名單（Temporary White List）

針對(duì)出差在外有臨時(shí)需要使用移動(dòng)存儲(chǔ)設(shè)備的人，可以通過電話/Email等方式向相關(guān)人員申請(qǐng)臨時(shí)性的許可權(quán)限。使用者匯報(bào)電腦上顯示的設(shè)備序號(hào)，管理者可據(jù)此產(chǎn)生一個(gè)臨時(shí)性開放碼，該開放碼可以制定放行的時(shí)間段或直到設(shè)備拔除。中間的溝通可通過語音電話完成，而開放期間的使用行為也可留下記錄。

9、真實(shí)文件格式管控

支持依據(jù)檔案的真正格式制定允許或禁止傳輸?shù)牟呗裕褂脩舨荒芡ㄟ^篡改文件后綴名來規(guī)避策略。例如：用戶可以禁止如CAD、PSD等設(shè)計(jì)圖文件，輸出到計(jì)算機(jī)外部；DeviceLock目前的文件格式特征數(shù)據(jù)庫超過 3,000 種文件。

10、媒體白名單（Media White List）

可針對(duì)特定的DVD/CD-ROM光盤建立特定的媒體指紋，并且設(shè)定僅有特定的指紋才能使用。常見的應(yīng)用是在一些開放的資料查詢電腦上，如圖書館、公共展示Kisok機(jī)等，要鎖住僅能使用特定的光盤資料，甚至鎖住光盤彈出按鈕，避免被未經(jīng)授權(quán)的人員抽取調(diào)換。

11、加密軟件整合應(yīng)用

DeviceLock可以識(shí)別經(jīng)過加密的PGP、TrueCrypt與DriveCrypt磁盤（含U盤等各種便攜式存儲(chǔ)設(shè)備）?？梢栽诓呗灾付ㄎㄓ型饨釉O(shè)備是加密的情況下，才準(zhǔn)許寫出文件，如果接入的是未加密的U盤，則僅能只讀，以符合企業(yè)的安全策略。

軟件功能

•與 AD 組策略無縫整合

當(dāng) DeviceLock 應(yīng)用于使用微軟 AD 域環(huán)境中，可以通過組策略(Group Policy)集中配置、存儲(chǔ)與同步策略內(nèi)容。與企業(yè)中暨有的網(wǎng)域采用相同的管理方法，可以大幅減少管理時(shí)間與降低學(xué)習(xí)成本。

•DeviceLock 用戶端服務(wù)監(jiān)控

當(dāng)你的環(huán)境有安裝 DeviceLock Enterprise Server 時(shí)，可以即時(shí)監(jiān)控分散在個(gè)人電腦的客戶端程序的運(yùn)作狀況，并進(jìn)行集中記錄與統(tǒng)計(jì)。

•Tamper Protection篡改保護(hù)

客戶端程序設(shè)計(jì)了一系列防破壞措施，以保護(hù)本身不被用戶破壞。保護(hù)措施包含：服務(wù)無法被用戶任意停用、后臺(tái)程序無法被暴力停止、即使擁有本機(jī)管理員權(quán)限也無法破壞。系統(tǒng)可以指定特定DeviceLock管理員賬號(hào)，只有管理員才能進(jìn)行相關(guān)的維護(hù)與管理操作。

•防鍵盤記錄 Anti-keylogger 功能

可以偵測使用者的電腦鍵盤是否有被偷偷串接硬件式鍵盤記錄設(shè)備。當(dāng) DeviceLock 偵測到這些設(shè)備存在時(shí)，除了會(huì)發(fā)出警告外，還可以欺騙 PS/2 界面的鍵盤輸入，使得其記錄到的只是一串無意義的亂碼。

•內(nèi)、外網(wǎng)的策略差異化

DeviceLock提供內(nèi)、外網(wǎng)感知能力，你可以針對(duì)用戶在內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)時(shí)，套用不同的策略。例如:當(dāng)用戶端的有線網(wǎng)絡(luò)接到內(nèi)網(wǎng)時(shí)，就禁止使用 WiFi 無線網(wǎng)絡(luò)，以避免有線與無線橋接帶來的風(fēng)險(xiǎn)。

•報(bào)警(Alerting)

DeviceLock 通過終端的數(shù)據(jù)防護(hù)提供了SNMP 和基于SMTP的報(bào)警能力，對(duì)于用戶在設(shè)備上的行為對(duì)主管或管理員，進(jìn)行實(shí)時(shí)的通知。

•服務(wù)器優(yōu)化選擇(Optimal Server Selection)

當(dāng)你的用戶數(shù)較多時(shí)，你可以安裝多臺(tái) DeviceLock 服務(wù)器，用戶端會(huì)自動(dòng)從企業(yè)服務(wù)器列表上選擇最快且可用的服務(wù)器，對(duì)審計(jì)和留檔的日志進(jìn)行傳輸。

•流量控制

DeviceLock 可以為發(fā)送審計(jì)和留檔文件到企業(yè)服務(wù)器時(shí)，進(jìn)行帶寬的限制，這樣有助于降低網(wǎng)絡(luò)的負(fù)載。

•回傳資料流量最佳化與壓縮

針對(duì)記錄與留檔文件的資料回收操作，可以制定帶寬使用限制，并可對(duì)回傳的資料流自動(dòng)壓縮以降低網(wǎng)絡(luò)負(fù)載，減少資料大量回傳時(shí)所造成的網(wǎng)絡(luò)沖擊。當(dāng)部署多個(gè)資料回收服務(wù)器的情況下，可自動(dòng)選擇識(shí)別最佳化的回傳路徑。

•Search Server

Search Server 模塊提供針對(duì) DeviceLock Enterprise Server 所收回的留檔文件，進(jìn)行「全文檢索」方式的審計(jì)。它可以對(duì)常用的文件格式中文字內(nèi)容進(jìn)行檢索查詢，這些格式包含: (PDF、Ami Pro、壓縮文件案(GZIP、RAR、 ZIP)、Lotus 1-2-3、Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Word、Microsoft Works、OpenOffice(documents、spreadsheetsand presentations)、以及其他常用格式。

常見問題

問題：DeviceLock® 的用途？

回答：DeviceLock® 是管理員用來控制用戶可以使用何種外設(shè)的一個(gè)管理工具。一旦 DevickLock 被安裝到電腦上，管理員可以根據(jù)每周和每天的時(shí)間來設(shè)置用戶的使用權(quán)限。DeviceLock 加強(qiáng)了管理員對(duì)移動(dòng)存儲(chǔ)設(shè)備的管理和控制，通過這些管理保護(hù)技術(shù)算計(jì)和網(wǎng)絡(luò)不被移動(dòng)存儲(chǔ)設(shè)備上的病毒、木馬、和惡意軟件攻擊。管理員也可以使用它來限制用戶使用移動(dòng)存儲(chǔ)設(shè)備和刷新移動(dòng) Device’s buffers。

問題：既然我可以使用組策略(Group Policy)，我為什么還要使用 DeviceLock® ？

回答：Windows 系統(tǒng)標(biāo)準(zhǔn)權(quán)限控制方案中沒有可以分配控制 USB、1394、WiFi、藍(lán)牙、和紅外接口的使用權(quán)。任何人(不需要是管理員)都可以使用基于這些接口的設(shè)備從電腦上下載大量的數(shù)據(jù)。而管理員不能通過組策略來控制 WiFi、藍(lán)牙、USB、和 1394 設(shè)備。

問題：有沒有定時(shí)將客戶端 Agent 狀態(tài)發(fā)送給我的功能？

回答：DeviceLock 本身并不提供這樣的功能，但是你可以安裝達(dá)友科技開發(fā)的 Docutek DeviceLock Reporter 軟件，可以設(shè)置發(fā)送報(bào)表到指定的郵箱。

問題：怎樣正確安裝控制臺(tái)？怎樣安裝企業(yè)管理器？怎樣安裝DeviceLock策略管理器？

回答：在 DeviceLock 中所有部件都是在一個(gè)安裝包中，只有一個(gè)安裝文件 setup.exe。

setup.exe 包含有 DeviceLock® 管理控制臺(tái)、策略編輯器、企業(yè)管理器和 Agent 以及產(chǎn)品說明書和幫助文件。

DeviceLock® 企業(yè)管理器是用來同時(shí)管理多臺(tái)電腦的控制平臺(tái)?？梢杂盟鼇硇薷牟呗?、安裝、更新、和卸載 Agent 也可以用來查看聯(lián)網(wǎng)電腦的審核記錄。如果沒有域而且有一個(gè)比較大的網(wǎng)絡(luò)的話推薦使用企業(yè)管理器來管理。

DeviceLock® 控制臺(tái)是一個(gè) MMC 接件。用它可以查看或修改一臺(tái)電腦外設(shè)的權(quán)限控制、安裝和升級(jí) Agent、查看電腦上的審核記錄。同時(shí)也可以用它來查看 DeviceLock® 服務(wù)器上的審核記錄和管理服務(wù)器設(shè)置。

DeviceLock® 組策略管理 Windows 2000 及以后版本的組策略編輯器整合在一起。用它可以在整個(gè)域范圍內(nèi)定義 DeviceLock 設(shè)置，設(shè)置權(quán)限和審核記錄規(guī)則。

問題：Windows NT/2000/XP/Vista/7/8 系統(tǒng)中沒有管理員權(quán)限的情況下我可以安裝 DeviceLock® 嗎?

回答：不行。在 NT/XP/2000/Vista/7/8 系統(tǒng)中必須有管理員權(quán)限才可以安裝此軟件。如果是單機(jī)系統(tǒng)就必須是電腦的管理員才可以安裝此程序，如果是在域環(huán)境中則必須是域管理員權(quán)限才可以裝好 DeviceLock。

問題：我在 WIN 95/98/ME 系統(tǒng)中可以安裝 DeviceLock®嗎？

回答：在 Windows 9x/Me 系統(tǒng)中，使用 DeviceLock® Millennium 版本來做相應(yīng)的控制。

問題：DeviceLock® 能自動(dòng)安裝到系統(tǒng)中去嗎？

回答：可以。在運(yùn)行 DeviceLock® Setup.exe 的時(shí)候加 /s 參數(shù) (例如：setup.exe /s)。 有一個(gè)配置文件給安靜模式安裝使用：deviceLock.ini，配置好只有可以用批處理文件來運(yùn)行 setup.exe /s 詳細(xì)信息請(qǐng)參手冊(cè)。

問題：可以使用微軟的系統(tǒng)管理服務(wù)器來安裝 DeviceLock® 軟件嗎？

回答：可以。安裝包里面有一個(gè)叫 sms.zip 的文件，就是用于系統(tǒng)管理服務(wù)器安裝的。

問題：不到電腦面前可以安裝 DeviceLock® 軟件嗎？

回答：可以。DeviceLock® 支持遠(yuǎn)程安裝，用管理控制臺(tái)連接到遠(yuǎn)程電腦上，如果沒有安裝軟件或者版本過老，控制臺(tái)就會(huì)建議你安裝或者是升級(jí) DeviceLock® Agent?？梢栽诤竺娴慕缑胬锩孢x取安裝或升級(jí)的 exe 文件(安裝目錄下的DLService.exe)。

問題：怎樣給 DeviceLock® Agent 指定端口？

回答：默認(rèn)情況下 Agent 會(huì)使用動(dòng)態(tài)端口，每次服務(wù)器啟動(dòng)都會(huì)動(dòng)態(tài)分配一個(gè)端口，但是如果有防火墻的話就不好指定開放那個(gè)端口了，為了克服這個(gè)困難你可以修改注冊(cè)表來給 Agent 指定一個(gè)端口。

鍵: HKEY_LOCAL_MACHINE\SOFTWARE\SmartLine Vision\DeviceLock

名稱: ncacn_ip_tcp[port number]

類型: REG_SZ

值: not used (can be empty)

端口號(hào)：就是指定 Agent 和控制臺(tái)用來通訊的端口，這個(gè)值是可以為空。 注冊(cè)表編輯完畢之后應(yīng)該重啟 DLService 服務(wù)，使更改生效。 重啟服務(wù)之后要連接到客戶機(jī)，控制臺(tái)要使用機(jī)器名[端口號(hào)]這樣的格式來連接 DeviceLock。 請(qǐng)注意如果給 Agent 指定端口，則遠(yuǎn)程安裝/升級(jí)功能就失效了。也就不可遠(yuǎn)程對(duì) Agent 進(jìn)行安裝/升級(jí)，同時(shí)呀是沒有開放 139 端口的話遠(yuǎn)程審核記錄查看也將受到限制。

問題：為使 DeviceLock® 正常運(yùn)行，我需要開放那些端口？

回答：可以給 Agent 指定端口以方便設(shè)置防火墻，配置方法上面已經(jīng)說過了。你也可以給 Agent 指定動(dòng)態(tài)端口。如果要給 Agent 指定動(dòng)態(tài)端口則可以按照下面的方法執(zhí)行。

開放135-139端口和1024以上的所有端口:

Port 135 (TCP) – Remote Procedure Call (RPC) Service

Port 137 (UDP) – NetBIOS Name Service

Port 138 (UDP) – NetBIOS Netlogon and Browsing

Port 139 (TCP) – NetBIOS session (NET USE)

Ports above 1024 (TCP) – 用于 RPC 通訊

DeviceLock® 的運(yùn)作模式和其他 Windows NT/2000/XP/Vista/7/8 管理工具 (如：時(shí)間查看器、服務(wù)管理器 Services、計(jì)算機(jī)管理…等是一樣的，因此只要這些管理工具可以使用，DeviceLock® 也就可以正常使用。要獲得更多關(guān)于端口的信息請(qǐng)查看微軟知識(shí)庫。

問題：當(dāng)我連接到遠(yuǎn)程計(jì)算機(jī)時(shí)，收到 1722 錯(cuò)誤 (“The RPC Server is unavailable”) 是怎么回事？

回答：1722 錯(cuò)誤意味著 DeviceLock 控制臺(tái)不能控制到遠(yuǎn)程電腦的 Agent，原因主要有下面一些:

計(jì)算機(jī)不在網(wǎng)絡(luò)中(計(jì)算機(jī)名稱或 IP 地址錯(cuò)誤或者是已經(jīng)關(guān)機(jī)但是名稱還在網(wǎng)絡(luò)瀏覽器中存在)。

遠(yuǎn)程計(jì)算機(jī)不是 Windows NT/2000/XP/Vista/7/8 系統(tǒng)，Agent不能被安裝到此計(jì)算機(jī)上。

遠(yuǎn)程計(jì)算機(jī)在沒有被正確配置的防火墻保護(hù)中(怎么配置防火墻，請(qǐng)看上面的FAQ)。

遠(yuǎn)程計(jì)算機(jī)在本機(jī)不可以通訊的網(wǎng)段。例如：沒有設(shè)置好路由，你不可以和遠(yuǎn)程計(jì)算機(jī)所在網(wǎng)段通訊。

更新內(nèi)容

1、增加全面支持微軟 Windows 8/8.1 和 Windows Server 2012 。

2、增加了對(duì)Apple OS X支持。DeviceLock 支持 Mac 客戶端（需要單獨(dú)授權(quán)），它提供 DeviceLock 在 Mac 電腦上的控制功能。

3、修正 Microsoft Word 和 Microsoft Outlook 打印后文件留檔的問題。

4、提升 DeviceLock 客戶端在不同版本W(wǎng)indows 操作系統(tǒng)及補(bǔ)丁包上的穩(wěn)定性。

5、修正 DeviceLock 企業(yè)管理器（DLEM）控制臺(tái)的”安裝服務(wù)”插件的問題。

6、修正 DeviceLock 企業(yè)管理器（DLEM）控制臺(tái)選擇特定的服務(wù)設(shè)置模板（.dls文件）時(shí)歇性停止的問題文件。

7、修正 DeviceLock 企業(yè)服務(wù)器在使用監(jiān)測任務(wù)時(shí)有時(shí)提示”您的計(jì)算機(jī)的不支持的服務(wù)器版本”的錯(cuò)誤消息的問題。

8、修正與第三方軟件產(chǎn)品兼容性問題：賽門鐵克端點(diǎn)保護(hù) 11.0.7101.1056。