密盾专业版用户手册(20110613).doc

密盾DTGuard专业版 用户手册 新一代防信息泄密系统 0 华御信息技术有限公司 Cinsec Information Technology Co., Ltd. 目 录 第一章 简介 1 第二章 安装密盾DTGUARD 8 2.1．软硬件环境要求 8 2.2．安全环境体系结构 8 2.3．软件安装过程 9 第三章 系统设定 29 3.1．加密对象 30 3.2．界面扩展 33 3.3．PIN设定 34 3.4．安全登录 38 第四章 文档管理器 40 4.1．文档加密 41 4.2．文档解密 47 4.3．加密邮件包 48 4.4．加密文件并发送 50 4.5．解密邮件包 51 4.6. Shell 集成 52 4.7．系统设置 53 第五章 EKEY管理器 57 5.1．EKEY管理员设置 58 5.2．发行历史 59 5.3．EKEY信息 64 5.4．用户信息设置 67 5.5．可移动存储设置 69 5.6．安全区域设置 70 5.7．EKEY 写入/读取 72 5.8．系统设定 74 第六章 日志审计 77 6.1．日志管理 79 6.2．修改日志管理员密码 79 6.3．其它 79 第七章 DTGUARD服务管理器 80 7.1．管理服务器 81 7.2．用户组 82 7.3．证书组 95 7.4．会话 99 7.5．服务器备份/恢复 99 第八章 服务器登录 104 第九章 右键菜单功能 107 9.1．右键加、解密功能 107 9.2．右键拖放 110 9.3．右键粘贴并加密 111 9.4．右键解开邮件包 112 第十章 密盾DTGUARD加密文件查找工具 113 第十一章 卸载密盾DTGUARD 116 第十二章 密盾DTGUARD加密文件说明 119 12.1．文件的复制和移动 119 12.2．文档修改保存 119 12.3．使用文件容器的加密属性继承性保持加密状态 120 12.4．哪些文件不能加密 120 12.5．在移动存储器上使用加密文件 121 12.6．加密信息数据库文件 121 第十三章 服务与支持 122 13.1．技术支持 122 13.2．品质保证 122 13.3．EKEY补发 122 13.4．增值资源 123 各种密码说明、出厂默认值及遗忘处理办法 124 I 密盾DTGuard专业版用户手册 第一章 简介 我们公司刚刚设计出来的新产品，怎么对手公司也推出了同样的产品呢？ 技术人员王工去了对手的公司，会不会带走我们的最新设计成果呢？ 我们花了几百万买来的图纸，怎么对手公司的新产品设计和我们的如此相似？ 我们的光驱、软驱、USB接口都封掉了，怎么还是阻止不了图纸外泄呢？  …… 我们已经想了很多办法：出入公司要检查、禁止使用U盘等移动存储设备、禁止向外发送邮件、断开公司内外网络、安装防火墙等安全系统…… 但是，泄密事件还是发生了。 现在，密盾DTGuard 专业版（新一代防信息泄密系统）从源头上解决问题！ 密盾DTGuard专业版（新一代防信息泄密系统）致力于解决企业的内部数据防泄密问题。该系统一改传统安全系统“防、堵”的模式，采用创新的文件全生命周期保护安全策略，实现电子化文档数据的实时保护。密盾DTGuard新一代防信息泄密系统安全策略的出发点不是通过防止文件被带出，而是所有企业机密数据都以加密形态存放和使用，与外部处于虚拟隔离状态。加密的企业数据只有在企业内部才能被正常识别，企业环境是实时加解密引擎解码数据的必要条件。同样的数据通过复制、网络传送，甚至拆走存放数据的硬盘，一旦离开企业环境，这些数据就是毫无意义的乱码一堆。如同为企业的计算机环境加了一道无形的围墙，技术图纸、商务机密、客户资料、财务数据等在墙内没有任何变化，同样是这些数据一旦被带出企业，因为失去了密盾DTGuard构筑的企业安全环境的支持，这些数据因为无法解码而变得毫无价值。 密盾DTGuard 新一代防信息泄密系统的目标：构建一个安全的企业办公环境 ⑴ 保存企业机密的电子文件在全生命周期（包括在新建、浏览、编辑、更改等操作文件的时候）始终都是加密的。 ⑵ 受保护的电子文件只在密盾DTGuard新一代防信息泄密系统内部的计算机上可用，在其他计算机上不可用。 ⑶ 密盾DTGuard安全环境下，以实时加解密引擎为核心。所有应用程序（如Word、各种CAD软件等）不需要解密就直接读写、编辑、更改文件；如果把文件复制到密盾DTGuard安全环境外，没有密盾DTGuard安全环境的支持，应用程序就无法处理文件。 ⑷ 在企业密盾DTGuard安全环境中，任何文件只要引用了机密文件的内容，都将自动加密。保证机密数据/文件的引用和重组安全性。 ⑸ 在密盾DTGuard安全环境中，普通用户能正常使用机密文件，但不能通过拷贝粘贴片断机密数据内容经由QQ、MSN等聊天工具将机密内容传递给互联网上的其他人。 安全不能影响工作效率：密盾DTGuard，安全与易用兼备 密盾DTGuard系统安全和易用兼备，彻底改变了传统信息安全产品安全性和易用性总是背道而驰的尴尬局面。密盾DTGuard不需要使用者具有信息安全理念和技术背景，用户甚至不需要知道自己使用的数据是不是加密数据，因为密盾DTGuard安全系统保密的数据或文档不改变原来存放的位置，也不改变用户原来的操作方式和使用习惯，授权用户可以直接使用。所有与数据安全相关的工作都由密盾DTGuard系统在后台自动完成和保障。  密盾DTGuard系统体系结构采用软件和硬件结合的方式，硬件称为密盾DTGuard EKEY（本手册中或简称为“EKEY”），采用标准USB接口，类似常见的U盘外形。密盾DTGuard EKEY集智能卡、读卡器和微型安全操作系统功能于一体。可以这样理解密盾DTGuard单用户版的体系结构： Ø 没有安全系统的计算机处于全开放状态，任何人都可以从计算机上拿走他想要的数据。 Ø 密盾DTGuard软件平台为计算机系统加了锁，机密数据对其他人是不可见的，即使锁被别人砸坏了。 Ø 密盾DTGuard EKEY是加了锁的计算机的钥匙。授权使用者只需要插上钥匙使用计算机，操作和感觉与没有安装密盾DTGuard系统前没有任何不同。 密盾DTGuard专业版（新一代防信息泄密系统）主要技术特征： Ø 实时主动强制加密技术 密盾DTGuard专业版采用智能数据流向追踪技术主动强制加密涉密数据，企业环境中任何设定为涉密数据的文件内容在被复制、引用、转移时都将保持加密状态。加密的数据只能在企业环境中才能被正确解读。 Ø 即插即用的保密文档 密盾DTGuard EKEY使用USB接口，密盾DTGuard系统把USB接口的即插即用特性扩展到保密文档上。用户只需要插上EKEY，保密的文档无须解密就可以正常使用；拔掉EKEY，保密的文档就地消失。这一特性源于密盾DTGuard系统采用了业界领先的实时加解密技术。实时加解密技术加密时不需要搬动文件的位置，使用时也不需要事先解密。由于这种先进技术的引入，密盾DTGuard系统具有很多一般加密系统无法做到的新特征。 ü 可以加密其他应用程序的程序或数据文件 如可以加密文档资料、即时聊天记录、上网历史记录、通讯录、证券交易软件、网上银行客户端软件等，这种加密其他应用软件程序和数据的特性使密盾DTGuard系统成为真正的安全平台，用户可以与自己的实际应用环境组合出千变万化的安全解决方案。 ü 可以以文件、文件夹或逻辑盘符（驱动器）为单位进行加密 密盾DTGuard加密对象的最小单位是单个文件，最大可以是驱动器。在密盾DTGuard环境下，未授权的用户不能进入加密的驱动器和文件夹， 也不能存取加密文件。在密盾DTGuard安全环境失效（如：自主卸载密盾DTGuard系统、拆卸数据硬盘进行暴力性攻击）时，加密文件以密文形式存在，攻击者无法获得加密文件的内容。 ü 自动加密操作员新建和保存的文件 密盾DTGuard加密的文件夹或驱动器具有保密继承属性，任何在加密文件夹或驱动器下生成的文件或文件夹都会保持加密状态。管理员只需要进行一次加密，以后操作员新生成的文件都会自动加密。这一特性使保密可靠性与实际操作员无关，不会因为操作员的操作失误或操作员的保密能力意识欠缺等原因导致机密数据的流失。 ü 加密文件使用过程中不会在磁盘上留下机密资料明文文件 由于密盾DTGuard加密的文件不需要解密就可以直接使用，不象传统保密软件在使用加密数据前必须先解密成明文文件，因此不存在传统保密系统机密数据使用时的风险。 Ø 高强度分组加密技术 密盾DTGuard采用了符合AES标准的高强度分组加密技术，采用128分组和256位密钥对数据进行全程编码加密。 Ø 随身携带的密钥 密盾DTGuard 系统将加密使用的关键密钥放在可随身携带的密盾DTGuard EKEY硬件上(服务器版密钥在企业服务器上动态分发)，与密文的存储位置在物理上分离，具有极高的安全性。密盾DTGuard EKEY自身采用PIN技术识别主人身份，防止他人盗用和消除EKEY遗失后可能的安全隐患。 Ø 可选的EKEY自动登录和拔离自动锁定功能 用户在登录计算机时无需输入用户名与密码，只需插入EKEY，便可登录到计算机。拔掉EKEY，计算机立即锁定，插回EKEY，立刻恢复到原来的工作画面。 Ø 增强的硬件身份认证功能 登录系统和解锁计算机时可选择使用强制EKEY硬件身份认证功能以阻止其他用户通过输入用户名/密码进入计算机。 Ø 加密文件自动隐藏 用户对文件设置保密后，拔掉EKEY，加密文件自动隐藏；插入EKEY，加密文件则自动显现并可以正常使用。 典型应用范例 l 某研究所技术成果保护方案 图1- 1 这是密盾DTGuard 专业版保护单个重要部门数据的典型应用，适合企业用于单一的保护知识产权目的。 在这个案例中，技术部原有的文件服务器同时兼做密盾DTGuard服务器，为其所管辖的客户机（上图中黄褐色的工作站）提供存取企业机密资源所必须的解码条件。密盾DTGuard硬件EKEY、密盾DTGuard服务器和加入到密盾DTGuard服务器中的所有企业计算机节点共同构成企业的安全环境，企业和机密资源只能在这个安全范围内使用。不管以什么手段把企业的机密资源带离这个安全环境，这些机密资源都因为得不到密盾DTGuard服务器和密盾DTGuard硬件EKEY的支持而无法解码。 上图中工作站11和工作站13虽然同处于内网，但因为没有加入到企业安全环境，因而不能存取企业的机密资源。企业可以通过密盾DTGuard服务器灵活地控制安全环境的组成计算机。 本手册警示级别说明： 提示：技巧性的提示或说明，建议用户知晓并遵照执行； 警告：重要注意点，用户必须遵照执行，违反可能会引起严重后果。 警告：使用密盾DTGuard系统前，请认真阅读本手册，按手册说明安装使用本产品。 注： Windows, Windows 2000, Windows XP, Windows 2003, Windows Vista是Microsoft Corporation的注册商标或商标。 Pentium是Intel Corporation的注册商标。 “密盾”、“DTGuard”、“华御”均系华御（集团）公司注册商标。 其他未注明的注册商标或商标所有权归属各自拥有公司。 第二章 安装密盾DTGuard 2.1．软硬件环境要求 Ø 操作系统：Windows 2000/XP/ 2003/Vista/Win7(32Bit) Ø CPU（中央处理器）：Intel PentiumIII 166以上 Ø RAM（内存）：64MB以上 Ø 硬盘：最少20MB硬盘空间 Ø USB接口：至少一个USB 1.1或2.0标准的接口 Ø 鼠标：与Windows操作系统兼容的二键或三键鼠标 Ø 光盘驱动器：如果使用光盘安装则必须具备 2.2．安全环境体系结构 图2-1 专业版由服务器为每个客户端分发企业通行证。客户机在用户插上EKEY时，密盾DTGuard客户端向服务器提交EKEY上包含的用户电子身份信息，服务器对电子身份信息进行认证，认证通过后把该用户对应权限的企业通行证返回给申请的客户机。如果验证失败，客户机则得不到企业通行证，也就没有权限操作机密数据。 有些客户机不使用EKEY而是使用服务器上预设的账户登录。 客户机EKEY都接受管理员的管理。管理员通过管理软件管理客户机EKEY并为EKEY用户分配权限。整个安全环境中仅有管理员EKEY有权限解密机密数据。管理员可以为客户机EKEY分配权限（如：打印机密文件、使用互联网等）。 2.3．软件安装过程 提示1：软件安装之前，请不要把EKEY插入到计算机。安装程序在安装过程中会自动安装硬件驱动程序，在安装程序提示你插入EKEY时再插。 提示2：安装程序需要系统管理员权限，否则安装会失败。如果你没有系统管理员权限，请不要运行安装程序。 将密盾DTGuard 安装光盘放入计算机的光盘驱动器内： 图2-2 一般情况下，安装程序将自动运行。如果你的系统关闭了光盘的自动运行特征，请从Windows资源管理器中打开光盘驱动器，找到AutoRun.exe文件，双击这个文件运行它，如下图。 专业版安装 图2-3 2.3.1 DTGuard服务器安装 DTGuard服务器处理客户机的登录请求，负责验证用户并对合法用户发放合适的企业通行证。 提示：DTGuard服务器需要EKEY联机才能工作。 (1)  点击“安装DTGuard服务器端”，出现如下画面（图2-4）。 图2-4 (2)   单击“是(Y)”按钮，显示如下画面（图2-5）： 图2-5 这里要求管理员设置服务使用的IP地址和端口号。如果这台计算机有多个网卡，可能会有多个IP地址，管理员必须选择与客户机相同的网段地址。端口号的值在0~65534中选取。(提示：为了避免与常用端口号相冲突，尽量使用1024以后的端口号。)客户机在设置服务器参数时必须指定和这里相同的参数（参考“客户端安装”的 “服务器设置”部分）。 如果系统中安装有第三方的防火墙，必须设置防火墙允许服务器连接网络。如果使用的是Windows系统中内置的防火墙，可以不作设置，安装程序会自动将服务器添加到Windows系统内置防火墙的例外列表中。防火墙的配置方法请参阅防火墙的说明书。 (3) 按“确定”按钮，显示如下 (图2-6)： 图2-6 按“确定”，安装完成。 2.3.2 客户端安装 图2-7 (1)   点击“安装DTGuard客户端”运行安装程序，等待安装程序加载直到显示欢迎界面 (图2-8)： 图2-8 (2)   点击“下一步”，将显示许可证协议。画面如下 (图2-9)： 图2-9 请认真阅读许可证协议中的所有条款。你必须接受许可证协议中的所有条款才能继续安装。如果你不接受许可证协议，请不要安装本系统。 (3)  单击“下一步”按钮，选择安装文件夹的位置（图2-10）。 图2-2 (4) 单击“下一步”按钮，选择是否要“启用卸载密码保护”（图2-11）。 图2-3 (5)  点击“下一步”，显示安装确认画面(图2-12)。 图2-4 (6)  点击“安装”按钮，安装程序开始复制文件到你的计算机(图2-13)。 图2-5 (7) 文件复制完成后，安装程序将启动EKEY设置向导。 如果你是第一次使用密盾DTGuard EKEY，请在计算机的任意一个USB端口插入EKEY，并按向导提示完成EKEY硬件驱动程序的安装（图2-14）。如果你的EKEY已经使用过而且不需要更改EKEY设置，请按“跳过”完成安装（图2-21）。 图2-6 ①    如果你需要设置EKEY，请把密盾DTGuard EKEY插入到任一USB端口。系统硬件驱动向导会提示你发现新硬件（图2-15），并为你自动安装驱动程序（图2-16）。 图2-7 图2-8 ②    如果你不是第一次使用，并且不需要重新设置EKEY，请按跳过直接完成安装(图2-21)。   硬件驱动程序向导在不同的系统中可能会有所区别，在Windows XP 中弹出图2-17所示的对话框，选择“自动安装软件（推荐）”。因为密盾DTGuard安装程序已经设置好了硬件驱动程序的安装环境，系统将自动安装硬件驱动程序，按“下一步”完成硬件驱动程序的安装（图2-18和图2-19）。 图2-9 图2-18 图2-19 (8) 单击“完成”，跳出“配置服务器”的窗口。填写服务器地址与端口号，显示如下(图2-20)。 图2-10 这里填写的服务器地址和端口号必须与服务器安装时指定的服务IP地址和端口号相同（参考“服务器安装”）。 (9) 点击“下一步”，密盾DTGuard安装完成（图2-21）。用户必须重新启动计算机，密盾DTGuard系统才能正常工作。 图2-11 2.3.3 管理员定制客户端安装 使用密盾DTGuard定制客户端安装，管理员可以定制密盾DTGuard客户机安装包，更改客户机的默认权限和简化客户端的安装过程。 图2-22 将密盾DTGuard光盘放到CD驱动器，密盾DTGuard安装会自动运行。点击“密盾DTGuard定制客户端安装”。如果你的CD不能自动启动，请打开密盾DTGuard光盘，找到“Autorun.exe”，双点击运行它。你也可以直接运行X:\BIN\NetSetup.exe启动密盾DTGuard定制客户端安装（X是光盘盘符）。 有以下两种模式进行定制： 经典模式 图2-23 向导模式 图2-12 客户机选项： Ø  安全登录     如果选取“启用安全登录”，客户机安装后将启用EKEY登录。选取这个选项后，可以同时设置以下两个选项。 启用强制硬件EKEY身份验证 启用该选项，在重新启动或者注销进入系统时，登录用户名和密码框变成灰色，不可以通过键盘输入账号的方式进入系统，只有插入正确的EKEY，通过EKEY身份认证后才能进入系统。 ü启用拔离锁屏 启用该选项，拔掉硬件EKEY后，屏幕自动锁屏。 图2-25 Ø      加密对象 如果选取，客户机上当前没有权限操作的加密文件将自动隐藏；如果不选取，非授权用户可以看到这些加密文件，但不能访问这些加密文件。 图2-26 Ø 存储器 存储器安全主要针对可移动存储设备的存取限制，以防止内部机密资料的外泄。客户机安装密盾DTGuard软件后默认的存储器存取权限在此设置。包括软盘、移动存储器（基于USB、1394等热插拔端口的移动硬盘、U盘、读卡器等）、CD/DVD、网络驱动器等。 存储安全策略有下列选项: ü 正常：该类型存储设备可以正常读取和写入数据。 ü 只读：只能从该类型存储设备读取数据到计算机，而不能把计算机上的数据复制或存储到该类型存储设备。 ü 禁用：禁止该类型存储设备的使用。 提示：禁止使用移动存储的企业或部门级应用可以在定制化安装时指定禁用全部可移动存储器；而在需要使用移动存储器的用户的EKEY上开放相应的移动存储器存取权限时，可不在此进行设置，安装客户端后，由管理员在“EKEY管理器”中设置相应的使用权限。 图2-27 Ø     客户默认安装目录 客户机默认的安装目录。如果设定，客户机在安装时将不再询问用户安装到什么位置。如果不设置，客户机将在安装时询问。 图2-28 Ø      安装设定 勾选“安装管理员组件”，管理员组件仅供EKEY管理员使用，所以EKEY管理员一般不需要在每个客户端安装管理员组件。 图2-29 Ø    卸载密码      勾选“启用客户端卸载密码”，客户机必须输入管理员指定的卸载密码才能卸载密盾DTGuard软件。 图2-30 Ø     服务器信息               “服务器”是指输入连接到服务器的IP地址，“端口号”是指客户要访问的集务器的端口。管理员在此设置完，客户端安装时就不需要再设置。 图2-31 Ø     设置路径 定制的客户端安装包复制的位置。管理员一般把定制的安装包复制到文件服务器上的共享目录中，客户机可以连接到这个共享目录安装密盾DTGuard客户端软件。 第三章 系统设定 安装了密盾DTGuard系统软件，程序组中会出现“密盾DTGuard系统设定”的快捷菜单 。可以使用这个工具对密盾DTGuard系统进行快速设置。在使用这个工具时，你必须是EKEY的合法持有者。如果当前用户没有通过密盾DTGuard系统的身份验证，只能打开部分页面。 从“开始”菜单à“所有程序”à“密盾新一代防信息泄密系统”程序组中启动“DTGuard 系统设定”。 图3-1 启动“密盾DTGuard系统设定”时，EKEY必须插在计算机上，并且通过了用户身份认证。否则，“密盾DTGuard系统设定”只可打开“加密对象”、“界面扩展”和“引擎优化”页，如图3-2所示。 图3-2 “DTGuard系统设定”显示的页面与当前密盾DTGuard系统的版本相关。EKEY管理员可以关闭一些设定功能，从而使一些设定页面不可见或不可用。 3.1．加密对象 图3-3 Ø 自动隐藏 自动隐藏打开时，如果当前用户不具备操作加密文档的权限，用户将看不到这些加密文档。 例如：文档A采用证书1加密，文档B采用证书2加密。如果当前用户EKEY没有插在计算机上，文档A和文档B都不显示；如果用户的EKEY插在计算机上，EKEY上有证书1，则文档A会显示，如果EKEY是有证书2，则文档B会显示。 如果自动隐藏关闭，系统显示所有加密文件的名称。但用户不能存取没有加密证书的加密文件或文件夹。 Ø 加密图标 可以给加密文档图标选择添加一个加密标志以区分加密文件(图3-4)。你可以选择这个标志的样式，也可以不使用加密标志。 提示：改变这个设置须重新登录才能生效。 图3-4 Ø 高级：（“高级”功能只有插上管理员EKEY才会显现。） 图3-5 反黑功能是从源头切断黑客盗取数据的网络资源，任何计算机程序（包括黑客工具、后门程序、木马程序）在涉密后立刻与外网虚拟隔离（类似于物理隔断），从而将机密数据的存在范围严格限制在用户的计算机内。 提示：反黑功能只对加密文件有保护作用，对非加密文件不起作用。 启用加密文件反黑功能：勾选此项，则加密文件或文件夹始终与外网隔离。此时EKEY联机，可以正常使用加密文件或文件夹，但与外网断开，用户无法访问外部网络，QQ等即时聊天工具也无法进行通讯；拔掉EKEY，用户无法使用加密文件或文件夹，而网络恢复正常。 提示：若要取消反黑功能，需要PIN码的验证，此时必须要通过PIN身份验证才能成功关闭反黑功能。否则将视为无效，反黑功能不关闭。 信任来自内网的连接：勾选此项，会跳出PIN码验证框进行验证，验证通过后，方能正确启用此项功能。成功启用该功能后，则凡是涉及到局域网应用(如：ERP)的不会受到反黑功能的阻断，局域网内部可以正常交流。如果不勾选此项，则在进行局域网应用时，会受到反黑功能的限制。 提示：开启此项功能，有一定的风险，建议没有局域网应用的用户不要开启此项功能。 3.2．界面扩展 图3-6 可以通过界面扩展设置密盾DTGuard与操作系统的集成界面外观。 在资源管理器中使用右键菜单可以快速操作感兴趣的文件或文件夹，同时还可以为右键菜单指定样式。  3.3．PIN设定 图3-7 PIN码即个人身份识别码，用于验证EKEY持有者的合法身份，开启PIN验证可以有效防止EKEY丢失或被盗后有人冒充EKEY持有者的合法身份。 Ø 当启用PIN码验证时，用户把EKEY插入到计算机时，系统会提示用户输入PIN码以验证用户的合法身份（图3-8）。一定要牢记这个PIN码，密盾DTGuard系统按此来验证用户是否为合法用户。 提示：若设置了验证PIN码，EKEY联机后，跳出验证PIN对话框，此时，只有输入正确的PIN码才可以正常使用加密文件，“取消”或是直接关闭该窗口，都被视为非法用户，无法使用加密文件。 Ø 当设置由启用PIN码验证状态变为“无效”状态时，同样会弹出图3-8所示的“密盾DTGuard EKEY持有者身份认证”对话框，只有输入正确的PIN码，才可以正常关闭PIN码验证功能。 　 图3-8 u PIN码有多种验证方式，安全级别依次递增。 ² 无效：密盾DTGuard系统认为EKEY总是安全的，不做PIN验证。用户在确保EKEY安全的前提下可以选择这个选项。 ² 关机或重启后有效：只在计算机下次开机时才需要检验PIN码。 ² EKEY拔离系统后XXX分钟后有效：EKEY在拔离系统指定的时间后再次插入，需要用户输入PIN码。XXX是用户指定的时间长度，以分钟为单位。这个选项默认与“关机或重启动后有效”选项同时使用。 ² 总是有效：密盾DTGuard系统每次在EKEY插入系统时都要验证PIN。 提示：用户的PIN码连续输错3次，EKEY将被锁定(图3-9)。EKEY管理员可以通过EKEY管理器解锁被锁定的EKEY(请参照“EKEY管理器”)。 图3-9 u 修改PIN 用户根据实际情况，设置安全性高的PIN码来提高EKEY的安全性。 ü 当设置由“无效”变为启用PIN码验证状态，也就是第一次设置PIN码时，只需输入“新PIN”和“确认新PIN”，但两次输入的PIN码必须一致(图3-10)。如果在勾选启用PIN码验证选项后，忘记点击“修改PIN码”按钮进行PIN码的设置，则在点击“应用”时，也会弹出“修改PIN”的对话框，提示用户设置PIN码，用户可以在此更改。 图3-10 ü 当需要重新更改PIN码时，点击“修改PIN码”按钮，在弹出的“修改PIN码”对话框中，输入“旧PIN”、“新PIN”和“确认新PIN”即可。其中输入的“新PIN”和“确认新PIN”必须一致(图3-11)。 图3-11 3.4．安全登录 图3-12 ü EKEY自动登录：启用该选项时，用户只要插入EKEY，就可自动登录系统；拔掉EKEY，将自动默认锁屏。 ü 启用强制硬件验证：启用该选项时，在重新启动或者注销进入系统时，登录用户名和密码框变成灰色（图3-13），不可以通过键盘输入账号的方式进入系统，只有插入正确的EKEY，通过EKEY身份认证后才能进入系统。 ü EKEY拔离时不锁定系统：启用该选项时，EKEY拔离计算机时，不自动锁定计算机。EKEY拔离锁定计算机可以增强系统的安全性。如果需要自动锁定，不要选择复选框选项。 图3-13 第四章 文档管理器 文档管理器是密盾DTGuard系统的集成用户环境，方便用户对由“文档管理器”加密的文档进行管理以及相关配置操作。 启动文档管理器： 单击“开始”菜单→“所有程序”→ “密盾新一代防信息泄密系统” →“DTGuard文档管理器”(图4-1 ) 图4-1 文档管理器的操作方式与Windows资源管理器类似。在地址栏中可以直接输入文件路径，也可以从下拉列表选取（图4-2）。文档管理器初始视图显示收藏主页（已加密的文档列表）。 图4-2 在文档管理器中可以直接对文档进行加密或解密。一些使用鼠标右键菜单不能加密的对象（如桌面上的快捷图标，启动菜单中的程序组等）都可以在文档管理器中加密。 提示：普通用户没有解密权限，企业安全环境中仅管理员可以解密文件。 4.1．文档加密       选中一个文件夹，用户可以通过文档管理器的菜单、工具条按钮、右键菜单多种方式来对文件/文件夹进行加密操作。 ⑴． ．文档管理器菜单： 单击“文件”→“加密”（图4-3） 图4-3 ⑵．工具条按钮：点击工具条上“加密”按钮。(如图4-4) 图4-4 ⑶．鼠标右键菜单：用户选中一个文件/文件夹,单击鼠标右键，即显示右键菜单（图4-5） 图4-5 上述三种加密操作都将弹出加密对话框，如图4-6所示： 图4-6 Ø   加密证书 加密证书是加密的必要条件，选择一个加密证书，按“加密”按钮对文档进行加密。 加密后的文件夹或文件可以通过属性来查看所用的加密证书信息，选中加密的文件，点击“右键”→“属性”或属性栏上的“属性”图标，弹出如图4-7所示的属性框。 图4-7 属性中显示文件的加密信息。 ü 加密EKEY：用于加密这个文件的EKEY硬件序列号。 ü 加密时间：该加密文件加密的时间。 ü 写保护：如果在加密时选取了“其他EKEY用户不能修改加密文件”，这个选项为“是”，否则为“否”。 ü 下载保护：如果加密时选取了“禁止通过网络远程下载”，这个选项为“是”，否则为“否”。 提示：仅数据服务器版支持选择“禁止通过网络远程下载”。 ü 证书名称：用于加密这个文件的证书名称。 ü 编码算法：加密采用的编码算法。 ü 证书有效期：加密证书的有效期。 　 Ø 加密选项 加密文档时的可选项(图4-8)。 图4-8 ü 其他EKEY用户不能修改加密文件：指用其它EKEY用户只能查看，不能修改这个加密文件（只读）。 ü 彻底销毁原文件：文件加密时在原文件的物理存储位置执行抹除操作，抹除后的文件任何片断都无法复原。 ü 忽略已加密的文件：加密过程中不对已经加密的文件重新加密。 ü 在公共收藏夹中添加快捷方式：多用户共用同一计算机时，其他用户可以在加密收藏夹中看到你加入到公共收藏夹中的加密文件快捷方式。 　 Ø        错误处理     在加密过程中遇到错误，有以下4种处理方式(图4-9)。 图4-9 记录错误并继续加密：记录发生的错误，继续加密。 停止加密：遇到错误停止加密。 停止并取消所有已经完成的加密：发生错误停止加密，并撤消已经完成的 加密。 询问我怎么做：发生错误弹出错误处理对话框，询问用户怎样操作(图 4-10)。 图4-10 4.2．文档解密 提示：只有管理员才有解密的权限。 在文档管理器中对于已加密过的文件/文件夹用户也是可以通过3种方式来进行解密操作。 ⑴． 文档管理器菜单：单击“文件”→“解密”（图4-11） 图4-11 ⑵． 工具条按钮（图4-12）： 图4-12 ⑶． 鼠标右键菜单：（图4-13） 图4-13 4.3．加密邮件包 在文档管理器中有两种途径使文档加密为邮件包。 ⑴．文档管理器菜单：单击“文件”→“加密邮件包”（图4-14） ⑵．鼠标右键菜单→“加密邮件包”（图4-15） 图4-14 图4-15 提示：在“收藏主页”中，只能对单个加密文件执行“加密邮件包”操作；若需要对同一目录下的多个文件同时进行打包加密操作，需要在“地址栏”中输入该目录的路径，确保在物理路径下进行，才可以执行多文件的“加密邮件包”操作。 图4-16 弹出加密邮件对话框(图4-16)输入或通过“浏览”选择文件的存放位置和文件名，选择适当的加密算法和加密证书。点击“确定”就可以保存成一个MMP文件。 MMP文件类似于压缩包，可以作为邮件附件进行发送。 图4-17 4.4．加密文件并发送 单击“文件”→“加密文件包并发送”，弹出图4-16对话框。点击“确定”后文档管理器将启动邮件发送程序，启动的邮件发送程序和你的邮件软件相关，这里启动的是Outlook Express（图4-18）。你加密的邮件包将作为这个邮件的附件发送给你的联系人。 图4-18 4.5．解密邮件包 双击打开MMP邮件包，在打开的密盾DTGuard文档管理器中，可以找到MMP文件中的文件。 可以有两种方式解密邮件包： 1.选择需要解密的文件，点击“文件” →“解密邮件包”。 图4-19 2.选择需要解密的文件，点击鼠标右键选择“解密邮件包”。 图4-20 4.6. Shell 集成 Ø         将密盾DTGuard文档管理器中的对象拖放到Windows资源管理器窗口可以把密盾DTGuard文档管理器中的项目拖放到Windows资源管理器窗口，密盾DTGuard文档管理器会把当前选择的项目复制到Windows资源管理器窗口的指定位置 。   Ø        将加密文件从Windows资源管理器拖放到密盾DTGuard文档管理器的“加密文件收藏夹”，密盾DTGuard文档管理器将重建这个加密文件的快捷方式。   Ø         从Windows资源管理器中快速启动文档管理器的功能 ²       使用Windows资源管理器的上下文菜单可以快速启动密盾DTGuard文档管理器的加密、解密、加密发送等功能（参考右键菜单功能）。 ²       从Windows Explorer窗口中双点击扩展名为MMP的文件，会自动在密盾DTGuard文档管理器中打开这个文件。 4.7．系统设置 单击“选项”→“系统设置”，弹出图4-21对话框： 图4-21 Ø        外观 “整行选择”：选中此项时，选择文件时是整行显示，如图4-22所示： 图4-22 “可调整列顺序”：选择此项，可以调整列的显示顺序，如图4-23所示，图4-23是“名称”列在最前面，图4-23调整为“类型”列在最前面。 图4-23 “网格线”：选择此项后，列表有细的网格线，如图4-24所示： 图4-24 “热跟踪”：选择此项后，当前选择的项目将跟踪鼠标的移动(图4-25)。 图4-25   Ø        操作 图4-26 “允许对只读属性文件加密”：选择这个选项后，密盾DTGuard对只读文件可以进行加密处理。 “允许对系统属性文件加密”：选择这个选项后，密盾DTGuard 对系统属性文件可以进行加密处理。有些系统属性的文件是操作系统的关键文件，有可能在系统启动时用到，如果你确定那些系统属性的文件加密后不影响使用，可以选中这个选项，密盾DTGuard将允许对系统属性的文件进行加密。 “Shell右键菜单使用默认加密”：选择这个选项后，在Windows 资源管理器中使用右键快捷菜单加密文档时，密盾DTGuard 将使用默认选项加密文档而不提示用户更改加密选项。 　 第五章 EKEY管理器 EKEY 管理器是EKEY管理员专用工具，可以对EKEY进行各种设置。如密码的更改，证书的设置/备份，EKEY的备份。 启动EKEY管理器，输入EKEY管理器