控制策略的好与坏与目标明确性、环境适应性、实施效果、资源配置、数据支持、反馈机制、利益相关者需求、风险管理、技术支持以及组织文化等多个因素密切相关。
1.IP-Guard安装基础条件
1.1. 资源信息介绍
| 机器信息 | CPU | 内存 | 磁盘空间 |
|---|---|---|---|
| windows server 2016 | 4vcpu | 8G RAM | 200GB |
1.2. 软件年信息介绍
| 软件名称 | 软件版本 | 备注 |
|---|---|---|
| MS-SQL | MS-SQL-2019 | MS-SQL服务器 |
| IP-guard V4 | IPguard4.84.0127.0 | IPguard客户端 |
| MSS-MS | MSS-MS-20.2 | 数据库连接客户端 |
2.MS-SQL数据库安装
2.1. MS-SQL服务器安装
- 允许SQL目录内的安装程序,选择全新SQL Server独立安装活向现有安装添加功能
- 接受许可条款
- 接受Microsoft更新
- 校验SQL Server2019安装检测状态
- 选择SQL功能
- 实例配置
- 配置服务器配置,在SQL Server数据库引擎中选择 NT AUTHORITY/SYSTEM用户
- 在数据库引擎配置中选项混合模式,然后在SQL Server管理员中添加NT AUTHORITY/SYSTEM用户
- 等待数据库完成安全
2.2. MSS-MS客户端安装
- 选择Microsoft SQL Server Management Studio安装即可
3.IP-Guard服务端安装
- 直接双击IPguard4.84.0127.0.exe程序进行安装
- 选择标准安装
- 选择SQL SERVER数据库
- 完成IP-guard v4服务器的安装
注:IP-guard v4服务器安装完成后,会有30天的演示期限,但是不具备透明加密模块
4.终端安装IP-Guard客户端
4.1. 登录ip-guard控制台
- 初次登录ip-guard提示需要修改密码
4.2. 生成ip-guard客户端
4.3. 安装ip-guard客户端
- 客户端安装需要以管理员身份进行安装
- 客户端安装完成后需要进行重启操作
- 在客户端安装完成后,在控制台内可以看到客户端上线信息
5.IP-Guard基础策略配置
5.1.分组创建
- 可创建分组,不同的客户端可以放置在不同组,以应用不同的管理策略
5.2.基础策略配置
- 限制客户端打开控制面板、任务管理器、网络共享等;
- 验证基础控制策略已生效
5.3.设备控制策略
- 限制设备接入光驱、移动USB设备
- 验证限制光驱挂在后系如内不能显示光驱内容
5.4.应用程序控制策略
- 禁止运行特定的应用程序
5.5.上网浏览控制策略
- 禁止机器访问特定网站
5.6.软件安装控制策略
- 禁止机器安装特定的软件
5.7.上传控制策略
- 限制上传
5.8.共享文件夹管理
- 关闭主机的共享文件夹
5.9.软件管理
- 统一管理软件,可远程卸载非合规软件
5.10.水印控制策略
- 给客户端添加水印,实现信息可溯源
5.11.日志审计
- 在日志中可以审计客户端内的记录信息
6.IP-Guard加密策略配置
6.1.透明加密授权
6.1.启用文件落地加密
- 设置容灾时间和是否允许复制少量文本
- 开启新建文件加密和设置加密文件类型
6.3.文件落地加密验证
- 新建符合加密类型的文件会被自动加密,并且加密完成后会携带锁标
- 未授权的文件是不能打开加密文件的
6.4.授权打开加密文件
- 通过任务管理器抓取需要打开加密文件的程序进程
- 在授权软件中维护程序和进行一些自定义设置
- 加密模式有四种:自动加解密、智能加解密、只读加密、只解密不加密
- 自动加解密: 能够查看和编辑加密文档,授权进程新建的文件编辑保存后会自动加密;
- 只读加密: 只能查看加密文档,但不能编辑加密文档,新建的文件编辑过后不会加密;
- 智能加解密: 加密文档编辑保存后依然是加密文档,非加密文档编辑保存后依然是明文状态;
- 只解密不加密:就是原有文档不会加密,可以解密打开已经加密的文档;
- 设置是否允许打印、截屏、复制和粘贴
6.5.打开加密文件验证
- 策略授权完成后在终端可以直接打开加密文件
- 加密的文件不能复制到其他文本管理器中
- 同编辑器内可以互相复制,且保存的文件为加密文件
- 截屏会显示为禁止截屏
6.6.文件申请解密流程
- 在客户端对需要申请解密的文件右键直接申请解密
- 在申请解密时,输入解密申请理由
- 在控制台收到申请解密后,进行审批
- 控制端完成审批后,在客户端选择完成申请,即可解密加密文件
6.7.自动解密目录配置
- 定义自动解密目录(自定义参数为:decrypt_files)
- 加密文件拖入自动解密目录,文件就会实现自动解密
6.8.控制文件打印
- 记录打印内容,实现文档打印追踪
6.9.加解密告警配置参数
