金盾常见问题及解答.docx

用户常见问题及解答2009.10.30三分题1. USB存储管理和USB外设管理有什么区别吗？是否排除键盘及鼠标？（3分）答：USB存储管理是专门针对USB存储类设备，例如：闪存盘，移动硬盘等的注册管理USB外设管理则是对具有USB接口类设备的管理，例如USB扫描仪，USB打印机等排 除键盘和鼠标2. 为什么会提示“ 服务端和客户端不能在同一机器运行? ”（3分） 答:产生该问题的原因是服务端和客户端同时安装在了同一机器上，请将其一（服务端或客 户端）卸载3. 如何阻止客户端机器上外网？可以多列举几种3分）1. 网络行为管理——上网时间管理可以阻止客户端上外网2. 网络通信管理——通信协议和端口管理可以将80端口禁用掉3. 网络工具中——阻断客户端可以实现4. 网络维护管理——远程网络配置和批量网络配置，将其 dns 改掉就也可以实现其不能上 外网同时给他下发网络属性管理，这样他就不会有权限更改tcp/ip设置了4•如何禁用客户端WEB邮箱类网站？（3分）答：1、系统管理----系统配置---web邮件管理下禁止所有web邮件2、网络行为管理----网站黑白名单-----新建一个黑名单任务，网站地址设置为mail。

5. 为什么屏幕快照和多屏监控的客户端机器为黑屏？（3分） 答：客户端机器处于待机屏保状态且设置了“在恢复时使用密码保护”6. 为什么提示“ 请正确安装加密狗或与我们的经销商联系？ ”（3分） 答：产生该问题的原因是未插入加密狗或安装完服务端后没有重启机器，请将加密狗插入或 重启服务端7. 为什么解除USB外设管理后，外设还是不能使用？（3分）答：解除USB外设管理后客户端需要重新启动，方可解除策略8. 为什么下发下新安装软件管理策略后客户端还是可以安装软件？ （3分）答：新安装软件管理限制的是带有SETUP字样的软件和标准*.msi格式的文件绿色软件也 不能禁止（如兵刃等双击就可执行的软件）9. 如何发现内网中客户端机器的流量异常？可列举多种3分）1． 可以在报警管理——流量异常管理，可以实现2. 在网络通信管理——即时流量管理，查看异常，并通过互联网流量管理来限制其流量10. A、B、C三个不同部门，如何实现A的所有用户査看B、C部门的加密文件？可列举 多种4 分）答：1.在系统管理-加密解密管理组中，选择A部门的所有用户添加到B、C组中，然后针 对A部门要查看B、C部门的文档类型，下发相应的加密策略即可。

2.在数据库中表T_SC_Department中找到keycode将A部门的密钥复制给B、C部门 的使之密钥相同，重启服务器只有下发相应的加密策略即可11. 下发了软件报警管理策略后，客户端卸载了软件，为什么没有提示信息？（3 分） 答：下发软件报警策略，客户端卸载了软件后需要重新启动计算机，才会出现报警提示信息12. 公司的计算机为了方便管理，划分了 VLAN ，使用金盾产品能够实现管理吗？（3） 答：金盾管理软件支持VLAN技术，只要各VLAN的计算机之间能保证物理上的相互通讯 即可13. 远程卸载客户端为什么没有卸载成功？（3 分） 答：请检查网络通信是否正常，是否存在网络故障保证客户端与控制台在一个可通信网络 检查客户端环境中是否有第三方的拦截类工具软件14. 安装客户端后，鼠标经常出现闪烁和繁忙的现象，是什么原因？（3 分） 答：一般不会出现这种情况，但是偶尔由于第三方杀毒软件如：瑞星等将此类杀软退出5 秒钟后，再次进入就可以解决这种现象最后将 c： \windows\system32\hrreg.exe 加入到白 名单中15•如果安装sql2000时提示有程序已挂起，如何解决？列举方法。

3分） 答：打开注册表，删除 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager 删除 PendingFileRenameOperations 键值就可以了重启计算机16・如何卸载客户端可列举说明3分） 答：1.在控制台上卸载：首先在用户列表中选择要卸载的客户端，然后选择系统管理——远 程卸载客户端2.在客户端上，按住键盘上的 ctrl+alt+shift+f6 会弹出一个卸载对话框，默认授权密码 为“111”，点击卸载客户端即可17・ 为什么非 admin 用户登录到控制台后，在加密解密管理中只能看到文件夹，无法看到 里面的文件呢？（ 3 分）答：默认情况下非admin用户是不可以查看用户的文件的如果想让其登录可以看到用户的 文件，在系统管理——浏览图档格式定义中，定义该用户可以查看的文件类型即可18. 再打开加密图档格式定义时提示读取数据库失败，如何解决？（3 分）答：打开sql2000企业管理器找到数据库HrINetDB,找到表T_SECFileType表格，查看里面是否有空值或是处错误的地方，找出并更正即可。

19. 如何修改部门的密钥？（3 分）答：找到数据库中表T_SC_Department，在其中找到Keycode修改密钥20. 数据库中如何更改控制台账户的密码？（3 分）答：在数据库中找到T_sc_acount修改其中password即可21. 创建数据库的时候出现“失败”或无提示（3 分）答：确认您数据库安装时是否选择的“混合安装模式”或你的sa密码输入的是否正确，另外在创建数据库需要等30秒左右，请等待一下22． 为什么安装了客户端后，在控制台上看不到该计算机？（4分）答： 1、首先检查一下运行客户端的计算机环境是否有网络故障，另外是不是服务端与客户 端双方都能PING通2、 查看网络配置看是否和服务器及控制台在一个可通信的网络内，如果和服务端不在 同一个网段请在系统管理下的系统配置中添加客户端所在网段3、 在客户端上按ctrl+alt+shift+f6,重新指定一下服务端的IP并注销一下客户端电脑4、请查看代理的数目是否超过了服务器所限定的最大数目23．硬盘数据全解密如何实现，有哪些注意事项？（4分）答： 1、系统管理—加密策略定义管理（选择好解密的部门，然后单击“查看、编辑策略” 对要解密的文档格式进行定义）2、 加密解密管理—强制自动加密管理（选择好用户，对用户下发策略）3、 加密解密管理—硬盘数据全解密（进行策略下发）如果要解密的类型文档在客户端上有很多，则需要等待20分钟以上，并且在此期间员工不 可以对要进行解密类型的文档做任何操作，才可以把加密的文件全部解密。

原先加密的类型 文档，如果在加密策略定义管理中没有定义，执行硬盘数据全解密后，该类型的文档不解密4、 全解密完后，执行系统管理—加密策略定义管理把选择解密的格式的去掉 5、 然后在给全用户下发加密解密管理—强制自动加密管理（相当于下发一次空策略）24．远端控制台或服务器为什么连接不上金盾内网安全软件数据库？（4分）答：1、请查看安装数据库计算机的guest用户是否开启，请开启guest用户2、 检查是否拒绝Guest用户从网络访问本机：计算机配置f Windows设置f安全设置f本地策略f用户权利指派"拒绝从网络 访问这台计算机"将里面的guest账户删除！3、 在服务端上面设置一个共享文件夹，在安装有控制台的机器上访问这个共享文件夹25. 自动阻断和阻断客户端有什么关系如何设置？（4 分） 答：自动阻断是未安装客户端的计算机未安装的客户端会网络访问会被阻断掉 而阻断客户端是设置安装客户端的计算机禁止该客户端计算机所有网络通讯具体的设 置方法为：1. 阻断内网中已安装客户端的计算机网络工具”菜单---“阻断客户端”选项，选择要阻断的客户端即可2. 阻断内网中未安装客户端的计算机1 “网络通讯管理”菜单---“入侵检测管理”选项中设置合法用户，添加“授信计算机”。

2 “系统管理”菜单---"系统配置"选项，勾选“自动阻断入侵计算机访问” ，选择阻断 方式3 “报警管理”菜单---“非法主机入侵报警”选项，选择扫描到的计算机列表中非法IP, “阻断该计算机”即可，26. 软件的体系架构如何？一般如何部署？（4 分） 答：产品可以说是有四部分构成，分别是服务器端，控制台、客户端、 WSUS 补丁服务器， 一般是在服务器上装服务器端和数据库以及WSUS服务器，在网管的机器上或领导的机器上 装控制台，控制台可以装多个，没限制，但是可以分权限，客户端装在被管理的机器上建 议服务器端装在 2003 server SP1 操作系统上，控制台装在 2003 server SP1 操作系统或 XP SP2 系统上27. 阻止非法机器不能上内网和外网，不装客户端的机器能例外吗，如何实现？（4）答：在“系统配置”里面选上阻止“内网”或“外网”或“内网外网”就可以，建议客户端 全部装完后启用本设置，不装客户端的机器要在“网络通信管理——入侵检测管理”里面添加授信计算机就可以了28. 我们的企业精神是什么？（4分）答：说到做到 只看结果 严己宽人 敢担责任 艰苦创业 共享成果29. 软件如何升级，以及注意事项？可以举例说明（4分）答： 服务端和控制台的升级：1、取消所有的加密策略（也可以不用取消，但在升级期间会影响客户端的正常办公，）备份 HRlNetDB 数据库.2、卸载原有低版本的服务端和控制台程序，删除原有数据库，重新启动计算机。

从新版本 的安装文件中创建数据库，安装新版本的服务端和控制台，安装完成后先不要重新启动 计算机，运行服务端，服务端程序启动后再退出服务端重新启动计算机计算机启 动后，服务端会自动启动就完成了服务端和控制台的升级3、服务端的电脑启动后，如还想保留原有的用户名称和部门设置，将原来备份的数据库中 的表 T_SC_UserManager、T_SC_department、T_SC_Branchtment （有二级部门的情况 导入此表，没有则不用此表）、 T_SECFileType、 T_SEC_DepFile 重新导入到新创建的数 据库中有加密策略的必须进行此操作）想重新建立部门和用户名称的不需要导入原 有的数据库表项，服务端即升级完成客户端的升级：1 在控制台和服务端都升级成功后，客户端默认是自动升级的前提条件是没有更改服 务器的原有ip并且要升级的客户端电脑必须重新启动后才能升级2.客户端没能自动升级成功，建议采用手动升级操作，通过卸载原有客户端，全新安装新版本的客户端，这样操作更方便30. 如发现客户端CPU占用率较高如何解决？（4分）答：首先您要确定问题是否具有普遍性出现的问题是一个客户端还是多个客户端存在同样问题），然后在问题客户端上执行下面的步骤操作。

测试每步骤时最好重新启动电脑，以便更快更好的发现问题）1. 重启一下客户端机器，看是否还出现以上现象2. 选择“系统管理”菜单下“角色查询”选项，查询当前客户端已下发的策略，逐一取消策略检查客户端的hruser.exe进程CPU占用情况，发现某个策略取消后，客户 端的hruser.exe进程CPU占用率恢复正常，这时再次针对用问题的客户端下发此策 略，如问题依然存在，执行步骤 33. 关闭客户端的杀毒软件，系统防火墙等第三方安全类软件重新下发策略，检查问题是否还存在，如问题依然存在执行步骤 44. 卸载掉原有的客户端，重新安装客户端，重新下发策略，继续查看问题是否存在（ 80%的cpu占用率问题都会解决）。