DeviceLock是一個功能強大的電腦加密工具，針對電腦的外設裝置進行控管與審計，在任何時間、任何地點、任何人均無法將公司的機密資料透過外設裝置復制出去，也可以設定不能使用U盤，以避免病毒透過U盤入侵到企業的內部網絡。從而保護的公司內部重要資料的安全，使用這個軟件后將無法通過任何首段將數據帶出去，將其牢牢鎖定在電腦中。

軟件特色

1、外設裝置訪問控制（DL_Permission）

DeviceLock針對電腦常見的外設裝置均能進行控管與審計（支持哪些外設裝置請參考產品規格說明）。用戶可以針對不同的用戶或群組指定不同的讀寫權限（例如：不能使用、只能讀取、或可讀可寫），而且可以根據不同的工作日及時段來設定權限。

2、移動設備更細膩地控管

針對常見的移動設備（如iPhone、Windows Mobile、BlackBerry、Palm、MTP…等），提供更細膩的控管策略，例如：你可以對日歷、聯系人、郵件、任務、便簽、備分…等細項進行更細部的設定。無論該設備是通過何種接口（USB、COM、IrDA、藍牙）與電腦連接都適用一致的策略，該功能可以讓員工生產力、方便性與安全性之間達到平衡。

3、剪切板控制（Clipboard Control）

DeviceLock 可以讓數據泄漏在萌芽階段即被有效地阻止。DeviceLock 可以選擇性地控制用戶在剪貼板的各種類型復制或操作，包括文件、文本數據、圖像數據、音頻片段（如Windows聲音記錄器捕獲的記錄）和不明身份的數據類型。截屏操作可以阻止計算機的 Windows 截圖功能和第三方應用程序的截圖功能。

4、完整的設備使用記錄（Audit Log）

提供設備使用情形的完整審計記錄。包含事件時間、設備類別、執行動作、執行身份、當時的程序（Process）。記錄以操作系統的記錄（Event Log）格式暫存于使用者電腦上，也可設定自動集中回傳存儲服務器端，以達到集中且方便的報表與審計目的。

5、提供外存檔案的留檔（Data Shadow）

為審計外存文件的實際內容，可針對許可寫出文件的人員設定外存文件留檔的功能。當員工通過復制文件至外部儲存裝置或刻錄至光盤，都可以備份一份并回傳至服務器端；當設備不在內部網絡時，留檔的資料會暫存于個人電腦端，待回到內網后再將留檔文件回傳到服務器。

6、即插即用設備盤點報告

協助用戶針對特定用戶或電腦的即插即用設備進行盤點報表，從報表中可以看出哪些設備在何時曾被何人接入到哪些電腦，該報表可盤點USB、FireWrie、及PCMCIA的各種設備。

7、USB設備白名單

USB設備的生產廠商會依據其取得的廠商編號，產品編號加上設備序號合并作為DeviceID，因此，我們可以針對特定設備型號或序號（DeviceID）進行允許或鎖定。常見的應用情境：單位內僅可使用經過申請的特定設備，其他設備一律禁止。設定權限時可針對產品整批開放，或者是針對唯一設備序號進行開放。

8、暫時白名單（Temporary White List）

針對出差在外有臨時需要使用移動存儲設備的人，可以通過電話/Email等方式向相關人員申請臨時性的許可權限。使用者匯報電腦上顯示的設備序號，管理者可據此產生一個臨時性開放碼，該開放碼可以制定放行的時間段或直到設備拔除。中間的溝通可通過語音電話完成，而開放期間的使用行為也可留下記錄。

9、真實文件格式管控

支持依據檔案的真正格式制定允許或禁止傳輸的策略，使用戶不能通過篡改文件后綴名來規避策略。例如：用戶可以禁止如CAD、PSD等設計圖文件，輸出到計算機外部；DeviceLock目前的文件格式特征數據庫超過 3,000 種文件。

10、媒體白名單（Media White List）

可針對特定的DVD/CD-ROM光盤建立特定的媒體指紋，并且設定僅有特定的指紋才能使用。常見的應用是在一些開放的資料查詢電腦上，如圖書館、公共展示Kisok機等，要鎖住僅能使用特定的光盤資料，甚至鎖住光盤彈出按鈕，避免被未經授權的人員抽取調換。

11、加密軟件整合應用

DeviceLock可以識別經過加密的PGP、TrueCrypt與DriveCrypt磁盤（含U盤等各種便攜式存儲設備）?？梢栽诓呗灾付ㄎㄓ型饨釉O備是加密的情況下，才準許寫出文件，如果接入的是未加密的U盤，則僅能只讀，以符合企業的安全策略。

軟件功能

•與 AD 組策略無縫整合

當 DeviceLock 應用于使用微軟 AD 域環境中，可以通過組策略(Group Policy)集中配置、存儲與同步策略內容。與企業中暨有的網域采用相同的管理方法，可以大幅減少管理時間與降低學習成本。

•DeviceLock 用戶端服務監控

當你的環境有安裝 DeviceLock Enterprise Server 時，可以即時監控分散在個人電腦的客戶端程序的運作狀況，并進行集中記錄與統計。

•Tamper Protection篡改保護

客戶端程序設計了一系列防破壞措施，以保護本身不被用戶破壞。保護措施包含：服務無法被用戶任意停用、后臺程序無法被暴力停止、即使擁有本機管理員權限也無法破壞。系統可以指定特定DeviceLock管理員賬號，只有管理員才能進行相關的維護與管理操作。

•防鍵盤記錄 Anti-keylogger 功能

可以偵測使用者的電腦鍵盤是否有被偷偷串接硬件式鍵盤記錄設備。當 DeviceLock 偵測到這些設備存在時，除了會發出警告外，還可以欺騙 PS/2 界面的鍵盤輸入，使得其記錄到的只是一串無意義的亂碼。

•內、外網的策略差異化

DeviceLock提供內、外網感知能力，你可以針對用戶在內部網絡或外部網絡時，套用不同的策略。例如:當用戶端的有線網絡接到內網時，就禁止使用 WiFi 無線網絡，以避免有線與無線橋接帶來的風險。

•報警(Alerting)

DeviceLock 通過終端的數據防護提供了SNMP 和基于SMTP的報警能力，對于用戶在設備上的行為對主管或管理員，進行實時的通知。

•服務器優化選擇(Optimal Server Selection)

當你的用戶數較多時，你可以安裝多臺 DeviceLock 服務器，用戶端會自動從企業服務器列表上選擇最快且可用的服務器，對審計和留檔的日志進行傳輸。

•流量控制

DeviceLock 可以為發送審計和留檔文件到企業服務器時，進行帶寬的限制，這樣有助于降低網絡的負載。

•回傳資料流量最佳化與壓縮

針對記錄與留檔文件的資料回收操作，可以制定帶寬使用限制，并可對回傳的資料流自動壓縮以降低網絡負載，減少資料大量回傳時所造成的網絡沖擊。當部署多個資料回收服務器的情況下，可自動選擇識別最佳化的回傳路徑。

•Search Server

Search Server 模塊提供針對 DeviceLock Enterprise Server 所收回的留檔文件，進行「全文檢索」方式的審計。它可以對常用的文件格式中文字內容進行檢索查詢，這些格式包含: (PDF、Ami Pro、壓縮文件案(GZIP、RAR、 ZIP)、Lotus 1-2-3、Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Word、Microsoft Works、OpenOffice(documents、spreadsheetsand presentations)、以及其他常用格式。

常見問題

問題：DeviceLock® 的用途？

回答：DeviceLock® 是管理員用來控制用戶可以使用何種外設的一個管理工具。一旦 DevickLock 被安裝到電腦上，管理員可以根據每周和每天的時間來設置用戶的使用權限。DeviceLock 加強了管理員對移動存儲設備的管理和控制，通過這些管理保護技術算計和網絡不被移動存儲設備上的病毒、木馬、和惡意軟件攻擊。管理員也可以使用它來限制用戶使用移動存儲設備和刷新移動 Device’s buffers。

問題：既然我可以使用組策略(Group Policy)，我為什么還要使用 DeviceLock® ？

回答：Windows 系統標準權限控制方案中沒有可以分配控制 USB、1394、WiFi、藍牙、和紅外接口的使用權。任何人(不需要是管理員)都可以使用基于這些接口的設備從電腦上下載大量的數據。而管理員不能通過組策略來控制 WiFi、藍牙、USB、和 1394 設備。

問題：有沒有定時將客戶端 Agent 狀態發送給我的功能？

回答：DeviceLock 本身并不提供這樣的功能，但是你可以安裝達友科技開發的 Docutek DeviceLock Reporter 軟件，可以設置發送報表到指定的郵箱。

問題：怎樣正確安裝控制臺？怎樣安裝企業管理器？怎樣安裝DeviceLock策略管理器？

回答：在 DeviceLock 中所有部件都是在一個安裝包中，只有一個安裝文件 setup.exe。

setup.exe 包含有 DeviceLock® 管理控制臺、策略編輯器、企業管理器和 Agent 以及產品說明書和幫助文件。

DeviceLock® 企業管理器是用來同時管理多臺電腦的控制平臺?？梢杂盟鼇硇薷牟呗?、安裝、更新、和卸載 Agent 也可以用來查看聯網電腦的審核記錄。如果沒有域而且有一個比較大的網絡的話推薦使用企業管理器來管理。

DeviceLock® 控制臺是一個 MMC 接件。用它可以查看或修改一臺電腦外設的權限控制、安裝和升級 Agent、查看電腦上的審核記錄。同時也可以用它來查看 DeviceLock® 服務器上的審核記錄和管理服務器設置。

DeviceLock® 組策略管理 Windows 2000 及以后版本的組策略編輯器整合在一起。用它可以在整個域范圍內定義 DeviceLock 設置，設置權限和審核記錄規則。

問題：Windows NT/2000/XP/Vista/7/8 系統中沒有管理員權限的情況下我可以安裝 DeviceLock® 嗎?

回答：不行。在 NT/XP/2000/Vista/7/8 系統中必須有管理員權限才可以安裝此軟件。如果是單機系統就必須是電腦的管理員才可以安裝此程序，如果是在域環境中則必須是域管理員權限才可以裝好 DeviceLock。

問題：我在 WIN 95/98/ME 系統中可以安裝 DeviceLock®嗎？

回答：在 Windows 9x/Me 系統中，使用 DeviceLock® Millennium 版本來做相應的控制。

問題：DeviceLock® 能自動安裝到系統中去嗎？

回答：可以。在運行 DeviceLock® Setup.exe 的時候加 /s 參數 (例如：setup.exe /s)。 有一個配置文件給安靜模式安裝使用：deviceLock.ini，配置好只有可以用批處理文件來運行 setup.exe /s 詳細信息請參手冊。

問題：可以使用微軟的系統管理服務器來安裝 DeviceLock® 軟件嗎？

回答：可以。安裝包里面有一個叫 sms.zip 的文件，就是用于系統管理服務器安裝的。

問題：不到電腦面前可以安裝 DeviceLock® 軟件嗎？

回答：可以。DeviceLock® 支持遠程安裝，用管理控制臺連接到遠程電腦上，如果沒有安裝軟件或者版本過老，控制臺就會建議你安裝或者是升級 DeviceLock® Agent?？梢栽诤竺娴慕缑胬锩孢x取安裝或升級的 exe 文件(安裝目錄下的DLService.exe)。

問題：怎樣給 DeviceLock® Agent 指定端口？

回答：默認情況下 Agent 會使用動態端口，每次服務器啟動都會動態分配一個端口，但是如果有防火墻的話就不好指定開放那個端口了，為了克服這個困難你可以修改注冊表來給 Agent 指定一個端口。

鍵: HKEY_LOCAL_MACHINE\SOFTWARE\SmartLine Vision\DeviceLock

名稱: ncacn_ip_tcp[port number]

類型: REG_SZ

值: not used (can be empty)

端口號：就是指定 Agent 和控制臺用來通訊的端口，這個值是可以為空。 注冊表編輯完畢之后應該重啟 DLService 服務，使更改生效。 重啟服務之后要連接到客戶機，控制臺要使用機器名[端口號]這樣的格式來連接 DeviceLock。 請注意如果給 Agent 指定端口，則遠程安裝/升級功能就失效了。也就不可遠程對 Agent 進行安裝/升級，同時呀是沒有開放 139 端口的話遠程審核記錄查看也將受到限制。

問題：為使 DeviceLock® 正常運行，我需要開放那些端口？

回答：可以給 Agent 指定端口以方便設置防火墻，配置方法上面已經說過了。你也可以給 Agent 指定動態端口。如果要給 Agent 指定動態端口則可以按照下面的方法執行。

開放135-139端口和1024以上的所有端口:

Port 135 (TCP) – Remote Procedure Call (RPC) Service

Port 137 (UDP) – NetBIOS Name Service

Port 138 (UDP) – NetBIOS Netlogon and Browsing

Port 139 (TCP) – NetBIOS session (NET USE)

Ports above 1024 (TCP) – 用于 RPC 通訊

DeviceLock® 的運作模式和其他 Windows NT/2000/XP/Vista/7/8 管理工具 (如：時間查看器、服務管理器 Services、計算機管理…等是一樣的，因此只要這些管理工具可以使用，DeviceLock® 也就可以正常使用。要獲得更多關于端口的信息請查看微軟知識庫。

問題：當我連接到遠程計算機時，收到 1722 錯誤 (“The RPC Server is unavailable”) 是怎么回事？

回答：1722 錯誤意味著 DeviceLock 控制臺不能控制到遠程電腦的 Agent，原因主要有下面一些:

計算機不在網絡中(計算機名稱或 IP 地址錯誤或者是已經關機但是名稱還在網絡瀏覽器中存在)。

遠程計算機不是 Windows NT/2000/XP/Vista/7/8 系統，Agent不能被安裝到此計算機上。

遠程計算機在沒有被正確配置的防火墻保護中(怎么配置防火墻，請看上面的FAQ)。

遠程計算機在本機不可以通訊的網段。例如：沒有設置好路由，你不可以和遠程計算機所在網段通訊。

更新內容

1、增加全面支持微軟 Windows 8/8.1 和 Windows Server 2012 。

2、增加了對Apple OS X支持。DeviceLock 支持 Mac 客戶端（需要單獨授權），它提供 DeviceLock 在 Mac 電腦上的控制功能。

3、修正 Microsoft Word 和 Microsoft Outlook 打印后文件留檔的問題。

4、提升 DeviceLock 客戶端在不同版本Windows 操作系統及補丁包上的穩定性。

5、修正 DeviceLock 企業管理器（DLEM）控制臺的”安裝服務”插件的問題。

6、修正 DeviceLock 企業管理器（DLEM）控制臺選擇特定的服務設置模板（.dls文件）時歇性停止的問題文件。

7、修正 DeviceLock 企業服務器在使用監測任務時有時提示”您的計算機的不支持的服務器版本”的錯誤消息的問題。

8、修正與第三方軟件產品兼容性問題：賽門鐵克端點保護 11.0.7101.1056。