230418 使用手冊 Ist 使用手冊

Endpoint Security System
IST 使用手冊
版權聲明
 版權所有
版權所有 © 2022 安和科技有限公司保留所有權利。
本手冊之所有資訊皆有版權。本手冊之任何資料非經安和科技有限公司書
面同意，不得以電子、機械、磁性、光學、化學、手寫或任何之形式加以複製、
傳送、改寫及儲存在檢索系統，或者翻譯成任何語言或電腦語言。
本文提及的所有商標、商品名稱、服務標章和公司標誌均為相關公司所有。
 請注意
安和科技有限公司對本手冊內容不做任何擔保。安和科技有限公司對於其
中所含的錯誤，或遵照本手冊資訊操作所引起必然或偶然之錯誤所造成的損害
不負賠償責任。
對於本手冊的內容，安和科技有限公司擁有最終的解釋權。
目錄
一、簡介 ........................................................................................................ 1
1.1 前言........................................................................................................................... 1
1.2 功能介紹 ................................................................................................................... 3
二、安裝與部署 ............................................................................................. 6
2.1 基本架構 ................................................................................................................... 6
2.2 軟硬體環境 ................................................................................................................ 9
2.3 安裝與部署伺服器和控制台 ..................................................................................... 10
2.3.1 安裝資料庫..................................................................................................... 10
2.3.2 安裝伺服器和控制台 ...................................................................................... 11
2.3.3 伺服器註冊..................................................................................................... 12
2.3.4 設定系統檢驗碼（本步驟可忽略不做） ........................................................ 14
2.3.5 伺服器日誌..................................................................................................... 15
2.4 安裝與部署中繼伺服器 ............................................................................................. 15
2.4.1 安裝中繼伺服器 ............................................................................................. 15
2.4.2 連接主伺服器 ................................................................................................. 15
2.4.3 查看中繼伺服器狀態 ...................................................................................... 16
2.4.4 中繼伺服器日誌 ............................................................................................. 17
2.5 部署用戶端 .............................................................................................................. 17

2.5.1 直接安裝用戶端 ............................................................................................. 17
2.5.2 遠端派送用戶端 ............................................................................................. 19
2.5.3 網域登入指令檔安裝 ...................................................................................... 21
2.6 系統升級 ................................................................................................................. 23
2.6.1 更新維護保固碼（維保碼）............................................................................ 23
2.6.2 升級伺服器和控制台 ...................................................................................... 25
2.6.3 升级中繼伺服器 ............................................................................................. 25
2.6.4 升級用戶端..................................................................................................... 26
2.7 移除......................................................................................................................... 26
2.7.1 移除用戶端..................................................................................................... 26
2.7.2 移除伺服器和控制台 ...................................................................................... 28
三、控制台 .................................................................................................. 28
3.1 登入控制台 .............................................................................................................. 28
3.1.1 登入控制台..................................................................................................... 28
3.1.2 修改密碼 ........................................................................................................ 30
3.2 控制台簡介 .............................................................................................................. 30
3.3 電腦和使用者操作 ................................................................................................... 33
3.3.1 檢視基本資訊 ................................................................................................. 33
3.3.2 顯示 ............................................................................................................... 35
3.3.3 分組操作 ........................................................................................................ 36

3.3.4 搜尋 ............................................................................................................... 37
3.3.5 刪除 ............................................................................................................... 37
3.3.6 還原 ............................................................................................................... 38
3.3.7 重新命名 ........................................................................................................ 38
3.3.8 資料同步 ........................................................................................................ 38
3.3.9 策略匯出 ........................................................................................................ 39
3.3.10 清除子群組的策略 ........................................................................................ 40
3.4 控制......................................................................................................................... 41
3.4.1 發送通知訊息 ................................................................................................. 41
3.4.2 鎖定電腦／解鎖 ............................................................................................. 41
3.4.3 登出使用者、關閉／重新啟動 ........................................................................ 42
3.5 輔助功能說明 .......................................................................................................... 42
3.5.1 匯出和匯入..................................................................................................... 42
3.5.2 列印、預覽列印 ............................................................................................. 43
3.6 策略角色 ................................................................................................................. 43
3.6.1 角色 ............................................................................................................... 45
3.6.2 支援的策略類型 ............................................................................................. 45
3.6.3 策略優先順序 ................................................................................................. 46
3.6.4 策略應用查詢 ................................................................................................. 46

3.6.5 匯入和匯出..................................................................................................... 46
四、統計 ...................................................................................................... 47
4.1 應用程式統計 .......................................................................................................... 47
4.2 網頁瀏覽統計 .......................................................................................................... 50
五、日誌 ...................................................................................................... 52
5.1 日誌簡介 ................................................................................................................. 52
5.2 基本事件日誌 .......................................................................................................... 53
5.3 應用程式日誌 .......................................................................................................... 54
5.4 網頁瀏覽日誌 .......................................................................................................... 56
5.5 文檔操作日誌 .......................................................................................................... 57
5.6 燒錄操作日誌 .......................................................................................................... 60
5.7 共用文檔操作日誌 ................................................................................................... 61
5.8 列印操作日誌 .......................................................................................................... 63
5.9 移動儲存操作日誌 ................................................................................................... 65
5.10 文檔雲端備份操作日誌 .......................................................................................... 67
5.11 資產變更日誌 ........................................................................................................ 68
5.12 策略日誌 ............................................................................................................... 69
5.13 系統事件日誌 ......................................................................................................... 70
5.14 離線匯出日誌 ........................................................................................................ 70
六、策略 ...................................................................................................... 72
6.1 策略簡介 ................................................................................................................. 72
6.2 基本策略 ................................................................................................................. 75
6.3 設備控制策略 .......................................................................................................... 78
6.4 應用程式策略 .......................................................................................................... 84
6.5 網頁瀏覽策略 .......................................................................................................... 86
6.6 螢幕記錄策略 .......................................................................................................... 87
6.7 日誌記錄策略 .......................................................................................................... 88
6.9 用戶端配置策略 ....................................................................................................... 91
6.10 系統警報策略 ........................................................................................................ 93
6.11 軟體安裝管理 ........................................................................................................ 95
6.12 IM 檔案傳送策略 .................................................................................................... 96
6.13 上傳控制策略 ........................................................................................................ 97
6.14 文檔控制策略 ........................................................................................................ 98
6.15 列印控制策略 ...................................................................................................... 100
6.16 列印浮水印控制策略 ........................................................................................... 101
6.17 列印浮水印控制(舊)策略 ...................................................................................... 104
6.18 螢幕浮水印控制策略 ........................................................................................... 105
6.19 移動儲存控制策略 ............................................................................................... 106
6.30 文檔雲端備份設定 ............................................................................................... 108

七、監視 .................................................................................................... 110

7.1 即時通訊內容 ........................................................................................................ 110
7.2 即時螢幕 ............................................................................................................... 111
7.3 多螢幕監視 ............................................................................................................ 112
7.4 查詢螢幕歷史 ........................................................................................................ 113
7.5 螢幕歷史檢視器 ..................................................................................................... 114
八、遠端維護 ............................................................................................. 117

8.1 遠端維護 ............................................................................................................... 117
8.1.1 應用程式 ...................................................................................................... 117
8.1.2 處理程序 ...................................................................................................... 118
8.1.3 效能 ............................................................................................................. 118
8.1.4 裝置管理 ...................................................................................................... 119
8.1.5 系統服務 ...................................................................................................... 119
8.1.6 磁碟管理 ...................................................................................................... 120
8.1.7 共用資料夾................................................................................................... 120
8.1.8 排定的工作................................................................................................... 121
8.1.9 本機使用者和群組 ........................................................................................ 121
8.1.10 軟體管理 .................................................................................................... 122
8.1.11 啟動項 ........................................................................................................ 123
8.2 遠端控制 ............................................................................................................... 123

8.2.1 遠端控制 ....................................................................................................... 123
8.2.2 遠端檔案傳送 ................................................................................................ 126
九、資產管理 ............................................................................................. 129

9.1 資產管理 ............................................................................................................... 129
9.1.1 資產類別及資產內容說明 ............................................................................. 129
9.1.2 資產類別管理 ............................................................................................... 130
9.1.3 硬體資產查詢 ............................................................................................... 131
9.1.4 硬體資產變更 ............................................................................................... 133
9.1.5 軟體資產查詢 ............................................................................................... 134
9.1.6 軟體資產變更 ............................................................................................... 135
9.1.7 其他資產 ....................................................................................................... 135
9.2 軟體版權管理 ......................................................................................................... 136
9.2.1 軟體類別管理 ................................................................................................ 136
9.2.2 版權採購情況 ................................................................................................ 136
9.2.3 軟體類別查詢 ................................................................................................ 137
9.2.4 軟體類別統計 ................................................................................................ 138
9.2.5 軟體版權統計 ................................................................................................ 138
9.3 安全更新管理 ......................................................................................................... 138
9.3.1 依安全更新模式檢視 .................................................................................... 139
9.3.2 依電腦模式檢視 ........................................................................................... 141

9.4 漏洞檢查 ............................................................................................................... 141
9.4.1 依漏洞模式檢視 ........................................................................................... 142
9.4.2 依電腦模式檢視 ........................................................................................... 142
9.5 軟體派送 ............................................................................................................... 143
9.5.1 派送封裝檔................................................................................................... 143
9.5.2 派送任務 ...................................................................................................... 146
9.6 軟體移除 ............................................................................................................... 148
9.6.1 軟體模式下設定任務 .................................................................................... 149
9.6.2 電腦模式下設定任務 .................................................................................... 151
9.6.3 軟體移除任務管理 ........................................................................................ 151
十、分類管理 ............................................................................................. 154

10.1 應用程式分類 ...................................................................................................... 154
10.2 網站分類 ............................................................................................................. 156
10.3 移動儲存分類 ...................................................................................................... 157
10.4 軟體安裝套件分類 ............................................................................................... 165
10.5 軟體移除分類 ...................................................................................................... 166
10.6 時間類型分類 ...................................................................................................... 167
10.7 浮水印範本 .......................................................................................................... 168
10.8 敏感資料分類庫 ................................................................................................... 169
10.8.1 特徵規則 .................................................................................................... 169

10.8.2 資料分類 ..................................................................................................... 171
10.8.3 分類庫匯出匯入 .......................................................................................... 173
十一、桌面申請管理 ................................................................................ 174

11.1 管理員權限設定 ................................................................................................... 174
11.2 申請審核權限設定 ............................................................................................... 175
11.3 審核流程 ............................................................................................................. 175
11.4 用戶端申請 .......................................................................................................... 177
11.4.1 提交申請 .................................................................................................... 178
11.4.2 查看申請資訊 ............................................................................................. 179
11.4.3 離線申請和匯入審核結果 ........................................................................... 179
11.4.4 重新申請 .................................................................................................... 180
11.4.5 刪除申請 .................................................................................................... 180
11.4.6 取消申請 .................................................................................................... 181
11.4.7 啟用申請 .................................................................................................... 181
11.4.8 申請狀態轉換 ............................................................................................. 182
11.5 審核 .................................................................................................................... 182
11.5.1 控制台審核................................................................................................. 182
11.5.2 用戶端審核管理平台審核 ........................................................................... 184
11.5.3 離線審核 .................................................................................................... 185
11.5.4 審核狀態 .................................................................................................... 185

11.6 權限委託 ............................................................................................................. 187
11.7 稽核日誌 ............................................................................................................. 187
十二、線上升級管理 ................................................................................ 188

12.1 專有名詞介紹 ...................................................................................................... 188
12.2 安裝和升級 .......................................................................................................... 188
12.2.1 安裝伺服器和控制台 .................................................................................. 188
12.2.2 升級伺服器和控制台 .................................................................................. 188
12.3 查看和更新註冊碼 ............................................................................................... 189
12.3.1 無註冊碼 .................................................................................................... 189
12.3.2 查看維保服務期 ......................................................................................... 189
12.3.3 更新維保碼................................................................................................. 190
12.4 升級提醒和線上升級功能 .................................................................................... 190
12.4.1 檢查產品更新 ............................................................................................. 190
12.4.2 產品線上升級 ............................................................................................. 190
十三、文件加密管理 ................................................................................ 191

13.1 專有名詞介紹 ...................................................................................................... 191
13.2 操作流程 ............................................................................................................. 193
13.3 啟用/禁用加密授權.............................................................................................. 194
13.4 授權軟體管理 ...................................................................................................... 195
13.5 安全區域管理 ...................................................................................................... 196

13.6 外發對象管理 ...................................................................................................... 198
13.7 外發組態範本管理 ............................................................................................... 201
13.8 加密授權設定 ...................................................................................................... 202
13.9 加密參數設定 ...................................................................................................... 208
13.9.1 應急設定 .................................................................................................... 210
13.9.2 顯示設定 .................................................................................................... 210
13.9.3 安全密碼設定 ............................................................................................. 211
13.9.4 加密文件縮略圖設定 .................................................................................. 212
13.9.5 郵件白名單................................................................................................. 213
13.9.6 日誌策略 .................................................................................................... 215
13.9.7 延伸功能 .................................................................................................... 216
13.9.8 視窗浮水印................................................................................................. 217
13.9.9 外發文件網路設定 ...................................................................................... 218
13.9.10 申請文件上傳設定 .................................................................................... 219
13.10 長期離線授權 .................................................................................................... 219
13.11 安全通訊設定 .................................................................................................... 221
13.12 加密文件操作日誌 ............................................................................................. 221
13.13 磁碟掃描 ........................................................................................................... 221
13.13.1 磁碟掃描任務設定 .................................................................................... 222

13.13.2 查看任務資訊 ........................................................................................... 226
13.13.3 查看任務日誌 ........................................................................................... 227
13.13.4 啟用/禁用掃描功能 .................................................................................. 228
13.13.5 刪除任務 .................................................................................................. 228
13.13.6 查詢電腦任務 ........................................................................................... 229
13.14 解密申請管理 .................................................................................................... 229
13.15 外發申請管理 .................................................................................................... 230
13.16 安全內容變更申請管理 ...................................................................................... 232
13.17 臨時離線申請 .................................................................................................... 234
13.18 審核權限委託 .................................................................................................... 235
13.19 審核流程管理 .................................................................................................... 237
13.20 檔案管理 ........................................................................................................... 241
13.21 備援伺服器設定................................................................................................. 242
13.22 自訂金鑰 ........................................................................................................... 243
13.23 加密文件備份 .................................................................................................... 244
13.23.1 檔案備份伺服器 ....................................................................................... 244
13.23.2 檔案備份管理 ........................................................................................... 247
13.24 智慧終端加密管理 ............................................................................................. 249
13.24.1 基本操作 .................................................................................................. 249

13.24.2 授權管理 .................................................................................................. 253
13.24.3 加密設定 .................................................................................................. 255
13.25 USBKey 管理 ..................................................................................................... 256
十四、加密用戶端 .................................................................................... 258

14.1 用戶端執行狀態 ................................................................................................... 258
14.2 檔案總管 ............................................................................................................. 258
14.3 加密文件掃瞄工具 ............................................................................................... 259
14.4 加密 .................................................................................................................... 259
14.5 解密 .................................................................................................................... 260
14.6 申請解密 ............................................................................................................. 260
14.7 唯讀加密 ............................................................................................................. 261
14.8 外發 .................................................................................................................... 261
14.9 申請外發 ............................................................................................................. 263
14.10 擷取外發文件 .................................................................................................... 263
14.11 修改加密文件安全內容 ...................................................................................... 264
14.12 加密文件安全內容變更申請 ............................................................................... 264
14.13 申請臨時離線 .................................................................................................... 265
14.14 查看申請訊息 .................................................................................................... 265
14.15 加密系統資訊 .................................................................................................... 267
14.16 文件安全內容 .................................................................................................... 268

14.17 匯入長期離線授權文件 ...................................................................................... 268
14.18 離線啟用加密功能 ............................................................................................. 269
14.19 加密系統的啟用與關閉 ...................................................................................... 269
14.20 參數設定 ........................................................................................................... 269
14.20.1 安全密碼設定 ........................................................................................... 270
14.20.2 安全密碼輸入設定 .................................................................................... 270
14.20.3 加密系統登入設定 .................................................................................... 271
14.20.4 資料儲存設定 ........................................................................................... 272
14.20.5 解密申請浮動視窗設定............................................................................. 272
14.20.6 申請管理設定 ........................................................................................... 272
14.20.7 右鍵選單設定 ........................................................................................... 272
14.21 審核管理平台 .................................................................................................... 273
14.21.1 登入 .......................................................................................................... 273
14.21.2 審核管理 .................................................................................................. 274
14.21.3 鎖定 ......................................................................................................... 274
十五、外發檢視器 .................................................................................... 275

15.1 安裝 .................................................................................................................... 275
15.2 授權 .................................................................................................................... 275
15.3 時間同步 ............................................................................................................. 276
15.4 查看外發檔案 ...................................................................................................... 276

十六、加密備援伺服器 ............................................................................. 277

16.1 安裝與執行 .......................................................................................................... 277
16.2 查看備援伺服器狀態 ........................................................................................... 277
16.3 登入密碼設定 ...................................................................................................... 278
16.4 備援伺服器設定 ................................................................................................... 278
16.4.1 伺服器連線設定 ......................................................................................... 278
16.4.2 主動輪詢 .................................................................................................... 278
16.5 查看用戶端狀態 ................................................................................................... 279
16.6 查看連線清單 ...................................................................................................... 280
16.7 新增緊急模式授權檔案 ........................................................................................ 280
16.8 超級授權 ............................................................................................................. 281
16.8.1 申請超級授權 ............................................................................................. 281
16.8.2 設定超級授權 ............................................................................................. 281
16.8.3 設定檢驗碼................................................................................................. 282
十七、資料備份........................................................................................ 283

17.1 使用資料庫備份 ................................................................................................... 283
17.2 控制台備份管理 ................................................................................................... 285
17.2.1 備份資料 .................................................................................................... 285
17.2.2 載入和移除備份資料 .................................................................................. 288
十八、工具............................................................................................... 290

18.1 帳號管理 ............................................................................................................. 290
18.1.1 管理員密碼安全性驗證 ............................................................................... 291
18.1.2 管理員權限................................................................................................. 292
18.2 電腦管理 ............................................................................................................. 298
18.2.1 電腦管理視窗簡介 ...................................................................................... 298
18.2.2 重新指定用戶端識別碼 ............................................................................... 301
18.2.3 查看用戶端識別跟蹤日誌 ........................................................................... 302
18.3 組織架構同步設定 ............................................................................................... 303
18.3.1 匯入 AD 網域 ............................................................................................. 303
18.3.2 匯入 LDAP 架構 ......................................................................................... 304
18.3.3 檢視同步設定 ............................................................................................. 307
18.3.4 例外對象 .................................................................................................... 307
18.4 使用者系統 .......................................................................................................... 307
18.4.1 伺服器設定 ................................................................................................. 308
18.4.2 登入驗證 ..................................................................................................... 310
18.4.3 關聯驗證 ..................................................................................................... 310
18.5 警報訊息 ............................................................................................................. 311
18.6 郵件報告設定 ...................................................................................................... 313
18.7 策略應用查詢 ...................................................................................................... 314

18.8 用戶端工具 .......................................................................................................... 314
18.9 伺服器時間 .......................................................................................................... 316
18.10 分類庫同步管理................................................................................................. 317
18.11 用戶端升級管理................................................................................................. 317
18.12 選項 .................................................................................................................. 318
18.12.1 控制台參數設定 ....................................................................................... 318
18.12.2 伺服器參數設定 ....................................................................................... 321
18.12.3 郵件報告伺服器設定 ................................................................................ 326
18.13 NAC 設備管理.................................................................................................... 327
十九、稽核控制台 .................................................................................... 331

19.1 登入稽核控制台 ................................................................................................... 331
19.2 稽核介面簡介 ...................................................................................................... 332
19.3 使用稽核控制台 ................................................................................................... 333
二十、報表系統........................................................................................ 335

20.1 報表控制台 .......................................................................................................... 335
20.2 預設報表和查詢 ................................................................................................... 336
20.3 報表範本管理 ...................................................................................................... 337
20.4 徵兆條件設定 ...................................................................................................... 337
20.5 週期報表 ............................................................................................................. 337
20.6 郵件報告 ............................................................................................................. 339

二十一、附件 ......................................................................................... 341

21.1 檔案類型索引表 ................................................................................................... 341
21.2 IST 通訊埠說明表 ................................................................................................. 342
技術支援 ............................................................................................... 343
一、簡介
1.1 前言
資訊科技的高速發展，雖然為企業經營帶來前所未有的便利，然而伴隨而來的資安風險
與日趨嚴峻的技術挑戰，以及因應疫情帶來全新的上班模式，使企業對於核心資料保護的規
劃，並需同時達成兼具便利性與安全性，成為企業不得不面對的重要課題。
企業資訊安全隱憂激增
如今，有愈來愈多企業注意到資訊洩漏所產生的危害，除了可能因此面臨法律風險、巨
額的經濟損失、商業形象的破壞，甚至會危及企業的競爭力與生存。
由 PwC 所進行的一項全球資訊安全調查顯示，企業想針對資訊安全的問題對症下藥，首
先必須考慮資料的安全防護。該調查中，有 56%的受訪者表示，自己的公司缺乏防護資料外
洩的能力，同時有近半數的受訪者表示，公司並未採取控制資料存取授權的防範措施。
現在企業的營運資料，大多都以電子檔案的形式儲存與傳遞。從設計圖檔到客戶資料、
從財務報表到無紙化公文，電子檔案加快了資訊的流通與共用。但是，電子檔案本身所具備
的易獲取、易複製、易傳播等開放性特質，搭配發達的網際網路應用，以及隨處可見的移動
儲存裝置，都是電子檔案安全防護過程中不可忽視的難題。
因疫情所帶來的居家辦公，延伸出營業資料與競爭性技術機密保護的難題，無論是透過
遠端工作連線，或是透過雲端空間進行資料分享，使更多企業擔心資料的使用是否合乎資安
規範，文件加密的需求成了企業間熱門的關鍵字。
1
系統應用效率難以評估與控制
另一項調查結果發現，在工作中使用 Skype、Line、QQ、WeChat、WhatsApp 等即時
通訊的人數比率高達 89.2%，而上班時間瀏覽網頁時，與工作無直接關聯的新聞網頁佔 65.9%，
居於首位。以一位月薪 3 萬元的員工為例，若每天「隱性曠職」2 小時，每年為企業帶來的
直接損失高達 9 萬元，一個擁有 50 名員工的企業，每年將因此損失 450 萬元，且濫用網路
和系統資源，還可能將更多安全隱憂帶入企業內部，導致更多問題。
系統維護及資產管理工作繁瑣
Gartner 及 Forrester Research 的研究指出，企業 IT 部門有近一半的工作時間，用於為
電腦安裝及升級軟體，而在 IT 人員的總工作量當中，執行電腦日常維護作業竟佔了七到八成
之多，換句話說，企業投入 IT 部門的資源，並未獲得有效的配置與運用。
IST 正是一個為企業解決上述問題的有力工具。IST 透過系統管理思維，考量可能造成資
訊破壞及外洩的各個層面，充分利用行為稽核、分級授權、連接控制和集中管理等技術手段，
保護資訊不被人為外洩、非法盜取、惡意篡改，為企業帶來提升資訊安全、應用效率和系統
管理的全方位解決方案。
2
1.2 功能介紹
IST 採用靈活的管控方式，在保持企業活力的前提下規範終端行為，有效提升企業執行
力。管理人員只須透過單一控制台，即可隨時監控各用戶端電腦的執行狀態，並進行系統安
全維護及資產管理。
【應用程式管控】
 記錄應用程式的使用日誌。
 統計應用程式使用時間和百分比。
 控制應用程式的執行。
 控制軟體的安裝與軟體的移除。
 用戶電腦上顯示螢幕浮水印資訊。
【網頁瀏覽管控】
 記錄瀏覽網頁的網址和標題。
 統計網頁瀏覽的時間和百分比。
 控制連接指定的網站或網頁。
 限制檔案透過 HTTP(S) 、FTP 及自訂 TCP 協定的上傳。
【文檔操作管控】
 記錄所有文件的操作訊息，包括不同類型儲存設備以及各種文件操作。
 記錄其他電腦對本機共用文件的刪除和修改操作。
 可靈活設定多種操作權限，控制文件檔案的讀取、修改和刪除操作。
 可針對重要檔案在執行複製、修改和刪除操作前自動備份。
 記錄用戶端連接終端伺服器時，複製本機檔案到遠端、編輯/刪除遠端文件等操作。
【列印管控】
 記錄所有列印任務的日誌。
 完整記錄檔案列印內容之影像。
 依照條件限制列印工作。
 可依照應用程式、印表機類型、列印任務等條件，輸出不同的列印浮水印。
3
【設備管控】
 控制各種電腦設備的使用。
 控管電腦與智慧型手機裝置透過 PTP、MTP 及裝置管理工具進行連接。
 可分別藍牙鍵盤、藍牙滑鼠、藍牙檔案傳輸進行管控。
 限制用戶端電腦可存取的 WIFI 訊號。
 控制任何新增加的設備。
【螢幕監視】
 即時檢視用戶端的螢幕快照，可同時檢視延伸桌面畫面。
 留存用戶端的歷史螢幕記錄，並可針對各個應用程式採取不同的記錄頻率。
 可將螢幕歷史記錄轉存為一般影像檔案格式（WMV）。
 可搭配其他模組，在觸發策略時擷取當時的畫面做為記錄。
【即時通訊管控】
 完整記錄即時通訊工具的對話時間、聯絡人和對話內容。
 控制透過即時通訊工具向外傳送檔案以及截圖的行為。
 備份向外傳送的檔案與截圖畫面內容。
【資產管理】
 自動掃描每部用戶端電腦的軟硬體資產資訊，詳盡記錄資產變更情況。
 可自訂資產內容和類別，管理軟硬體資產和非 IT 資產。
 可進行軟體版權統計與授權到期提醒。
 自動掃描微軟產品安全更新的安裝情況，並進行自動派送與安裝。
 自動掃描用戶端的安全漏洞，提供分析報告和解決方案。
 自動部署和安裝軟體、指定程式或派送檔案。
 可統一進行軟體移除管理。
【遠端維護】
 即時檢視用戶端的執行訊息，可執行遠端操作。
 遠端連接至用戶端桌面，進行遠端協助。
 可切換至延伸桌面進行操作。
 支援遠端檔案傳送，並可列舉用戶端電腦的檔案清單。
4
 正式序號可指定當用戶端接上外皆儲存裝置時，自動掃描該裝置是否有合乎策略指
定的檔案類型，並備份到 IST 伺服器內。
【移動儲存管控】
 記錄移動儲存裝置在用戶端電腦內的使用狀況，可設定不同讀寫權限，控制隨身碟
讀取。
 可對隨身碟裝置中的檔案進行自動加解密，在未經授權的電腦上無法讀取。
 可將隨身碟格式化為加密碟，未經授權的電腦無法得知該隨身碟內的檔案明細。
 可搭配安全隨身碟，僅擁有裝置密碼的人，可以存取該隨身碟內的被保護檔案，並
有存取/檔案異動記錄可供稽核查詢。。
【報表管理】
 提供多樣的報表查詢方式，可靈活顯示報表中各數值的相關記錄。
 可同時分析多種記錄，建立行為趨勢曲線，並提供行為趨勢風險報表。
 提供歷史報表查詢、報表定時發送等服務。
【文檔雲端備份】
 可指定要備份的檔案類型，定時排程備份。
 可設定要保留的版本數，並可透過去重複技術，節省伺服器上的儲存空間用量。
 可結合 AD/LDAP 網域，並依人員所屬角色給予不同權限，方便人員取回遺失的檔
案，或稽核人員電腦存放的檔案。
【文檔加密管控】
 重要文件自動強制加密。
 設定加密文件的螢幕擷取、列印/虛擬列印、複製／貼上等操作權限。
 分級授權管理機制，可根據企業部門分級設定文件的使用權限。
 提供檔案解密、外發、變更安全等級的申請審核機制，可設定多階層的審核流程。
 離線權限控制、外發文件讀取權限控制。
 提供加密文件操作稽核與備份。
 可設定明文/密文/原文檔案備份伺服器，可自動備份用戶電腦內的指定檔案類型。
5
二、安裝與部署
2.1 基本架構
IST 系統是由「伺服器、控制台、用戶端」三種元件構成，使用者可根據管理需求，部
署在企業網路內的電腦上。
元件功能說明
主要是儲存系統資料和管理規則策略，一般安裝在處理效能較高、儲存容量較
主伺服器
大的電腦上。
用於檢視日誌資料、設定管理策略和進行即時維護，一般安裝在稽核/管理人
控制台
員的電腦上，也可以和主伺服器安裝在同一台電腦上。
用戶端用於收集操作日誌和執行策略設定，安裝在每台需要被管理的電腦上。
IST 系統的基本架構如下圖所示：
IST 是架構在 TCP/IP 協定的網路環境下，可支援從本機網路延伸到的遠端網路和外部網
路。伺服器透過虛擬私人網路（VPN）或網際網路連接遠端電腦，達成對大規模複雜網路的
集中管理；控制台也可透過網際網路連接各分點的伺服器，對分支單位進行遠端管理。
6
【主伺服器】的基本功能
 管理所有用戶端電腦，並向用戶端電腦傳遞相關的策略和設定。
 收集用戶端擷取的資料並儲存。
 提供方便靈活的記錄管理、檢視、歸類、搜尋等功能。
【控制台】的基本功能
 檢視與稽核用戶端的資料。
 資料統計、分析和匯出。
 對用戶端電腦執行即時監控和系統維護。
 設定監控規則和管理策略。
【用戶端】的基本功能
 執行系統設定的各種管理策略。
 擷取用戶端執行的各項資料。
 定時將擷取的資料傳送到伺服器。
 根據控制台發出的指令進行監控操作。
中繼伺服器架構
若網路規模更大、更複雜，可在原有架構上增加「中繼伺服器」
，於各個分點網路上建置
連接主伺服器的中繼伺服器，並由中繼伺服器接管用戶端。
若有用戶端版本更新、軟體派送、策略派送等需求，由主伺服器傳送到中繼伺服器上，
再由中繼伺服器於本地網路內傳送到各用戶端，大幅度的節省主伺服器傳送到用戶端的資料
量。而用戶端要回傳的日誌與備份資料，則是先傳送到中繼伺服器上，再由中繼伺服器回傳
到主伺服器。
管理者可設定「用戶端與中繼伺服器」及「中繼伺服器與主伺服器」各時段的流量限制，
在資訊交易忙碌的時段內限制資料流量，避免影響到重要系統的運作，並於休息時間、下班
時間開放較大的資料流量，使企業的網路資源運作更有效率。
7
建置多台中繼伺服器可擴增主伺服器的處理範圍與能力，無論是應用於多分點的通路單
位，或是超大規模的跨區域性網路環境，都能提供極佳的效果。
【中繼伺服器】的基本功能
 連接主伺服器並取得授權後，將主伺服器相關策略和設定傳送至連接的用戶端。
 收集用戶端擷取的資料並上傳至主伺服器。
8
2.2 軟硬體環境
安裝 IST 伺服器之前，必須先安裝資料庫。IST 各模組支援的作業系統以及硬體建議配置
如下表所示：
安裝模組軟體需求硬體最低需求

 Windows Server 2008 R2 / 2012 / 2012 R2 /
 Pentium 4 雙核心處理器
2016 / 2019 / 2022
伺服器  4GB RAM
 MS SQL Server 2008 R2 / 2012 / 2014 / 2016 /
 硬碟可用空間 120GB
2017 / 2019
 Windows Server 2008 R2 / 2012 / 2012 R2 /
 Pentium 4 雙核心處理器
2016 / 2019 / 2022
中繼伺服器  4GB RAM
 MS SQL Server 2008 R2 / 2012 / 2014 / 2016 /
 硬碟可用空間 120GB
2017 / 2019
 Windows 7 / 8.x / 10 / 11  Pentium 4 處理器
控制台  Windows Server 2008 R2 / 2012 / 2012 R2 /  512MB RAM
2016 / 2019 / 2022  硬碟可用空間 1GB
 Windows 7 / 8.x / 10 / 11
 Windows Server 2008 R2 / 2012 / 2012 R2 /  Pentium 4 處理器
用戶端 2016 / 2019 / 2022  512MB RAM
 Mac OS  硬碟可用空間 1GB
 Linux OS
注意 MS SQL Server 各版本的安裝需求，請參閱微軟文件說明。
說明 IST 主要使用的連接埠為 TCP: 8235、8236、8237、UDP:8235，並依照選購模組會額外使
用到其他連接埠號。
9
2.3 安裝與部署伺服器和控制台
2.3.1 安裝資料庫
伺服器的資料庫使用 MS SQL Server 2008 R2 或以上版本。若無 MS SQL Server，亦可
安裝微軟免費提供的 MS SQL Express 版本。
如欲安裝 SQL Express 資料庫，建議採用 MS SQL Server 2008 R2 Express 或以上版本，
因其資料庫容量限制可達 10GB，並附加管理工具介面，方便進行資料庫維護。
注意 SQL Server 2008 R2 Express(含)之後的資料庫容量限制為 10GB，且對伺服器的性能也有一
定的限制，因此若資料量較大，建議使用 MS SQL Server 2008 R2 標準版（或以上版本）資
料庫。
安裝後若 IST 伺服器無法啟動，請先在系統的【電腦管理事件檢視器應用程式日誌】
檢視是否為 MS SQL Server 版本問題。
MS SQL Server 2019 Express 的安裝
請自行至微軟官方網站下載 SQL Server 2019 安裝程式，安裝過程會自動安裝 .NET
Framework4.6.2（Web 安裝程式）
，也可以下載後手動安裝。
（詳細請參閱 Microsoft 安
裝 SQL Server 2019 的硬體與軟體需求）
MS SQL Server 2019 Express 安裝步驟：
1. 執行 MS SQL Server 2019 Express 的安裝程式，進入 MS SQL 安裝中心。
2. 在「安裝」步驟中，選擇「新增 SQL Server 獨立安裝或將功能加入至現有安裝」。
3. 等待處理後請勾選「我接受授權條款」，並點選【下一步】。
4. 可不勾選「使用 Microsoft Update 檢查更新」，並點選【下一步】。
5. 在功能選擇中，勾選「資料庫引擎服務」後，點選【下一步】。
6. 在執行個體組態中，建議選擇「具名執行個體」。其餘設定採用預設即可，點選【下
一步】。
10
7. 在伺服器組態中，將「SQL Server 資料庫引擎」的帳戶名更改為“ SYSTEM”，點
選【下一步】。
8. 在資料庫引擎組態中，
「帳戶設定」選擇身分驗證方式為「混合模式（MS SQL Server
驗證與 Windows 驗證模式）」，並為 sa 帳號設定密碼。
在「指定 SQL Server 管理員」內將 System 及您目前的帳號，都加入為 SQL
SERVER 管理員內，完成後請點選【下一步】。
9. 在準備安裝資訊中，確認各項設定無誤後，點選【安裝】。
10. 進入安裝過程，等待安裝完畢即可。
2.3.2 安裝伺服器和控制台
資料庫安裝完成後，即可開始安裝伺服器和控制台，操作步驟說明如下：
1. 點兩下【ISTXX.XX.XXXX.Xexe】（XX.XX.XXXX.X 表示該安裝程式版本編號）選擇
安裝介面語言，接著點選【確定】。
2. 系統會彈出歡迎安裝的畫面，點選【下一步】。
3. 安裝程式會提示安裝路徑，使用者亦可自行選擇安裝路徑，可選擇一個儲存空間較
大的磁碟來安裝 IST 伺服器。
4. 安裝程式會提示選擇安裝類型和元件：使用者可根據需求，選擇安裝 IST 的伺服器
和控制台，接著點選【下一步】。
5. 安裝程式選擇 MS SQL Server 資料庫：預設選擇本機資料庫個體，使用者確認資料
庫個體名稱後，點選【確認】。
6. 選擇開始功能表的捷徑目錄後，點選【下一步】。
7. 確認設定無誤後，點選【下一步】
，檔案複製結束後按【結束】鈕完成安裝，伺服器
即自動啟動，並在系統匣顯示圖示。
安裝伺服器時，安裝程式會自動判斷安裝條件，包括作業系統和 MS SQL Server 的版本，
若無法正常安裝，請根據提示確認安裝環境。
管理員也可在其他電腦上單獨安裝 IST 控制台程式，以便檢視資料與監控用戶端電腦的

11
操作。
說明單一伺服器可支援 1,000 台以上電腦之用戶端管控，但效能表現仍須視伺服器硬體配置而定。
2.3.3 伺服器註冊
在【服務控制器】上按滑鼠右鍵，點選【工具註冊】，輸入有權限的管理員帳號及密
碼後，進入註冊介面（第一次安裝時，預設管理員帳號為 admin，無須輸入密碼）。
12
第一次安裝伺服器後，IST 會自動產生一個可供 30 天試用的展示版序號，是由 6 組 4 個
字元組成的字串，展示版序號不含加密功能。
點選【升級】鈕後，序號欄位即變更為可編輯狀態，輸入所獲得的序號後再按【確定】
鈕，若您輸入的序號無誤，系統會顯示「序號升級成功」並提示您需要啟動產品。您必須透
過產品註冊程序取得註冊碼，以啟動產品。
警告輸入測試序號後，系統時間不可倒轉到過去時間，否則測試序號將直接失效。
注意您必須在輸入正式序號後 15 天內完成產品註冊，否則系統將無法繼續執行。
若 IST 所在伺服器可連接網際網路，有 2 種註冊方法：

1. 線上註冊
在產品註冊對話視窗中填寫貴公司的資訊，包括公司名稱、聯絡人、聯絡電話和電子
郵件位址，按一下【線上註冊】自動回傳註冊碼，接著點選【註冊】鈕，當畫面顯示「註
冊成功」即完成。線上註冊必須透過網路進行，因此請確認伺服器可連接網際網路(TCP:80
to Internet)。
2. 郵件註冊
您也可以利用電子郵件註冊，請確定 IST 伺服器上安裝有郵件收發軟體，並已完成郵件
伺服器、郵件帳號等設定。
在產品註冊對話視窗中填寫貴公司的資訊，包括公司名稱、聯絡人、聯絡電話和電子郵
件位址，按一下【發送郵件】
，系統會彈出發送郵件視窗，請確認填寫資訊無誤後發送郵
件。
我們會將註冊碼發送到您所填寫的電子郵件位址，收到後，請將註冊碼複製到註冊碼欄
位，並按下【註冊】鈕，當系統提示「註冊成功」即完成註冊程序。
注意 IST 伺服器上必須安裝郵件收發軟體，才能使用郵件註冊功能。
若因網路等問題，無法線上註冊或發送郵件取得註冊碼：
如果因為網路或其他問題，導致無法線上註冊或發送郵件取得註冊碼，您也可以透過其
13
他可上網的電腦，將公司相關資訊及註冊畫面截圖，填入「手動註冊申請表」內，以電子郵
件發送給原廠處理。
注意第一次註冊時填寫的電子郵件位址是非常重要的，以後因其他原因需要再次註冊時，會將包
含啟動連結的註冊信，發送到第一次註冊時填寫的電子郵件信箱內，管理者需要點選該信件
中的啟動連結，才能完成新主機的註冊啟用。
2.3.4 設定系統檢驗碼（本步驟可忽略不做）

「檢驗碼」是伺服器和用戶端除了序號之外，唯一的識別碼，其目的是提高系統的安全
性。伺服器上的檢驗碼必須與用戶端的檢驗碼一致，該用戶端才能受伺服器管理，因此，建
議您先在伺服器上設定檢驗碼，再產生用戶端安裝程式，如此就能將伺服器的序號和檢驗碼
一起產生至用戶端安裝程式，防止外來的非法伺服器接管企業內部用戶端。
第一次安裝伺服器後，在【服務控制器】上按滑鼠右鍵，點選【工具→檢驗碼】
，系統會
要求先輸入管理員的帳號和密碼，才能設定檢驗碼。輸入檢驗碼後，再輸入一次確認，接著
按【確定】鈕，檢驗碼即設定成功。(檢驗碼設定後將不可清除，但可設定新的檢驗碼來更新
資訊)
系統預設檢驗碼為空白，若用戶端沒有檢驗碼，第一次設定檢驗碼後，伺服器會自動更
新所有連接上的用戶端，使用戶端的檢驗碼與伺服器保持一致。
當伺服器再次設定新的檢驗碼，只要比對用戶端目前的檢驗碼，與伺服器之前設定過的
檢驗碼相符，就會主動將用戶端的檢驗碼更新為伺服器新設定的檢驗碼。
注意管理員請務必牢記自己設定的檢驗碼，以便於伺服器重新安裝或更換系統後，可順利接管先
前的用戶端，否則可能需要重新部署用戶端。
若發現用戶端電腦有執行，但卻無法在控制台顯示，請於 IST 控制台【日誌系統事件】
中，檢視是否有檢驗碼驗證失敗的問題。
14
2.3.5 伺服器日誌
在【服務控制器】上按滑鼠右鍵，點選【工具日誌】
，即自動連結到作業系統的【事件
檢視器】，接著點選【Windows 記錄應用程式】，可檢視 OSERVER3 的執行日誌，包括：
伺服器程式的啟動和停止、錯誤日誌等，管理員可以透過這些日誌資訊，分析伺服器的執行
狀況。
2.4 安裝與部署中繼伺服器
安裝中繼伺服器的環境，必須先安裝 MS SQL Server 服務，MS SQL Server 必須與主
伺服器上的 MS SQL Server 版本相同。
2.4.1 安裝中繼伺服器
MS SQL Server 安裝完成後，即可開始安裝中繼伺服器，操作步驟如下：
1. 點選【ISTRelayXX.XX.XXXX.Xexe】選擇安裝介面語言，接著點選【確定】。
2. 系統會彈出歡迎安裝的介面，點選【下一步】。
3. 安裝程式會提示安裝路徑，使用者亦可自行選擇安裝路徑。
4. 選擇資料庫後，點選【確定】。
5. 選擇開始程式集的目錄位置，點選【下一步】。
6. 確認設定無誤後，點選【安裝】，當複製進度結束，系統即安裝完畢，點選【完成】
鈕完成安裝，中繼伺服器將自動啟動。由於此時中繼伺服器尚未與任何主伺服器連
線，在未獲得授權的情況下，系統右下方會出現圖示。
2.4.2 連接主伺服器
在中繼伺服器的圖示上按滑鼠右鍵，點選【工具設定連接參數】
，接著彈出設定參數視
窗，可設定主伺服器和申請人的相關資訊：
參數內容
15
主伺服器位址主伺服器位址，可以是 IP 或完整網域名稱
申請人申請人名稱
中繼伺服器連接主伺服器後，必須在控制台的【工具伺服器管理中繼伺服器管理】
中，對中繼伺服器進行授權。
2.4.3 查看中繼伺服器狀態
透過中繼伺服器的狀態圖示，即可了解中繼伺服器的運作狀態：
狀態圖示說明
中繼伺服器目前狀態未知。
中繼伺服器未連接主伺服器，或是已連接主伺服器但未獲得授權。
中繼伺服器正在啟動中。
中繼伺服器與主伺服器連接成功，並獲得授權。
中繼伺服器停止運作。
在中繼伺服器的狀態圖示上按滑鼠右鍵，點選【狀態】，可查詢更詳細的運作狀態：
屬性名稱說明
控制台【工具伺服器管理中繼伺服器管理】當中所顯示的中繼伺服
名稱器名稱，預設為中繼伺服器所在系統的電腦名稱，管理者可在控制台上
重新命名。
電腦中繼伺服器所在系統的電腦名稱。
申請人中繼伺服器設定連接參數時所設定的申請人。
IP 位址中繼伺服器所在系統的 IP 地址。
包含：「未授權，與主伺服器斷開連接」、
「連接成功，未獲得授權」
、
運作狀態
「連接成功，已獲得授權」
。
16
啟動時間中繼伺服器啟動的時間。
運作時間中繼伺服器從啟動後執行的時間。
主伺服器 IP 位址中繼伺服器所連接的主伺服器 IP 位址。
中繼伺服器與主伺服器的連接狀態，若正常連接，會顯示「連接成功」，
連接狀態
若連接異常，則顯示「連接失敗」。
最後連接時間中繼伺服器與主伺服器最後連接的時間。
授權狀態主伺服器是否有對其進行授權，包含：「已授權」
、「未授權」
。
授權更新時間主伺服器最後一次更新授權的時間。
用戶端連接數連接上此中繼伺服器的在線用戶端數量。
2.4.4 中繼伺服器日誌
在【中繼伺服器控制器】上按滑鼠右鍵，點選【工具日誌】
，即自動連結到作業系統的
【事件檢視器】
，接著點選【應用程式】，可查詢中繼伺服器的相關日誌，包含：中繼伺服器
程式的啟動和停止、錯誤日誌等，管理者可透過這些日誌資訊，分析中繼伺服器的運作情形。
2.5 部署用戶端
用戶端有多種部署方式：直接安裝、遠端派送、網域登入指令檔安裝，您可根據實際需
求選擇部署方式，且透過同一用戶端程式，即可安裝在所有支援的 Windows 作業系統上，
達到完整的功能管控。
2.5.1 直接安裝用戶端
如欲直接安裝用戶端，必須先建立用戶端安裝程式，再於需要部署的電腦上手動執行該
程式（安裝用戶端程式需要管理員權限）。
建立用戶端安裝程式
17
在已安裝 IST 伺服器的電腦上，點選【開始所有程式IST建立客戶端安裝程式】可
開啟用戶端程式產生工具視窗，其介面如下圖所示：
用戶端安裝程式的參數包括：
名稱說明
系統預設為目前電腦的 IP 位址或名稱，若伺服器有多個 IP 位址，請以分號

伺服器 IP 位址／名稱
連接多組 IP 或名稱。
勾選此項，用戶端安裝程式會於背景安裝，沒有安裝介面。
背景安裝
不勾選此項，則為非背景安裝。
介面設定點選此按鈕可進行介面配置相關設定。
進階設定點選此按鈕可進行封裝、策略匯入、安裝密碼等設定。
勾選此項，安裝設定訊息將獨立封裝至 AgentSetup.dat 檔中，並會建立含
數位簽章的封裝檔(Agent.exe)。安裝時需將 Agent.exe 和
將安裝設定資訊
AgentSetup.dat 檔放在同一目錄中，並在 Agent.exe 上按滑鼠右鍵，選
封裝到獨立檔案中
擇「以系統管理員身份執行」，來進行用戶端安裝。
不勾選此項，安裝設定資訊會一同封裝至安裝程式中。
安裝檔案密碼於此設定密碼，則執行安裝程式時，必須輸入正確密碼才可成功安裝。
安裝檔案過期時間超過設定的時間，安裝程式將無法進行安裝。
[網域名稱\]使用者名安裝用戶端需要管理員權限，若電腦上登入的使用者為 User 權限，可能無
18
稱和密碼法成功安裝，在此情況下，可於建立用戶端安裝程式時，輸入具有電腦管理
員權限的使用者名稱和密碼，如此一來，在 User 權限下也能成功安裝。
輸出路徑用戶端安裝程式的檔案名稱及存放路徑。
按一下【建立用戶端安裝程式】按鈕，用戶端安裝程式即建立成功。
說明將安裝設定資訊封裝到獨立檔案中，能使安裝程式附帶數位簽章，避免安裝過程中被防毒軟
體誤報為病毒。
注意受限於 Windows 7 之後的 Windows 使用者帳戶控制 (User Account Control, UAC) 的
限制，您直接執行用戶端安裝程式將無法順利安裝，必須在安裝程式上按滑鼠右鍵，選擇「以
系統管理員身份執行」，才能完成用戶端安裝。
2.5.2 遠端派送用戶端
規模較大、電腦數量較多、分布較廣的企業，若逐台電腦執行手動安裝，不僅不方便，
而且耗時費力，因此建議透過遠端安裝的方式解決這個問題，既可批次安裝用戶端程式，也
省去親自到該電腦上安裝的麻煩。
在已安裝 IST 伺服器的電腦上，點選【開始程式集IST遠端安裝客戶端模組】可執
行遠端安裝工具。
該工具支援對 Windows 7 (x86/x64) / 8 (x86/x64)/ 10 (x86/x64)/ 11，及 Windows
Server 2008 R2 (x86/x64) / 2012 (x64) / 2012 R2 (x64) / 2016 (x64) / 2019 (x64) / 2022
(x64) 等作業系統執行遠端電腦安裝。如因網路設定或安全性原則限制，導致遠端安裝失敗，
請改在該用戶電腦上執行用戶端安裝程式。
掃描設定
系統預設主動掃描伺服器所在網段內的所有電腦設備，如需掃描其他網段的電腦設備，
請於功能選單點選【檔案掃描設定】
，開啟掃描設定對話視窗後，新增其他網段的 IP 範圍，
此外，也能設定掃描封包的時間間隔。
19
在電腦選單中，各圖示的含義如下：
圖示顏色作業系統為 Windows 7~11 是否上線是否安裝用戶端
深藍是是否
深藍否是否
灰色是否否
灰色否否否
淺藍是是是
淺藍否是是
遠端派送
選擇需要安裝用戶端的電腦（可同時選擇多台電腦）
，點選【操作開始安裝】即開始安
裝用戶端，管理員可在安裝狀態列檢視每台電腦的安裝狀態，在下面的安裝日誌視窗檢視所
有電腦的安裝日誌。
常見問題
1. 目前登入的使用者沒有操作目標電腦的權限
此時會彈出一個安裝錯誤的視窗，請輸入具有目標電腦管理員權限的使用者名稱和
密碼。
2. 目標電腦沒有開啟 IPC$與 admin$共用

這時需要至目標電腦上開啟 IPC$與 admin$共用：打開命令提示字元 cmd.exe，輸
入 net share，檢視 IPC$與 admin$共用是否開啟，如未開啟，可輸入 net share IPC$
與 net share admin$，開啟 IPC$與 admin$的共用。
3. 目標電腦無法連接本機分享檔案
可能肇因於本機的 admin$共用未開啟，以致目標電腦無權限連接本機分享檔案。
注意由於 Windows NT 網路內部的一些安全權限設定會影響程式的正常執行，可能導致您在某些
時候沒有足夠的權限於遠端電腦上執行遠端安裝，此時，請於所需電腦上直接安裝 IST 用戶
端的安裝程式。
20
2.5.3 網域登入指令檔安裝
若網路中有網域環境，可透過修改網域登入指令檔來安裝用戶端。透過修改登入指令檔，
Windows 使用者登入網域時執行登入指令檔，將 IST 用戶端安裝到本機上。操作步驟如下：
1. 安裝好 IST 伺服器後，於開始功能表的 IST 項目下，找到「網域部署工具」

，點開
後請將目錄內的所有檔案複製到網域伺服器的 LogonScript 目錄內。
2. 在 IST 伺服器上建立用戶端安裝程式，勾選背景安裝模式，並命名為
OAgentInst.exe。
3. 將 OAgentInst.exe 複製到網域伺服器的 LogonScript 目錄內。
4. 管理員登入網域伺服器，並執行 LogonScript 目錄下的 LgnManV3.exe 程式，進
行網域登入指令檔的設定。
使用說明
1. 執行 LgnManV3.exe 後出現以下介面，LgnManV3.exe 會自動掃描並顯示網域伺
服器上的使用者帳號群組資訊清單，呈現各個使用者帳號的登入指令檔狀態。其中，
使用者圖示底色為綠色，表示該使用者的登入指令檔已包含 IST 的安裝命令。
21
2. 管理員可點取選單表頭進行排序，並搭配 Ctrl、Shift 等按鍵，一次選擇多個欲設定
的使用者帳號，在【功能列工具】或點選功能按鈕設定安裝命令、刪除安裝命令
等操作。
3. 設定安裝命令的使用者帳號在登入網域時，會執行相關的網域登入指令檔，IST 用
戶端程式會自動安裝到指定使用者帳號登入的電腦。
4. 當 IST 用戶端程式成功安裝到所需的電腦，可刪除有關使用者帳號的安裝命令，將
使用者帳號的登入指令檔還原為原來的檔案。
功能按鈕說明
功能按鈕說明
設定安裝指令：
將在選定使用者帳號的登入指令檔中，增加 IST 的安裝命令。
刪除安裝指令：
將在選定使用者帳號的登入指令檔中，刪除 IST 的安裝命令。
22
設定安裝範圍：
可透過 IP 位址和電腦名稱來設定網域登入指令檔安裝的電腦範圍，包括安
裝範圍和排除範圍，支援跨網段位址。
安裝範圍預設為全部電腦，排除範圍預設為空白。
匯出：
可匯出網域登入指令檔安裝工具清單，可儲存為 Web 檔案格式、Microsoft
Excel 檔案格式或文字檔格式。
重新整理介面清單資訊。
2.6 系統升級
2.6.1 更新維護保固碼（維保碼）
維保服務期
客戶擁有維護保固服務的期限。
維保碼
維保碼是客戶擁有維護保固服務的憑證。
客戶採購延長維護服務後，必須更新維保碼，得以取得產品更新服務並享受其他維護保
固服務。客戶的保固期限包含在維保碼內。
首次安裝伺服器時，若因故無法取得維保碼，在無維保碼的情形下可使用 15 天，若超過
15 天仍無法取得維保碼，將無法登入控制台。取得維保碼後，會驗證產品版本與保固日期是
否相符，若版本推出日期較保固日期晚，將禁止使用該版本。
查詢維保服務期
在控制台的【說明關於】中，可查看維護保固碼，其中，維護保固日期會根據目前的
時間和到期時間，呈現不同的顏色，說明如下：
23
顏色說明
紅色已過維護保固服務期限。
紫色維護保固服務即將到期，距到期日還有 1 到 30 天。
藍色維護保固服務尚未到期，距到期日超過 30 天以上。
若維護保固服務即將到期或已經過期，具備「產品維保升級管理」權限的帳號在登入控
制台時，會跳出維謢保固服務即將到期或過期的通知。
沒有維護保固碼或維謢保固服務期限有變動，則必須更新維護保固碼，可透過主伺服器
和控制台來更新。
更新維保碼
更新維護保固碼有兩種方式：
1. 伺服器自動更新
若主伺服器可連接網際網路，則會定期更新維護保固碼。
2. 控制台手動更新
於控制台的【說明維謢保固期更新】或【說明關於】中，點選更新維護保固日
期，進行維護保固碼更新。
設定說明
線上更新執行控制台的電腦可正常連接網際網路時，選擇此項目可線上更新維護保固碼。
若執行控制台的電腦及伺服器皆無法連接網際網路，可透過申請維護保固碼，手
手動更新
動輸入完成更新。
24
下載升級包
檢查新版本
有自動與手動兩種方式：
1. 自動檢查新版本
登入控制台後，會自動檢查是否有新版本可供更新，若有新版本，會彈出視窗提示。
管理員可在控制台的【工具選項升級維護自動檢查產品更新】中，設定是否
執行自動檢查。
2. 手動檢查新版本
管理員可在控制台的【說明檢查產品升級】中，手動檢查新版本。
下載升級包
檢查發現有新版本，會彈出新版本更新日誌以及下載連結，點選下載連結即可下載最新
版本的升級包。
注意若升級包的推出日期在維護保固服務期限外，將無法下載。
2.6.2 升級伺服器和控制台
如欲升級伺服器和控制台，可透過升級程式完成，也可直接覆蓋安裝 IST 安裝程式至原
來的目錄。升級伺服器和控制台的操作步驟如下：
1. 執行升級程式時，視窗訊息會顯示目前版本和升級版本，按【升級】鈕進行升級。
2. 手動啟動服務 OCULAR V3 SERVER 和 OCULAR V3 UPDATE（若直接覆蓋安裝，
無須手動啟動）。
2.6.3 升级中繼伺服器
在控制台的【工具伺服器管理中繼伺服器管理】介面，左側中繼伺服器樹狀結構中
帶有（#）的標誌，說明此中繼伺服器可升級為最新版本。在需要升級的中繼伺服器上按滑鼠
右鍵，於選單中點選【升級】，執行完畢後即完成升級。
25
2.6.4 升級用戶端
伺服器升級成功後，於控制台點選【工具伺服器管理用戶端升級管理】進入用戶端
升級管理介面。在用戶端升級管理介面中，可批次勾選需要升級用戶端程式的對象（群組），
並設定派送時間，系統會自動將用戶端升級程式，依設定傳送給所選擇的連線用戶端，但用
戶端電腦必須重新啟動才會升級成功。
2.7 移除
2.7.1 移除用戶端
對於不再需要安裝用戶端的電腦，管理員可將用戶端移除，移除方式有下列方法，說明
如下：
由控制台移除
在欲移除用戶端的用戶端電腦或群組上按滑鼠右鍵，點選【控制移除用戶端】
，即可將
用戶端移除，此後用戶端不再執行。如需在該電腦上再次執行用戶端，必須重新安裝。
也可在欲移除用戶端的用戶端電腦或群組上按滑鼠右鍵，點選【刪除】
，即可將用戶端移
除，此後用戶端不再執行。如需在該電腦上再次執行用戶端，必須重新安裝。
點選【刪除】和【移除用戶端】的當下，若用戶端電腦並不在線上，該用戶端移除指令
會儲存於伺服器端，待下次用戶端上線時，會收到 IST 伺服器的通知，而自行移除用戶端程
式。
【刪除】和【移除用戶端】的差別，主要是【刪除】除了移除用戶端程式之外，同時還
釋放所佔用的授權。若有其他電腦已經安裝用戶端，但因為授權不足而停留在「未授權群組」
內時，【刪除】會讓「未授權群組」內的用戶端獲得授權而遞補上線。
說明「未授權群組」內的用戶端電腦，不會有日誌記錄，也不會執行策略。當該電腦獲得授權而
遞補上線時，從獲得授權的時刻起，才會開始有日誌及策略的執行。
26
透過用戶端離線輔助工具移除
針對離線用戶端，可在控制台上產生移除工具，於用戶端執行移除。操作步驟如下：
1. 在控制台選擇【工具用戶端工具用戶端離線輔助工具】
，開啟「用戶端離線輔助
工具」。
2. 選擇【永久移除用戶端】，點選【下一步】按鈕。
3. 設定參數，包括程式的有效執行次數、有效執行時間、操作密碼、儲存路徑及程式
名稱，點選【完成】鈕，產生 exe 可執行程式。
4. 將產生的 exe 程式發送給用戶端，並於用戶端執行，將執行指定的移除操作。
注意在 Windows 7 之後的作業系統上執行用戶端離線輔助工具時，請按滑鼠右鍵，點選【以系統
管理員身份執行】
，避免因 Windows 使用者帳戶控制(UAC)權限不足，導致移除失敗。
以用戶端工具移除
針對離線狀態的用戶端電腦，亦即無法與伺服器連接的用戶端電腦，我們提供另一種移
除用戶端的方法，操作步驟如下：
1. 開啟用戶端工具：
請在用戶端電腦的【開始所有程式附屬應用程式】按滑鼠右鍵，點選【以系統
管理員身份執行】
，開啟「命令提示字元」視窗，輸入命令「agt3tool ocularadv」，
開啟用戶端工具。
2. 選擇【移除用戶端】，按一下【產生操作碼】鈕。
3. 接著彈出一個「校驗操作碼」對話視窗，請將「原始操作碼」回報給管理員。
4. 管理員在控制台的【工具用戶端工具確認碼產生器】輸入用戶端的操作碼，按
下【解析】，即可解析出該用戶端的操作以及相應的用戶端資訊。
5. 管理員確認後，點選【核發確認碼】
。
6. 管理員將確認碼告知用戶端，由用戶端輸入正確的確認碼以執行指定的操作。
27
注意
1. 移除用戶端和刪除用戶端的區別：「移除用戶端」僅移除用戶端，並不釋放佔用的授權數，在控
制台上可顯示該電腦並檢視日誌；「刪除用戶端」則包括移除用戶端和釋放佔用的授權數。
2. 用戶端工具每次開啟所產生的原始操作碼並不同，因此在未取得管理員所提供之確認碼之前，請
勿關閉「校驗操作碼」對話視窗。
2.7.2 移除伺服器和控制台
首先關閉 IST 伺服器和控制台等應用程式，接著點選 Windows 開始功能表的【所有程
式IST解除安裝 IST】進行移除；也可在控制台的【新增或移除程式】中選擇 IST 進行移
除。
三、控制台
3.1 登入控制台
3.1.1 登入控制台
點選安裝目錄下的【OConsole3.exe】，或於 Windows 開始功能表的【所有程式
ISTIST 控制台】啟動控制台。
在啟動控制台之前，必須先確定 IST 伺服器是否已經完成服務啟動，若伺服器尚未完成
服務啟動，控制台將無法登入使用。
28
登入視窗中包含以下內容：
欄位說明
伺服器輸入伺服器的 IP 位址或電腦名稱。
初始預設系統管理員為 admin，系統稽核員為 audit。管理員也可以根據不同的權限，在

【工具帳號】中新增設定多個管理員帳號。
帳號
※ 稽核員僅能檢視系統管理員在 IST 控制台內的操作行為，無法檢視一般使用者的電腦
記錄。
管理員與稽核員預設是無密碼，登入控制台後，可在【工具修改密碼】中修改密碼，帳
密碼
號擁有者必須保管好自己設定的密碼。
勾選此項，登入控制台時，會記住此次登入帳號的密碼。
記住密碼登入控制台後，可在【工具選項控制台設定基本設定清除記住的密碼】中，點選
【立即清除】按鈕，下次登入控制台時將不會記住密碼。
勾選此項，下次啟動控制台程式時，會使用上一次的帳號和密碼自動登入。
自動登入登入控制台後，可在【工具選項控制台設定基本設定清除記住的密碼】中，點選
【立即清除】按鈕，下次登入控制台時將不會自動登入。
如需重新連接 IST 伺服器或連接至其他伺服器，或需要以不同的管理者身分登入控制台
時，可選擇【工具重新登入】功能重新登入控制台。
29
3.1.2 修改密碼
為了安全考量，使用者可修改自己的密碼，以防止他人盜用您的使用者帳號登入系統中
執行非法操作。
登入控制台後，選擇【工具→修改密碼】開啟修改密碼對話視窗。輸入舊密碼後，再輸
入新密碼，並於確認密碼框中再輸入一次，確保兩次輸入的密碼相同，接著按【確定】
，密碼
即修改成功。
注意此處的修改密碼，只能修改目前登入的管理員使用者密碼，第一行會顯示目前登入控制台的
帳號。經過伺服器驗證後，新密碼即生效。
3.2 控制台簡介
登入控制台後，將見到如下的視窗：
30
控制台介面包括：
介面區域說明
功能列包含本系統的所有功能選單，是各功能視窗的入口。
工具列包含一些常用的功能。
電腦清單位於視窗左邊，顯示所有已安裝用戶端的電腦清單及群組資訊。
使用者清單位於視窗左邊，顯示所有用戶端電腦登入的使用者清單及群組資訊。
角色清單位於視窗左邊，顯示所有角色及角色集合資訊。
導航主功能列位於工具列的下方，可快速導航主要功能。
導航子功能列對導航主功能列的補充，快速導航至相關的功能。
位於導航子功能列的下方，該區域也包含目前功能的標題，功能按鈕位於標
功能按鈕區
題的右側。
資料顯示區是本系統的核心區域，所有的資料都在資料顯示區檢視。
圖表欄只有統計功能包含圖表欄，是顯示統計圖的區域。
統計、日誌、即時通訊、郵件記錄均具備查詢欄，並有一些通用查詢條件，
查詢欄
在下面詳細說明。
內容欄只有策略控制功能包含內容欄，是設定策略內容的區域。
狀態列位於視窗的最下方，顯示目前功能的狀態資訊。
電腦清單中各圖示含義
圖示顏色說明
亮藍色用戶端正常執行。
用戶端未執行，可能是該電腦未開機或未與網路連線，也可
灰色
能是防火牆阻斷了通訊。
深灰色用戶端已被移除。
亮藍色帶小時鐘標誌用戶端正常執行，但該電腦處於閒置狀態。
31
使用者清單中各圖示含義
圖示顏色說明
亮藍色該使用者的用戶端正常執行。
灰色用戶端未執行，可能是該使用者沒有登入。
系統通用的日誌內容和查詢條件
日誌記錄（包含各種事件日誌、郵件日誌、即時通訊日誌）
，會包含一些通用日誌內容：
欄位名稱說明
時間記錄該日誌的詳細時間。
電腦記錄該日誌所屬的用戶端電腦，此處的電腦，是指在電腦清單中顯示的名稱。
使用者記錄該日誌發生的使用者，此處的使用者，是指使用者清單中顯示的名稱。
32
對於日誌和統計資料，我們的通用查詢條件包括：
查詢條件說明
指定查詢的時間範圍，預設終止日期為當天，起始日期為一個月前，即預設
時間範圍
查詢一個月內的日誌。
按一下該圖示，可直接檢視上一時間段的日誌，一個時間段可以是一天、一
星期、一個月等，取決於目前設定的起始時間和終止時間。
按一下該圖示，可直接檢視下一時間段的日誌，時間段也是取決於設定的時
間範圍。
按一下該圖示，可自動恢復到系統預設的時間範圍。
在【分類管理時間類型】中，系統預設定義工作時間、休息時間和週末時
時間類型
間，管理員可根據實際狀況自行修改時間類型，並可自訂時間類型進行查詢。
按欄位後的【…】按鈕，開啟範圍選擇視窗，可選擇單一電腦或單一群組（包
範圍
括整個網路）進行查詢。
3.3 電腦和使用者操作
3.3.1 檢視基本資訊
選擇功能列的【統計基本資訊】
，管理員可檢視電腦、電腦組、使用者、使用者組的基
本資訊。
電腦基本資訊
在電腦清單中選擇一台電腦，資料顯示區會顯示該電腦上用戶端的執行狀態：
欄位名稱說明
用戶端在電腦清單中顯示的暱稱。為了方便管理，此名稱可自行更改。
名稱
名稱和電腦名稱預設是相同的。
電腦用戶端所在電腦的實際主機名稱(Hostname)。
33
所屬群組用戶端在電腦清單中所屬的電腦群組名稱。
IP 位址用戶端與伺服器通訊的 IP 位址。
狀態用戶端的執行狀態，包括：正在運作、離線、用戶端已被移除。
離線天數用戶端電腦的離線天數。
版本用戶端套用的 IST 版本編號。
用戶端加密授權狀態，包括：未授權、透明加密授權、唯讀加密授權。
加密授權
此欄位僅 V+加密版本顯示。
作業系統用戶端所在電腦的作業系統版本。
開機時間用戶端的啟動時間。只有用戶端狀態為「正在運作」才有此欄位資訊。
最後上線時間用戶端最後一次與伺服器通訊的時間。
最後活動時間顯示用戶端電腦的最後活動時間。
安裝時間該版本用戶端的安裝時間。
IP/MAC 該電腦所有網卡的 IP/MAC 位址。
最後登入使用者該電腦的目前登入使用者，空閒和鎖定的狀態也會在此顯示。
注意若電腦登入多個使用者，控制台會在最後登入使用者的下方，顯示該電腦目前登入的所有使
用者及登入時間。
電腦群組基本資訊
在電腦清單中選擇一個電腦群組，資料顯示區會顯示該群組之下，所有電腦和群組的狀
態清單。若選擇【整個網路】，會顯示所有的電腦群組，按一下資料顯示區右上角的【展開】
鈕，可檢視群組裡所有電腦的狀態清單。
使用者基本資訊
在使用者清單中選擇一個使用者，資料顯示區會顯示該使用者的執行狀態。
欄位名稱說明
用戶端在使用者清單中顯示的名稱。若同步 AD 組織架構資訊，將以
名稱
AD 帳號的「顯示名稱」做為本欄位顯示。
34
為了方便管理，此名稱可自行更改。
用戶端所登入的 Windows 帳號名稱。若為本機系統使用者，將顯示

使用者
該本機帳號；若為網域使用者，則顯示為網域名稱\使用者名稱。
所屬群組使用者在使用者清單裡所屬使用者群組名稱。
狀態該帳戶的執行狀態，包括：線上、離線等。
最後上線時間該帳戶最後上線更新時間。
最後活動時間該帳戶所在的使用者活動更新時間。
最後登入的電腦該帳戶最後登入的電腦名稱。
注意若該使用者在不同的電腦上登入，控制台會在「最後登入的電腦」欄位下方，顯示該使用者
登入的所有電腦和登入時間。
使用者群組基本資訊
在使用者清單中選擇一個使用者群組，會顯示該群組之下，所有使用者和群組的狀態。
若選擇【整個網路】
，按一下資料顯示區右上角的【展開】鈕，可檢視所有使用者的狀態
資訊。
3.3.2 顯示
在左邊電腦檢視區中，所有用戶端電腦預設會顯示電腦名稱，可根據需求設定用戶端在
電腦檢視區中所顯示的資訊。
選取【整個網路】後按滑鼠右鍵，點選【顯示】，在資訊顯示設定對話方塊中，勾選需
要顯示的內容，接著重新登入控制台後，電腦檢視區上的用戶端將顯示勾選的資訊內容。
可顯示的選項包括：「名稱」、「電腦」、「IP」、「最後登入用戶」，預設勾選「名
稱」
，最少須勾選一項，亦可選擇同時顯示多項，上方文字框會顯示選擇後的示例。內容會依
選擇順序顯示，若先勾選「名稱」，再依次勾選「電腦」和「IP」，則顯示結果為「名稱(電腦
名,IP)」。
修改資訊顯示設定後，必須重新登入 IST 控制台才能生效。
35
說明該設定為管理員行為，即：某管理員登入控制台更改電腦檢視區的顯示資訊後，該管理員在
任何電腦上登入，都將顯示此資訊，與其他管理員的顯示畫面不同。
3.3.3 分組操作
在電腦清單和使用者清單中，所有的用戶端電腦和使用者首次出現時，預設都在「未分
組」內。為了方便管理，管理員可新建一些群組，將這些電腦和使用者在邏輯上劃分到不同
群組中。
新建群組
在電腦清單中，選擇整個網路或某個群組，接著點選功能列【檔案新增群組】
，會在電
腦清單中出現一個新的群組，且為可編輯名稱狀態，輸入群組名稱後，可將相關的電腦拖曳
到該電腦群組。管理員可採取相同的方式，建立多層的群組架構。
切換到使用者清單，則可依照相同方式對使用者進行群組管理。
說明電腦群組和使用者群組都有一個名為「未分組」的預設群組，新出現的電腦和使用者，都會
自動被歸類到「未分組」
。此群組不可刪除、無法重新命名，也不能新建子群組。
指定群組和改變群組
需要為電腦和使用者指定邏輯的群組或改變群組時，我們可選定需要移動的電腦和使用
者，點選功能列【檔案移動到】並選擇相對應的目標群組後，先前選定的電腦和使用者將
移動到指定的群組內。
我們也可透過滑鼠的拖曳操作來完成。選擇欲操作的對象後，按住滑鼠左鍵不放，再將
它拖曳至希望的目標群組中，所選擇的電腦（群組）或使用者（群組）
，就會移動至指定的群
組。
說明為了方便分組，可同時拖曳多個電腦或使用者至指定的群組。例如選取「未分組」
，再點選【統
計基本資訊】，按住 Ctrl 或 Shift 鍵，選擇多部電腦或使用者拖曳到指定群組。
36
3.3.4 搜尋
透過搜尋功能，管理員可快速定位到指定的電腦或使用者，並檢視相關的資料內容。
搜尋電腦
在電腦清單中點選功能列【檔案搜尋】開啟搜尋視窗，輸入搜尋條件。搜尋條件支援
名稱（電腦清單中顯示的名稱）、電腦（主機名稱）、網路位址、網路卡位址，同時也支援模
糊查詢。
搜尋出來的電腦會在下方的清單中顯示，以滑鼠點選任一台電腦，即可檢視該電腦的基
本資訊。
搜尋使用者
從電腦清單切換到使用者清單，點選功能列【檔案搜尋】開啟搜尋視窗、輸入搜尋條
件。搜尋條件支援使用者名稱，包括管理員自訂的使用者名稱，以及使用者帳號，同時也支
援模糊查詢。
與搜尋電腦的操作相同，以滑鼠點選搜尋結果清單中的任一使用者，即可檢視該使用者
的基本資訊。
3.3.5 刪除
不再需要接受管理且需要釋放佔用授權的電腦，可透過控制台刪除。點選功能列【檔案
，將電腦清單或電腦狀態清單中所選的電腦（群組）刪除，若為電腦群組，則包括該
刪除】
群組中所有的子群組和電腦。刪除操作會移除該電腦上執行的用戶端程式，並且收回相對應
的產品授權。若刪除時用戶端為離線狀態，則會在下次該用戶電腦上線時移除。
被刪除的電腦會移動到電腦清單的「已刪除」群組中，可查詢歷史日誌，但不能查詢即
時維護訊息。
刪除使用者（群組）只是刪除使用者的資訊，並不影響產品授權。被刪除的使用者被移
動到「已刪除」群組中，當該使用者再次登入，會從「已刪除」群組自動回到原群組。
37
如果對「已刪除組」中的電腦或使用者，再次點選刪除時，該對象將從管理介面中消失。
若需查詢該對象以往的資料，就只能透過先前備份的 IST 資料進行復原，若以前沒備份過
IST 資料，將無法復原該對象資料，也將無法對該對象進行任何查詢。
3.3.6 還原
已刪除群組裡的電腦或使用者，可透過控制台還原。點選功能列【檔案還原】
，可將電
腦或使用者還原到原來群組中。
執行還原操作後，無論用戶端程式是否已移除，都會重新佔用產品授權。
注意「還原」後不會自行裝回用戶端程式，管理者仍須對該電腦進行用戶端程式安裝。
說明若直接對「已刪除群組」的電腦安裝用戶端程式，將會自動還原該電腦到原來群組中。
3.3.7 重新命名
為了方便管理，管理員可將電腦名稱或使用者名稱改為便於管理和檢視的名稱。選擇欲
更改名稱的電腦（群組）或使用者（群組）
，點選功能列【檔案重新命名】改名，修改後的
名稱會顯示在控制台上。
3.3.8 資料同步
用戶端數量較多的時候，難免會出現分類庫和策略發送到某些電腦比較快，發送到另一
些電腦比較慢的情況，此時，管理員可對指定的電腦設定資料優先同步。
選擇需要優先同步的電腦，按滑鼠右鍵點選【資料同步優先資料同步】
，當分類庫資料
改變，以及新增或修改策略時，會優先對該電腦同步這些資訊。若按滑鼠右鍵點選【資料同
步取消優先同步】，則不再對該電腦優先同步分類庫和策略資訊。
設定優先資料同步的電腦，在電腦清單中的名稱後面會增加（*）符號，方便識別。
38
3.3.9 策略匯出
在用戶端電腦無法與 IST 伺服器連線的情況下，如欲更新用戶端電腦上的策略，可透過
本方式進行。
若該用戶端電腦沒有出現在 IST 控制台左方的電腦清單上，請先於用戶端電腦上執行
PolicyImportTool 指令，在「用戶端策略更新工具」視窗中點選「匯出用戶端識別資訊」，
選定儲存用戶端識別資訊檔（.ipa）的路徑。
接著開啟 IST 控制台，點選【工具匯入用戶端識別資訊】

，點選【檔案位置】右方的
鈕，並選擇剛才儲存的 .ipa 檔，接著再點「用戶端所屬群組」右方的鈕，將該用戶端電
腦分配到指定的電腦群組，並按【確認】完成設定。
確認用戶端電腦已出現在 IST 控制台左方的電腦清單中，並完成對該用戶端電腦（或電
腦群組）的策略設定後，於 IST 控制台左方的電腦清單中，以滑鼠右鍵點選該用戶端電腦，

39
接著選取【策略匯出】，並選擇欲存放匯出策略的 .ipz 檔案位置。
接著將 .ipz 檔案複製到用戶端電腦上，在用戶端電腦上執行 PolicyImportTool 指令，
於「用戶端策略更新工具」視窗中點選【匯入策略】，並選擇該 .ipz 檔案，再按【匯入】開
始匯入策略。策略匯入成功後，需重新啟動用戶端電腦才能套用匯入的策略。
注意「策略匯出」僅針對電腦匯出／匯入電腦策略，不包含使用者策略。
說明若有多台電腦策略欲匯出，可在「整個網路」或「電腦群組」上按滑鼠右鍵，選擇【策略匯
出】
，控制台會以 .zip 格式匯出各電腦的策略，請自行解壓縮 .zip 檔後，將各電腦的 .ipz 檔
複製到對應電腦上執行策略匯入。
3.3.10 清除子群組的策略
為了方便快速清除先前所設定的策略，管理員可以於右方的「策略」頁籤中，選擇策略
類型，並於左方以滑鼠右鍵點選指定的群組，並點選「清除子群組的策略」
，即可清除該群組
(含)以下全部的指定模組策略。
本功能僅依照選擇的策略類型進行快速清除策略，若有多個模組的策略，需逐一切換模
組項目來清除。
40
3.4 控制
管理員可透過控制台，針對用戶端的電腦進行「發送通知、鎖定電腦、解鎖、登出使用
者、關閉電腦、重新啟動、移除用戶端」等控制，但前提是被控制的電腦必須正在開機且用
戶端不能被移除。控制功能只能針對電腦發起，無法針對使用者進行上述控制功能。
3.4.1 發送通知訊息
需要對用戶端使用者發送通知訊息或下達某些命令時，可直接透過控制台的發送通知訊
息功能來進行。
選擇目標用戶端電腦或群組（若為群組，則對群組內所有電腦發送通知訊息）
，點選功能
列【控制發送通知訊息】開啟對話視窗，輸入通知的標題及內容後按【發送】鈕，目標電
腦的桌面將彈出通知訊息視窗。
此外，也可對通知訊息進行預設內容管理：點選鈕，再點選【管理】，進入預設內
容管理介面，可執行新增、刪除、修改等操作。
3.4.2 鎖定電腦／解鎖
發現執行用戶端的電腦有異常舉動，或基於其他原因，管理員可將該電腦或多台電腦鎖
定，阻止使用者繼續透過鍵盤和滑鼠繼續操作。
點選功能列【控制鎖定電腦】即可鎖定。被鎖定的電腦將無法再使用鍵盤和滑鼠執行
任何操作，除非對其解鎖，使用者才能繼續使用鍵盤和滑鼠。被鎖定的電腦會在基本資訊內
顯示鎖定的狀態，如欲將已鎖定的電腦解鎖，點選功能列【控制解鎖】
，目標電腦才可繼續
使用鍵盤和滑鼠。
針對離線的用戶端，也可對其發送鎖定命令，該用戶端會在下次連上伺服器時被鎖定。
此外，管理員也可透過【策略用戶端配置基本類別鎖定提醒】自訂鎖定提醒訊息。
41
3.4.3 登出使用者、關閉／重新啟動
可透過此功能關閉正在執行用戶端的電腦。管理員可點選功能列【控制】的「登出使用
者」、「重新啟動」和「關閉電腦」等，目標電腦會執行控制台下達的命令。以執行「登出使
用者」為例，被選定的線上使用者將被登出。
3.5 輔助功能說明
控制台當中還有其他通用功能，在許多功能模組中都會使用到，以下簡單說明。
3.5.1 匯出和匯入
資料的匯出
控制台上的所有資料檢視，均可匯出並儲存為電子檔案，包括：統計、日誌、策略、即
時通訊內容、郵件內容、資產管理等。部分模組的匯出可能會有細微的差別。
1. 匯出本頁記錄
在資料檢視中按滑鼠右鍵，點選【匯出本頁記錄】
，只會匯出目前頁面中的日誌，
預設為 20 筆記錄。管理員可在控制台的【工具選項控制台設定日誌檢視】
中，修改每頁顯示的最大記錄數。
2. 匯出所有滿足條件的記錄
在資料檢視中按滑鼠右鍵，點選【匯出所有滿足條件的記錄】
，可匯出所有滿足查
詢條件的記錄。
匯出的文件可儲存為三種格式：文字檔案（.CSV）
、HTML 檔案、EXCEL 檔案（IST 控制
台所在電腦必須已安裝 Microsoft Excel 程式）。
42
策略的匯出／匯入
這裡的策略匯入與匯出，主要是做為管理者備份策略，或移轉策略到其他 IST 伺服器上
使用，於「3.3.9 策略匯出」的用途不同。
請選擇欲匯出的策略後，按滑鼠右鍵點選【匯出】或【匯出所選策略】，儲存為 XML 格
式檔。
「匯出」僅匯出目前所選電腦（群組）或使用者（群組）目前模組的所有策略，不包括
繼承的策略；「匯出所選策略」只匯出其中選中的策略，可以一筆也可以多筆。
選擇欲匯入策略的電腦（群組）或使用者（群組）後，按滑鼠右鍵點選【匯入】
，選擇策
略檔匯入策略，儲存後生效。匯入的策略必須與目前的策略類型一致，否則無法匯入。
3.5.2 列印、預覽列印
控制台上的所有資料檢視，均可列印出來存檔，留作日後參考。點選功能列【檔案列
印】，可將執行統計報告及日誌等列印輸出；點選功能列【檔案預覽列印】，可預覽列印。
3.6 策略角色
可依「角色」的不同，定義各個「角色」的策略和權限，可對指定的用戶設定同一種「角
色」，方便權限的複製與管理。
管理員權限
如欲管理策略角色，必須在控制台的【工具帳號】中賦予管理權限，包括檢視角色、
設定角色和分配角色。各項權限說明如下：
名稱說明
擁有此權限的管理員，可看到「角色欄」。
檢視角色
可檢視策略集、策略集群組、角色、角色群組的所有資訊，但不能修改。
勾選此權限，
【檢視角色】會自動一起勾選。
設定角色
擁有此權限的管理員，可「新增」
、「重新命名」
、「複製」
、「刪除」策略集、策略集群
43
組、角色、角色群組。可設定「策略集」和「角色」的對應關係，可對「策略集」設
定策略。
※ 對「策略集」設定的策略類型，取決於管理員所具備的策略設定權限。
勾選此權限，
【檢視角色】會自動一起勾選。
分配角色
擁有此權限的管理員，可將「策略集」或「策略集群組」分配給電腦、使用者。
名詞解釋
 策略集
「策略集」是多條策略的集合。管理員可以將一些常用的策略，都設定在策略集內。再
按照實際需要，將策略集個別套用在電腦、使用者或角色等對象上。
 策略集群組
「策略集群組」是一個容器，管理者可把相關的策略集放到同一個策略集群組裡，方便
管理和分類檢視。
 角色
「角色」是擁有相同「策略集」的集合。一個對象可以同時屬於多個「角色」
。管理者可
按職務特性來劃分角色，如：
「開放使用已註冊隨身碟」
、「特別觀察名單」等。如果使用
者同時屬於上述兩個角色，該使用者將會同時套用這兩個角色的策略集。
 角色群組
類似策略集群組，把同相關的角色放到同一個角色群組裡，方便管理和分類檢視。
名詞優先順序設定策略分配給電腦、使用者
有優先順序，策略集列表從上到
策略集可設定策略可分配
下，代表著優先順序從高到低
策略集群組沒有優先順序不可設定策略不可分配
角色沒有優先順序不可設定策略可分配
角色群組沒有優先順序不可設定策略不可分配
44
3.6.1 角色
控制台的「角色欄」（如下圖○
1 ）可透過控制台功能表列【檢視】中的設定來顯示或隱
藏該欄。
切換到「角色欄」即可看到策略集、策略集群組、角色、角色群組的資訊（如下圖○
2 ），
並於該介面對角色進行管理。以滑鼠雙擊或透過右鍵功能表，操作「策略集」和「角色」節
點，可收合／展開其子項目。
選取某個策略集，可在右側基本訊息（如下圖○
3 ）調整策略集的優先順序，設定策略集
和角色的關係，將策略集和角色分配給對象，對策略集設定策略。
3.6.2 支援的策略類型
策略集支援以下策略類型：
45
策略類型策略名稱
基本策略、設備控制策略、應用程式策略、網頁瀏覽策略、
標準策略螢幕記錄策略、日誌記錄策略、遠端控制策略、用戶端配置策略、
系統警報策略、軟體安裝管理策略
流量控制策略、網路控制策略、郵件控制策略、IM 檔案傳送策略、
進階策略上傳控制策略、文檔控制策略、列印控制策略、浮水印控制策略、
移動儲存控制策略
加密授權策略、加密參數策略、檔案備份設定策略、
加密策略
長期離線授權策略、安全通訊設定策略
安全偵測安全偵測設定策略
3.6.3 策略優先順序
使用者策略＞使用者策略角色策略＞使用者群組策略＞使用者群組策略角色策略＞電腦
策略＞電腦策略角色策略＞電腦群組策略＞電腦群組策略角色策略
3.6.4 策略應用查詢
「策略集」策略分配給對象後，可在控制台功能表列【工具策略應用查詢】中查看該
策略的應用情況。
3.6.5 匯入和匯出
在策略集的列表中，滑鼠右鍵點選最上方的「策略集」字樣，並選擇「匯出」
，可將畫面
上所有的策略集，連同策略集群組一起匯出。若是選擇「匯入」
，可將先前匯出的策略集匯入
到策略集內。
在「角色」的列表中，滑鼠右鍵點選「角色」字樣，也可將角色與角色群組匯出與匯入。
注意若匯入策略集/角色時，已經有相同名稱的策略集/角色存在，將不會覆蓋該相同名稱的策略
集/角色。
46
四、統計
IST 會產生管理人員所關心的各項統計數據，包括：應用程式、網頁瀏覽和網路流量的
統計報告及統計圖表，可用以評估各別員工的工作狀況。選擇不同群組的多個用戶端進行查
詢統計，最多可同時查詢 20 個電腦組/電腦。
4.1 應用程式統計
應用程式統計提供了強大的統計功能，可針對各用戶端電腦每天的工作情況和應用程式
使用狀況，進行人性化的統計和分析，為管理者在評估員工工作效率時，提供了可靠的依據，
同時也具備匯出統計報表的功能。
選擇功能列【統計應用程式】，可查詢某一段時間內，電腦（群組）或使用者（群組）
的應用程式使用狀況，系統預設為統計當天的使用狀況。應用程式統計介面分四個區域：電
腦（使用者）欄、資料顯示欄、統計圖、查詢欄。
功能按鈕說明如下：
圖示按鈕說明
模式按鈕：管理員可選擇應用程式的統計模式。
展開按鈕：若應用程式類別包含子分類，可展開子分類；對分項統計，可展
開群組內電腦或使用者。對應用程式明細統計無效，圖示變為灰色。
顯示 Top 項：定義顯示統計報表內容的筆數，包括全部、前 10 筆、前 20

筆、自訂。當依應用程式類別統計設定展開時，顯示 Top 項圖示為灰色。
在統計中，
「開機時間」和「活動時間」是系統預設的統計項。「開機時間」是指用戶端
電腦開機後的執行時間；「活動時間」是指用戶端電腦的鍵盤和滑鼠操作時間。
47
應用程式統計有 4 種模式
1. 依應用程式類別統計
管理員可在應用程式分類中，對用戶端電腦使用過的所有應用程式分門別類，方便對應
用程式類別進行統計。透過統計結果，可得知員工每日的工作情況、各部門每日的工作情況。
點選功能按鈕區的模式按鈕，選擇【模式依類別統計】
，預設會統計所有應用程式類別，
統計結果分三列顯示：
欄位名稱說明
類別應用程式分類中自行定義的分類。
用戶端電腦使用該分類應用程式的時間合計，系統預設依使用時間，由長到
時間
短排列顯示。
該分類中的應用程式使用時間，佔整體活動時間的百分比，預設是以由大到
百分比
小的順序顯示。
2. 依應用程式名稱統計
如需統計使用過的應用程式佔比，可選擇【模式依名稱統計】
，此種統計模式會列出所
選電腦（群組）執行過的應用程式使用時間總和，以及所佔整體活動時間的百分比。
「依應用
程式名稱統計」實際上是依應用程式的處理程序進行統計，統計結果一目了然，清楚顯示出
在使用者大部分的活動時間內，執行了哪些應用程式，從而得知使用者的工作效率。
3. 依應用程式明細統計
此統計模式與前一項類似，不過並非依處理程序統計，而是依該應用程式的描述加以統
計。例如用戶端電腦執行了兩個不同版本的 Skype 程式，處理程序都是 Skype.exe，雖然依
明細統計，會分別統計兩個版本的 Skype，若依名稱統計，則是將兩個版本的使用時間合併
統計為 Skype.exe。
48
4. 分項統計
分項統計是針對電腦或電腦群組，分別統計不同應用程式類別的使用百分比，預設統計
開機時間和活動時間，如有其他需求，可在查詢欄的【類別】中，增加應用程式類別統計。
以統計一個電腦群組內，所有電腦使用 IM、瀏覽器等分類的情況為例：先選取群組，接
著選擇統計模式為【分項統計】，在右邊的查詢欄中增加應用程式類別（IM、瀏覽器等預先
定義好的應用程式類別）
，再點【查詢】即獲知統計結果。如該群組下還有子群組，點選【展
開】按鈕，可檢視子群組下所有電腦的統計結果。
統計圖表
1. 柱狀圖
2. 圓餅圖
49
4.2 網頁瀏覽統計
很多員工會在上班時間瀏覽工作以外的網站，透過網頁瀏覽統計功能可以查詢使用者瀏
覽網站的情況，及時發現問題並採取應對措施。
功能按鈕說明如下：
圖示按鈕說明
模式按鈕：管理員可選擇網站的統計模式。
展開按鈕：若網站類別包含子分類，可展開子分類；對分項統計，可展開群
組內電腦或使用者。對網站明細無效，圖示變為灰色。
顯示 Top 項：定義顯示統計報表內容的筆數，包括全部、前 10 筆、前 20
筆、自訂。當依網站類別統計時，顯示 Top 項圖示為灰色。
網頁瀏覽統計有 3 種模式
1. 依網站類別統計
依此模式進行統計的前提是，管理員必須先在【分類管理網站】中新增類別及網站標
識。這種統計模式方便管理者針對不同類別的網站，進行統計和分析。
預設統計所有網站類別的上網時間，不屬於任何一個網站分類的網站標識，會被自動統
計到「其它」，統計清單預設依瀏覽時間的長短進行排序。
2. 依網站明細統計
依此模式可查詢到所有連結過的網站明細，不過在此模式下，
【展開】的功能無效，預設
為統計全部網站，亦可點選【顯示】鈕選擇 Top 項。
3. 分項統計
此模式是以電腦為單位，統計一個或多個網站分類的瀏覽時間，可對一個電腦群組或整
個網路進行統計。
先選擇需要統計的電腦群組，預設為統計其未分類的網站瀏覽時間，管理員可依需求，
在右邊查詢欄中新增和修改網站分類；點選【展開】鈕則顯示所有子群組電腦的統計結果。
50
統計圖表
1. 柱狀圖
2. 圓餅圖
51
五、日誌
5.1 日誌簡介
IST 會記錄用戶端電腦的各種操作日誌，包括：使用者登入／登出等日誌、應用程式日
誌、網頁瀏覽日誌、文檔操作日誌、共用文檔日誌、文件列印日誌、移動儲存操作日誌、資
產變更日誌等。透過這些詳盡的日誌，幾乎可檢視使用者在其電腦上的所有操作行為。
支援 Unicode
用戶端記錄支援 Unicode 格式，可避免用戶端記錄回傳特殊字元時，造成亂碼的現象。
支援離線回傳
用戶端記錄支援離線回傳功能。當用戶端於離線時產生日誌記錄，會先暫存於用戶端，
待與 IST 伺服器連線時，再將資料回傳至伺服器，並支援斷點續傳功能。
日誌通用操作說明
所有日誌檢視中，都可進行以下幾種操作：
操作說明
列印／預覽列印每個日誌檢視都可列印儲存、預覽列印。
匯出日誌根據需求匯出各種日誌。
在資料檢視中按滑鼠右鍵選擇【刪除】
。管理員可根據需求選擇刪除模式：
刪除日誌
刪除選取的記錄、刪除本頁記錄、刪除所有滿足條件的記錄。
管理員可在檢視日誌的過程中，隨時檢視某條記錄的螢幕歷史畫面。
選取一筆日誌記錄後，按滑鼠右鍵選擇【檢視螢幕歷史】，即自動開啟螢幕
檢視螢幕歷史
歷史檢視器，並快速定位至接近指定日誌操作當下的螢幕歷史畫面。
※ 未設定螢幕記錄策略的用戶端電腦，將無法查詢螢幕歷史畫面。
52
5.2 基本事件日誌
選擇功能列【日誌基本事件】可檢視基本事件日誌。
基本事件日誌記錄用戶端系統的啟動／關閉、使用者登入／登出、遠端離線／中斷、撥
號、安全更新管理和軟體派送相關日誌。
記錄的日誌操作類型包括以下幾種：
操作類型說明
「系統」在此係指用戶端系統。因用戶端的啟動／關閉和作業系統的啟動／
系統啟動／關閉
關閉對應，故可大致理解為作業系統的啟動／關閉。
使用者登入每一個登入該電腦的使用者之登入／登出日誌。
使用者登出每一個登出該電腦的使用者之登入／登出日誌。
遠端連線遠端電腦透過遠端連線，連接至本機的連線日誌。
遠端中斷遠端電腦透過遠端連線，連接至本機的中斷日誌。
該離線用戶端電腦的日誌，是透過「用戶端離線資料收集工具」收集數據後，
離線上傳資料
藉由其他線上用戶端電腦回傳。
撥號當使用者撥號連接時，用戶端會記錄下撥號／掛斷日誌。
當管理員設定了安裝安全更新，用戶端電腦會自動安裝安全更新，並記錄安
安全更新管理
裝安全更新的所有日誌，以便查詢安裝情況。
當管理員建立了軟體派送任務，系統會自動在目標電腦上執行，並將派送任
軟體派送
務的執行日誌記錄下來，以便查詢派送任務情況。
用戶端升級用戶端自動升級日誌，記錄版本變更情況。
用戶端安裝用戶端安裝日誌，記錄安裝版本。
用戶端移除用戶端移除或刪除日誌，記錄移除前版本。
軟體移除用戶端執行軟體移除任務時的移除軟體記錄。
上傳互動區日誌安全隨身碟互動區日誌上傳記錄。
基本事件日誌包含的內容有：操作類型、時間、電腦、電腦群組、使用者、使用者群組、
IP 位址、描述等資訊。操作類型係指記錄的日誌類型，如：系統啟動、使用者登入等，用以
53
描述該日誌的詳細資訊。
基本事件日誌預設顯示所有的日誌，管理員也可依需求設定其他查詢條件。
查詢條件說明
時間和範圍通用查詢條件。
係指基本事件日誌的操作類型。
類型預設為全部，也可在下拉式選單中，指定一個或多個類型進行查詢，例如查
詢用戶端電腦登入過的使用者，以及安全更新安裝情況等。
依日誌記錄的描述資訊查詢。
描述
這是一個輸入文字欄位，支援字元，也支援查詢。
5.3 應用程式日誌
應用程式日誌會記錄用戶端電腦啟動或關閉的應用程式，以及應用程式視窗切換資訊。
管理員可透過控制台檢視相關日誌，選擇功能列【日誌應用程式】
，可檢視所有的應用程式
啟動／停止，以及視窗／標題切換日誌。
應用程式日誌類型包括：啟動／停止、切換視窗、切換標題。
日誌類型說明
啟動／停止記錄用戶端電腦上啟動／停止應用程式的情況。
切換視窗使用者切換應用程式時，會記錄下切換視窗的日誌。
使用者在使用同一個應用程式時，可能開啟多個視窗或標題，例如瀏覽器
切換標題
Chrome.exe 開啟多個標籤頁互相切換時，會記錄為切換標題。
注意由於資料量較大，切換視窗和切換標題預設為不記錄，您可透過導航列【策略日誌記錄】
設定記錄視窗標題變化。
應用程式日誌記錄所包含的內容有：操作類型、時間、電腦、電腦群組、使用者、使用
者群組、IP 位址、應用程式、路徑／標題等資訊。
54
內容名稱說明
操作類型應用程式啟動／停止和視窗標題切換。
時間用戶端執行程式的時間。
電腦用戶端電腦名稱。
電腦群組用戶端電腦所屬群組。
使用者用戶端使用者名稱。
使用者群組用戶端使用者所屬群組。
IP 位址使用者電腦的 IP 位址。
應用程式應用程式的處理程序名稱。
路徑當操作類型是啟動／停止時，記錄應用程式在用戶端電腦的詳細路徑。
標題當操作類型是切換視窗／切換標題時，記錄目前應用程式的視窗標題。
系統預設顯示所有的應用程式日誌，管理員也可依需求設定其他查詢條件。
查詢條件說明
路徑／標題依應用程式日誌的路徑或標題查詢。
依應用程式的處理程序名稱查詢，可手動輸入名稱查詢，也可直接在應用程
應用程式
式類別中，選擇一個類別或一個應用程式查詢。
依應用程式查詢
1. 手動輸入應用程式名稱
在文字框中輸入欲查詢的應用程式名稱，例如 Skype.exe 或 *game*.exe 等。
說明 *代表 0～無限多個字元，建議查詢時可輸入「*關鍵字*」做為關鍵字查詢。
2. 透過應用程式分類
點選文字框右側的【...】按鈕，開啟應用程式類別選擇清單，左邊是應用程式類別，右
邊是該類別中包含的所有應用程式。
如需查詢某一類別，請於左邊選取【應用程式類別】
，右邊選擇欲查詢的類別，點選【確
55
定】即可針對該分類進行查詢；若只需查詢其中一個指定的應用程式，請於左邊選取該程式
所在的類別找到該程式，右邊則選取該程式，並按一下【確定】進行查詢。
5.4 網頁瀏覽日誌
頁瀏覽日誌會記錄用戶端電腦瀏覽過的網站，方便管理員檢視該用戶端使用者的網頁瀏
覽情況。選擇功能列【日誌網頁瀏覽】，可檢視所有網頁瀏覽日誌。
網頁瀏覽日誌支援各種常用瀏覽器的記錄，包括：Internet Explorer、Google Chrome、
Mozilla Firefox、Safari、Opera 等。
網頁瀏覽日誌包含的內容有：時間、電腦、電腦群組、使用者、使用者群組、IP 位址、
網站、標題、瀏覽器、網址等資訊。
內容名稱說明
時間用戶端參訪網頁的時間。
IP 位址使用者電腦的 IP 位址。
顯示該主機網域名稱。
網站
例如：www.ist.tw
標題瀏覽的網頁標題。
瀏覽器參訪網頁使用的瀏覽器軟體。
瀏覽的網頁完整網址。
網址
例如：http://www.ist.tw/index.php/IST
說明
1. 按右鍵點選【開啟網頁】
，可快速鏈結到選取日誌中的瀏覽網站，以檢視該網頁的詳細資訊。
2. 按右鍵點選【新增到網站類別】，可將選取日誌中的瀏覽網站，新增至指定的網站分類庫中。
56
系統預設為顯示所有的網頁瀏覽日誌，管理員也可依需求設定其他查詢條件。
查詢條件說明
依輸入的網址查詢指定網址的瀏覽情況，管理員可直接輸入一個網址查詢，
網址也可在網站分類中指定一個類別或一個網站標識查詢；
手動輸入網址，支援模糊查詢。
根據瀏覽網頁的視窗標題查詢，例如輸入「娛樂」
，查詢所有網頁標題包含
視窗標題
娛樂的網頁瀏覽日誌。
5.5 文檔操作日誌
記錄用戶端電腦使用者對文件的操作資訊。管理員透過檢視日誌記錄，可發現使用者的
文檔操作行為，同時為事後追查資料洩密事件提供可靠線索，增強電子檔案管理的安全性。
選擇功能列【日誌文檔操作】檢視文檔操作日誌，日誌記錄的內容包括：
內容名稱說明
包括下列動作：
建立：檔案的產生。
複製：檔案產生相同內容複本。
移動：檔案被搬移到其他路徑中。
重新命名：檔案的名稱被更換。
還原：於資源回收桶中將檔案救回。
類型
刪除：檔案從電腦中被移除。
讀取：包括檔案被開啟或做為附件使用。
修改：檔案發生內容異動後並儲存。
上傳：將檔案被傳送到其他主機或對象。
下載：檔案從其他主機取得。
燒錄：將檔案寫入光碟片中。
57
時間用戶端使用文件或檔案的時間。
IP 位址用戶端電腦的 IP。
原檔案使用者操作的文件檔案名稱。
文檔類型顯示該操作標的是檔案還是資料夾。
檔案大小使用者操作的文件檔案大小。
使用者操作的文件檔案詳細路徑，當操作類型為複製、移動、重新命名時，
路徑
路徑會記錄文件的來源路徑和目的路徑。
使用者操作的文件檔案所在的磁碟類型，包括：硬碟、軟碟、光碟、可移動
磁碟類型碟、網路碟、其他。
當操作類型為複製、移動時，會顯示來源路徑和目的磁碟類型。
應用程式操作該文件檔案使用的應用程式處理程序名稱。
標題操作該文件檔案時的視窗標題。
在文檔控制策略和 IM 檔案傳送策略中，可設定文檔備份策略，當用戶端電腦觸發這些
策略，就會記錄備份檔案。備份檔案日誌以迴紋針圖示「」標誌，例如複製的圖示為「」。
以滑鼠雙擊備份文檔日誌，可檢視其詳細內容，點選檔名右側的【副本】按鈕，可檢視
或儲存備份檔案。備份文檔也支援批次匯出，按滑鼠右鍵選單【匯出備份文檔】
，可匯出指定
或全部記錄的備份檔案。
系統預設為顯示所有的文檔操作日誌，管理員也可設定各種查詢條件，進行有選擇、有
目的的查詢。
查詢條件說明
58
預設為全部操作類型，也可透過下拉式選單，選擇一種或多種操作類型進行
文檔操作類型
查詢，例如：查詢修改和複製的所有檔案。
來源
預設為全部磁碟類型，也可透過下拉式選單，選擇一種或多種磁碟類型進行
磁碟類型
查詢，只查詢來自指定磁碟類型的檔案。
操作檔案的名稱。
檔名依操作檔案名稱查詢，支援萬用字元和模糊查詢。點選【…】按鈕，可透過
檔案類型查詢，可在彈出的預設類型中選擇，也可手動增加類型名稱。
路徑依操作檔案所在路徑查詢，支援萬用字元和模糊查詢。
目標
唯有涉及來源路徑和目標路徑的操作，如複製、移動等，目標磁碟類型、檔
目標
名、路徑才有效。
磁碟類型
查詢，只查詢到指定磁碟類型目標的檔案。
路徑依檔案目的路徑查詢，支援萬用字元和模糊查詢。
大小指定查詢的檔案大小範圍，可查詢到一定範圍大小的檔案操作記錄。
根據應用程式名稱查詢，可手動輸入名稱，也可在應用程式分類中，指定一
應用程式
個類別或一個應用程式進行查詢。
預設不勾選，會查詢所有日誌（包括有備份文檔和無備份文檔）；
有備份文檔
勾選此項，僅查詢有備份文檔的日誌。
59
5.6 燒錄操作日誌
記錄用戶端電腦使用者透過專用燒錄工具，將檔案燒寫到光碟片中的操作資訊。透過檢
視日誌記錄，管理員可發現使用者的光碟燒錄操作行為，同時為事後追查檔案燒錄洩密事件
提供稽核線索。
選擇功能列【日誌燒錄操作】檢視燒錄操作日誌。日誌記錄的內容包括：
內容名稱說明
包括任務開始、燒錄、燒錄成功、燒錄失敗、任務完成等動作。
若該次燒錄有寫入 N 個檔案到光碟片中，會產生以下的燒錄操作日誌：
1. 一筆操作類型為「任務開始」。
類型
2. N 筆操作類型為「燒錄」
。
3. 一筆操作類型為「燒錄成功」或「燒錄失敗」。
4. 一筆操作類型為「任務完成」。
時間用戶端執行檔案燒錄的時間。
光碟名稱燒錄的光碟片名稱。
光碟類型燒錄使用的光碟片類型，包含：CD 或 DVD。
檔案大小使用者燒錄的文件檔案大小。
原檔案使用者燒錄的文件檔案名稱。
應用程式燒錄該檔案使用的應用程式名稱。
本次燒錄的檔案總數量。
檔案總個數
若僅燒寫一個檔案到光碟片中，該筆燒錄日誌將不會顯示檔案總個數。
本次燒錄的光碟份數。
燒錄份數
若僅燒寫一個檔案到光碟片中，該筆燒錄日誌將不會顯示燒錄份數。
燒錄機描述記錄光碟燒錄機的硬體描述資訊。
60
若在「文檔控制策略」中已設定「文檔備份策略」
，一旦用戶端電腦觸發這些策略，就會
記錄燒錄備份檔案。在「文檔操作日誌」中可查詢燒錄備份檔案，備份檔案日誌則以迴紋針
圖示標誌。
系統預設為顯示所有的燒錄操作日誌，管理員也可設定各種查詢條件，進行有選擇、有
目的的查詢。
查詢條件說明
預設為全部操作類型，包括：任務開始、燒錄、燒錄成功、燒錄失敗、任務
燒錄類型
完成。可透過下拉式選單，選擇一種或多種操作類型查詢。
依燒錄的檔案名稱查詢，支援萬用字元和模糊查詢。點選【…】按鈕，可透
檔案
過檔案類型查詢，可在彈出的預設類型中選擇，也可手動增加類型名稱。
路徑依燒錄檔案的來源路徑查詢，支援萬用字元和模糊查詢。
大小指定查詢的檔案大小範圍，可查詢到一定範圍大小的檔案操作記錄。
根據燒錄的應用程式名稱查詢，可手動輸入名稱，也可在應用程式分類中，
應用程式
指定一個類別或一個應用程式查詢。
光碟名稱燒錄的光碟名稱。
光碟類型預設為全部類型，可選擇 CD 和 DVD。
燒錄機描述光碟燒錄機的硬體描述名稱。
檔案總個數本次燒錄的總檔案個數。
燒錄份數本次燒錄的光碟片數量。
5.7 共用文檔操作日誌
記錄用戶端電腦上分享的檔案，被其他電腦使用者操作的日誌，管理員可透過檢視這些
日誌，得知外來電腦對本機上的檔案做了哪些操作。
選擇功能列【日誌共用文檔】檢視共用文件操作日誌記錄。
61
共用文檔日誌的內容包括：
內容名稱說明
操作類型包括：建立、重新命名、修改、刪除。
（不包含連接、複製和移動等操作）。
遠端主機連接本機共用文件檔案之外來電腦的 IP 位址。
檔名遠端電腦操作的本機檔案名稱。
路徑遠端電腦操作的本機檔案詳細路徑。
共用文檔日誌可依以下條件查詢：
查詢條件說明
共用文檔
根據共用文檔操作類型查詢，預設為全部，也可在下拉式選單，
操作類型
選擇其中一種操作類型進行查詢。
來源
查詢遠端電腦對指定檔案進行了哪些操作。輸入欲查詢的文檔名
文檔名稱
稱，支援模糊查詢。
路徑遠端操作檔案的路徑。
目標
目標只有共用檔案重新命名時，目標檔案和路徑才有效果。
文檔名稱操作檔案的名稱。
路徑操作檔案所到的目標路徑。
遠端位址或名稱依連接本機共用之遠端電腦的 IP 位址或電腦名稱查詢。
62
5.8 列印操作日誌
記錄用戶端電腦上的列印操作，以便日後查詢。選擇功能列【日誌列印操作】可檢視
相關列印日誌。
列印日誌記錄的內容包括：
內容名稱說明
印表機類型包括：本機、共用、網路和虛擬印表機。
列印記錄本欄位顯示「有」表示有列印紀錄。
時間用戶端進行列印的時間。
列印任務記錄列印日誌的核心內容，通常包含列印的文件名稱。
印表機名稱列印時所使用的印表機名稱。
印表機所在電腦印表機所連接的電腦名稱或網路印表機的 IP。
紙張大小顯示用紙規格，如：A4。
紙張方向顯示紙張列印的方向，如：縱向。
列印頁數列印出來的文件頁數。
副本頁數副本包含的頁數。
標題執行列印操作時的視窗標題。
應用程式執行列印操作的應用程式名稱。
檢視和儲存列印記錄
在列印控制策略中，可設定記錄列印內容的策略，當用戶端列印指定文件時，會記錄其
63
列印內容。透過列印日誌，可檢視或儲存列印內容，列印日誌是以一個迴紋針圖示「」標
誌，例如共用印表機的圖示為「」。
以滑鼠左鍵點選任一筆日誌，或按右鍵選擇【內容】即可檢視詳細資訊；點選【副本】
按鈕可「檢視列印記錄」或「儲存列印記錄」。
若選擇「檢視列印記錄」
，會開啟列印檢視器，可對內容進行放大、縮小、拖曳檢視，有
多頁列印內容時，可翻頁檢視，亦可將圖片另存為 JPG 格式檔案。
若選擇「儲存列印記錄」
，可將列印內容儲存到指定目錄。列印內容是以圖片格式儲存，
每頁都會儲存為一個 JPG 檔，如果一個列印記錄有多頁內容，則會儲存為多個圖片檔。
批次匯出列印記錄
需要將多筆列印記錄匯出儲存時，可使用控制台的批次匯出列印記錄功能。在列印日誌
資料視窗中按滑鼠右鍵選擇【匯出內容】
，可匯出目前列印記錄、所選記錄及所有滿足條件的
記錄。
文件列印日誌可依以下條件查詢：
查詢條件說明
預設為全部，也可在下拉式選單中，選擇任一種印表機類型，只查詢一種印表機
印表機類型
類型的列印情況。
印表機根據印表機的名稱查詢，方便對指定的印表機進行列印情況統計。
即印表機所在的電腦。若為本機印表機，電腦即本機的電腦名稱；若為共用印表
所屬電腦
機，則是遠端連接印表機的電腦，一般是 IP 位址。
任務名稱根據列印任務查詢，可查詢指定文件的列印情況，支援模糊查詢。
頁數根據列印頁數查詢，方便統計濫用印表機的情況。
應用程式根據列印時的應用程式查詢，查詢指定格式的文件列印情況。
標題根據列印操作時的視窗標題進行查詢。
有列印記錄預設不選擇，代表全部；若選擇該項查詢，則表示僅查詢有列印記錄的列印日誌。
64
5.9 移動儲存操作日誌
記錄用戶端電腦上所有移動儲存裝置的新增／移除情形，對移動儲存裝置在電腦上的使
用狀況進行全面監控和記錄，提高文件保密的安全性。
選擇功能列【日誌移動儲存操作】檢視所有移動儲存裝置的使用日誌，內容包括：
內容名稱說明
操作類型接入或退出。
時間用戶端接取移動儲存設備的時間。
移動儲存類別在分類管理中，該裝置所屬的分類名稱。
磁碟類型加密碟、非加密碟、安全隨身碟。
UDiskID 每個移動儲存裝置都有一個唯一的、固定的 ID。
每個移動儲存裝置的唯一標誌，在移動儲存分類中，可檢視這個磁碟區序號
磁碟區序號
對應的移動儲存裝置。
裝置描述該移動儲存裝置的描述資訊，亦即該設備的名稱。
原檔案使用者操作的文件檔案名稱。
文檔類型顯示該操作標的是檔案或資料夾。
檔案大小使用者操作的文件檔案大小。
路徑使用者操作的文件檔案詳細路徑。
磁碟類型使用者操作的文件檔案所在之磁碟類型。
應用程式操作該文件檔案使用的應用程式處理程序名稱。
磁碟區標籤顯示該裝置所定義的標籤名稱。
65
備註資訊移動儲存分類管理中，管理者增加的備註訊息。
設備名稱移動儲存分類管理中，管理者增加的設備名稱。
設備編號移動儲存分類管理中，管理者增加的設備編號內容。
部門移動儲存分類管理中，管理者增加的部門資訊。
設備使用人移動儲存分類管理中，管理者增加的設備使用人。
職位資訊移動儲存分類管理中，管理者增加的職位資訊。
聯絡方式移動儲存分類管理中，管理者增加的聯絡方式。
移動儲存操作日誌可依以下條件查詢：
查詢條件說明
移動儲存
依移動儲存裝置的序號查詢，需要在移動儲存分類中，指定分類或移動儲存
移動儲存
裝置進行查詢，便於統計移動儲存分類或裝置的使用情況。
移動儲存操作類預設為全部，也可在下拉式選單中，選擇列表中的動作別進行查詢，可快速
型查詢用戶端電腦所有新增或移除過的隨身碟裝置日誌。
依是否為加密碟查詢，預設為全部，可在下拉式選單中，選擇加密碟、非加
加密碟類型
密碟或安全隨身碟進行查詢。
文檔-來源
磁碟類型
查詢，只查詢來自指定磁碟類型的檔案。
路徑依操作檔案所在路徑查詢，支援萬用字元和模糊查詢。
文檔-目標
唯有涉及來源路徑和目標路徑的操作，如複製、移動等，目標磁碟類型、檔
目標
名、路徑才有效。
66
磁碟類型
查詢，只查詢移動儲存到指定磁碟類型目標的檔案。
路徑依檔案目的路徑查詢，支援萬用字元和模糊查詢。
大小指定查詢的檔案大小範圍，可查詢一定範圍大小的檔案操作記錄。
根據應用程式名稱查詢，可手動輸入名稱，也可在應用程式分類中，指定一
應用程式
個類別或一個應用程式進行查詢。
註冊資訊
設備名稱移動儲存分類管理中，管理者增加的設備名稱。
設備編號移動儲存分類管理中，管理者增加的設備編號內容。
部門移動儲存分類管理中，管理者增加的部門資訊。
設備使用人移動儲存分類管理中，管理者增加的設備使用人。
職位資訊移動儲存分類管理中，管理者增加的職位資訊。
聯絡方式移動儲存分類管理中，管理者增加的聯絡方式。
5.10 文檔雲端備份操作日誌
提供管理者查詢將檔案備份到文檔雲端備份的操作日誌，可透過以下條件查詢：
查詢條件說明
關聯使用者顯示該台電腦於使用者系統管理中，所關聯的使用者名稱。
包括：開始掃描、掃描結束、開始上傳檔案、上傳檔案成功、上傳檔案失敗、
操作類型
中止上傳。
67
檔名備份的檔案名稱。
檔案大小指定查詢的檔案大小範圍，可查詢到一定範圍大小的檔案操作記錄。
備份伺服器接收備份檔案資料的伺服器名稱。
5.11 資產變更日誌
記錄用戶端電腦上軟硬體的變化情況，以協助管理員維護和管理企業內的資產資訊。
選擇功能列【日誌資產變更】檢視所有軟硬體的變化日誌，包括：
內容名稱說明
操作類型資產的新增、刪除、變化。
時間資產發生異動的時間。
電腦發生資產變化的電腦名稱。
電腦群組發生資產變化的電腦所屬群組。
IP 位址發生資產變化的電腦 IP。
類型硬體變更或軟體變更。
描述資產發生軟硬體變化的資訊。
資產變更日誌可依以下條件查詢：
查詢條件說明
依資產類型查詢，查詢到所有的硬體變更或軟體變更，方便管理員分別檢視
類型
這兩種資產的變化情況。
操作類型變更的方式，管理員可根據新增、刪除或變化的資產查詢。
描述根據資產的描述資訊，查詢資產的變更情況。
68
5.12 策略日誌
策略日誌會記錄所有用戶端電腦觸發的策略日誌，以方便日後查詢員工的操作行為。
選擇功能列【日誌策略日誌】可檢視到策略日誌，包括：
內容名稱說明
警報級別有三種：低、重要、嚴重，管理員在設定策略時，可選擇警報的級
警報等級
別；未設定警報訊息的策略，觸發時記錄為「提示」。
時間策略觸發的時間。
相關策略用戶端電腦操作觸發的策略類型。
描述用戶端電腦的操作行為以及觸發的策略描述。
策略日誌可依以下條件查詢：
欄位名稱說明
預設為全部，查詢所有警報級別的日誌；若選擇「低」
，則查詢低、重要、嚴重
最低等級
的日誌；若選擇「重要」
，則只查詢重要和嚴重的日誌。
策略類型預設為全部，也可指定其中一種或多種策略類型，查詢所選擇類型策略的日誌。
內容根據描述內容查詢，支援模糊查詢。
69
5.13 系統事件日誌
選擇功能列【日誌系統事件】
，可檢視伺服器的啟動和停止日誌、非法電腦接入網路的
報告、伺服器和用戶端之間的通訊錯誤日誌、伺服器時間日誌、用戶端衝突日誌、自動刪除
用戶端日誌、郵件報告發送日誌等。
系統事件日誌的內容包括：
內容名稱說明
包括：系統狀態、系統設定、郵件報告、用戶端衝突、發現新用戶端、用戶
類型
端前期檢查、用戶端管理資訊、安全更新下載資訊。
時間事件發生的時間。
描述對應類型事件的現象描述。
注意用戶端連不上伺服器或通訊不正常時，可檢視系統日誌，以便發現錯誤原因。
5.14 離線匯出日誌
用戶端可能長期處於離線狀態，而無法將相關記錄回傳至伺服器。管理者可透過【工具
用戶端離線資料收集工具】收集離線用戶端的資料，再透過線上用戶端電腦將資料上傳，
以便管理者登入控制台查看離線用戶端的資料。
1. 管理員登入控制台，點選【工具用戶端工具用戶端離線資料收集工具】
，進入工
具產生介面，功能說明如下：
欄位名稱說明
目標檔案路徑(必要選項) 設定工具產生時存放的路徑。
操作密碼設定工具的使用密碼，則執行程式時必須輸入正確密碼才可操作。
確認密碼再次輸入操作密碼以確認。
過期時間超過此設定時間，工具將無法執行。
2. 上述設定完成，點選【新增】鈕產生工具，並複製到移動儲存設備中。
70
3. 在離線用戶端中插入該設備，執行工具收集離線資料，功能說明如下：
欄位名稱說明
選擇欲收集的時間段，包括「起始時間」和「終止時間」，其中，終止時間限制
時間選擇框
至收集資料的前一日。
分析負責分析出對應時間段內的日誌資料大小。
備份產生對應時間段日誌的備份資料檔。
4. 點選【備份】完成後，會產生一個 db 檔，儲存於工具同目錄下名為「odtb」的資
料夾中（首次備份時會自動新增該資料夾）。
5. 將工具移至正在線上的用戶端電腦並執行工具，切換至「數據管理」介面，功能說
明如下：
功能按鈕說明
刷新查看最新的已收集備份資料檔資訊。
上傳將備份資料檔的資料，上傳到對應的伺服器（已上傳的資料無法再上傳）
。
去除將對應電腦相應的日誌刪除（只能刪除已上傳的日誌）
。
6. 點選【上傳】並完成後，可在控制台上查看該離線用戶端上傳的相應日誌，基本事
件日誌中，也會增加一條「上傳離線資料」的日誌，記錄執行上傳動作的電腦名稱
和其 IP 位址。
71
六、策略
6.1 策略簡介
管理員可透過策略，限制用戶端使用電腦和網路，有效規範員工，提高工作效率。
策略通用內容說明
策略設定包含許多內容，在各種類型的策略內容中，有些內容是通用的，含義也相同。
策略內容說明
管理員自訂的策略描述。與策略的執行功能無關。當新增一條策略時，控制
名稱
台會預設新增名稱，管理員可以自訂修改名稱。
指定策略執行的時間範圍。系統預設全天，可以是已定義的時間類型（在【分
時間類管理時間類型】中設定）
；如果沒有符合要求的時間類型，可以選擇“自
訂”，在彈出的時間選擇視窗中直接設定時間範圍。
是指滿足策略條件後執行的模式，包括禁止、允許、忽略和不操作。詳細說
動作
明，請參考下表「動作說明」。
策略執行的同時產生的觸發動作，包括警報、警告、鎖定電腦三種類型。這
觸發動作 3 種動作可以同時設定，也可以僅設定其中一種。詳細說明，請參考下表「觸
發動作說明」。
當用戶端和伺服器無法通訊時，用戶端視為處於離線狀態。勾選「僅離線生
僅離線生效效」，表示該策略只有當用戶端處於離線狀態時才生效，主要是指電腦使用
者出差、回家或網路故障的情況；如果不勾選此項，表示該策略始終生效。
指定策略執行的終止時間。預設策略是〈始終有效〉
。如需要設定到期時間，
在設定視窗中勾選「啟用」並設定終止時間。終止時間不，允許小於目前系
到期時間
統時間。如果此策略已經過期，策略的字體將會以深灰色顯示，點選【到期
時間】的時間值會變成紅色
72
策略有 4 種動作：允許、禁止、忽略、不操作。
動作說明
允許進行某種操作。
允許
若某個操作比對的策略動作為允許，則允許，並不再繼續判斷下面的策略內容。
禁止進行某種操作。
禁止
若某個操作比對的策略動作為禁止，則禁止，並不再繼續判斷下面的策略內容。
參照下一條策略的動作，做為策略允許或禁止的依據。若無下一條策略，則以「允
許」為該條策略動作。
忽略
若某個操作比對的策略動作為忽略，會參照下一則策略的動作來動作。若下一則
策略動作是禁止，則設置為忽略的策略也會變成禁止的動作屬性。
表示停止策略的讀取（主要用於基本策略和設備控制策略中）
。
不操作若某個項目或者設備比對的策略動作為不操作，則不再讀取該筆策略內容，該筆
策略下方的所有策略也不做動作。
當用戶端電腦觸發了策略，可以產生相應的觸發動作，包括：警報、警告、鎖定電腦。
觸發動作說明
當此策略比對後，用戶端會向伺服器發送警報資訊，在控制台上會彈出警報
以提示管理員，同時此警報日誌也會作為策略日誌記錄下來。
警報可以透過功能列“工具→選項→即時警報→快顯視窗設定”選擇目前控制
台是否顯示警報快顯視窗，透過“工具→警報”可檢視即時警報資訊。
警報可以設定為三種級別：低、重要和嚴重。
當此策略比對後，在用戶端會彈出訊息視窗，警告用戶端的使用者執行了某
警告
些限制的操作。管理員可在警告資訊中自訂訊息內容。
當此策略比對後，用戶端電腦會被自動鎖定，使用者將不能進行任何操作。
鎖定電腦
在控制台的“控制→解鎖”可以對用戶端進行解鎖。
策略的比對優先順序
策略採用類似於防火牆的策略方式，每組策略可由多條策略組合而成，按照先後關係由
73
上往下進行比對，按最先比對的策略執行規則；同時每個對象還會自動繼承上層群組的策略。
管理員可以依次設定整個網路策略、群組策略、電腦策略、使用者策略、角色策略；策
略比對的優先順序由高到低依次為：使用者策略 > 使用者角色策略 > 使用者群組策略 >
使用者群組角色策略 > 電腦策略 > 電腦角色策略 > 電腦群組策略 > 電腦群組角色策略
> 整個網路策略。
從上層群組繼承的策略都會以淺綠色背景顯示，且不能修改上層群組繼承的策略。策略
涉及字串的輸入欄位都支援萬用字元，支援輸入多個，中間以半形分號“;”或半形逗號“,”
隔開。
策略的圖示按鈕說明如下：
圖示按鈕說明
新增，按一下該按鈕新增加一條策略。
上移，將選中的策略上移一個位置。
下移，將選中的策略下移一個位置。
刪除，按一下該按鈕刪除選中的策略。
回復，取消新增或修改策略時按一下該按鈕。
儲存，設定或修改策略後需儲存才會生效。
表示該策略的動作是“允許”。
表示該策略的動作是“禁止”。
表示該策略的動作是“忽略”。
表示該策略的動作是“不操作” 。
表示該策略設定了警報。
表示該策略設定了警告。
表示該策略設定了鎖定電腦。
表示該策略設定了僅離線生效。
表示該策略設定了到期時間。
74
6.2 基本策略
透過基本策略可規範網路內電腦的操作權限，限制用戶端電腦任意修改電腦系統設定，
防止惡意或無意的破壞，增強電腦的使用安全性。
基本策略主要是透過修改登錄編輯程式值來達成。基本策略和設備控制策略與其他的策
略不同，是一種狀態維持的策略，而非即時的觸發策略，因此，對策略的修改、刪除等處理，
和其他策略不同。
基本策略的每個項目在右下角說明欄位都會顯示支援的作業系統，以利管理員在下策略
時能即時了解用戶端支援的狀況。
基本策略支援項目包括：控制台、電腦管理、系統日誌、網路、IP/MAC 鎖定、ActiveX
控制項及其他。
控制台
基本策略項說明
控制台包括控制台上的各項功能。
設定螢幕內容限制用戶端調整解析度、變更顯示器設定。
新增印表機限制用戶端新增印表機。
刪除印表機限制用戶端刪除印表機（不支援 Windows Vista、Windows 7）。
禁止在 Windows 系統裡透過切換使用者的方式同時登入多個使用者

快速切換使用者
（僅支援 32 位元 Windows XP）
。
修改電腦名稱限制用戶端修改電腦名稱。
電腦管理
裝置管理員限制用戶端電腦使用裝置管理員。
使用磁碟管理限制用戶端電腦使用磁碟管理。
本機使用者和群組限制用戶端電腦使用本機使用者和群組的控制台管理項。
75
系統服務管理限制用戶端電腦使用系統服務管理。
限制用戶端使用電腦管理中，除了上列四項以外的其他管理功能，包
其他電腦管理括：電腦管理（電腦管理介面本身）、事件檢視器、磁碟重組、共用
資料夾和群組原則等。
系統日誌
工作管理員限制用戶端使用工作管理員。
登錄編輯程式限制用戶端使用登錄編輯程式。
命令提示字元限制用戶端使用命令提示字元（包含 cmd 和 command 指令）

。
執行註冊表程式中若模式為禁止，Run 下的程式在系統開機時不會啟動，需登出或重新

Run 下的程式啟動電腦才能生效。
RunOnce 是指在開機的時候啟動一次，下次開機就不再執行。如果
執行註冊表中
模式為禁止，則 RunOnce 下的程式不會啟動，需登出或重新啟動電
RunOnce 下的程式
腦才能生效。
網路
限制用戶端修改網路內容（僅支援 Windows 2000、Windows XP、
修改網路內容
Windows Server 2003）
。
模式為禁止時，桌面上「網路上的芳鄰」會隱藏，需登出或重新啟動才能
顯示「網路芳鄰」
生效（不支援 Windows 7 及其以上的系統）
。
修改 Internet 選項限制用戶端修改 Internet 選項設定。
預設網路共用若模式為禁止，用戶端上的預設共用被禁止（不支援 32 位元 Windows 8）

。
使用網路共用若模式為禁止，用戶端不能共用本機文件。
新增網路共用若模式為禁止，用戶端禁止新增網路共用。
76
IP/MAC 鎖定
限制用戶端修改網路內容。
為了禁止使用者隨意修改 IP，可使用該功能禁止修改網路 IP/MAC 設
修改網路 IP/MAC 設定定。設定策略後，系統會儲存用戶端目前的 IP 和 MAC 資訊，一旦發

現使用者修改，立即改回儲存的 IP/MAC。
若使用者需要修改 IP，必須刪除該策略。
ActiveX 控制項
限制用戶端使用聊天類 ActiveX 控制項，使用者使用聊天控制項時會
聊天類 ActiveX 控制項
被禁止（僅支援 Windows 2000）。
限制用戶端使用影音類 ActiveX 控制項，一般在網際網路上聽歌或看

影音類 ActiveX 控制項
視訊檔案會用到該類控制項，禁止該項，使用者無法聽歌或播放視訊。
網際網路上的一些小遊戲可能需要安裝遊戲類控制項，禁止該項，此
遊戲類 ActiveX 控制項
類小遊戲無法正常執行（僅支援 Windows 2000）。
播放 FLASH 檔案會用到該類控制項，禁止該項，FLASH 檔案無法正

FLASH 類 ActiveX 控制項
常播放。
其他
使用 Print Screen 鍵為防止使用者透過 Print Screen 鍵複製螢幕畫面，可禁止該項，則

複製螢幕畫面 Print Screen 鍵功能被禁止。
為防止用戶端電腦透過系統還原方式移除用戶端，可禁止該項，則系
系統還原
統還原功能被禁止（僅支援 Windows XP、Windows Vista）。
為防止用戶端電腦自動執行 Windows 安全更新，可禁止該項，則

Windows 自動更新 Windows 自動更新功能被禁止（不支援 Windows 10、Windows
Server 2016）。
77
策略範例
 情境需求：在公司時禁止修改 IP 位址，回家或出差時允許修改 IP 位址。
 策略設定：管理員可以對目標電腦（如整個網路）設定基本策略。
策略 1：先設定禁止策略，禁止修改網路 IP/MAC 設定。
策略 2：再設定離線策略，允許修改網路 IP/MAC 設定僅離線生效。
按照策略比對原則，後來新增的策略會在上面，因此策略 2 的位子是在策略 1 上方（也
就是策略 2 優先於策略 1），當用戶端處於離線狀態時，策略比對結果為「允許修改網路
IP/MAC 設定」
；當用戶端處於上線狀態時，因與策略 2 條件不符，接著向下比對策略 1，發
現條件相符，則執行策略為「禁止修改網路 IP/MAC 設定」。
注意
1. 基本策略的修改網路 IP/MAC 設定、系統還原、網路共用設定，對電腦有效，對使用者無效。
2. Windows 7 之後的作業系統，因無「顯示網路上的芳鄰」功能，故該選項在 Windows 7 之後的
作業系統中不生效。
6.3 設備控制策略
設備控制策略主要是控制與電腦有關的各種設備，規範企業內電腦對於儲存、通訊等各
種類型設備的使用，防止企業機密資料透過電腦外部設備洩露出去，增強企業管理的規範性
和安全性。
設備控制策略支援的設備項目包括：儲存設備、光碟燒錄、行動裝置、通訊介面設備、
藍牙設備、撥號、USB 設備、網路設備、其他設備。
78
儲存設備
設備類型說明
軟碟軟碟控制卡，禁止該項，則軟碟機也被禁止。
光碟 DVD/CD-ROM 光碟機。
燒錄機控制燒錄機的微軟內建燒錄行為，不影響光碟讀取。
磁帶控制磁帶。
除硬碟（IDE、SCSI、SATA 介面）外的儲存設備，包括 USB 隨身碟、移動

可移動設備
硬碟、記憶卡、智慧卡、MO、ZIP。
非系統磁碟機系統槽所在磁碟機之外的磁碟機。
光碟燒錄
設備類型說明
專用燒錄工具 IST 專用燒錄工具。
其他燒錄工具非 IST 專用燒錄工具的軟體，如：Nero。
行動裝置
設備類型說明
以 PTP（Picture Transfer Protocol）和 MTP（Media Transfer Protocol）

以可攜式裝置方式
模式接取。
以隨身碟儲存方式手機插入記憶卡並連接電腦，裝置管理員顯示 USB Mass Storage Device。
以裝置管理工具方式以管理工具方式接取，如 iTunes。
通訊介面設備
設備類型說明
串列埠 COM 連接埠。
並列埠 LPT 連接埠。
79
USB 控制器和連接器通用串列匯流排控制器和連接器（HUB）

。
SCSI 介面 SCSI 和 RAID 控制器，SCSI 硬碟會用到該介面。
1394 控制器 IEEE 1394 匯流排主機控制器，一般來說就是 1394 插槽，同 USB 控制器。
紅外線紅外線裝置。
PCMCIA 卡 PCMCIA 介面，一般來說就是 PCMCIA 插槽，同 USB 控制器。
MODEM 撥號設備。
直接電纜連接以 USB 線、串列埠對接線或並列埠對接線，直接把兩台電腦連接起來。
藍牙設備
設備類型說明
藍牙滑鼠藍牙滑鼠裝置。
藍牙耳機藍牙音訊傳輸裝置。
藍牙檔案傳送透過藍牙傳送檔案。
撥號
設備類型說明
撥號連接控制撥號連接。
USB 設備
設備類型說明
USB 鍵盤控制 USB 鍵盤。
USB 滑鼠控制 USB 滑鼠。
USB Modem 控制 USB Modem。
USB 影像設備控制 USB 介面的網路攝影機、掃描器、數位相機。
USB CDROM 控制 USB 介面的 CDROM。
USB 儲存控制 USB 介面的儲存設備。
80
USB 硬碟控制 USB 硬碟。
USB 網路卡控制 USB 網路卡。
USB 其他設備控制非上列 USB 介面的其他設備。
網路設備
設備類型說明
無線網路卡控制無線網路卡。
PnP 網路卡
控制可熱插拔的網路卡。
(USB、PCMCIA)
虛擬網路卡控制非實體連接主機板或非主機板內建的網路卡。
其他設備
設備類型說明
聲音設備聲音、視訊和遊戲控制器。
虛擬光碟機控制虛擬光碟機的使用。
控制對指定無線網路的連接，是透過設備描述來指定無線 AP，不填寫設備
描述則代表所有的無線網路。
設備描述訊息格式為：
SSID＝無線網路 AP 名稱｜BSSID＝無線網路 IP 位址
無線網路
SSID 和 BSSID 可只填寫一個，也可同時填寫。支援萬用字元，多個無線網
路設備描述以分號隔開。
如： SSID＝istAP1|BSSID=aa-77-dd-00-88-01；SSID＝istAP2；BSSID
＝aa-ee-dd-00-88-01
任何新設備任何接入電腦的新設備，若模式為禁止，則所有新接入的設備都會被禁用。
裝置描述
裝置描述說明
裝置描述設定設備的裝置描述，可將需要管控的設備裝置描述，做為指定設備裝置的
81
條件。一個策略只能管控一個裝置描述，不支援一個策略內有多個裝置描述。
※ 設備的裝置描述，可在【Windows 控制台→硬體和音效→裝置管理員】
中查看裝置名稱，支援萬用字元，例如：*istsols*。
注意若對設備下了禁止策略，同時勾選警報和警告，並自訂警告內容，則當用戶端試圖執行被禁
止的設備時，系統會自動發出自訂的警告訊息，警報則是在用戶端修改 Regedit 註冊檔時才
會發出。
策略範例 1
 情境需求：
某些企業不允許上班時間聽音樂、看影片等行為，此時可透過設定設備控制策略，禁止
音效設備。
 策略設定：
「時間」選擇【工作時間】，「動作」選擇【禁止】，在「其他」勾選【聲音設備】，如此
即可完成禁用電腦音效卡策略的設定。
策略範例 2
 情境需求：
為了保護企業內部的重要文件資料，需要限制員工透過可移動裝置或燒錄機等設備複製
內部資料，可設定策略禁止使用這些設備。
 策略設定：
「動作」選擇【禁止】
，在設備清單中勾選需要禁止的設備，如：可移動設備、軟碟、光
碟、燒錄機等，則設定此項策略的電腦，將無法使用這些設備。
策略範例 3
 情境需求：
業務部只允許使用指定的移動儲存裝置，來複製備份機密檔案資料。
 策略設定：
82
針對業務部設定禁止所有移動儲存裝置的策略，再設定允許部分移動儲存裝置的策略。
策略 1：「動作」選擇【禁止】，在「儲存設備」清單中勾選【可移動設備】。策略設
定完成後，業務部員工將無法使用隨身碟、IC 卡等可移動儲存設備。
策略 2：
「動作」選擇【允許】，在「儲存設備」清單中勾選【可移動設備】，「設備
描述」中填寫【*Kingston*】
。策略設定完成後，業務部員工可正常使用設
備描述中包含 kingston 關鍵字的隨身碟。
說明 *代表 0～無限多個字元，建議查詢時可輸入「*關鍵字*」查詢關鍵字。
策略範例 4
 情境需求：
一些企業基於管理上的需要，會限制用戶端無線網路連線，只允許員工使用公司內部的
無線網路，此時可設定策略，禁止連接到公司以外的無線網路。
 策略設定：
策略 1：設定允許白名單，將公司內部無線 AP 設為允許名單。
例如允許白名單（多個允許名單以分號隔開）：
SSID＝istAP1|BSSID=aa-77-dd-00-88-01;SSID＝istAP2;BSSID＝
aa-ee-dd-00-88-01
設定成功後，則用戶端只能連接：
(1) 無線網路名為 istAP1 的無線網路，同時無線 AP 網路位址為
aa-77-dd-00-88-01 的無線網路 AP。
(2) 無線網路名為 istAP2 的無線網路。
(3) 無線 AP 網路位址為 aa-ee-dd-00-88-01 的無線網路。
策略 2：再設定全部禁止，如果策略 1 比對不到設定的允許無線 AP，則禁止連外。
按照策略比對原則，策略 1 優先於策略 2，所以要將策略 1 往上移到第一條，如果比對
不到公司內部無線網路允許白名單，就往下比對策略 2。
83
說明限制用戶端電腦只能連接公司特定無線網路，除了從「設備控制」設定策略外，還可透
過用戶端配置，參見 6.9 用戶端配置策略策略範例 2。
策略範例 5
 情境需求：
針對行動裝置的連接模式進行管理，除了使用隨身碟儲存方式外，其餘皆禁止。
 策略設定：
可針對行動裝置，設定禁止可攜式裝置（MTP 模式）
、裝置管理工具（如：iTune）方式
連接。
策略：
「動作」選擇【禁止】，在「儲存設備」清單中勾選【行動裝置→可攜式裝置→
裝置管理工具】
。策略設定完成後，員工只能以隨身碟儲存方式連接行動裝置。
6.4 應用程式策略
有些應用程式是企業管理者不希望員工使用的，例如一些 BT、迅雷下載軟體，或是聊天
程式以及遊戲類軟體。透過應用程式控制策略，可限制用戶端電腦使用這些應用程式。
應用程式
應用程式控制策略在新增策略時，預設為針對全部應用程式執行策略設定，管理員可指
定欲控制的應用程式。應用程式的控制方式有 3 種：
1. 透過處理程序名稱禁止
管理員直接新增應用程式的名稱，如 thunder.exe，此時，策略是透過字串比對，若用
戶端將應用程式名稱修改為 thunder123.exe，則策略無法生效；欲避免這種情況，可採
用第二種方法進行控制。
2. 透過應用程式分類禁止
管理員選擇應用程式分類中的一個分類（可將欲禁止的應用程式都放進此分類中）
，即使
用戶端修改了應用程式名稱，只要程式本身沒有變化，策略依然生效。
84
3. 以執行路徑禁止
管理員新增路徑名稱，如：「禁止 APPDIR：e：\*.exe」，
則 E 磁碟區下的所有應用程式都會被禁止。
同理，欲禁止 H 磁碟機下的所有程式，設定策略為「禁止 APPDIR：h：\*.exe」即可。
此外，還能以$UDISK$表示隨身碟裝置路徑，$CDROM$表示 CDROM。如：
APPDIR：$UDISK$：\*.exe，禁止執行移動儲存裝置中的應用程式。
APPDIR：$CDROM$：\*.exe，禁止執行 CDROM 中的應用程式。
4. 以視窗標題禁止
管理員新增視窗標題名稱，如：
禁止 WndTitle:*youtube*，則視窗標題含有 youtube 的所有應用程式都會被禁止。
如：WndTitle：LINE，禁止執行所有視窗標題出現「LINE」的應用程式，
則 LINE 程式和透過 Google Chrome 應用程式介面的 LINE，都會被禁止執行。
說明 *代表 0～無限多個字元，建議查詢時可輸入【*關鍵字*】查詢關鍵字。
服務
透過應用程式控制策略，也可以控制用戶端電腦上的系統服務。設定策略時，在輸入應
用程式名稱之處，直接輸入服務名稱，輸入格式為：SERVICE：ServiceName。
例如：欲禁止服務 WSearch，則在應用程式中填寫 SERVICE：WSearch。
要注意的是，輸入文字須為英文半形，否則策略不生效；格式中 ServiceName 填寫的
是服務名稱，而非顯示名稱。
警告若禁止「全部應用程式」
，會導致大部分處理程序永遠被禁用，重開機也無法自動啟動，
為避免可能的損失，設定策略時請謹慎操作。
85
6.5 網頁瀏覽策略
網頁瀏覽策略可有效管控員工瀏覽網頁的行為，禁止瀏覽與工作無關的網站或惡意網站，
提高工作效率，保護內部網路安全。
管理員可直接新增網站，也可在網站分類中指定一個網站類別進行控管。網站分類設定
可在功能列【分類管理→網站分類】中新增或修改。
網址不包含 http://及 https://，可包含萬用字元，如：「*mail*」、「*game*」、
「*.com/mail/*」、「*www.facebook*」等。
管理者可依照「應用程式」進行網站存取設定，可避免使用者藉著內建網頁瀏覽功能的
其他軟體，繞開限制存取非授權網站，並可針對違規行為觸發螢幕記錄。
說明 *代表 0～無限多個字元，建議查詢時可輸入【*關鍵字*】查詢關鍵字。
策略範例
 情境需求：為防止員工連接非法網站，可設定網頁瀏覽策略禁止瀏覽指定網站。
 策略設定：禁止指定網站（新增欲禁止的所有網站），如此一來，指定的網站都將被禁
止瀏覽。
86
6.6 螢幕記錄策略
螢幕記錄策略可記錄用戶端電腦的所有操作畫面，因資料量較大，系統預設為不記錄，
管理員可根據實際需求設定記錄策略。
策略的內容包括：
策略內容名稱說明
設定需要記錄的應用程式，預設為「全部」
，管理員可指定特定的應用程式
應用程式
進行操作行為記錄。
設定記錄螢幕快照的時間間隔，預設為 15s，也就是每隔 15 秒擷取一次螢

時間間隔（秒）
幕畫面。時間間隔的有效範圍是 1-999，僅在「動作」選擇【記錄】時有效。
針對不同的應用程式設定各自的記錄頻率，可對一些特別重要的應用程式執行頻繁的記
錄，不重要的應用程式則少記錄或不記錄。
注意螢幕記錄的時間間隔愈小，產生的資料量愈大，管理員可依實際需求，適當調整螢幕記錄的
時間間隔。
在其他模組策略中，也提供「螢幕記錄」選項（如下圖）
，若策略中有勾選「螢幕記錄」，
當使用者的行為觸發該策略時，會自動記錄策略觸發當下的畫面截圖。
說明提供螢幕記錄功能的策略包括：應用程式、網頁瀏覽、流量控制、網路控制、郵件控制、IM
傳送控制、上傳控制、文檔控制、列印控制、敏感資料識別外傳控制、敏感資料識別落地控制。
87
6.7 日誌記錄策略
用戶端的所有日誌預設全都記錄，除了視窗標題變化日誌。企業內可能會有一些需求，
並不是所有的日誌都希望記錄下來，例如：撥號日誌、即時通訊內容日誌等，此時可以透過
日誌記錄策略來控制日誌的記錄類型。
系統有一條預設策略，除了視窗標題變化日誌不記錄，其他所有日誌預設都要記錄。
假如您需要不記錄某些日誌，可以新增一條策略，設定為不記錄，勾選不需記錄的日誌
項，儲存策略即可。
日誌記錄項說明
系統啟動/關閉基本事件日誌中的系統啟動或關閉日誌。
使用者登入/登出基本事件日誌中的使用者登入或登出日誌。
撥號基本事件日誌中的撥號日誌。
策略控制策略警報日誌。
硬體變更資產變更日誌中的硬體變化日誌。
軟體變更資產變更日誌中的軟體變化日誌。
應用程式日誌可以針對指定的應用程式設定為記錄或不記錄，也可針對有可
應用程式
視視窗的應用程式進行設定。
僅可見視窗是指有前台視窗的應用程式。
管理員可以手動指定應用程式，也可以在應用程式分類中選擇類別，支援萬
應用程式
用字元。
視窗標題變化預設是不記錄的，可以新增策略設定記錄該項，並可以對指定
視窗標題變化
的應用程式進行記錄。
管理員指定視窗標題變化的應用程式名稱，可手動輸入，也可在應用程式分
應用程式
類中選擇類別，支援萬用字元。
網頁瀏覽管理員可以設定不記錄網頁瀏覽日誌，並且針對指定的網站記錄或不記錄。
網站手動輸入網站位址，支援萬用字元，也可以預先在網站分類中歸納好類別，
88
選擇網站類別。
文檔操作管理員可以設定不記錄某些文檔日誌，確保記錄的日誌是有用的。
包括：硬碟、軟碟、光碟、可移動碟、網路碟和未知磁碟。比如可以設定不
磁碟類型
記錄硬碟上的文檔日誌。
設定需要記錄或不記錄的檔案名稱，支援萬用字元，比如設定不記錄
檔案名稱
*.txt;*.log 等。
應用程式指定文檔操作的應用程式。
列印操作用戶端的文檔列印日誌。
選擇需要記錄或不記錄的印表機類型，可選擇的印表機類型有本機印表機、
印表機類型
共用印表機、網路印表機和虛擬印表機。
應用程式設定記錄哪些應用程式在執行列印操作。
共用文檔操作共用文檔操作日誌。
檔案名稱共用的檔案名稱，支援萬用字元。
遠端連接該用戶端共用資料夾的電腦 IP 位址範圍，管理員可以針對性的設
位址範圍
定不記錄部分電腦的連接記錄。
郵件郵件內容，對於不想記錄下來的郵件類型，可以設定不記錄某些郵件。
郵件類型選擇郵件類型，一般郵件、網頁郵件、Exchange 郵件、Lotus Notes 郵件。
發送/接收選擇郵件的方向，發送或接收。
設定郵件的發件人的位址，支援萬用字元，發件人符合的郵件會根據策略去
發件人
記錄或不記錄。
收件人設定郵件的收件人的位址，支援萬用字元。
僅比對一個勾選此項時，只要有一個收件人符合設定的收件人，都能比對策略。
收件人不勾選此項，則需要所有的收件人都存在於設定的收件人中，才能比對策略；
郵件大小
郵件大小>=該值的郵件被記錄或不記錄。
（>=KB）
郵件大小
郵件大小<=該值的郵件被記錄或不記錄。
（<=KB）
89
只有在策略“動作”為「記錄」時有效，如果勾選，則郵件的內文不會被記
不記錄內文
錄，在控制台上無法檢視郵件內容。
只有在策略“動作”為「記錄」時有效，如果勾選，則郵件的附件不會被記
不記錄附件
錄，在控制台上顯示有附件，但是無法檢視和儲存其內容。
即時通訊即時通訊內容，管理員可以根據需要設定記錄通訊軟體的對話內容。
聊天工具選擇即時通訊軟體。
只有在策略“動作”為「記錄」時有效，如果勾選，則對話訊息不會被記錄，
不記錄內容
在控制台上無法檢視對話內容。
移動儲存移動儲存裝置的新增/移除情況記錄。
磁碟類型選擇移動儲存裝置的類型，有加密碟和非加密碟可選。
應用程式統計應用程式統計資料。
網頁瀏覽統計網頁瀏覽統計資料。
網路流量統計網路流量統計資料。
6.8 遠端控制策略
透過設定遠端控制策略，可以控制用戶端電腦能否被遠端控制或是被遠端控制的方式。
遠端控制類型分為兩種：「遠端控制」和「遠端檔案傳送」，唯有選擇前述兩項中的至少
一項，才能設定下列其他內容：
此項只有在策略「動作」為「允許」時有效。勾選此項，表示只能透過使用
者授權的方式進行遠端控制；不勾選此項，表示可以透過「使用者授權」和
需要強制確認
「密碼授權」這兩種方式進行遠端控制。
關於這兩種授權方式參見「維護→遠端控制」
（8.2.1 遠端控制）
。
對登入目前控制台的管理員使用者進行控制。例如：可限制某些管理員帳號
管理員名稱對指定用戶端電腦的遠端控制方式，需要強制確認。管理員帳號在【工具→
帳號】中設定。
90
對登入目前控制台所在電腦的 IP 位址範圍進行控制。例如：限制一個 IP 範
圍內的所有電腦，透過登入 IST 控制台使用遠端控制功能。

控制台 IP 位址
如果輸入 0.0.0.1-255.255.255.255，或什麼也不輸入，或不是有效 IP 網段，
皆被認定是所有的 IP 位址，以<全部>表示。
控制台電腦名稱對登入目前控制台的電腦名稱進行控制。
管理員名稱、控制台 IP 位址和控制台電腦名稱，支援分號「；」或逗號「，」作分隔符
號，可同時設定多個名稱或位址。
6.9 用戶端配置策略
用戶端配置策略主要作為其他策略功能的補充，一些新增的小功能可在用戶端配置策略
中集中設定。不同的功能具有不同的內容，可搭配不同需求情境進行設定。
新增一條策略，在「用戶端配置」視窗提供的關鍵字選項中，選擇目標功能後按【確定】，
在右邊的內容欄根據要求設定相應的內容參數值，最後儲存。若指定的功能尚未包含於現有
的類別關鍵字中，可在「關鍵字」中選擇類別【自訂】
，再於關鍵字欄位中輸入指定功能代表
的名稱後按【確定】，在右邊的內容欄中的「內容」輸入對應的參數值。
注意
1. 「用戶端配置策略」中的各策略互相獨立。
2. 「用戶端配置策略」涉及的功能項目較多，尚未包含於已有的類別關鍵字中的功能及其對應值，
請洽詢 IST 原廠。
策略範例 1
提供用戶端電腦基本控制功能，針對用戶端電腦定時或空閒時進行登出使用者、重新開
機、關機、睡眠或休眠等操作
 情境需求：
希望用戶端電腦在閒置 10 分鐘（600 秒）後自動睡眠。
 策略設定：
91
「關鍵字」選擇【空閒關機】，「動作」選擇【睡眠】」，「閒置時間(s)」輸入【600】
。
策略範例 2
限制用戶端電腦只能連公司特定無線網路，除了透過設備控制設定策略外，還有第二種
方式：當用戶端能搜尋到指定的無線網路時（如公司的無線 AP），則只能連線此網路。
 情境需求：
一些企業由於管理上的需求，需要限制員工在公司時只能連線公司內部的無線網路，外
出洽公或是回家，不需要提出申請，就可直接連外面的無線網路。
 策略設定：
1. 在「策略→用戶端配置」新增一筆【無線網路設定】策略。
2. 在 SSID/BSSID 欄位中輸入只允許連接的 SSID 或 BSSID，若有多個則用分號隔開，
例如：IST_Test;IST_TW。
92
說明
透過「設備控制」和「用戶端配置」的差異：
1. 透過「設備控制」限制用戶端使用無線網路
(1) 電腦帶出公司後，就無法使用外部的無線網路。
(2) 設備控制裡設定 SSID=istAP1|BSSID=aa-77-dd-00-88-01

表示要同時符合 SSID=istAP1&BSSID=aa-77-dd-00-88-01 才能連線。
2. 透過「用戶端配置」限制用戶端使用無線網路
(1) 員工出外洽公或回家，可使用外部無限網路，不需提出申請。
(2) 用戶端配置則是：istAP1;aa-77-dd-00-88-01，只要符合其中之一就可以連線，
若擔心員工修改 SSID 就能連外部網路，可以只設定 BSSID。
3. 儲存策略後，重啟用戶端。
4. 在公司，用戶端無線網路能搜尋 IST_Test 或 IST_TW 時，只能連接該無線網路 AP，
無法搜尋到時，才可連接其他無線網路 AP。
5. 如此，員工外出洽公或回家，就可直接連線外部的 Wi-Fi，不需要提出申請。
6.10 系統警報策略
系統警報功能是針對電腦的軟硬體變化，以及系統的關鍵設定變化給出即時警報訊息，
方便管理員及時發現網路內電腦的變化，並做出應對措施，增加區域網路內電腦的安全性。
系統警報策略支援的警報項目包括：
系統警報項說明
硬體變化硬體資產中任意一個資產的變化都會顯示警報，方便管理員對網路內電腦硬
93
體資產的維護。
勾選此選項後，當硬體資產發生變化時，用戶端電腦會被自動鎖定，使用者
鎖定電腦
將不能進行任何操作。
新增設備新增電腦外部設備的警報，會記錄該設備的名稱。
移除設備移除電腦外部設備的警報，與新增設備對應。
對儲存設備的使用情況警報，會記錄儲存設備的名稱，提醒管理員，防止使
新增儲存設備
用非法外來儲存設備。
移除儲存設備與新增儲存設備警報對應。
對電腦通訊設備的使用警報，會記錄通訊設備的名稱，以提醒管理員，防止
新增通訊設備
使用非法外來通訊設備。
移除通訊設備與新增通訊設備警報對應。
軟體變更軟體資產的新增、刪除、變化警報，方便管理員維護網路內電腦軟體資產。
系統服務變化用戶端電腦系統服務的新增和刪除警報，協助管理員查詢病毒或系統問題。
用戶端電腦的系統啟動項的新增、刪除和變更警報，協助管理員查找病毒或
啟動項變化
系統問題。
系統時間改變用戶端電腦的系統時間的變化。
電腦名稱變化用戶端的電腦名稱更改警報，提醒管理員，阻止用戶端的非法操作。
網路設定變化用戶端電腦的網路內容設定變化警報，幫助管理員發現網路問題。
磁碟空間不足用戶端電腦的系統磁碟空間不足時，發送警報通知。
磁碟剩餘空間（MB）可設定報警內容顯示磁碟剩餘空間的容量。
硬碟通電異常讀取硬碟 S.M.A.R.T. 資訊並同步紀錄，若發現數值不一致，則發出警報。
系統警報的內容包括警報類型以及相關的描述資訊，幫助管理員快速知道發生問題的電
腦，並有效的解決問題。
94
6.11 軟體安裝管理
在企業中，管理者希望能夠控管員工在公司電腦任意安裝或移除軟體，以避免影響一般
程式的運作。透過軟體安裝的黑白名單功能，可以達成用戶端上僅允許安裝或移除指定的軟
體，禁止安裝或移除其他未知的軟體，而且不會影響到一般程式的執行。管理員可以在控制
台策略日誌中，查看軟體安裝控制策略和軟體移除控制策略的日誌記錄。
軟體安裝管理策略是針對電腦的，在使用者模式下無效。
圖示按鈕說明
設定軟體安裝原則。
刪除軟體安裝原則。
匯出 XML 策略檔案、匯入 XML 策略檔案、將目前策略複製到其他用戶端。
策略內容包括：
軟體安裝控制控制用戶端禁止或允許安裝軟體。
禁止用戶端自行安裝所有軟體。勾選此項，下面允許安裝軟體及顯示分
禁止全部軟體的安裝
層關係才可編輯。
可手動新增，或透過軟體安裝套件分類庫，選取允許安裝的軟體套件名
允許以下軟體的安裝
稱。
顯示分層關係顯示軟體安裝套件分類庫的分層關係。
軟體移除控制控制用戶端禁止或允許移除軟體。
禁止用戶端自行移除所有軟體。勾選此項，下面允許移除軟體及顯示分
禁止全部軟體的移除
層關係才可編輯。
可以手動新增，或透過軟體安裝套件分類庫，選取允許移除的軟體套件
允許以下軟體的移除
名稱。
禁止以下軟體的移除禁止用戶端移除指定的軟體。勾選此項，下面顯示分層關係才可編輯。
95
6.12 IM 檔案傳送策略
IM 檔案傳送策略可以有效控制公司電腦，透過即時通訊軟體將企業內部資料傳送出去，
保障企業內部資料的安全性。
IM 檔案傳送策略支援各種即時通訊軟體，包括：QQ、ICQ、Zalo、TM、WhatsApp、
LANXIN、SKYPE、RTX、LSC、ALI、FETION、Google Talk、飛書、263EM、FeiQ、雲之
家、營銷 QQ、Active Message、企業 QQ、Line、QYCC、LYNC、微信 WeChat、KK、imo、
釘釘、企業微信等。
注意即時通訊管控模組僅支援各通訊軟體原廠發佈的安裝版即時通訊軟體，不支援網頁版或第三
方修改版本。
檔案傳送控制策略內容包括：
檔案控制選擇是否對即時通訊檔案傳送動作進行控制。
設定需要控制 IM 傳送的檔案名稱，支援萬用字元，支援「；」
、「,」作為
檔案名稱
分隔符號。
限制檔案大小只有當「動作」為【禁止】時，此設定才有效。意為：禁止傳送大於此值
(>=KB) 的檔案，此值的範圍為：0 – 100000 KB。
選擇是否對指定的發送檔案備份。備份的檔案在【日誌→文檔操作】中檢
是否備份
視或儲存。
備份檔案
若已勾選記錄備份檔案，即可於此設定備份檔案的大小範圍，分別設定最
最小資料量(>=KB)
小值和最大值。檔案大小在此限制範圍內的文件將被備份，否則不備份。
最大資料量(<=KB)
圖片控制選擇是否對即時通訊軟體的畫面截圖與傳送圖片行為進行控制。
96
選擇是否對畫面截圖與圖片傳送進行檔案備份。備份的檔案在【日誌→文
是否備份
檔操作】中檢視或儲存。
聊天工具選擇控制檔案傳送的聊天工具類型。
策略範例
 情境需求：
為了保護內部資料的安全，防止員工透過即時通訊軟體將檔案傳送出去，可以設定 IM
檔案傳送控制策略，禁止發送包含指定關鍵字的文件，並且備份其他發送出去的文件。
 策略設定：
設定兩組 IM 檔案傳送控制策略如下：
策略 1：先設定策略，「動作」為【允許】，勾選【是否備份】選項。
策略 2：再設定策略，「動作」為【禁止】，「檔案名稱」為【*關鍵字*】。
儲存設定後，當用戶端電腦透過即時通訊軟體發送包含關鍵字的檔案時會被禁止，而其
他文件可以正常發送，但是會自動備份下來，管理員可以到【日誌→文檔操作】中檢視發送
的文件是否合法，並且可以儲存文件備份。
6.13 上傳控制策略
上傳控制策略能有效控制網路上傳行為，包括網頁郵件發送、論壇貼文和 FTP 上傳等。
上傳控制策略的內容包括：
傳送方式預設為上傳，無其他可選。
HTTP(s)協定勾選此項，則透過 HTTP 及 HTTPS 協定進行上傳控制。
指定上傳資料的大小範圍，預設為 102400Byte，超過此大小的資料上傳
限制大小(>=Byte)
將被控制。
97
指定控制上傳資料的網站，則上傳檔案、貼文到該網站時將受控制。
網站或網路位址預設為所有網站，輸入格式為 www.ist.tw，而不是 http://www.ist.tw/，
支援萬用字元、支援「；」、「，」作為分隔符號。
FTP 協定勾選此項，則透過 FTP 協定進行上傳控制。
將被控制。
檔案名稱指定欲管控的檔案名稱，支援萬用字元，支援「；」
、「，」作為分隔符號。
指定欲管控的網路位址範圍，則上傳檔案至該範圍內 FTP 站點時，上傳動

網站或網路位址
作將受到控制，支援「；」、「，」作為分隔符號。
TCP 協定勾選此項，則透過自訂 TCP 埠號進行上傳控制。
將被控制。
指定欲管控的連接埠號，可引用自訂的網路通訊埠分類庫內容，或自訂通
連接埠範圍訊埠號。自訂的輸入格式為 TCP:8080 或 UDP:8080，輸入後需按【+】
鈕加入清單內。
指定欲管控的網路位址範圍，則上傳檔案至該範圍內的位址時，上傳動作
網站或網路位址
將受到控制，支援「；」
6.14 文檔控制策略
文檔控制策略能有效地限制用戶端存取機密文件的權限，防止機密文件外洩，同時透過
檔案備份功能，也可避免重要文件因錯誤操作而帶來的損失。
文件操作策略的內容包括：
為了方便理解和控制，故將文件操作類型簡單分為三種：讀取、修改、刪除。
操作類型三種類型關係為連動性，允許修改就一定可以讀取，允許刪除就一定可以讀
取和修改。
讀取即連結開啟文件。
98
包含了連結和刪除之外的所有操作，包括新增、重新命名、修改、複製、移
修改動和復原。只有勾選了「修改」
，「修改前備份」
、「複製／移動到備份」和「複
製／移動出備份」才有效。
刪除刪除文件，只有勾選了「刪除」，
「刪除前備份」才有效。
預設是全部磁碟類型，至少要選擇一種磁碟類型，否則自動識別為全部。選
中「磁碟類型」，可以用 Ctrl + A 對其所有子選項進行全選或全不選。

磁碟類型
控管手機接入複製檔案：如果手機被識別為移動儲存設備，可以透過“可移
動碟”控制；如果手機被識別為可攜式設備，則需要透過“未知”控制。
指定欲控制的檔案名稱，可包含路徑，如 E:\work\*，則 work 這個資料夾
下的所有檔案都生效。檔名支援萬用字元，支援「；」
檔案名稱若檔案名稱為網路磁碟機路徑時，需同時輸入以主機名稱及以 IP 表達的

UNC 路徑，例如：\\HostName\Share；\\IP\Share；才能完整比對檔案
複製的路徑並進行策略動作。
備份修改的檔案，只會備份修改之前的原始檔案，以防止重要文件被惡意或
修改前備份
無意修改。
複製／移動到指定磁碟類型時備份檔案，方便檢查用戶端電腦是否將重要文
複製/移動到備份
件複製／移動到非法的磁碟。
複製／移動出指定磁碟類型時備份檔案，方便檢查用戶端電腦是否將重要磁
複製/移動出備份
碟類型中的重要文件複製／移動到其他磁碟。
刪除前備份備份用戶端刪除的檔案，避免重要資料被誤刪除而帶來損失。
備份檔案
指定欲備份的文件大小範圍，與 IM 檔案傳送策略中含義相同；
最小資料量(>=KB)
設定最大備份範圍為 0~2000000KB。
最大資料量(<=KB)
應用程式指定文件操作的應用程式。
策略範例 1
 情境需求：
有些重要檔案不允許所有使用者任意修改，需要限制部分員工的權限，只允許讀取，不
99
允許修改和刪除。
 策略設定：
選擇「動作」為【禁止】
，操作類型勾選【修改】和【刪除】
，指定「檔案名稱」
，選擇「備
份方式」
，則使用者對指定的文件只有讀取權限。
策略範例 2
 情境需求：
為了防止使用者對一些文件的錯誤操作，如：刪除或修改，管理員可設定策略，針對這
種情況備份指定的文件。
 策略設定：
選擇「動作」為【允許】
，操作類型勾選【修改】和【刪除】
，指定「檔案名稱」
，勾選【修
改前備份】和【刪除前備份】
，則使用者對這些文件的使用不受限制，但是修改和刪除時
會自動備份文件，管理員可以至【日誌→文檔操作】中檢視備份的文件。
注意若文檔控制策略中設定了檔案備份功能，可能會導致備份的檔案資料量很大，建議在設定策
略時，盡量精確定位，避免備份大量無用的檔案。
6.15 列印控制策略
管理員透過設定印表機的類型及開啟列印文件的應用程式，能有效限制員工列印文件，
既保障機密文件不外洩，同時節約企業資源。
列印控制策略的內容包括：
有本機、共用、網路和虛擬印表機四種類型。
印表機類型如果四種類型都不選擇，則認為是所有類型的印表機，即相當於四種印表機
全部選中，在儲存後，這個內容中的四種類型會全部被選中。
設定印表機名稱。可指定網域內某台電腦上的印表機，
印表機描述如：\\server\* 表示 \\server 上的所有印表機；SomePrinter 表示名稱為
SomePrinter 的印表機。
100
列印任務設定列印任務名稱。名稱支援萬用字元，可用「；」作為分隔符號。
應用程式指定進行列印的應用程式。
「動作」為【允許】或【忽略】時可選；【禁止】時不可選。
記錄模式
預設不記錄，如果需要記錄列印內容，可在選單中選擇【記錄】。
「記錄模式」為【記錄】時有效，設定記錄列印文件的最大頁數，管理員可
最大記錄頁數根據實際情況設定，記錄的頁數愈多，佔用的空間會愈大。
記錄的列印內容可以在【日誌→文檔操作】中檢視。
策略範例
 情境需求：
在企業中，需要限制用戶端電腦的列印操作，以防止資料外洩或濫用印表機的問題。
 策略設定：
選擇「動作」為【禁止】
，勾選【共用印表機】和【網路印表機】
，「印表機描述」輸入印
表機名稱，「應用程式」指定列印的應用程式，預設<全部>。設定儲存後，用戶端使用
印表機時會被禁止。
注意只有印表機類型和印表機描述都比對，「印表機」條件才算比對完成。
6.16 列印浮水印控制策略
管理員藉由設定列印浮水印的類型和內容，能在列印出來的文件上，自動顯示自訂的浮
水印圖片、文字訊息及 QR Code，有效保護文件版權。
列印浮水印控制策略的內容包括：
包含本機、共用、網路、虛擬印表機四種類型；
印表機類型若四種類型都不選擇，則系統會自動認定為選擇「所有印表機類型」
，儲存
後，四種類型全部被勾選。
101
設定印表機名稱。可指定網內某台電腦上的印表機，
印表機描述如：\\server\* 表示\\server 上的所有印表機；SomePrinter 表示名稱為
SomePrinter 的印表機。
列印任務設定列印任務的名稱，名稱支援萬用字元，支援「；」
浮水印範本指定欲套用的列印浮水印樣式。
應用程式指定執行浮水印列印的應用程式。
對指定的授權軟體進行管控，於列印時附帶浮水印。
授權軟體
（欲達成此功能，需同時購買 IST V+文檔加密管控產品）
設定列印浮水印策略前，必須先於控制台點擊【分類管理→浮水印範本】
，選擇「列印浮
水印範本」後按【新增】，並點選【建立空白範本】，新增一個空白的浮水印範本。
在浮水印範本中新增需要的浮水印對象，接著於視窗中間的「參數設定」調整對應浮水
印對象的屬性，可於視窗右邊的「效果預覽」中，預覽勾選的浮水印。
102
在「浮水印範本」分類庫中完成浮水印範本設定後，再於列印浮水印策略中選用剛才建
立的浮水印範本。
103
策略範例
 情境需求：
為了保護內部文件及公司聲譽，希望列印文件所呈現的浮水印資訊，僅公司內部人員才
能透過查詢代碼得知訊息內容。
 策略設定：
先於浮水印範本分類庫中，新增一個列印浮水印範本，並且在「指定位置」或「並排」
上按【】新增浮水印，於「浮水印內容」中加入「編號」
，同時選擇顏色等相關的格式
設定，設定完畢後，請按【確定】儲存浮水印範本。
接著點選【進階→列印浮水印】新增一個列印浮水印控制策略，點選【浮水印範本】後，
選擇剛才建立的浮水印範本，並選擇欲套用的「應用程式」
，完成後請儲存策略並列印查
看效果。
 策略效果：
列印出來的文件會有一組 16 進位的文數字，管理者可在 IST 控制台上點選【工具→浮水
印編碼查詢】，在浮水印類型中選擇【列印浮水印】，並在「輸入編碼字串」欄位中，輸
入文件上的 16 進位文數字，再按【查詢】鈕，即可得知該文件的列印時間、電腦、使
用者等資訊。
6.17 列印浮水印控制(舊)策略
由於新版與舊版的列印浮水印機制不同，故仍保留舊版列印浮水印控制策略，方便管理
者查閱過去的設定值，做為新版本的設定參考。此處的策略僅可檢視與刪除，無法調整內容，
若已完成新版列印浮水印策略，請刪除此處的策略，以免影響浮水印的列印效果。
104
6.18 螢幕浮水印控制策略
藉由設定螢幕浮水印的類型和內容，可在使用者的操作畫面上，顯示自訂的浮水印圖片、
文字訊息及 QR Code，避免操作中的畫面遭人翻攝。螢幕浮水印控制策略的內容包括：
浮水印範本指定欲套用的螢幕浮水印樣式。
顯示方式指定欲全螢幕顯示螢幕浮水印，或僅在應用程式的視窗範圍內顯示。
應用程式指定欲顯示螢幕浮水印的應用程式。
對指定的授權軟體進行管控，於操作畫面上顯示浮水印。
授權軟體
（欲達成此功能，需同時購買 IST V+文檔加密管控產品）
和列印浮水印的操作方式一樣，在設定螢幕浮水印策略之前，必須先於控制台點擊【分
類管理→浮水印範本】
，選擇「螢幕浮水印範本」後按【新增】
，並點選【建立空白範本】
，新
增一個空白的浮水印範本。
在「浮水印範本」分類庫中完成浮水印範本設定後，再於螢幕浮水印策略中選用剛才建
立的浮水印範本。
策略範例
 情境需求：
為了避免內部查詢系統遭人翻拍操作畫面，希望在操作畫面中，顯示資安標語等浮水印
字樣。
 策略設定：
先於浮水印範本分類庫中，新增一個螢幕浮水印範本，並且在「指定位置」或「並排」
上按【】新增浮水印，於「自訂」欄位輸入資安標語，並按【】鈕加入選擇清單，
再於「浮水印內容」中加入「編號」
，同時選擇顏色等相關的格式設定，設定完畢後，請
105
按【確定】儲存浮水印範本。
接著點選【進階→螢幕浮水印】新增一個螢幕浮水印控制策略，點選【浮水印範本】後，
選擇剛才建立的浮水印範本，於「顯示方式」欄選擇【軟體視窗浮水印】
，並選擇欲套用
的「應用程式」，完成後請儲存策略並開啟該應用程式查看效果。
6.19 移動儲存控制策略
為了方便管理企業內部使用的移動儲存裝置，防止企業內部機密資料透過移動儲存裝置
外洩，管理員可透過移動儲存控制策略，授予不同的移動儲存裝置不同的權限，同時可對複
製到移動儲存裝置的檔案進行加密，使其只能在企業授權的環境中才能開啟。
設定策略前，管理員需要對企業內合法授權的移動儲存裝置進行合理的分類，移動儲存
類別管理的分類可參閱 11.3 移動儲存分類。
移動儲存裝置的類型和操作權限包括：
磁碟類型預設<全部>，是指所有的移動儲存裝置和可攜式裝置，可以透過
下拉式選單選擇「加密碟」
、「非加密碟」或「安全隨身碟」；如果選擇加密
碟，則設定的策略只對所有的加密碟有效。
磁碟類型
如果要禁止可攜式裝置，例如智慧手機的讀操作，磁碟類型要設<全部>，
其他已設定的策略，磁碟類型要選擇「加密碟」
、「非加密碟」或「安全隨身
碟」，以避免指定的移動儲存裝置無法讀寫。
允許任意程式以唯讀方式讀取移動儲存裝置的內容，只有勾選此項，下面三
允許讀取
項才有效。
在檔案總管中從移動儲存裝置複製文件到本機或是網路上時自動解密，而其
自動解密
他的應用程式讀取移動儲存裝置上的文件不會自動解密。
允許任意程式寫入到移動儲存裝置；當不允許可寫入時，系統會禁止檔案複
允許寫入製或儲存到移動儲存裝置上，同時也禁止刪除或更改移動儲存裝置上的檔案
名稱；只有勾選此項，自動加密才有效。
106
禁止除了檔案總管之外的任何程式寫資料到移動儲存裝置，當檔案總管複製
自動加密
文件到移動儲存裝置時，自動對文件加密。
移動儲存預設<全部>，是指所有的移動儲存裝置，要設定指定的移動儲存
移動儲存裝置，只能到移動儲存分類中選擇，可以指定一個分類，也可以指定某一個
移動儲存裝置。
說明
若企業想執行嚴格的移動儲存裝置控制策略，首先可在整個網路中設定所有的移動儲
存裝置都唯讀、不可寫入，接著，針對不同的部門和個人，設定其對不同的移動儲存
分類有不同的權限，例如：每個部門只能對所屬部門的移動儲存裝置讀取或寫入，且
讀寫時自動加解密。
如此，移動儲存裝置在部門內部使用是不受限制的，且不會被其他部門的人讀取資料，
至於外來的移動儲存裝置，則只能讀、不能寫。
注意
若同時設定了文檔控制策略和移動儲存授權策略，則策略執行順序為：先執行文檔控
制策略，再執行移動儲存授權策略。
例如：允許讀寫移動儲存裝置，並且加密，而文檔策略有禁止複製 Word 文件到移動

儲存裝置。則最後執行的結果為：不允許複製 Word 文件到移動儲存裝置，其他文件
複製到移動儲存裝置時會自動加密。
設定移動儲存的裝置描述，可將需要控管的移動儲存裝置描述做為指定移動
裝置描述儲存的條件，支援萬用字元，例如：*istsols*。一個策略只能控管一個裝置
描述，不支援多個描述值。
107
6.30 文檔雲端備份設定
設定本功能之前，需先建置 IST 文檔雲端備份伺服器。透過文檔雲端備份伺服器，可備
份用戶端電腦內指定類型的檔案，且備份到文檔雲端備份伺服器的檔案屬性不變，能協助企
業防止重要資料滅失，做為防範硬體故障、加密勒索病毒的重要防線。
完成文檔雲端備份伺服器的建置與相關設定後，預設不啟用檔案備份功能，必須開啟 IST
控制台【進階→文檔雲端備份】
，點選右上角的【】鈕，啟動用戶端的文檔雲端備份任務，
並設定備份的條件。
勾選【啟動文檔雲端備份任務】後，一旦修改或新增檔案，都會根據下列的備份條件執
行備份。備份條件說明如下：
選項說明
預設為不勾選，勾選此項的用戶端才會啟動文檔雲端備份任務。
啟動文檔雲端備份任務後，用戶端修改檔案（包括：重新命名、修改檔案內
啟動文檔雲端備份任務
容、複製並覆蓋檔案、拖曳並覆蓋檔案、移動並覆蓋檔案）、新增檔案（包
括：建立、另存為、複製到、拖曳到、移動到）都會進行備份。
在設定的檔案清單內，會進行本機硬碟的檔案備份。預設已包含許多常用的
包含檔案
副檔名，您可自訂副檔名或路徑，可使用萬用字元，如：*.doc、f:\*等。
在設定的檔案清單內，本機硬碟符合的檔案類型將不備份。預設已定義常見
的副檔名，您可自訂副檔名或路徑，可使用萬用字元，如：*.tmp、g:\*等。
若有相同檔案類型同時設定於「排除檔案」與「包含檔案」清單中，將以「排
除檔案」為備份條件。
排除檔案
為防止出現不必要的垃圾備份檔案，可添加如下排除路徑：
*\$RECYCLE.BIN\*
*\APPLICATION DATA\*
*\Program Files (X86)\*
備份範圍(KB) 在此大小範圍內有異動的檔案將進行備份，預設為 0-2000000KB。
備份間隔於指定時間範圍內，檔案若有多次修改，僅會備份一次，預設值為 1 小時。
備份流量(KB/s) 上傳備份檔案時的最大流量，預設為 1024KB/s。
108
於指定時段內，用戶端才將備份檔案回傳到文檔雲端備份伺服器，預設值為
備份時段
0:00-24:00。
預設為不勾選，勾選後，將啟動定期檔案全備份功能。
此功能一經啟動，會在設定的時間內，對用戶端上的檔案進行掃描備份，掃
定期掃描備份
描期間若因結束時間或系統關機等因素而停止掃描，下次掃描會從上次掃描
停止的位置開始繼續掃描。
掃描日期指定定期掃描備份的日期，預設為每月 1 日。
指定定期掃描備份的執行時間範圍，包括開始時間和結束時間，如：
掃描時段
00:00-14:00。
109
七、監視
7.1 即時通訊內容
即時通訊可以記錄用戶端電腦上的即時通訊軟體聊天內容，為事後追查責任提供重要依
據，及時發現不當的聊天內容，同時避免員工任意聊天而影響正常工作的情況。
支援的即時通訊軟體
即時通訊記錄支援各種聊天工具，包括：QQ、ICQ、Zalo、TM、WhatsApp、LANXIN、
SKYPE、RTX、LSC、ALI、FETION、Google Talk、飛書、263EM、FeiQ、雲之家、營銷
QQ、Active Message、企業 QQ、Line、QYCC、LYNC、微信 WeChat、KK、imo、釘釘、
企業微信等。
注意即時通訊管控模組僅支援各通訊軟體原廠發佈的安裝版即時通訊軟體，不支援網頁版或第三
方修改版本。
即時通訊內容記錄
即時通訊記錄包含的內容有：
IM 內容欄位說明
聊天工具記錄使用的即時通訊工具。
電腦記錄使用即時通訊的電腦名稱。
電腦群組記錄使用者電腦所屬群組。
本機帳號記錄本機即時通訊的帳號 ID。
對方帳號記錄聊天對方的帳號 ID。
開始時間該聊天記錄的開始時間。
結束時間該聊天記錄的結束時間。
聊天類型聊天對話的類型，單聊或多聊。
110
聊天語句數統計聊天內容的語句數量，判斷聊天內容的多少。
聊天字元數統計聊天內容的文字數量，判斷聊天內容的多少。
訊息內容記錄聊天的詳細時間以及內容。
儲存聊天內容
除了直接在控制台上檢視聊天內容，管理員也可以將聊天內容儲存起來，方便日後查詢。
選中一個或多個需要儲存的聊天記錄，按一下右鍵“匯出聊天內容”，將所選的所有聊
天內容儲存為一個 Excel 檔案或 html 檔案。
查詢聊天內容
即時通訊內容可以按以下條件進行查詢：
查詢條件說明
根據即時通訊軟體查詢，預設是全部，也可在下拉式選單中選擇其中一種或
聊天工具
多種聊天工具進行查詢；
使用者 ID 或暱稱根據聊天雙方的帳號 ID 或暱稱，查詢指定帳號的聊天記錄及內容；
根據聊天內容進行查詢，可針對部分關鍵字進行快速定位，從而找到關心的
內容
聊天記錄。
7.2 即時螢幕
選擇功能列“監視→即時螢幕”，管理員可以即時檢視並追蹤某一台電腦或某一個使用
者的螢幕快照。
圖示按鈕說明
儲存目前畫面按鈕，將目前螢幕擷取畫面儲存成圖片形式。
工作階段按鈕，如果某台電腦登入了兩個以上使用者或某個使用者同時登入
兩台以上電腦，管理員可以透過選擇，檢視其中某一個的螢幕快照。
以適合 IST 控制台-即時螢幕檢視視窗尺寸的大小來顯示。

111
用戶端原始畫面的大小。
更新按鈕，螢幕快照會自動更新，更新時間間隔在“工具→選項→即時資
訊”中檢視和修改。
選擇了目標電腦後，選擇右鍵選單“更新”對該電腦進行即時跟蹤，影像區會不斷地顯
示選定電腦的螢幕變化。當需要停止時，再選擇右鍵選單“更新”會停止追蹤用戶端電腦。
7.3 多螢幕監視
多螢幕監視可以同時監視多部電腦的即時螢幕畫面，可以顯示的螢幕矩陣範圍有（2 x 2）
、
（3 x 3）和（4 x 4）。選擇功能列“監視→多螢幕監視”，開啟多螢幕監視。
設定監視矩陣的大小，系統自動在一定的時間間隔內更新螢幕快照，同時在到達一定的
時間後輪播到下一批待監視的電腦，方便管理員同時監視多部電腦。
更新間隔時間，可以在“工具→選項→即時資訊”的「螢幕監視」中修改設定。
管理者可以透過功能按鈕，快速檢視【最前一頁】
、【上一頁】
、【下一頁】和【最後一頁】
的電腦螢幕快照。快點兩下某個被監控電腦的畫面，可以對其進行全螢幕監視；也可以透過
【監視對象】按鈕，選擇需要監視的電腦或電腦群組。點選【自動輪播】按鈕，可以
設定多個監視螢幕自動輪播。選擇某個被監控的電腦螢幕畫面，透過【全螢幕】按鈕，
或是快點兩下該電腦的螢幕畫面，可以對其進行全螢幕監視。
鎖定位置
選取某部電腦的螢幕監視畫面，按右鍵選單勾選“鎖定位置”，使得在每一次輪播的多
螢幕監視畫面中，該電腦的螢幕快照永遠顯示在畫面中。被固定的電腦螢幕標題是黃底黑字，
假如不再固定監控該電腦，只要選取該電腦螢幕，按右鍵選單，取消勾選“鎖定位置” 。
螢幕資訊
滑鼠移動到任一個螢幕會顯示目前用戶端電腦的螢幕資訊，包括：電腦名稱、網路位址、
使用者、狀態。
112
定位到電腦清單
選取某部電腦的螢幕監視畫面，按右鍵選單選擇“定位到電腦清單”，可以快速定位到
控制台該電腦在電腦欄中的位置。
發送通知訊息
選取某部電腦的螢幕監視畫面，按右鍵選單選擇“發送通知訊息”開啟對話視窗，輸入
通知的標題以及通知的內容，按【發送】按鈕。目標電腦的桌面將會彈出通知訊息視窗。
7.4 查詢螢幕歷史
選擇工具列“監控→查詢螢幕歷史”，預設查詢的是當天的螢幕歷史記錄，只有設定“策
略→螢幕記錄”的用戶端電腦才能查詢到螢幕記錄。管理員也可以根據一定的查詢條件快速
找到需要的螢幕記錄進行檢視。
查詢條件包括：
查詢條件說明
日期範圍設定開始日期和結束日期，查詢一個時間段內的所有螢幕歷史記錄。
查詢指定電腦名稱的螢幕記錄，支援模糊查詢，如輸入“IST”，查詢到
電腦名稱
所有電腦名稱中包含“IST”的電腦螢幕記錄。
輸入指定的網路位址，查詢該電腦的螢幕記錄，可以輸入一個 IP 位址，
網路位址
也可以輸入 IP 位址範圍，如：192.168.1.100-192.168.1.200。
範圍選擇電腦範圍進行查詢，可查詢一個群組的螢幕歷史記錄。
查詢到的螢幕記錄日誌包括：
日誌內容名稱說明
日期螢幕記錄的日期，螢幕記錄以“天”為單位，一天的螢幕資料記錄一個檔。
電腦記錄的用戶端電腦。
113
工作階段 ID，如果只登入一個使用者，則工作階段 ID 是 0，登入第二個
使用者，則工作階段 ID 是 1；如果登入過多個使用者，則有多個螢幕記錄，
工作階段
一個工作階段會記錄為一個檔案。
Vista 之後作業系統第一個使用者的工作階段 ID 為 1。
開始時間
螢幕記錄的開始時間和結束時間。
結束時間
檔案名稱螢幕資料是存放在 MS SQL 資料庫時，檔案名稱為<SQL>。
7.5 螢幕歷史檢視器
查詢出需要檢視的螢幕記錄後，按兩下其中的一條記錄或按一下【檢視】按鈕開啟螢幕
歷史檢視器，檢視該電腦的螢幕歷史。螢幕檢視器不能單獨啟動，只能從控制台中啟動執行。
介面介紹
螢幕歷史檢視器視窗包括：標題列、功能列、工具列、查詢欄、時間刻度尺、影像顯示
區以及狀態列。
顯示
透過功能列或工具列上的按鈕選擇螢幕畫面的位置，或是直接拖動時間刻度檢視畫面。
114
檢視
管理員可以根據需求，在“檢視”選單選擇是否顯示工具列、狀態列。同時類似於控制
台中的影像區的顯示方式，也有原始大小、按比例縮放和全螢幕。
播放速度
透過功能列“檢視→速度”可以調整螢幕播放的速度。分為快、一般和慢三種速度，使
用者可以根據自己的需要選擇播放速度。
查詢
透過查詢欄，管理員可以快速定位查詢到需要的螢幕歷史，可以分別根據應用程式、使
用者、螢幕和時間刻度尺進行查詢。
查詢項目說明
預設播放所有應用程式的螢幕歷史，也可從下拉式選單中指定一種應用程
應用程式
式，只播放該程式的螢幕歷史；
如果螢幕記錄中記錄了多個使用者的螢幕歷史，可以指定其中一個使用者只
使用者
檢視該使用者的螢幕歷史；
螢幕如果用戶端電腦有多個顯示螢幕，則可以選擇其中一個螢幕檢視螢幕資料；
勾選選項時，將以上的三個條件應用程式、使用者、螢幕鎖定，可檢視同時
鎖定條件
滿足這三個檢視條件螢幕資料；
顯示目前畫面對應的時間，拖動刻度到指定位置，檢視目前螢幕畫面，滑鼠
停在上面時能顯示該畫面的基本資訊。
時間刻度尺
選擇功能列“工具->視窗標題變化資訊”可檢視每一畫面的基本資訊，包
括：時間、使用者、應用程式和標題。
儲存為視訊檔案
管理員可將需要的螢幕歷史儲存起來，留作以後使用。選擇工具列“工具→儲存為視訊
115
檔案”，有 4 種儲存方式，管理員可以指定其中一種方式儲存螢幕歷史。
儲存方式說明
時間儲存某一段時間內的螢幕資料，拖動時間刻度，設定開始和結束時間；
應用程式只儲存指定的應用程式對應的螢幕歷史記錄；
使用者只儲存指定的使用者對應的螢幕歷史記錄；
全部儲存所有的螢幕歷史。
螢幕歷史依幅匯出成圖片
將螢幕歷史按張匯出成圖片，選擇工具列“工具→螢幕歷史依幅匯出成圖片”，有 4 種
匯出方式，管理員可以指定其中一種方式匯出圖片。
匯出方式說明
時間按張匯出一段時間內的螢幕資料，拖動時間刻度，設定開始和結束時間；
應用程式只按張匯出指定的應用程式對應的螢幕歷史記錄；
使用者只按張匯出指定的使用者對應的螢幕歷史記錄；
全部只按張匯出所有的螢幕歷史。
視窗標題變化資訊
管理員可以查看螢幕歷史的視窗標題資訊。選擇工具列“工具→視窗標題變化資訊”，
可透過右鍵功能表“預覽列印/列印”這些資訊。同時也可以匯出，支援 3 種格式的匯出格
式：Web 文件（*.htm； *.html）、Excel 文件（*.xls）和文字檔（*.csv）。
116
八、遠端維護
網管人員日常為電腦做簡單的維護工作，所花的時間約占其總工作量的 70％～80%，大
大增加電腦網路的綜合管理成本。而且，如果問題沒有得到及時而有效地處理，也會明顯地
影響企業的生產力。為提升網管人員的工作效率，使其更加專注於管理工作，並將精力集中
於提升企業管理效率的資訊系統中，減少並簡化網管人員一些無謂的工作量是必要的。
IST 能有效地幫助網管人員即時檢視遠端電腦的資訊，幫助分析和解決遠端電腦的故障
問題。
8.1 遠端維護
8.1.1 應用程式
選擇功能列【維護→應用程式】可即時檢視用戶端電腦的應用程式清單，檢視目前啟動
的所有任務以及狀態資訊，其中，目前啟動的應用程式名稱以深藍色粗體字顯示。
圖示按鈕說明
工作階段按鈕，如果用戶端電腦登入多個使用者，按一下該按鈕選擇不同的
使用者檢視其應用程式清單；在使用者模式下，如果該使用者在多個電腦上
登入，按一下該按鈕選擇不同的電腦檢視應用程式清單。
更新，應用程式清單會自動更新，時間間隔在【工具→選項→即時資訊】中
設定和檢視。
結束任務
管理員可以在控制台上遠端結束應用程式任務，選擇需要結束的應用程式，按右鍵選擇
“結束任務”，確定後關閉指定的應用程式。
117
8.1.2 處理程序
選擇功能列【維護→處理程序】可即時檢視用戶端電腦上的所有目前處理程序，處理程
序資訊包括：檔案名稱、PID、時間、工作階段 ID、CPU、CPU 時間、記憶體、虛擬記憶體、
基本優先順序、控制碼、執行緒以及路徑。
欄位名稱說明
時間該處理程序的啟動時間。
路徑該處理程序所在用戶端電腦上的詳細路徑。
其他其他各欄位內容，與 Windows 工作管理員處理程序頁的各內容含義相同。
處理程序清單可以幫助管理員瞭解，是否有非法的處理程序並儘快解決問題。
圖示按鈕說明
工作階段按鈕，只在使用者模式下有效，選擇檢視不同電腦的處理程序清單。
更新按鈕，與應用程式清單中的含義相同。
結束處理程序
管理員可以在控制台上遠端結束指定的處理程序，選擇需要關閉的處理程序，按右鍵選
取【結束處理程序】關閉用戶端電腦上的處理程序。
8.1.3 效能
選擇功能列【維護→效能】可以遠端即時檢視用戶端電腦的各種效能，包括：CPU 的使
用率、記憶體的使用率等。其中，總計、實體記憶體、認可用量、核心記憶體的值是用戶端
電腦上的【工作管理員→效能】中的資料。
圖示按鈕說明
工作階段按鈕，只在使用者模式下有效，檢視不同電腦的性能清單；
更新按鈕，與應用程式清單中的含義相同。
118
8.1.4 裝置管理
選擇功能列【維護→裝置管理】可即時檢視用戶端電腦上的裝置設備清單，包括：處理
器、磁碟機、鍵盤、滑鼠、網路介面卡等各種電腦硬體設備。
圖示按鈕說明
設備清單的檢視方式，可依類型、連接檢視，以及是否顯示隱藏設備。
只在使用者模式下有效，選擇檢視不同電腦的設備。
禁用/啟用設備
管理員可以在控制台上遠端禁用/啟用裝置管理中的硬體設備，選擇需要禁用/啟用的設
備，按右鍵選擇【禁用】或【啟用】來遠端操作用戶端電腦的設備。
8.1.5 系統服務
選擇功能列【維護→系統服務】可即時檢視用戶端電腦的系統服務清單資訊，包括：名
稱、描述、狀態、啟動類型、登入身份、路徑。
圖示按鈕說明
只在使用者模式下有效，選擇檢視不同電腦的系統服務。
遠端操作
管理員可以像在本機操作一樣設定和更改服務狀態以及啟動類型。選取需要設定的服務，
按右鍵選取【啟動】或【停止】更改服務狀態，選取【啟動類型→自動/手動/禁用】中更改
啟動類型。
119
8.1.6 磁碟管理
選擇功能列【維護→磁碟管理】可即時檢視用戶端電腦的磁碟區清單以及使用情況，包
括的內容有：標籤、檔案系統、容量、可用空間、%使用。
圖示按鈕說明
只在使用者模式下有效，選擇檢視不同電腦的磁碟管理。
8.1.7 共用資料夾
選擇功能列【維護→共用資料夾】檢視用戶端電腦的共用情況，包括：共用、工作階段、
開啟檔案。
圖示按鈕說明
共用檢視按鈕。
工作階段檢視按鈕。
開啟檔案檢視按鈕。
只在使用者模式下有效，選擇檢視不同電腦的共用資訊。
共用
管理員透過檢視網路共用，可以知道用戶端電腦開啟了哪些共用資料夾，並可以根據安
全需要即時關閉共用。選擇需要關閉的共用資料夾，按右鍵【停止共用】關閉該共用資料夾。
工作階段
按【共用檢視】圖示按鈕選擇「工作階段」模式，可以檢視用戶端電腦上的共用資料夾
是否有遠端電腦連接，並且顯示連接共用的遠端電腦的情況，包括：使用者、電腦、類型、
開啟檔案、已連線時間、閒置時間、來賓。
假如管理員發現非法的連接，可以即時關閉該連接，選擇該工作階段，按右鍵【關閉工
作階段】暫時關閉該工作階段。
120
開啟檔案
開啟檔案清單是遠端電腦連線用戶端電腦共用檔案的清單，包括：開啟檔案、連接者、
鎖定、模式。
管理員也可以透過右鍵【將開啟的檔案關閉】或【中斷全部開啟的檔案】即時關閉一個
或所有的開啟的檔案。
8.1.8 排定的工作
選擇功能列【維護→排定的工作】可即時檢視用戶端電腦上的排定的工作清單，包括：
名稱、排程、應用程式、下次執行時間、上次執行時間、狀態、上次結果以及建立者。
管理員可直接透過控制台刪除非法的排定工作，選擇需要刪除的排定工作，按一下右鍵
【刪除】即時刪除指定的排定工作。
圖示按鈕說明
只在使用者模式下有效，選擇檢視不同電腦的排定的工作。
8.1.9 本機使用者和群組
在功能列【維護→本機使用者和群組】可即時檢視用戶端電腦的所有本機使用者及群組。
圖示按鈕說明
使用者檢視按鈕。
群組檢視按鈕。
本機使用者清單包括：名稱、全名以及描述。
群組清單包括：名稱以及描述。
圖示按鈕說明
只在使用者模式下有效，選擇檢視不同電腦的本機使用者和群組。
121
8.1.10 軟體管理
選擇功能表【維護→軟體管理】可查看用戶端電腦上已安裝的軟體清單，管理員可透過
右鍵選單移除用戶端電腦上安裝的軟體。
移除軟體有兩種方式：
移除方式說明
此方式實際上呼叫的是軟體本身的預設移除程式，若軟體本身不提供預設背
預設移除
景移除功能，則該移除方式選項將反白不可選。
透過 IST 用戶端程式分析出所選軟體的相關安裝資訊，確定移除時清除相關
進階移除
檔案以達到移除的目的。
移除範例
選擇任意一個軟體，如 WinRAR。預設移除方式不可使用，以進階移除方式執行移除：
122
8.1.11 啟動項
選擇功能列【即時維護→啟動項】可即時檢視用戶端電腦的啟動項清單，包括：啟動項
目、製造商、指令行、位置。
管理員可透過右鍵選單移除用戶端電腦上的非法啟動項。
8.2 遠端控制
8.2.1 遠端控制
遠端控制是透過控制台遠端操作用戶端電腦，為網路管理提供便捷的方法，協助管理員
遠端檢視電腦，快速解決系統問題。並且在遠端控制的過程中，支援多個螢幕(延伸畫面)的操
作，相當方便。
選定目標電腦後，選擇功能列【維護→遠端控制】，遠端控制有 2 種授權方式：「使用者
授權」和「密碼授權」。
1. 使用者授權
選定目標電腦後，選擇功能列【維護→遠端控制】
，控制台會彈出確定請求遠端使用
者授權的提示視窗，請按【是】
，目標用戶端電腦會跳出對話視窗，詢問目前使用者
是否允許控制台對其遠端控制。若使用者允許，則進入控制介面，否則結束控制。
123
2. 密碼授權
選定目標電腦後，選擇功能列【維護→遠端控制】
，控制台會彈出對話視窗要求輸入
密碼，密碼正確，則進入控制介面，否則結束控制。
遠端控制密碼須事先在用戶端電腦上設定，方法是按住鍵盤上的 Ctrl+Alt+Shift，
同時輸入 ocularrm，會彈出密碼設定視窗，輸入密碼即可。
設定了密碼的用戶端電腦，也可透過使用者授權的方式進行遠端控制，但是如果策
略設定了允許遠端控制並且需要強制確認，則僅能透過使用者授權的方式來控制。
3. 憑證授權
擁有「通過憑證授權方式遠端控制」權限的管理員，選定目標電腦後，選擇功能表
【維護→遠端控制】可強制遠端控制目標電腦，無須透過使用者授權和密碼授權。
※ 憑證授權的使用方法
收到憑證授權後，複製到和 IST 伺服器相同的目錄中，如此一來，管理員 admin 無須
對方授權即可執行遠端控制，且 admin 還能指定系統內的某些管理員也可不需要對方
授權就執行控制。
擁有憑證授權之後：以 admin 帳號登入，就能在【工具→帳號】的「一般」頁籤看到
「通過憑證授權方式遠端控制」的選項，admin 還可將該功能授權給其他管理員，但
以任何其他管理員帳號登入控制台，是看到不該選項的。
沒有憑證授權的情況下，不會出現關於憑證授權的介面。
注意購買正式產品的客戶可向原廠申請獲得遠端控制授權憑證（RC.cert），請將授權憑證電子檔
放置於伺服器安裝目錄下，否則無法使用「憑證授權方式遠端控制」的權限。
啟用被控用戶端密碼確認模式
因應資安法的要求，如欲執行「遠端控制」
，除了須獲得被控制的用戶授權允許，還需要
用戶端輸入正確的授權密碼才能開始執行控制。用戶端電腦設定授權密碼後，在控制台新增
「用戶端配置」即可啟用被控用戶端密碼確認模式。
124
遠端控制介面
進入遠端控制狀態時，目標電腦的右上方會顯示「Remote Controlling…」。
透過工具欄按鈕，可選擇螢幕縮放比例，以及是否全螢幕控制等操作。
圖示按鈕說明
放大螢幕。
縮小螢幕。
全螢幕顯示，退出全螢幕顯示，可直接按 F12 鍵。
控制顯示色彩在 256 色和全彩之間轉換。
控制是否允許在控制台與目標電腦之間進行剪貼簿操作。
可以對遠端電腦的鍵盤和滑鼠設定鎖定和解鎖。
可以設定是否對遠端電腦進行控制。
可以對遠端電腦的滑鼠設定顯示或隱藏。
如果需要向受到遠端控制的電腦使用 Ctrl+Alt+Del、Ctrl+Esc 組合鍵或 F12，您可用滑
鼠在 IST 遠端控制視窗的標題列，或在 Windows 工具列遠端控制視窗的圖示上，按一下滑
鼠右鍵，並在彈出的選單選擇【Send Ctrl+Alt+Del】、【Send Ctrl+ESC】或【Send F12】
等項目。
注意 1. 延伸桌面畫面顯示的水平高度，若高於主畫面時，則
遠端連線過程中將只會顯示主畫面。
2. 延伸畫面若在主畫面的左邊，則遠端連線過程中將只會顯示主畫面。
3. 遠端連線過程中，若變更顯示卡的主畫面與延伸桌面順序，將會造成遠端連線中斷。
4. 遠端連線時，延伸畫面若解析度較小，則會出
現黑色區劃。
（如圖左下角紅框處）
125
8.2.2 遠端檔案傳送
「遠端檔案傳送」是指在控制台電腦和目標用戶端電腦之間的檔案傳送，管理員可透過
遠端檔案傳送功能，將檔案快速傳送到目標電腦，提高工作效率。
遠端檔案傳送和遠端控制一樣，有兩種授權方式－「使用者授權」和「密碼授權」
，於控
制台獲得使用者授權後，進入遠端檔案傳送視窗。
介面介紹
遠端檔案傳送視窗包括：標題欄、功能列、工具列、位址欄、本機資源檢視、遠端資源
檢視以及狀態列。
其中，「本機資源檢視」是控制台電腦的資源資訊，「遠端資源檢視」是遠端用戶端電腦
的資源資訊。以滑鼠雙擊資料夾可進入下一層目錄，亦可於位址欄中輸入檔案路徑，直接搜
尋檔案。
檔案操作
管理員以滑鼠雙擊資料夾可進入下一層目錄，亦可在位址欄中輸入檔案路徑，直接搜尋
檔案，選擇【檔案→上移】則可返回上一層目錄，此外，也能對檔案執行一些簡單的操作，
包括：新建資料夾、重新命名、刪除，但位址欄若為空白，則無法在根目錄下進行檔案操作。
遠端檢視和本機檢視的操作方式相同。
126
檔案傳送
傳送功能說明
選擇本機電腦中需要傳送的檔案，接著點選功能列【傳送→本機到遠端】，即
本機到遠端
可將選中的檔案傳送到遠端目標電腦。
選擇遠端電腦中需要傳送的檔案，接著點選功能列【傳送→遠端到本機】，即
遠端到本機
可將遠端檔案複製到本機電腦。
在檔案傳送過程中選擇功能列【傳送→停止】，即可終止檔案傳送，狀態列會
終止傳送
顯示檔案傳送失敗。
本機檢視和遠端檢視之間，支援拖曳傳送檔案，可同時選擇多個檔案傳送，檔案傳送中
無法執行其他操作。
顯示模式
本機與遠端檢視均支援大圖示、小圖示、清單、詳細資訊等顯示模式，按一下工具列上
的顯示圖示，可選擇合適的檢視方式。
注意如欲傳送檔案，本機檢視和遠端檢視都不能為根目錄，否則無法傳送檔案。
檔案清單
管理者如欲針對目前連線的電腦，列舉特定類型檔案的路徑明細，可點選工具列最右邊
的【檔案清單】按鈕，於彈出的視窗中，輸入欲搜尋的條件以及清單檔存放的路徑，接著按
【確定】鈕便立即執行盤點。
127
注意檔案清單僅能於目前連線的電腦發起，無法同時對多台電腦執行檔案清單盤點。
128
九、資產管理
9.1 資產管理
資產管理功能蒐集了所有用戶端電腦的軟、硬體資產資訊，方便管理員對企業內部軟硬
體資產的維護和檢視，並提供了各種查詢條件，更方便了對各種資產的統計。
選擇功能列“資產管理→資產管理”進入資產管理主視窗。資產管理視窗包括：標題欄、
功能列、工具欄、任務導航欄、資料顯示區、狀態列。
9.1.1 資產類別及資產內容說明
資產類別
資產的類別包括：
類別說明
電腦對用戶端所在電腦的一些概要性的描述，如登入使用者、網域、電腦名稱等。
硬體用戶端電腦的所有硬體設備，包括 CPU、記憶體、硬碟、主機板、網路卡等。
用戶端電腦的軟體類別，包括：作業系統、應用軟體、防毒程式、Windows
軟體
系統軟體、微軟產品安全更新。
自訂由客戶自訂的無法自動獲取的資產（如電話交換機、路由器、辦公桌等）
資產內容
對於每一種資產，可能會有多個內容來描述它。比如對於記憶體有名稱、插槽、容量、
最大容量、記憶體類型（如 DDR、SDRAM 等）
；而對於硬碟我們會有名稱、序號、容量等。
內容包括類別內容和實例內容：
內容類型說明
129
是資產的統計內容，例如針對記憶體這個類別，會有其類別內容，如：記憶
類別內容
體總容量、最大容量和記憶體條數量等。
是指資產類別的實例內容，例如記憶體這個類別，記憶體可以有多個，而針
實例內容
對每一個記憶體有其實例內容，如插槽、容量、類型等。
電腦類只會有類別內容（因為電腦始終只有一個，內容包括：硬體、軟體和自訂。）
硬體和軟體資產包含有類別內容和實例內容。
自訂類別只會有實例內容（因為這些都是由使用者自行定義的）。
9.1.2 資產類別管理
資產類別管理中會列出所有的類別及其各種內容，管理員可以透過資產類別管理檢視某
一種資產的內容，也可以手動新增資產內容。
選擇功能列“資產管理→資產類別管理”，開啟資產類別管理視窗，左邊檢視是所有資
產的樹狀結構，顯示類別清單，而右邊檢視是該資產的內容清單。
在內容清單中，黑色字體的內容為類別內容，藍色字體的內容為實例內容。
內容的數值類型：內容有 5 種類型，用不同的圖示表示。
圖示類型
文字
整數
小數
日期
是／否
自訂內容
除了系統為各種資產定義的內容，管理員也可以手動自訂內容。
假如需要新增一個 CPU 的實例內容「保固期」

，在 CPU 右邊的內容清單區域，選擇功能
130
列【操作→新增內容】開啟資產內容編輯視窗，選擇「內容類型」為【實例內容】
，輸入「資
產內容」名稱【保固期】，指定「數值類型」為【日期】，按【確定】按鈕。
自訂的實例內容名稱後面會加星號「*」標示以示區別。自訂的內容可以選擇功能列【操
作→重新命名】或【操作→刪除】修改，但是系統預設的資產內容不能重新命名和刪除。
自訂資產
管理員可以自訂資產，將企業內的其他資產登錄管理，方便隨時檢視和統計。
例如：企業內有 3 台印表機，管理員可以新增資產「印表機」
，並且新增其內容值。選擇
功能【操作→新增資產】輸入「資產名稱」為【印表機】
，為印表機新增實例內容：型號、部
門、購買日期、價格等。
自訂的資產需要管理員手動新增內容，內容值可在功能列【資產管理→其他資產】中新
增，詳細說明請參見 10.1.7 其他資產。
9.1.3 硬體資產查詢
選擇功能列【資產管理→資產管理→硬體資產】可以檢視用戶端電腦的所有硬體資產資
訊，也可以根據需要查詢統計各類資產。
檢視資產資訊
系統預設統計所有用戶端電腦的 CPU、記憶體、硬碟磁碟機和網路卡資訊，選擇需要檢
視的電腦，按一下右鍵【內容】或直接快點兩下，檢視單一電腦的硬體資產資訊。
資產資訊視窗預設顯示「電腦類別」和「硬體類別」的資產資訊。類似檔案總管，左邊
顯示類別樹狀目錄，右邊是清單結構，顯示內容資料。
選擇功能列【顯示→所有類別資訊】
、【顯示→硬體類別資訊】或【顯示→軟體類別資訊】
可以分別檢視軟、硬體資產或是檢視所有資產資訊。
點選電腦類別下的子群組「硬體」或「軟體」任一資產類別，右邊頁面有個預設名稱為
「概述」的內容，是彙總「硬體類別」及「軟體類別」下一層子群組的「摘要」。
131
在「硬體類別」及「軟體類別」下一層子群組類別的實例內容，右邊頁面有個預設名稱
「摘要」，是對該資產實例的摘要資訊，也是顯示在資產類別樹狀目錄中的名稱。
說明檢視資產資訊時，可以直接為自訂資產內容新增數值。找到自訂的內容，選擇功能列【操作
→內容】打開資產內容編輯視窗，輸入內容新增內容值。
查詢資產
管理員可以設定一個或多個查詢條件來統計需要檢視的結果，按一下資產管理清單右上
方的查詢按鈕【】打開查詢條件視窗，設定查詢條件：
查詢條件說明
預設是「整個網路」內所有的用戶端電腦，按一下右邊【…】按鈕只選擇其
範圍
中一個電腦群組。
新增按鈕，按一下該按鈕打開條件設定對話視窗，每個條件包括：資產內容、
運算元和內容，如：
「記憶體數量 == 2」是一個查詢條件，
「CPU 名稱包
含 AMD」也是一個查詢條件。
刪除設定的查詢條件。
檢視並修改查詢條件。
滿足任何條件即可勾選，則滿足任一個查詢條件即可；不勾選，則需同時滿足所有查詢條件。
注意設定查詢條件時，如果一個條件中包含了某個資產 A 的實例內容，再新增條件時就不可以再
包含另一個資產 B 的實例內容，只能再新增類別內容的條件。
設定了查詢條件後，新增結果清單，選擇需要顯示的資產內容。
圖示按鈕說明
在左邊的資產類別樹中選擇需要顯示的內容直接按兩下或按一下該按鈕移動
=>
到結果清單中。
<= 將資產內容從結果清單中移出，可同時選擇多個移出。
注意結果清單和查詢條件一樣，如果已經包含一個資產 A 的實例內容，無法再新增另一個資產 B
的實例內容。（藍色字體的內容為實例內容）。
132
設定好查詢條件以及結果清單後，為了方便日後查詢，可以將設定儲存或設定為預設，
也可以刪除不要的查詢設定。
操作說明
輸入儲存的名稱，按【儲存】按鈕，下次需要使用時，直接從名稱下拉式選
儲存
單中找到輸入的名稱，調出之前的設定。
刪除按【刪除】按鈕，刪除已經儲存的查詢設定。
管理員可以更改查詢設定並將其設為預設查詢，按【設為預設】按鈕，以後
設為預設
重新打開資產管理視窗，都顯示的是預設查詢的結果。
編輯自訂內容資料
以前面提到的自訂內容「CPU-保固期」為例，設定查詢條件：“CPU-保固期”為「不
存在」，結果清單：“電腦-概述”，“CPU-摘要”，“CPU-保固期”，查詢結果可以看到
「CPU-保固期*」列的內容都為空白，選中一筆記錄，按一下「CPU-保固期*」區域，欄位
成為可編輯狀態，輸入內容資料，該內容資料會儲存到資料庫。可依次新增其他的該內容值。
注意由於「CPU-保固期*」是自訂實例內容，所以結果清單中還必須包含 CPU 的其他任意一個實
例內容，例如「CPU-摘要」，否則無法編輯內容值。
9.1.4 硬體資產變更
硬體資產變更記錄了所有用戶端電腦的硬體資產的變化情況，包括新增、刪除和變化。
選擇功能列“資產變更→硬體資產變更”檢視所有硬體資產變更記錄。
檢視資產變更內容
硬體資產變更記錄包含的內容有：類型、時間、電腦、資產、描述。
欄位名稱說明
類型資產變更的類型，包括新增、刪除、變化。
133
時間發生硬體變更的日期及時間。
電腦發生硬體變更的電腦名稱。
資產發生變更的資產類別。
發生變更的描述資訊，右鍵選擇變更記錄“內容”，可以檢視詳細資訊，包
描述
含了資產變更前後的內容資訊。
查詢資產變更
選擇功能列“檔案→新增查詢”開啟硬體資產的查詢欄，管理員可以設定各種查詢條件
做特定目的查詢：
查詢條件說明
硬體資產類別，預設是全部，也可以在下拉式選單中指定其中一種資產進行查
資產類型
詢。
硬體資產變更的類型，包括：新增、刪除、變化，預設是全部，也可以在下拉
變更類型
式選單中指定一種變更類型進行查詢。
內容根據描述資訊查詢，支援模糊查詢。
9.1.5 軟體資產查詢
選擇功能列“資產管理→軟體資產”切換到軟體資產查詢，預設查詢電腦以及作業系統，
管理員可以設定其他查詢條件查詢需要的結果。
可以分組的形式進行查詢並顯示資料，當查詢資料超過 1000 列時，支援翻頁顯示結果，
並可依需求匯出資料。
軟體資產查詢與硬體資產查詢類似，請參閱 10.1.3 硬體資產查詢。
134
9.1.6 軟體資產變更
軟體資產變更記錄了所有用戶端電腦的軟體變化情況，包括：新增、刪除和變化。選擇
功能列“資產管理→軟體資產變更”檢視所有軟體資產變更記錄。
軟體資產變更記錄的內容與硬體資產變更記錄類似，查詢條件包括：
查詢條件說明
軟體資產的類別，包括：作業系統、應用軟體、防毒軟體、Windows 系統軟
資產類型體、微軟產品安全更新，預設是全部，也可以在下拉式選單中指定一種變更
類型進行查詢。
軟體資產變更的類型，包括：新增、刪除、變化，預設是全部，也可以在下
變更類型
拉式選單中指定一種變更類型進行查詢。
內容根據描述資訊查詢，支援模糊查詢。
9.1.7 其他資產
管理員在資產類別管理中定義了資產類別以及資產內容後，需要在“資產管理→其他資
產”中新增資產屬性內容。
新增自訂資產
以前面 10.1.2 資產類別管理-自訂資產定義的“印表機”為例，選擇功能列“檔案→新增
查詢”打開查詢條件視窗，查詢條件為空白，結果清單為：印表機-型號、印表機-部門、印
表機-購買日期、印表機-價格，查詢出印表機的所有內容。
按查詢結果清單右上方的新增按鈕“ ”輸入第一台印表機的各種內容值，再依次新增
記錄，輸入第二台、第三台印表機的內容值。印表機的內容記錄會自動儲存，方便日後查詢。
查詢自訂資產
新增儲存自訂資產的內容值以後，建立查詢條件，選擇功能列“檔案→新增查詢”設定
135
查詢條件，如：「印表機價格 >= 10000」

，按【確定】後結果清單只列出價格在 10000
元以上的印表機。
9.2 軟體版權管理
如果企業購買了一些軟體，並且這些軟體具有安裝數量的限制。軟體版權管理功能可以
管理企業購買軟體的安裝授權情況。
9.2.1 軟體類別管理
選擇功能表“資產管理→軟體版權管理→軟體類別管理”開啟軟體類別管理視窗，左邊
視窗是所有軟體類別目錄，而右邊視窗是該類別的軟體清單。
管理員根據企業購買的軟體來分類，每款軟體需要建立一個類別。對於軟體類別的操作
包括：
操作說明
在軟體類別管理視窗功能列點選“操作→新增軟體類別”，或在根目錄按
新增軟體類別
右鍵“新增軟體類別”增加一個新類別並輸入類別名稱。
增加了分類，將目錄「未分類」裡的相關程式移動到該分類，選取相關應
用程式按右鍵“移動到”指定目標分類進行轉移，或按住滑鼠左鍵拖曳到
移動應用程式
指定分類。
可同時選取多個應用程式進行轉移，按住 Ctrl 鍵或 Shift 鍵進行多選。
選擇“文檔→搜尋”可以查找指定的應用程式及所在分類。
查找功能也可用於快速分類，比如需要將所有 Skype 程式移動到 Skype 分

尋找
類，可以在查找中輸入內容「Skype」
，則會查詢所有的 Skype 程式，然後
將查詢的結果一起拖曳到 Skype 分類，加速管理者的軟體分類工作。
9.2.2 版權採購情況
選擇功能表“資產管理→軟體版權管理→版權採購情況”可以查看企業採購的所有軟體
資訊，也可以根據需要查詢各類軟體資訊。
136
新增軟體採購資訊
企業每購買一款軟體，都可以在版權採購情況中新增一項採購資訊。
點選右上角的【新增】按鈕，填寫採購的軟體資訊，可填寫資訊有：
策略屬性說明
採購日期軟體採購的日期。
軟體類別選擇已定義的軟體類別，必填欄位。
名稱對本次採購自訂一個描述，必填欄位。
數量軟體的授權數量，此軟體能安裝在多少台電腦上，必填欄位。
到期日期軟體的使用有效期限。
狀態此軟體目前的狀態，有效還是無效。
版本軟體的版本編號。
製造商軟體的製造商。
合約編號本次採購的合約編號。
合約金額採購此軟體的合約金額。
聯絡人採購此軟體的聯絡人。
聯絡方式連絡人的聯絡方式。
序號軟體的序號。
備註其他需要記錄的資訊。
9.2.3 軟體類別查詢
選擇功能表“資產管理→軟體版權管理→軟體類別查詢”可以查看用戶端電腦的所有軟
體資訊，也可以根據需要查詢各類軟體資訊。
使用右鍵功能表可以設定用戶端上各軟體的授權情況，如合法、非法、試用、免費。如
企業購買了 10 套 Microsoft Office 軟體，在某用戶端上安裝了一套，則找到此用戶端電腦
上的 Office 軟體，設為合法。
137
9.2.4 軟體類別統計
選擇功能表“資產管理→軟體版權管理→軟體類別統計”可以統計企業內指定軟體類別
的授權情況。
例如，可以查詢統計企業內安裝 Microsoft Office 軟體的數量；可以查詢統計企業內已
經設為合法或非法的 Office 軟體的數量。
9.2.5 軟體版權統計
選擇功能表“資產管理→軟體版權管理→軟體版權統計”可以統計企業內指定採購的軟
體的授權情況。
例如，可以查詢統計企業內 Microsoft Office 軟體的購買數量、已授權的數量、剩餘可
授權數量、非法安裝的數量、試用的數量等。
9.3 安全更新管理
安全更新管理功能可以掃描出所有用戶端電腦的系統更新情況，並且根據需要為用戶端
電腦自動安裝安全更新，增強系統安全性，也節約企業下載成本，提高網管人員的工作效率。
安全更新的掃描、下載和安裝
在安裝伺服器的電腦上同時執行著安全更新下載器，它會自動下載並更新安全更新檢測
檔案（wsusscan.cab）
。用戶端第一次安裝後，會自動從伺服器下載安全更新檢測檔，一般
會在用戶端電腦啟動半小時後，自動檢測安全更新的安裝情況。
如果對安全更新安裝沒有特別要求，需要所有的用戶端都自動安裝安全更新，可以在第
一次啟動控制台時，在功能列【工具→選項→伺服器設定→安全更新選項】中，勾選「新出
現的用戶端預設自動安裝」或「新發現的安全更新預設自動下載」
。若在用戶端的安全更新掃
描已完成後再設定這 2 個選項，則只對以後掃描到的安全更新和新加入的用戶端生效。
管理員可以在控制台上選擇功能列“資產管理→安全更新管理”來檢視用戶端電腦的安
138
全更新安裝情況。
如果沒有在“工具→選項→安全更新選項”中設定「自動下載」和「自動安裝」
，則需要
管理員在“資產管理→安全更新管理”為安全更新設定下載策略來下載安全更新到伺服器，
同時設定需要安裝安全更新的電腦，用戶端電腦會根據設定從伺服器中獲取安全更新安裝檔
案並且自動安裝。
說明設定下載策略和安裝策略時可結合 CTRL 和 SHIFT 鍵，同時對多個安全更新或電腦設定策略。
控制功能
管理員可以在控制台上直接下達掃描或下載安全更新的命令，在清單的右上方有一個命
令按鈕“ ”和範圍按鈕“ ”。點選命令按鈕，可以選擇下載檢測檔案，下載所有安全
更新和檢測整個網路系統安全更新。
控制功能說明
下載檢測檔案立即下載最新版本的安全更新檢測檔案。
下載所有安全更新針對有指定下載策略的安全更新，立即下載更新檔案。
檢測整個網路系統
所有的用戶端電腦會立即掃描一次安全更新。
安全更新
假如只需要立即掃描一台電腦的安全更新，點選“安全更新管理→電腦模
檢測系統安全更新式”，選取電腦按右鍵選擇“檢測系統安全更新”，則只會立即掃描指定的
用戶端電腦的安全更新。
選擇電腦範圍按一下範圍按鈕可選擇檢視一個電腦群組或單一電腦的安全更新安裝情況。
9.3.1 依安全更新模式檢視
安全更新日誌內容
點選【安全更新模式】可以檢視由用戶端電腦上掃描出來的所有安全更新清單，安全更
新記錄包括：
139
內容名稱說明
警報等級安全更新本身的級別，包括：低、中等、重要、嚴重和未知。
公告號微軟發佈的安全更新的公告號。
安全更新號安全更新編號。
名稱安全更新的名稱，一般也包含了安全更新編號。
需要安裝該安全更新但是沒有安裝的用戶端電腦的數量，選擇該安全更新，
未安裝數量
在下面的電腦清單中可以檢視已安裝和未安裝的電腦。
管理員設定的該安全更新的下載策略：下載/不下載，不下載該列為空白，伺
下載策略
服器不會自動下載這個安全更新。選擇該安全更新，右鍵可以設定下載策略。
安全更新的下載狀態，包括：未下載、下載中、已下載，滑鼠移動到一個安
下載狀態
全更新，會自動顯示該安全更新的下載進度，下載完成為 100%。
選擇一個安全更新按兩下或右鍵按一下在選單中選擇 “詳細資訊”可以檢
詳細資訊視安全更新的其他資訊，包括：下載路徑、安全更新大小以及安全更新的描
述資訊。
安全更新下載設定
在“安全更新模式”下檢視所有用戶端電腦的安全更新清單。如果事先沒有在“工具→
選項→伺服器設定→安全更新選項”中勾選「新出現的安全更新預設自動下載」
，則管理員需
要手動設定。
右鍵按一下安全更新資訊，設定“下載/不下載”，設定了「下載」的安全更新，伺服器
會自動下載，下載策略中用“ ”表示；設定了「不下載」的安全更新，伺服器不會自動下
載，下載策略中內容為空白。
對於以後出現的安全更新，也可以設定是否自動下載。在控制台功能列“工具→選項→
伺服器設定→安全更新選項”中可以勾選「新發現的安全更新預設自動下載」。
140
9.3.2 依電腦模式檢視
電腦日誌內容
點選“電腦模式”檢視所有用戶端電腦的資訊以及安全更新安裝情況，電腦資訊包括：
內容名稱說明
IP 位址用戶端電腦的網路 IP 位址。
作業系統用戶端電腦的作業系統。
最後掃描時間最後一次掃描用戶端電腦安全更新的時間。
安裝策略是否自動安裝安全更新。
電腦安全更新安裝設定
在“電腦模式”下檢視用戶端電腦清單以及安全更新安裝明細。如果事先沒有在“工具
→選項→伺服器設定→安全更新選項”中勾選「新出現的用戶端預設自動安裝」
，則管理員需
要手動設定。
右鍵按一下電腦資訊，設定“安裝/不安裝”，設定了安裝的電腦會自動安裝下載安全更
新；設定不安裝的電腦則不會自動安裝安全更新。
管理員也可以針對單一電腦的部分安全更新設定安裝策略，在指定電腦的安全更新明細
清單中選擇安全更新記錄，右鍵設定“安裝/不安裝”。
在控制台功能列“工具→選項→伺服器設定→安全更新選項”中可以勾選「新發現的用
戶端預設自動安裝」。
9.4 漏洞檢查
漏洞檢查功能，自動掃描企業網內電腦的漏洞並進行統計，方便網路管理員檢視及統計
電腦漏洞，並針對這些漏洞及時採取應對措施，修復漏洞以增強電腦的安全性。
141
安裝了用戶端的電腦會自動掃描漏洞資訊，管理員也可以在控制台上下達立即掃描命令，
按命令按鈕“ ”立即執行漏洞檢查，按範圍按鈕“ ”可以選擇檢視一個電腦群組或單
一電腦的漏洞資訊。
9.4.1 依漏洞模式檢視
點選“漏洞檢查→漏洞模式”檢視漏洞清單及有漏洞的電腦，漏洞清單包含的內容有：
內容名稱說明
警報等級漏洞的級別，包括：資訊、一般和嚴重。
名稱漏洞的名稱摘要。
有漏洞數量存在該漏洞的用戶端電腦的數量。
無漏洞數量沒有該漏洞的用戶端電腦的數量。
按右鍵選取“詳細資訊”，檢視該漏洞的詳細描述資訊以及解決方案，管理
其他詳細資訊
員可以根據解決方案手動修復漏洞。
9.4.2 依電腦模式檢視
在【漏洞檢查→電腦模式】下檢視電腦資訊以及漏洞明細。電腦資訊包括：電腦、網路
位址、作業系統；漏洞明細包括：嚴重級別、名稱、有無漏洞。
內容名稱說明
IP 位址用戶端電腦網路 IP 位址。
作業系統用戶端電腦安裝的作業系統。
警報等級漏洞的級別，包括：資訊、一般和嚴重。
名稱漏洞的名稱摘要。
有無漏洞存在該漏洞的用戶端電腦的數量。
142
按兩下某個漏洞，可檢視漏洞的詳細資訊及解決方法。
9.5 軟體派送
管理員可透過 IST 控制台，向用戶端自動派送及安裝軟體，或複製特定的檔案或應用程
式到用戶端，經由軟體派送功能，可迅速地對整個網路的軟體使用，和業務應用執行統一部
署，減輕管理員在用戶端軟體安裝上的負擔。
選擇功能列【資產管理→軟體派送】建立軟體派送任務。派送過程分為兩步驟：
「新增派
送封裝檔」和「新增派送任務」
。派送任務會把封裝好的程式檔，派送到指定的用戶端電腦上。
9.5.1 派送封裝檔
首先，管理員需要新增派送封裝檔，派送封裝檔設定了該程式進行派送時需要的參數訊
息，儲存在伺服器上，可重複使用。
按新增鈕【】，新增一個派送封裝檔，新增派送封裝檔需要設定的資訊包括：一般、
檔案資訊、檢測和必要條件。
一般
首先設定一般訊息，包括：
欄位名稱說明
名稱程式封裝檔名稱，預設為「新封裝檔」
，管理員可修改名稱，但不得為空白。
建立時間此兩項皆為系統自動產生，無法編輯，新增時為空白，新增完成再檢視，可
修改時間看到建立時間和修改者；若修改了該封裝檔，修改時間也會跟著變更。
作業系統選擇該封裝檔有效的作業系統，可選擇多個，預設為「全選」
。
系統語言選擇一種該封裝檔有效的系統語言，預設為「全部」。
檔案資訊
左邊檢視區切換到「檔案資訊」，設定封裝檔相關資訊，包括：
143
欄位名稱說明
一般包括封裝檔大小、所在電腦、原始路徑。
封裝檔大小封裝檔新增後的大小（僅供檢視，不可修改）
。
所在電腦新增派送該封裝檔時，控制台所在的電腦名稱（僅供檢視，不可修改）
。
原始路徑該派送封裝檔的原始路徑（僅供檢視，不可修改）
。
參數包括封裝檔指令行（目標路徑）、派送模式、執行模式。
當「派送模式」為「安裝軟體」或「執行處理」時，須設定指令行參數；
當「派送模式」為「安裝軟體」時，指令行一般為核心安裝檔案的名稱；
指令行當「派送模式」為「執行處理」時，指令行為執行程式的檔案名稱。
可以手動輸入指令行，也可在下面的檔案清單中選擇欲執行的安裝檔案或程
式，按右鍵點選【複製檔名到指令行】
。
當「派送模式」為「派送檔案」時，須設定封裝檔的目標路徑，即檔案被派
目標路徑送到目標電腦的詳細路徑。目標路徑預設為「{desktop}\deploy files」，即
用戶端電腦公用桌面上的「deploy files」目錄。
派送模式包括安裝軟體、執行處理和派送檔案三種方式。
安裝軟體派送應用軟體安裝程式到用戶端電腦並且安裝。
執行處理在用戶端電腦執行且僅執行一次指定的程式。
派送檔案派送指定的檔案到用戶端電腦上。
勾選【以目前登入使用者身份執行】
，指以目前登入Ｗindows 的使用者身份
來指行程式，當需要使用者登入的狀態下才執行時可使用；
執行模式不勾選【以目前登入使用者身份執行】則是以最高權限執行程式，當使用者
登入 Windows 的帳號權限不足，導致軟體派送失敗時，可不勾選本項目再
進行軟體派送。
顯示程式包中的各個檔案和目錄。檔案清單資訊包括：檔案名稱、檔案大小、
修改時間、版本、路徑。
按一下清單右上方的新增按鈕【】
，選擇需要派送的檔案（檔案夾）
，可同
檔案清單
時新增多個檔案和檔案夾，但是這些檔案和檔案夾必須在同一個資料夾內。
每按一次新增按鈕，就是重新選擇檔案清單，系統會自動覆蓋先前選擇的檔
案清單。
144
檢測條件和必要條件
「檢測條件」是檢查軟體是否成功安裝的標準，用戶端電腦會自動檢測此條件，如果滿
足條件則認為軟體安裝成功，否則會繼續嘗試安裝。當「派送模式」是「安裝軟體」時，必
須設定檢測條件，其他派送模式不需要設定。
「必要條件」是執行目標封裝檔必須具備的條件，在派送封裝檔之前檢測該條件，條件
滿足才派送，否則不派送，必要條件為可選設定。
針對不同的系統軟體環境的判斷，檢測條件或必要條件的設定有 5 種類型：
檢測條件說明
檔案判斷某個檔案是否存在，需要輸入詳細路徑。
檔案版本判斷檔案以及版本，需要輸入詳細路徑。
註冊表項判斷某個登錄編輯程式機碼存在。
註冊表值判斷某個登錄編輯程式機碼以及登錄編輯程式值作更詳細的定位。
安裝的軟體一般是指在「Windows 控制台→程式程→新增或移除程式」中的程式名稱。
檢測條件範例
以下是製作安裝 Adobe Acrobat Reader DC 程式包的檢測條件：
條件類型邏輯內容
檔案存在 {pf32}\Adobe\Acrobat Reader DC\AcroRd32.exe
檔案版本 >= 18.11.20058.33888 {pf32}\Adobe\Acrobat Reader DC\AcroRd32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node
註冊表項存在
\Adobe\Acrobat Reader\DC\Installer
註冊表項：
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node
註冊表值存在
\Adobe\Acrobat Reader\DC\Installer
註冊表值：Path
安裝的軟體包含 Adobe Acrobat Reader DC
145
封裝檔刪除和修改
選取封裝檔，按滑鼠右鍵清單點選【刪除】
，可刪除封裝檔。按滑鼠右鍵清單點選【編輯】
可修改封裝檔的參數、條件等資訊。唯有當封裝檔的狀態為「就緒」時，才可對封裝檔執行
刪除和修改。
當該封裝檔沒有指定派送任務時，該封裝檔處於「準備就緒」狀態。
說明條件中指定檔案路徑的字串，可以使用下列的變數，如：
{cf} : common files(c:\program files\common files)

{cf32} : common files 32/64 位元路徑
(c:\program files\common files ; c:\program files (x86)\common files)
{desktop}: Public Desktop (c:\Users\Public\Desktop)
{pf} : program files(c:\program files)
{pf32} : program files 32/64 位元路徑
(c:\program files ; c:\program files (x86))
{sd} : system drive(c:\)
{sys} : system directory(c:\windows\system32)
{sys32} : system directory 32/64 位元路徑
(c:\windows\system32 ; c:\windows\Syswow64)
{tmp} : temp folder(c:\windows\temp)

{win} : windows directory(c:\windows)
9.5.2 派送任務
新增了派送封裝檔後，還需要新增派送任務來指派目標電腦以進行安裝。在派送任務檢
視中按一下右上方的新增按鈕“ ”新增一個派送任務。
派送任務的設定包括：
146
欄位名稱說明
任務名稱預設名稱是“新任務”，管理員可以修改，名稱不能空白；
程式包名稱按【…】按鈕選擇需要使用的派送封裝檔；
派送任務失敗後會嘗試重新派送，重試次數預設“10”，也可以修改為其他
最多重試次數整數（輸入 0，則除非中止派送任務，否則 IST 伺服器會不斷重試，直到派
送成功為止）。
狀態顯示該任務的狀態。可點選【設定】按鈕設定執行模式以及執行週期；
選擇「持續執行」
，則任務會根據執行週期持續執行；
選擇「持續執行」，並勾選「派送成功後停止執行」，則任務成功後即停止對
執行模式用戶端電腦執行派送任務；
選擇「只執行一次」
，則任務僅執行一次，無論是否派送成功，完成後不再執
行。
選擇「立即執行」
，則新增派送任務後馬上執行（如果用戶端不在線上，會在
下次電腦啟動時執行）；
選擇「電腦啟動時」
，則電腦啟動時才執行派送任務（如果用戶端正在線上，
執行週期
需要重新啟動電腦才會執行）；
選擇「指定時間」並設定派送時間，則到指定時間 IST 伺服務才會執行派送

任務。
目標電腦按“”按鈕選擇派送任務的目標用戶端電腦。
任務內容設定完成後按【確定】
，派送任務立即啟動，在任務清單中可以檢視派送任務的
工作狀態。
147
派送任務也有刪除和編輯操作。在任務派送過程中，不能刪除和編輯，必須先停止該任
務的派送（可以選取派送任務按右鍵，選擇「停止」），然後再進行刪除和編輯。
若您需針對某個派送任務的對象，派送其他的封裝檔，可以針對某個派送任務選滑鼠右
鍵，選擇「複製該分發任務」，即可針對該派送任務的對象，再次選擇要派送的封裝檔。
9.6 軟體移除
透過 IST 控制台，管理員可以向用戶端設定軟體移除任務，達到快速批次移除軟體的目
的。同時可以監控用戶端的軟體安裝情況，防止再次安裝指定軟體。
選擇功能表“資產管理→軟體移除”，管理員可以建立軟體移除任務。可在兩種模式下
建立任務：軟體模式和電腦模式。
148
兩種模式下設定任務時，均需要對任務的模式以及執行時段進行設定，說明如下：
欄位名稱說明
任務模式任務執行時的模式選擇；
持續執行，會持續監控該軟體，一發現用戶端安裝，在指定的任務執行時段
持續執行
會移除該軟體；
僅執行一次，會在移除任務執行一次後，無論成功或失敗，不再繼續執行移
僅執行一次
除任務。
任務執行時段任務的執行時段選擇設定；
立即執行發現該軟體已安裝時，立即移除；
發現該軟體已安裝時，當用戶端超過 3 分鐘不操作滑鼠和鍵盤，IST 控制台

空閒時執行
上用戶端狀態為（空閒）時，開始移除；
發現該軟體已安裝時，在指定時間執行移除，設定的時間指的是每天的特定
指定時間執行
某個時間。
9.6.1 軟體模式下設定任務
在軟體模式下設定移除任務，主要是以所選軟體為主體，對已安裝或可能安裝這些軟體
的用戶端電腦下達移除任務。可提供同時對多台電腦移除多個軟體。
安裝軟體清單
在“軟體移除→軟體模式”可以查看由所有用戶端電腦上掃描出來的安裝軟體清單，清
單包含的內容有：
欄位名稱說明
軟體名稱軟體的名稱。
公司名稱發行軟體的公司名稱。
安裝數量安裝該軟體的用戶端電腦的數量。
任務數接受移除該軟體任務的用戶端電腦的數量。
149
選擇某個軟體，可以在下方〔安裝電腦〕頁籤查看安裝該軟體的用戶端電腦資訊，同時
也可以在下方〔執行移除任務電腦〕頁籤查看執行移除該軟體的用戶端電腦資訊。
〔安裝電腦〕以及〔執行移除任務電腦〕，都包含以下資訊：
欄位名稱說明
電腦用戶端電腦的電腦名稱。
電腦群組電腦所屬的電腦群組名稱。
使用者電腦的使用者。
IP 位址用戶端電腦的網路 IP 位址。
作業系統用戶端電腦的作業系統資訊。
狀態用戶端狀態；
軟體版本安裝/移除選定的軟體時，用戶端上該軟體的版本編號；
軟體狀態分為：使用中/移除中；
未設定移除任務，則該軟體狀態為「使用中」；
軟體狀態
設定移除任務，即使任務受執行時段等因素的影響，不能馬上執行，該軟體
的狀態會變為「移除中」
。
大小該軟體的大小；
安裝時間用戶端安裝該軟體的日期；
安裝路徑該軟體在用戶端電腦上的安裝路徑。
設定軟體移除任務
設定任務步驟：
1. 在安裝軟體清單中選擇一個或多個安裝軟體，右鍵功能表選擇“移除”，開啟軟體
移除任務設定視窗；
2. 左邊的軟體清單中出現所選的軟體；
3. 右邊選擇執行任務的用戶端電腦。預設只顯示安裝了所選軟體的用戶端電腦。勾選
「顯示全部」，顯示所有用戶端電腦。
150
4. 在任務設定中，選擇任務模式和任務執行時段；
5. 最後點選【確定】按鈕，完成任務設定。
9.6.2 電腦模式下設定任務
在電腦模式下設定移除任務，主要是以所選電腦為主體，對該電腦已安裝的軟體進行移
除任務。可提供對單台電腦同時移除多個軟體。
用戶端電腦清單
在“軟體移除→電腦模式”下查看電腦資訊以及軟體安裝、移除的明細。
在用戶端電腦清單中，選擇某一部電腦，可以查看該用戶端電腦下，所有安裝軟體的資
訊，內容包括：軟體名稱、公司名稱、軟體版本、大小、安裝路徑。
同時也可以查看對該台用戶端設定的所有軟體移除任務資訊。
設定軟體移除任務
設定任務步驟：
1. 在用戶端電腦清單中選擇某一部電腦，在下方的〔軟體安裝情況〕中選擇一個或多
個軟體，右鍵功能表選擇「移除任務」，開啟詢問視窗，詢問“確定要刪除嗎？”
2. 點選【是】，完成軟體移除任務。
9.6.3 軟體移除任務管理
查看任務
在電腦模式下，選取任一電腦，選擇下方〔移除任務〕頁籤，可以查看所選定電腦的移
除任務資訊。內容包括：
欄位名稱說明
移除任務需移除的軟體名稱；
151
任務模式任務設定時選定的任務模式；
用戶端上一次結束該任務的時間；
對於僅執行一次的任務，上一次結束時間為該任務執行結束的時間，不會變
上一次結束時間化；
對於持續執行的任務，上一次結束任務時間為每一次執行任務結束的時間，
會變化；
工作狀態分為：未啟動/進行中/成功/失敗；
工作狀態對於持續執行的任務，每一次完成後任務狀態都會變為未啟動，後面跟著上
一次執行的結果（成功/失敗）。
刪除任務
 刪除一台電腦的任務
在電腦模式下，選中一台電腦，在下方的“移除任務”選項卡中選擇一個或多個軟
體的移除任務，右鍵功能表中選擇“刪除任務”，任務會被刪除。
 刪除一個軟體的任務
在軟體模式下，選中一個軟體，在下方的“執行移除任務電腦” 選項卡中選擇一個
台或多台電腦，右鍵功能表中選擇“取消移除任務”，任務會被取消。
說明 1. 對於“僅執行一次” 且已完成的任務，執行刪除操作後，列表中刪除此任務。
2. 對於“僅執行一次”且還未執行（沒到指定時間）的任務，執行操作操作後，
列表中刪除此任務，到了指定時間也不會進行。
3. 對於“持續執行”的任務，右鍵功能表點“刪除任務”，列表中刪除此任務，
以後再安裝上指定程式也不會執行。
移除任務總覽
點選軟體移除介面右上角的【軟體移除】按鈕圖示，開啟電腦移除任務資訊查詢視
窗，可設定查詢條件，查詢指定的移除任務總覽資訊。
152
查詢條件說明
範圍用戶端電腦範圍，可選擇某個群組或個別用戶端電腦；
移除軟體名稱移除的軟體名稱，支援模糊查詢；
移除任務模式移除任務的模式：全部/僅執行一次/持續執行；
搜尋功能
點選“軟體移除”介面，“軟體模式”或“電腦模式”右上角的【搜尋】按鈕圖示，
開啟查詢視窗，可設定查詢條件，查詢指定的軟體或電腦清單，支援模糊查詢。
查詢條件說明
軟體的名稱，支援模糊查詢，例如：輸入“Line”，查找所有軟體名稱包含
軟體名稱
“Line”的軟體清單；
出產軟體的公司名稱，支援模糊查詢，例如：輸入“Microsoft”，查找所有
公司名稱
公司名稱包含“Microsoft”的軟體清單；
電腦名稱，支援模糊查詢，例如：輸入“win7”，查找所有電腦名稱包
電腦
“win7”的電腦清單；
電腦的 IP 位置，支援查詢 Class C 或單一 IP，例如：輸入“192.168.1”，

IP 位址
可以查找到所有在 192.168.1 這個網段的電腦清單。
153
十、分類管理
為了方便查詢、統計和設定策略，管理員可預先在系統中設定相關分類，分類管理包括：
應用程式、網站、移動儲存、軟體安裝套件、軟體移除、時間類型、網路位址和網路連接埠、
信箱分類、浮水印範本、敏感資料分類庫分類。
10.1 應用程式分類
選擇【分類管理→應用程式】開啟【應用程式類別】視窗，系統預設定義了兩個應用程
式類別：「系統應用程式」和「未分類」。
「系統應用程式」分類是指與作業系統相關的程式，為了避免嚴重問題，將這些系統程
式分離開來，單獨放在該分類，管理員也可以根據需要移動其他的程式到該分類。
所有的應用程式都是在用戶端蒐集到的，如果沒有比對到任何分類則被歸類為「未分類」
。
管理員可以新增其他分類並將相關程式從「未分類」移動到新增的分類。
管理員根據企業管理的需求將類型相同的應用程式放在一個類別資料夾，對於分類的操
作包括：
操作說明
在應用程式類別根目錄，選擇「操作」->「新增類別」或按一下右鍵
新增類別「新增」，可自訂新的應用程式類別；在一個類別中也可增加子分類，
選擇該分類，按一下右鍵「新增」則在該分類中新建一個子分類；
當管理者滑鼠先點選中間上方的「應用程式識別規則」區塊，才可以
新增識別規則在下拉選單中點選「新增識別規則」。
可自行依照「應用程式檔案名稱」、「公司名稱」等條件，並將符合條
154
件的應用程式都移動到指定的分類中。
管理者需先點選右方「應用程式」區塊內要設定類別的應用程式，才
可以在下拉選單中點選「設定程式類別」。
管理者可指定要依照哪一種識別規則類型，將該應用程式移動到指定
的分類中，應用程式策略套用時，也會依照指定的識別規則來辨別軟
體：
 應用程式檔案名稱識別(Hash01)
設定程式類別
 應用程式檔案名稱識別＋公司名稱識別(Hash02)
 簡易應用程式特徵碼識別(AttribHash)
 完整應用程式特徵碼識別(FullHash)
注意 Hash01 和 Hash02 兩種識別規則，係以「檔案名稱」為主要識別
依據。於應用程式策略中，選定 Hash01/Hash02 識別規則所分類
的項目進行控制，則該策略亦將以檔案名稱為主要識別依據，而非以
特徵碼做為識別。
刪除可刪除目前選取的分類/規則/應用程式。
當管理者先選取指定的「應用程式識別規則」
，才可以在下拉選單中點
編輯選「編輯」。
管理者可編輯應用程式識別規則內容，來進行調整。
管理者可選取應用程式或左方的分類名稱，並點選「重新命名」
，可變
重新命名
更顯示名稱。
155
將管理者所選的標的，移動到新的位置。如管理者選擇的是應用程式
移動到識別規則，則會重新指定要將符合規則的應用程式，移動到新指定的
分類中。
匯入識別規則庫可將先前匯出的識別規則庫，匯入(合併)至現有清單內。
可將目前的識別規則庫，匯出為 .csv 格式，做為備份或匯入至其他

匯出識別規則庫
IST 環境內。
選擇【操作→搜尋】尋找指定的應用程式及所在類別，可以依應用程式的名
稱、檔名和描述等資訊進行搜尋，輸入的內容滿足其中任意一個均可。
搜尋搜尋功能也可用於快速分類，比如：需要將所有 Skype 程式移動到 Skype

分類，可以在搜尋中輸入內容「Skype」
，則會查詢所有的 Skype 程式，然後
將查詢的結果一起拖曳到 Skype 分類，加速分類管理工作。
可將目前點選的「應用程式識別規則」或「應用程式清單」，匯出
為 .htm/.html/.xls/.xlsx/.csv 等格式。
匯出
本功能所匯出的資訊，僅供管理員檢視，不可做為識別規則庫匯入使
用。
注意「未分類」和「系統應用程式」類別都不能刪除，也不能新增子分類。
10.2 網站分類
管理員可根據企業需求，將網站分類，以便按照類別統計和控制員工的網頁瀏覽情況。
選擇【分類管理→網站】開啟【網站類別】視窗，沒有預設分類，管理員需要手動新增
網站類別和網站標識，網站標識支援萬用字元。
156
操作說明
點選功能列【操作→新增→網站類別】，新增網站類別並命名；也可於分類
新增網站類別
下再新增子分類。
新增分類後，在右側的網站視窗按一下右鍵【新增→網站標識】
，新增一個網
站標識並輸入名稱和網址，輸入的網址不可包含 http:// 和 https://，支援萬
新增網站標識
用字元「 * 」、「 ? 」等，如：「 *.Yahoo.com 」、「 *mail* 」、「 *game* 」、
「*.com/mail/*」
、「www.facebook*」等。
在記事本編寫網站識別，格式為：[名稱],[識別]；如：
[臉書],[*facebook*]、[雅虎],[*yahoo*]
匯入網站標識
儲存為 txt 檔案後，在控制台【分類管理→網站】中選擇一個網站類別，在
右側的網站訊息視窗中按一下滑鼠右鍵選擇【匯入網站標識】
。
選擇【操作→搜尋】或按一下工具列上的搜尋按鈕【】，搜尋指定的網
搜尋
站屬於哪個分類，或是否存在，搜尋支援模糊查詢。
在控制台【分類管理→網站】中按滑鼠右鍵，點選【網站類別】
，或點選功能
列【操作】，都可看到「匯入網站庫」與「匯出網站庫」功能。
匯入/匯出網站庫
透過上述功能，可備份網站庫，或匯入至其他的 IST 伺服器，快速建立網站
庫內容。
此外，也可在「網頁瀏覽日誌」和「網頁瀏覽統計」中選取一筆記錄，按右鍵點選【新
增到網站類別】
，可將該記錄的網址加入到指定的已存在分類庫中。
10.3 移動儲存分類
為了方便管理企業內部移動儲存裝置的使用，首先要在「移動儲存分類」中，對企業內
部所有使用的移動儲存裝置進行分類。建議管理員可以把屬於同部門或個人使用的移動儲存
裝置放在同一分類，再依分類的移動儲存裝置授予不同的權限，以防止資料洩露的風險。
移動儲存裝置可區分為「加密碟」、「非加密碟」（普通碟）和「安全隨身碟」。
157
「加密碟」是指經過 IST 產品格式化加密的移動儲存裝置，只能在已安裝 IST 用戶端的
電腦上使用，未安裝用戶端的電腦無法使用該移動儲存裝置。加密碟只能透過 IST 控制台製
作。
「非加密碟」是指在授權的電腦上，當檔案寫入該隨身碟時，將檔案內容進行加密處理，
當檔案在授權的電腦上被複製回硬碟時，再將檔案內容解密，避免隨身碟內的檔案遭人複製。
「安全隨身碟」是由 IST 原廠開發製作，檔案寫入安全隨身碟時不會加密，任何人欲存
取安全隨身碟的內容，都必須輸入正確密碼，才能看到安全隨身碟所存放的檔案。目的是讓
公司內外使用上更方便，解決移動儲存裝置遺失的被動洩密問題，是便捷性和安全性雙贏的
最佳方案。
點選【分類管理→移動儲存】開啟【移動儲存類別】管理視窗，系統預設有二個類別－
「已註冊」和「未註冊」，管理員可以手動新增新類別。
移動儲存資訊的獲取
移動儲存資訊的獲取主要有兩種方式：
獲取方式說明
所有在用戶端電腦上使用過的移動儲存裝置資訊，都會放在「未註冊」分類
用戶端獲取中，管理員可將這些移動儲存裝置移動到其他自訂分類。用戶端只能獲取普
通隨身碟裝置資訊。
管理員可將移動儲存裝置，直接插入控制台電腦，以新增移動儲存裝置資訊，
在「移動儲存類別」管理視窗中，選擇功能列【操作→本機隨身碟資訊】
，檢
控制台獲取
視插入的移動儲存裝置資訊，其中有標誌【】的表示該移動儲存裝置還
沒有儲存在分類中。
手動更新本機移動儲存清單。
修改按鈕，設定移動儲存分類、格式化成加密或非加密碟、初始化安全隨身
碟、設定磁碟區序號或檢視安全隨身碟互動區日誌。
儲存按鈕，將移動儲存資訊儲存到 IST 伺服器，新增的移動儲存資訊都會歸

類到「未註冊」分類中。
158
註冊按鈕，將移動儲存裝置註冊、取消、取消掛失和修改註冊資訊。
備註為移動儲存註冊時可以新增備註資訊，方便管理員檢視和識別。
在控制台【分類管理→移動儲存】中按滑鼠右鍵，點選【移動儲存類別】
，或
點選功能列【操作】，都可看到「匯入移動儲存庫」與「匯出移動儲存庫」
匯出/匯出
功能。
移動儲存庫
透過匯出匯入功能，可備份移動儲存庫，或匯入至其他 IST 伺服器，快速建
立移動儲存庫內容。
注意當識別規則中包含「僅使用磁碟區序號判斷」時，無法進行匯出匯入作業。
製作加密碟
管理員將需要格式化為加密碟的移動儲存裝置，依次插入控制台所在的電腦製作。選擇
【分類管理→移動儲存】開啟【移動儲存類別】管理視窗，選擇功能列【操作→本機隨身碟
資訊】檢視本機移動儲存裝置清單。
按圖示按鈕【】在清單中選取【格式化成加密碟】，將正常的移動儲存裝置格式化為
加密碟。格式化時，可選擇加密碟的檔案系統格式（FAT/FAT32/NTFS）
，格式化為加密碟後，
該裝置上的所有檔案將被刪除，並且只能在已安裝 IST 產品的用戶端電腦上使用，請管理員
確認是否執行格式化操作。
格式化成功後，圖示將轉變為，表示該裝置是加密碟，但尚未儲存裝置相關訊息，
按一下儲存按鈕後，圖示變更為。
注意加密碟預設不可在用戶端上使用，需對用戶端設定一條勾選【允許讀取】、【允許寫入】的移
動儲存策略，加密碟才可在此用戶端上使用。
加密碟格式化為非加密碟
管理員也可以將加密碟還原為普通碟，也就是非加密碟，將加密碟格式化為非加密碟的
方法有兩種：
1. 在未安裝用戶端的電腦上手動格式化
159
(1) 加密碟在用戶端電腦上可以正常開啟並使用，在未安裝用戶端的電腦上開啟時，
會出現需要格式化的提示訊息。若使用者選擇【是】，將手動格式化該裝置為非
加密碟，同時刪除該移動儲存上的所有檔案。
(2) 企業須提醒員工謹慎操作，一旦手動格式化之後，就不再是加密碟了。
2. 透過控制台將加密碟格式化為普通碟
(1) 在控制台電腦上插入加密碟，開啟【移動儲存類別】管理視窗，檢視本機移動儲
存資訊，可以看到該加密碟資訊。
(2) 選取加密碟，按右鍵清單點選【本機移動儲存資訊】，在「本機已連線的移動存
放清單」選取加密碟，按圖示按鈕【】
，在清單中選取【格式化成非加密碟】，
格式化該碟為非加密碟，格式化成功後，該碟的磁碟序號發生變化，需要重新儲
存到伺服器。
注意在用戶端電腦上使用加密碟時，需選取加密碟，按右鍵選擇【Eject device】安全退出。
安全隨身碟
移動儲存安全隨身碟（IST Safe-UDiks）是由 IST 原廠新開發的一項硬體裝置，儲存區
分為四個區域：普通區、保密區、隱藏區、光碟區。須使用安全隨身碟內建的 XExplorer 檔
案管理器，方可開啟安全隨身碟的互動區，並可對本機磁碟進行管理，支援密碼認證，功能
類似 Windows 檔案總管。
其主要功能有三項：
1. 多分區管理
為了方便用戶在公司內、外部使用資料，安全隨身碟支援多分區管理，並支援不同分
區具有不同權限。
2. 密碼讀取
安全隨身碟互動區須輸入密碼才能瀏覽，複製到互動區的檔案不會被加密，有效解決
160
公司內外部使用資料時，檔案需要解密的困擾，也同時避免移動儲存裝置遺失，導致
被動洩密的問題，是便捷性和安全性雙贏的最佳方案。
3. 強制保護
用戶端不能對安全隨身碟的某個分割區、或整支隨身碟進行格式化的操作行為，安全
隨身碟能有效防止用戶的破壞行為。
IST 安全隨身碟可以在有安裝 IST 用戶端和一般電腦（無 IST 用戶端）上使用，但是在不
同環境下，安全隨身碟顯示的裝置圖示不一樣。
註冊管控
預設不啟用移動儲存註冊管控功能。選擇【分類管理→移動儲存】開啟移動儲存視窗，
選擇【操作→註冊管控】，勾選【啟用】後，註冊管控功能生效。
此時僅有註冊過且狀態為「正常」的移動儲存設備才能在用戶端使用，未註冊、已掛失、
已過期、已登出等移動儲存設備皆無法使用。
註冊移動儲存設備時，可填寫移動儲存設備的一些相關資訊，並指定移動到哪個類別下，
預設自動移動到「已註冊」類別下。
註冊移動儲存設備有兩種途徑：
1. 本機註冊
在控制台電腦上插入移動儲存設備，開啟移動儲存分類庫，選擇【操作→本機移動儲
存資訊】
，可看到該移動儲存設備資訊。選中該移動儲存設備，按圖示按鈕【】
，接
著選擇【註冊】註冊該設備，再按圖示按鈕【】儲存。
2. 遠端註冊
在遠端用戶端電腦上插入移動儲存設備，透過控制台開啟移動儲存分類庫，選擇【操
作→遠端移動存儲資訊】，在「遠端用戶端」選擇到插入移動儲存設備的用戶端後，
可看到該用戶端上插入的移動儲存設備資訊，選中該設備，按圖示按鈕【】，接著
選擇【註冊】註冊該設備，再按圖示按鈕【】儲存。
161
圖示按鈕【】的其餘操作說明：
操作名稱說明
已註冊，但不再使用的移動儲存設備，可選擇「取消」操作；
取消「取消」後的移動儲存設備將不能再於用戶端電腦上使用，資訊會自動移動
到「未註冊」類別。
已註冊，但遺失的移動儲存設備，可選擇「掛失」操作；
掛失「掛失」後的移動儲存設備不能再於用戶端電腦上使用，資訊仍然保留在原
分組。
已掛失的移動儲存設備找回來，若想繼續使用，可選擇「取消掛失」操作；
取消掛失
「取消掛失」後的移動儲存設備能正常在用戶端上使用。
修改註冊資訊此操作可修改註冊時填寫的設備名稱、設備編號等資訊。
移動儲存裝置的內容說明
移動儲存裝置包括 USB 隨身碟、移動硬碟、記憶卡、智慧卡等可移動設備。移動儲存裝
置的內容包括：
內容名稱說明
每一個移動儲存設備都有一個 UDiskID，UDiskID 是一個移動儲存裝置的唯

UDiskID
一標識資訊，格式化也不會發生改變。
磁碟區序號每一個可移動設備都有一個磁碟區序號；格式化後，磁碟機序號可能會改變。
狀態是否未註冊。
裝置描述移動儲存裝置的描述資訊，通常是出廠時就寫入的訊息。
磁碟區容量移動儲存設備的磁碟區容量大小。
類型磁碟類型為：非加密碟、加密碟或安全隨身碟。
儲存設備顯示儲存設備的種例，例如移動儲存。
類別移動儲存分類。
磁碟區標籤移動儲存裝置的磁碟區標籤。
162
檔案系統移動儲存裝置的磁碟分區格式，一般為：FAT、FAT32、NTFS。
為了方便檢視和區分移動儲存裝置，可新增一些備註資訊，預設為空白，按
備註資訊
一下右鍵【修改註冊資訊】輸入備註資訊，例如：使用者，資產編號等。
上次操作時間上一次插入使用移動儲存裝置的時間。
按兩下移動儲存裝置檢視詳細內容，在內容視窗中，按一下【使用記錄】按
鈕可檢視該設備的使用情況，確定該移動儲存裝置的使用範圍；或直接選取
檢視使用記錄
移動儲存裝置，按滑鼠右鍵選擇【檢視使用情況】
，檢視該移動儲存裝置的使
用情況。
識別資訊指該移動儲存裝置訊息中，所識別判定的移動儲存裝置訊息內容。
163
識別規則
選擇【分類管理→移動儲存】開啟移動儲存分類庫，選擇功能表【操作→識別規則】開
啟【移動儲存識別規則】視窗並設定。目前支援 UDisk ID 和磁碟區序號兩種識別方式。
預設使用 UDiskID 作為比對規則。若多個移動儲存設備的 UDiskID 相同，則需要在「移
動儲存識別規則」中新增此 UDiskID 為非法 UDiskID，非法 UDiskID 的移動儲存裝置以磁碟
區序號作為比對規則。
可設定特定一個或多個 UDiskID 為非法 UDiskID，輸入完整的 UDiskID 內容，支援「;」、
「,」作為分隔符號；也可設定任意的 UDiskID 為非法 UDiskID，即所有移動儲存裝置都使用
磁碟區序號為比對規則。
尋找
「移動儲存類別」管理提供了多種查詢條件，以方便管理員查找需要的移動儲存資訊。
選擇【檔案→尋找】或直接按一下工具欄上的搜尋按鈕【】開啟查詢視窗：
查詢條件說明
依 UDiskID 進行查詢，輸入移動儲存裝置的 UDiskID，可使用萬用字元，並

UDiskID
支援模糊查詢。
依磁碟區序號查詢，輸入指定的磁碟區序號，不支援模糊查詢，需要輸入完
磁碟區序號
整的磁碟區序號。
類別不選擇即代表查找全部類別，或勾選「已註冊」及其下的子分類資訊查詢。
依移動儲存裝置的描述資訊進行查詢，支援模糊查詢，比如輸入 USB，則查
描述
詢出的結果中設備描述包含 USB。
磁碟區標籤不輸入任何內容代表全部，輸入標籤，如：h，進行查詢。
加密碟類型依是否為加密碟或安全隨身碟查詢，預設為全部。
依分區格式查詢，如：輸入 NTFS 查詢分區格式為 NTFS 的所有移動儲存裝

檔案系統
置資訊。
磁碟區容量設定磁碟區容量範圍，依移動儲存裝置的磁碟區容量查詢。
164
最後使用時間依移動儲存裝置的最後使用時間查詢。
註冊有效期依移動儲存裝置註冊的有效期間查詢。
註冊狀態依移動儲存裝置的註冊狀態查詢，如：未註冊、掛失等。
關鍵字依備註資訊查詢，支援模糊查詢。
管理員可設定多個查詢條件，進行更精確的查詢，查詢的結果包含了移動儲存裝置所屬
的類別資訊，管理員可拖曳移動儲存資訊到指定的類別。
修改移動儲存裝置磁碟區序號
管理員需要有效的管理移動儲存裝置，但在某些特殊的移動儲存讀取裝置上，由於系統
的格式化所產生的磁碟區序號固定都是「0000-0000」
，造成管理漏洞，若作業系統格式化，
又會造成移動儲存裝置無法被讀取，此時可藉由「修改移動儲存磁碟區序號」功能，在不重
新格式化移動儲存裝置的情況下，將該移動儲存裝置納入管控。
修改移動儲存磁碟區序號操作方式：
1. 將移動儲存裝置插入 IST 控制台本機電腦 USB 插槽中。
2. 在控制台選擇【分類管理→移動儲存】開啟【移動儲存類別】管理視窗，選擇功能
列【操作→本機隨身碟資訊】檢視本機隨身碟清單。
3. 按圖示按鈕“ ”在清單中選取「設定磁碟區序號」，修改移動儲存磁碟區序號。
4. 在「修改移動儲存磁碟區序號」視窗上，點選【產生確認碼】
，隨機自動產生一組磁
碟區序號。
5. 點選【確定】修改磁碟區序號，按【退出】本機移動儲存資訊視窗，再按【是】儲
存修改。
10.4 軟體安裝套件分類
提供設定軟體安裝的黑白名單，授權用戶端上僅允許安裝指定的軟體，其他未知的軟體
禁止安裝，而且不會影響到一般程式的執行，管理員也可以在控制台查看到違反策略的記錄。
165
軟體安裝套件的操作步驟
1. 開啟控制台功能列“工具→帳號”，在〔功能權限〕勾選 2 個權限：
(1) 策略→軟體安裝管理
(2) 所有分類管理→軟體安裝套件分類庫
2. 新增軟體安裝套件分類庫：分類庫中預設沒有任何資料夾，點選按鈕新增資料夾，
自訂資料夾名稱，每個根目錄下可以再新增子資料夾。
3. 新增軟體安裝套件：點選按鈕開啟“新增設定”視窗，在上方的〔軟體安裝套件〕
欄位勾選新增特定軟體，或點選右上角按鈕新增特定的軟體，也可點選按鈕新
增整個目錄。
4. 指定類別資料夾：在“新增設定”視窗下面的〔類別〕欄位選取特定軟體要放在哪個分
類資料夾。
5. 新增重複時的新增方式：選取當新增軟體已存在分類庫時的處理方式，有三種方式可供
選擇「允許新增到不同分類」、「僅新增新的安裝套件，略過已存在的安裝套件」、「把安
裝套件從原來的分類移動到新分類」，請依實際需要選擇重複時的新增方式。
注意 “新增設定”視窗的〔軟體安裝套件〕欄位，軟體安裝套件不可手動輸入。
10.5 軟體移除分類
設定軟體移除的黑白名單，授權用戶端上僅允許移除指定的軟體，其他未知的軟體禁止
移除，而且不會影響到一般程式的執行，管理員也可以在控制台查看到違反策略的記錄。
軟體移除的操作步驟
1. 開啟控制台功能列“工具→帳號”，在〔功能權限〕勾選 2 個權限：
(1) 策略→軟體安裝管理
(2) 所有分類管理→軟體移除分類庫
2. 新增軟體移除分類庫：分類庫中預設沒有任何資料夾，點選按鈕新增資料夾，自訂
166
資料夾名稱，每個根目錄下可以再新增子資料夾。
3. 新增移除軟體：點選按鈕開啟“新增設定”視窗，在上方的〔移除軟體〕欄位，點
選右上角按鈕手動輸入軟體名稱。也可點選按鈕開啟“移除軟體匯入”視窗，
勾選欲移除的軟體名稱，按【確定】，勾選的軟體會顯示在移除軟體清單。
4. 指定類別資料夾：在“新增設定”視窗下面的〔類別〕欄位選取特定軟體要放在哪個分
類資料夾。
5. 新增重複時的新增方式：選取當新增軟體已存在分類庫時的處理方式，有三種方式可供
選擇「允許新增到不同分類」、「僅新增新的軟體，略過已存在的軟體」、「把軟體從原來
的分類移動到新分類」，請依實際需要選擇重複時的新增方式。
注意 “新增設定→移除軟體匯入”內的軟體清單來自“資產管理→軟體移除”。
10.6 時間類型分類
為查詢和統計上的方便，管理員可以預先定義時間段類型。點選“分類管理→時間類型”，
檢視現有時間類型，系統預設有四種時間類型：全天、工作時間、休息時間、週末時間。
管理員可以根據企業工作時間修改「工作時間」、「休息時間」、「週末時間」三種類型，
在左邊〔類別〕欄位選取任一種時間類型，檢視時間範圍並且對其編輯修改。除了系統定義
好的時間類型，管理員也可以新增其他時間類別。
操作說明
點選按鈕增加一個新類別並且自訂類別名稱，時間範圍預設是全天，需
新增時間類型要手動編輯修改時間段。
「藍色」為選定時間，
「白色」為排除時間。
選擇需要刪除的時間類別，點選按鈕刪除時間類型。
刪除時間類型
系統預設的四個時間類型不能刪除。
167
10.7 浮水印範本
點選【分類管理→浮水印範本】
，可於「列印浮水印範本」或「螢幕浮水印範本」上，如
下圖點選【新增】鈕，並選擇「建立空白範本」，即可新增一個空白的浮水印範本。
管理者可同時啟用「點陣」、「指定位置」、「並排」等浮水印效果，自由搭配為公司所需
要的格式。浮水印設定完成後，請按【確定】儲存。
168
10.8 敏感資料分類庫
辨識敏感檔案前，必須先定義敏感資料，可點選【分類管理→敏感資料分類庫】
，設定特
徵規則和資料分類，設定需要辨識的敏感資料內容並指定其生效的條件。
10.8.1 特徵規則
透過增加特徵規則，可設定需要辨識的敏感資料關鍵字，並指定敏感資料的辨識規則。
選擇【特徵規則】後按滑鼠右鍵選擇【新增】，於彈出的修改特徵規則視窗中設定。
169
 特徵規則名稱：必填
 類型：可選擇「檔案名稱」
、「檔案類型」或「檔案內容」
。依照選擇的類型對檔案進行比
對。
 忽略重複字：勾選忽略重複字，若檔案包含較多相同的敏感資料，僅會辨識為命中一次。
說明當類型選擇關鍵字時，「忽略重複字」以字串為主。如類型選擇關鍵字時，包含內容為\d{4}
（比對 4 個連續數字）
，而一個檔案中出現字串 1234（出現 3 次）、5678（出現 4 次）均符
合這個規則，不勾選「忽略重複字」時，命中次數為 7 次，勾選「忽略重複字」時，命中次
數為 2 次。
 大小寫視為相異：區分大小寫功能，英文字元區分大小寫不同進行比對。
 至少命中次數：設定敏感資料出現的次數，值為 1-10000 之間的數字，當檔案中出現敏
感資料的次數大於或等於此數值時，才算符合此規則。
 內容分類：可選擇「關鍵字」或「規則運算式」，根據選擇的類型確定辨識「包含內容」
和「排除內容」中的敏感資料方式。於「類型」中選擇關鍵字，根據設定的字串比對。
設定規則運算式，可依據填寫的規則運算式邏輯進行比對。
 包含內容：根據所選擇的類型填入需要辨識的敏感資料，可為規則運算式和關鍵字，支
援設定多個。關鍵字可用英文分號和逗號隔開，規則運算式以英文分號隔開。
 排除內容：不進行比對的字串，設定方式如「包含內容」
，優先於「包含內容」前比對。
如「包含內容」中設定 abc，
「排除內容」中設定 abcd，若檔案出現字串 abcd，則 abcd
170
不符合此規則。
選擇特徵規則→點選滑鼠右鍵→修改/刪除，可以修改/刪除規則。
說明若規則已設定至資料分類內，將無法刪除此規則，必須在相關的資料分類→規則組中刪除此
規則後，再進行刪除。
10.8.2 資料分類
透過資料分類設定特徵規則的生效方式。
選擇【資料分類】後按滑鼠右鍵，選擇【新增】
，在彈出的修改資料分類視窗中，設定敏
感資料的辨識規則組。
 資料分類名稱：必填。
 備註：資料分類的備註內容。
 規則組：設定資料分類包含的特徵規則，點選【】增加規則，選擇規則後點選【】
可刪除，必填。
新增的規則權重預設值為 100，可根據需求設定不同整數。
171
說明辨識敏感檔案時，以資料分類為判斷依據，當檔案與資料分類中的特徵規則進行比對，將比
對到的特徵規則權重相加，權重值總和大於或等於 100 時即符合。
透過設定特徵規則權重，可達到 And 或 Not 的組合。
點選資料分類後右鍵→編輯／刪除，可以編輯／刪除資料分類。
說明
不同類型的檔案進行統一管控時，例如業務部的銷售合約與客戶資料等重要的檔
案，包含的關鍵字組合與邏輯不同，不方便設定在同一個特徵規則中判斷，但可以統
一管控，則資料分類的設定為：特徵規則<銷售合約>（權重 100）
，<客戶資料>（權
重 100）
同時滿足兩種以上關鍵字組合時才確定是某一種類型的檔案，例如保險公司內部
有多種不同的保險合約，需要區別出不同的保險種類合約進行管控，則資料分類的設
定為：特徵規則<保險合約>（權重 50），<個人資料>（權重 50）
如果有些例外檔案不需要被管理，例如：產品的操作手冊，有部分的手冊為公開
資訊，不需要被管理，而其他的操作手冊屬於敏感資料，則資料分類的設定為：特徵
規則<操作手冊>（權重 100），<使用手冊>（權重-100）
備註：以上設定的權重數值並非固定，在案例二中，資料分類的設定為：特徵規
則<保險合約>（權重 41），<個人資料>（權重 59）時效果相同，只要在特徵規則比
對符合時，權重值相加>100 即可。
172
10.8.3 分類庫匯出匯入
敏感資料分類庫支援匯出／匯入功能，在敏感資料分類庫的視窗內按右鍵，可查看相關
選項。
匯出
 匯出全部：匯出整個分類庫資訊，包含所有的資料分類和特徵規則。
 匯出資料分類：可匯出指定的資料分類，預設匯出套用到該資料分類內的特徵規則，不
會匯出與該資料分類無關的特徵規則。
 匯出特徵規則：僅匯出指定的特徵規則。
匯入
 敏感資料分類庫的檔案匯入，匯入時不可選擇希望匯入的內容。
173
十一、桌面申請管理
當策略已設定並且啟用後，因某些原因需要臨時開放用戶端的管控。管理員可以透過桌
面申請管理，指定可以提出申請的用戶端及可申請臨時開放的策略。用戶端以通知區申請精
靈，指定時間段及理由等條件，提出申請。
管理員在控制台的關於桌面申請管理的操作，都會記錄在稽核日誌裡，包括桌面申請管
理、審核權限委託、申請審核權限設定。
11.1 管理員權限設定
在控制台功能列“工具→帳號 ”〔一般〕頁籤中勾選「只允許登入審核管理平台」的管
理員，只能登入審核管理平台。
在〔功能權限〕頁籤中，可以設定關於桌面申請管理的端點管控模組申請和審核權限。
權限說明
檢視桌面申請和審核
檢視申請權限和審核情況。
情況
取消申請檢視、刪除申請訊息。
審核否決權限檢視、否決申請訊息。
審核權限委託將審核權限委託其他管理員。
檢視桌面審核流程檢視端點管控模組審核流程。
設定桌面審核流程檢視、新增、刪除和修改端點管控模組審核流程。
檢視申請權限檢視對應管理範圍的電腦或使用者的授權權限。
搜尋申請權限搜尋對應管理範圍的電腦或使用者的授權權限。
設定申請權限檢視、修改對應管理範圍的電腦或使用者的授權權限。
提示關於【審核】權限：多層級審核的審核人不需要有明確的審核權限，只要流程環
節的審核人中有此帳號即可審核，因此不需要在控制台對其設定權限。
174
11.2 申請審核權限設定
在控制台設定申請權限後，用戶端才可以進行相關功能的申請。
擁有「設定申請權限」的管理員登入控制台，選擇功能列“申請管理→申請審核權限設
定”，開啟桌面申請管理介面，對需要給予申請權限的對象賦予申請權限。
可以針對下列申請類型進行設定：
權限說明
使用設備申請開放使用設備管控策略內的設備項目。
使用移動儲存設備申請開放使用記憶卡、隨身碟、USB 外接硬碟。
列印申請透過本機印表機、共用印表機、網路印表機、虛擬印表機列印。
取消列印浮水印申請於列印檔案時，不輸出浮水印資訊。
發送郵件申請可對特定收件人於 E-mail 中，寄送特定檔案。
聊天工具傳送檔案申請可透過指定的傳訊軟體，傳送特定檔案。
上傳檔案和資料申請可在特定的網站/位址/通訊埠，上傳特定檔案。
複製到移動碟申請可將特定檔案複製到任意記憶卡、隨身碟、USB 外接硬碟上。
複製到網路碟申請可將特定檔案複製到任意共用資料夾內。
燒錄光碟申請可將特定檔案燒寫到光碟內。
在「申請狀態」一欄中，可選擇「禁止」或「允許」
，並可點選右上方的鈕，做更多
進階的設定內容。設定完成之後，點選儲存設定。
提示使用者策略優先於電腦策略。
11.3 審核流程
用戶端提交審核的時候，控制台會依據審核流程進行審核。
新增審核流程
175
在 IST 控制台，點選上方的「申請管理」選單，選擇「桌面申請管理」-「審核流程管理」，
並在審核流程管理介面點選【新增】按鈕，開啟〔基本設定〕視窗。
在〔基本設定〕視窗裡可以設定流程名稱（名稱不可重複）
，選擇申請類型及申請對象（使
用者策略優於電腦策略）。
點選【下一步】，在〔環節設定〕介面，點選【】，新增環節名稱，選擇審核人員、審
核通過條件以及是否可以修改申請內容等設定。
點選【確定】新增環節完成，可新增多個環節設定，回到環節設定介面，對已存在的環
節進行修改（）、刪除（）和調整順序（）。
最後點選【儲存】按鈕，將此次的修改設定儲存到資料庫。
提示新增流程預設不啟用，需要勾選流程前的複選框才會啟用。
說明：審核流程可以預先設定或不設定，建議設定審核流程，讓審核機制更嚴謹。
 不設定審核流程：審核人員為 admin
 設定審核流程：依指定申請類型、申請對象，在流程環節中新增一名或多名審核人員、批准申請的
人數門檻，以及核審員是否有修改申請內容的權限。
修改、刪除、複製流程
 選取某一流程，點選【修改】按鈕。修改流程的方式與新增流程的步驟類似。
 選取某一流程，點選【刪除】按鈕，刪除該流程。
 選取某一流程，點選【副本】按鈕。複製的流程自動命名為「被複製的流程名_1」，
其他內容與原流程一致。
176
流程比對及順序調整
IST 服務控制器收到申請時，會在審核流程清單中將此申請由上到下比對，直到第一個
符合條件的流程。如果申請不能比對到任何自定義的流程，則會比對預設流程，由系統管理
員進行審核。
提示可以使用對流程順序進行調整。
還原和儲存修改
新增、修改、刪除、複製流程和調整流程順序，最後都需要點選【儲存】按鈕才會生
效。在儲存前，可以點選【還原】按鈕，恢復到上一次儲存的狀態。
11.4 用戶端申請
在控制台對用戶端設定對應的申請權限之後，用戶端電腦桌面右下角會出現通知圖
示，請以滑鼠右鍵點選該圖示，選擇「桌面申請」來進行申請相關操作。
申請流程：選擇申請類型 →填寫申請理由 →選擇和設定申請內容 → 設定申請有效期間 → 點選【申請】

後即可提交申請。
177
11.4.1 提交申請
目前提供策略變更申請及審核，以列印申請為例，當用戶端被設定了策略禁止列印操作
時，可以透過申請，請求在特定時間內開放對特定列表機和應用程式的列印控制。
申請內容
用戶端選取申請精靈，開啟「申請精靈-列印申請」。
系統會自動顯示目前用戶端環境所有安裝的印表機清單，選擇需要臨時開放列印權限的
印表機和應用程式。
 印表機：點選印表機前的複選框，支援單選/多選/全選/全不選。勾選「所有印表機
（包含本機未新增的印表機）」，可以申請開放全部。
 應用程式：點選按鈕可以新增應用程式。可以多次點選，輸入多個應用程
式，也可以一次點選，輸入多個應用程式。
提示輸入多個應用程式時，可以用半形逗號“, ”或“半形分號“;”隔開。例如：可以
輸入應用程式 powerpnt.exe,winword.exe;excel.exe。
時間設定
設定臨時開放操作控制的有效時間，和有效時間內的啟用時間。
項目說明
有效時間段用戶端申請暫停控制的時間段。
起始時間預設為目前時間。起始時間不能小於目前時間。
結束時間預設為目前時間加一小時。結束時間必須大於起始時間。
審核通過後的
預設為 60 分鐘，最小為 1 分鐘，從審核通過後開始計時。
有效時間
在有效時間內的可啟
可選項。啟用時間範圍為：1~有效時間（單位：分鐘）。
用時間
178
範例
例 1：設定有效時間為 2022-12-23 17:00 到 2022-12-23 23:59，
則用戶端在 2022-12-23 這天從 17:00-23:59 都可以使用列印功能。
例 2：設定「審核通過後有效時間」為 30 分鐘，假設管理員在 13:00 審核通過，

則用戶端在 13:00-13:30 這段時間可以使用列印功能。
例 3：在例 1 的基礎上，同時勾選「在有效時間內的可啟用時間」為 30 分鐘，

則用戶端在 23 號這天只有 30 分鐘可以使用列印功能。
例 4：在例 2 的基礎上，同時勾選「在有效時間內的可啟用時間」為 30 分鐘，

而用戶端在 13:28 開始執行列印操作，則用戶端也只能在 13:30 前使用 2 分鐘。
申請理由
申請理由不能空白。
完成申請理由之後，點選【申請】按鈕提出申請，此時用戶端會有氣泡提示訊息。
提示設備申請介面會自動顯示目前用戶端環境所有被禁用的設備，和預設的設備分類
（與“控制台→設備控制”一致）
。預設會勾選被禁止的設備，只顯示被策略禁止
的設備。
11.4.2 查看申請資訊
選取右下角的用戶端圖示，按右鍵→【檢視桌面申請情況】
，查看詳細提交記錄的申請情
況。欄位訊息包含：狀態、申請時間、審核人、審核流程、有效時間、申請理由。
在此介面可以進行啟用申請、重新申請、刪除申請、查看申請、匯入審核、離線申請和
取消申請等操作。
11.4.3 離線申請和匯入審核結果
當用戶端離線時，可以在「檢視桌面申請情況」介面，選取需要匯入的申請，按右鍵選
179
擇【離線申請】，或者點選右上角的【離線申請】，匯出離線申請文件 (*.ORD)，發送給管理
員，管理員可以將申請資訊匯入到 IST 控制台，進行審核。
提示用戶端非處於離線狀況時，「離線申請」相關功能將無法點選。
11.4.4 重新申請
當申請狀態為「已拒絕、已否決、已取消、已失效、已完成、已過期、被移除」時，可
在「檢視桌面申請情況」介面中，選取申請記錄，按右鍵選擇【重新申請】
，或者點選右上角
【重新申請】按鈕進行申請。
重新申請會新增一筆新的申請記錄：
1. 當申請被管理員從控制台刪除時，控制台不會有歷史記錄：
2. 當申請未被管理員從控制台刪除時，重新申請：
(1) 原狀態為「已拒絕、已否決、已取消、已失效」的申請記錄在控制台會被刪除，
並且產生一筆新的申請記錄；
(2) 原狀態為「已完成、已過期」，則保留原申請，狀態變更為「執行中」，無歷史
記錄。
11.4.5 刪除申請
申請情況記錄過多時，用戶端可以手動按右鍵刪除，或者選取申請記錄後點選【移除】
按鈕刪除，可同時選取多筆申請記錄。
刪除項目說明
可刪除項包含狀態為「已取消、已失效、已完成、被移除、已拒絕、已否決」的申請。
不可刪除項包含狀態為「等待審核、已批准、執行中」的申請。
僅有「可刪除」項目時，會提示“是否確定刪除”，點選「是」則刪除，點選「否」則
都不刪除。
180
僅有「不可刪除」項目時，會提示「是否刪除”等待審核/已批准/執行中”的申請」
，點
選「是」則刪除，點選「否」則都不刪除。
同時有「可刪除」和「不可刪除」選項時，會提示「除了….等"審核/已批准/執行中"外，
其它申請都會被刪除，是否確定刪除」
，點選「確定」則刪除，點選「取消」則都不刪除，點
選「強制刪除全部」則可刪除項也會被刪除。
11.4.6 取消申請
當申請記錄顯示處於「等待審核、已批准、執行中」狀態時，可按右鍵【取消】
，或者點
選右上角【取消】以取消申請操作。此時，申請狀態為「等待審核、已批准」的申請變為「已
取消」，申請狀態為「執行中」的申請變為「已完成」。
11.4.7 啟用申請
當申請記錄中沒有設定「在有效時間內的可啟用時間」時，審核通過之後，狀態會處於
「已批准（未啟用）」
，此時可以右鍵選擇【啟用】
，或者點選右上角【啟用】按鈕，啟用申請。
啟用申請後，有效時間會變化。實際使用時間受有效時間限制。
範例
例 1：設定時間段為 2022-10-15 17:00 到 2022-10-15 23:59，在有效時間內的可啟用時
間為 15 分鐘。在 2022-10-15 18:00 啟用，有效時間變為 2022-10-15 18:00 到
2022-10-15 18:15（實際可用時間為 15 分鐘）。
例 2：設定時間段為 2022-10-15 17:00 到 2022-10-15 23:59，在有效時間的可啟用時間

為 15 分鐘。在 2022-10-15 23:50 啟用，有效時間變為 2022-10-15 23:50 到
2022-10-15 23:59（實際可用時間為 10 分鐘）。
例 3：設定有效時間為 30 分鐘，在有效時間內的可啟用時間為 15 分鐘。假設管理員在

13:00 審核通過，則用戶端在 13:10 啟用，有效時間變為 13:10-13:25（實際可用
181
時間為 15 分鐘）。
例 4：設定有效時間為 30 分鐘，在有效時間內的可啟用時間為 15 分鐘。假設管理員在

13:00 審核通過，則用戶端在 13:20 啟用，有效時間變為 13:20-13:30（實際可用
時間為 10 分鐘）。
11.4.8 申請狀態轉換
11.5 審核
11.5.1 控制台審核
點選控制台選擇功能表“申請管理→桌面申請管理→申請管理”，進入「申請管理」介
面。在此介面可以查詢申請記錄並進行審核相關操作。
審核申請
審核流程：查看申請記錄 → 修改有效時間和申請內容（可選項） → 在申請資訊輸入
審核意見 → 點選【批准】或【拒絕】按鈕結束審核。
182
而開啟「申請明細」並進行審核的方式有三種：
 點選申請氣泡。
 點選控制台功能表“申請管理→桌面申請管理→申請管理”，快點兩下申請記錄。
 點選控制台功能表“申請管理→桌面申請管理→申請管理”，選取申請記錄，點選
【審核申請】按鈕。
 點選控制台功能表“申請管理→桌面申請管理→申請管理”，選取單筆或多筆申請
記錄，點選【快速審核】按鈕。
申請項目說明
包含申請資訊的概況和審核意見。申請資訊概況包括：有效時間、印表機名
申請資訊
稱、應用程式列表、申請理由、目前審核狀態和審核流程。
有效時間與用戶端提出申請時的時間設定一致。
申請內容與用戶端提出申請時的申請內容一致。
如果審核者在流程環節中有「修改申請內容」的權限，可以對“有效時間”和“申請內
容”項進行修改。
快速審核
在「申請管理」介面，選擇等待審核的申請，點選【快速審核】按鈕，輸入審核意見，
進行快速審核。可利用 Ctrl 和 Shift 鍵，選擇多筆申請記錄同時審核。
提示如果管理員可審核的流程條件不包含申請類型或未到流程環節，就算選取多筆申
請，也只會通過該管理員有權限審核的申請。
否決審核
審核過程中，「否決」與「拒絕」是完全不同的意思！
否決：無論目前處於流程的哪個環節，一旦被否決，整個申請就算不通過，退回並通知
申請人。
拒絕：將申請流程退回到上一個環節，若上一個環節仍然通過審核，則第二層環節審核
183
人可以再次進行審核。若申請流程已經退到第一個環節，且再次被拒絕，則該申
請才會被退回並通知申請人。
只有申請案件處於審核或者已批准的狀態，才可以否決申請。
在流程中，同時擁有「審核否決權限」的管理員才可以否決申請。
提示即使 admin 不在流程中，預設也是可以否決任何審核的，但是當 admin 不處於

對應流程時不能審核。
查詢申請
在「申請管理」介面，點選功能列“檢視→查詢欄”，可以顯示/隱藏查詢欄。
管理員可以透過日期範圍、時間範圍、查詢對象、審核狀態、申請類型、審核人員和流
程名稱進行查詢。查詢結果顯示在目前介面。
刪除申請
刪除類型有以下 3 種：
申請項目說明
選中的記錄刪除目前選取的申請記錄。
本頁記錄刪除本頁顯示的申請記錄。
所有滿足條件的記錄刪除所有滿足目前查詢條件的記錄。
提示任何狀態的申請審核都可刪除，需要注意的是：
1. 「審核中」的申請審核被刪除後，用戶端對應的審核狀態變為「被移除」。
2. 管理員刪除了原來「已拒絕/已否決」的申請審核，客戶端對應的「已拒絕/已否決」
的申請不會改變狀態，但重新申請提交後，服務器/控制台會當成一個新的申請來
處理。
11.5.2 用戶端審核管理平台審核
用戶端環境上可以登入審核管理平台，進行審核的相關操作。
184
選取通知圖示按右鍵→【審核管理平台】
，輸入管理員的帳號和密碼後，可以登入審核管
理平台（由被授權的權限設定，決定審核管理平台顯示的功能項目）。
審核管理平台的審核申請、快速審核和否決審核操作與控制台類似，請參閱 13.5.1 控制
台審核。
11.5.3 離線審核
當用戶端離線時，可以在控制台／審核管理平台上，點選【匯入申請檔案】按鈕，或
者右鍵選擇【匯入申請檔案】
，匯入申請檔案進行審核。審核通過後，可以點選【匯出審核結
果】按鈕，或者右鍵選擇【匯出審核結果】，將審核結果匯出並發送給申請者，申請者可
以在用戶端匯入審核結果來完成申請動作。
11.5.4 審核狀態
審核狀態有 9 種：審核中、已批准、已拒絕、已取消（用戶端主動取消申請）
、已失效（流
程失效）
、已完成（執行過且過了生效時間）
、已過期（過了生效時間但還沒有執行過）
、已否
決、執行中（自動執行/ 用戶端手動啟動）。
審核狀態轉換如下圖：
185
1. 提交申請，未審核時狀態為“審核中”。
2. 最後審核結果為批准，狀態“審核中”→“已批准”。
3. 最後審核結果為拒絕，狀態“審核中”→“已拒絕”。
4. 當用戶端主動取消申請，狀態“審核中/已批准”→“已取消”。
5. 當審核過程中，流程失效，狀態“審核中”→“已失效”。
6. 當已經是執行中，過了申請的列印時間/即申請完成後狀態“執行中”→“已完
成”。
7. 當已經過了申請的列印時間/即申請完成，而且用戶端一直都沒有啟動執行申請，則
狀態“已批准”→“已過期”。
8. 當處於審核中的申請被否決，狀態“審核中”→“已否決”。
9. 當處於已批准的申請被否決，狀態“已批准”-> “已否決”。
10. 狀態為“已拒絕/已否決/失效/已取消”，當用戶端重新申請，狀態變為“審核
中”。
用戶端狀態為“已完成/已過期/被刪除”也可以重新申請，但會變成新的申請單。
186
11.6 權限委託
當管理員外出或請假時，可以將權限委託他人代理。
擁有「設定審核流程」權限的管理員登入控制台，點選功能表“申請管理→桌面申請管
理→審核權限委託”，開啟審核權限委託介面。
共有 3 種委託模式：「權限委託設定」、「受委託情況」和「查看所有委託情況」。
提示多個人委託審核權限到同一個人，他們在該審核標的中處於不同環節還是同一個
環節，被委託者在每個對應的審核人和審核環節都必須代為審核。
系統管理員在「查看全部受委託情況」介面可以查看和修改所有的委託情況。
11.7 稽核日誌
管理員在控制台的關於申請審核的操作都會記錄在稽核日誌。
使用帳號 audit 登入控制台，可以進入稽核控制台，查看稽核日誌。
稽核日誌包括申請審核日誌、審核權限委託日誌、申請權限管理日誌。
187
十二、線上升級管理
12.1 專有名詞介紹
維保服務期
享受 IST 產品維護服務的期限。
維保碼
享受維護服務的憑證。續購 MA 後，需要更新維保碼，才能更新所顯示的維保服務到期
日，進而可以選擇升級至最新版本，以及享受其他的維保服務。使用者的維保服務期包含在
維保碼裡。
12.2 安裝和升級
12.2.1 安裝伺服器和控制台
在從未安裝過 IST 產品的電腦上安裝：點兩下【ISTXX.XX.XXXX.X.exe】，按照介面提示
安裝即可。安裝並進行註冊後，自動獲取維保碼，系統會驗證版本的合法性，如果版本的出
廠日期不在維保服務期內，會禁止產品的使用。
在已經安裝過有升級控制版本功能的 IST 產品，並成功獲取了維保碼的電腦上：移除 IST
後，再次安裝有線上升級版本功能的 IST 版本，只可安裝出廠日期在維保服務期內的版本，
不能安裝出廠日期在維保服務期之後的版本。
安裝過程與普通版本的安裝過程相同。
12.2.2 升級伺服器和控制台
升級伺服器和控制台可以透過升級程式來完成，點選控制台功能表“説明→檢查產品升
級”下載升級版本的安裝程式，也可以聯繫 IST 原廠取得升級程式。
188
在具線上升級功能版本，並取得維保碼的 IST 伺服器上，執行升級程式，清單中會顯示
目前版本和升級版本，按【升級】按鈕進行升級；如果升級程式的出廠日期在維保服務期內
可以成功升級，否則禁止升級。
12.3 查看和更新註冊碼
12.3.1 無註冊碼
第一次安裝有線上升級功能的伺服器，無法即刻獲取註冊碼。在無註冊碼的情況下為展
示版，可以使用 15 天，超過 15 天仍未能輸入註冊碼，控制台將無法登入。
伺服器升級到線上升級功能版本的第 2-15 天，有產品維保（註冊）升級管理權限的帳
號登入控制台會提示沒有維保服務期（保固期）
，同時彈出升級維保期（保固期）的介面。可
以在控制台“工具→選項→控制台設定→升級維護→未取得產品維保期”中，設定無維保碼
的提醒方式。
12.3.2 查看維保服務期
控制台“說明→關於”中，可以查看維保服務期，其中維保服務期會根據目前時間和到
期時間呈現不同的顏色：
顏色說明
紅色維保服務期已過期。
紫色維保服務期即將過期，離到期日還有 1 到 30 天。
藍色維保服務期未過期，且離到期日超過 30 天。
如果維保服務期即將過期或者已經過期，有“產品維保升級”權限的帳號在登入控制台
時，會收到維保服務期即將到期或者過期提醒通知。
沒有維保碼或者維保服務期有變動，需要更新維保碼，可以透過伺服器和控制台來更新
維保碼。
189
12.3.3 更新維保碼
伺服器更新
有線上升級功能且正常連接網際網路的 IST 伺服器，會定期自動更新維保碼。
控制台更新
控制台“説明→維保服務期更新”，或者功能表“説明→關於”中點選更新維保服務期，
進行維保碼更新。
設定說明
線上更新（推薦）安裝 IST 控制台的電腦且可正常連接網路，選擇此項線上更新維保碼。
安裝 IST 控制台的電腦無法正常連接網路，可透過原廠申請途徑取得維保碼，
手動更新
手動輸完成更新。
12.4 升級提醒和線上升級功能
12.4.1 檢查產品更新
檢查產品更新分為自動和手動兩種方式。
管理員可以在控制台“工具→選項→升級維護→自動檢查產品更新”中，設定自動檢查
產品更新的方式，系統會根據設定自動檢查產品更新。
管理員可以點選控制台“説明→檢查產品升級”，手動檢查產品更新。
12.4.2 產品線上升級
系統檢查到有新版本時，會彈出新版本更新日誌以及下載連結。點選下載連結，可以下
載發佈日期在維保服務期內的版本，不能下載發佈日期在維保服務期外的新版本。
注意如果升級程式的發佈日期在維保服務期外，則無法下載。
190
十三、文件加密管理
13.1 專有名詞介紹
授權軟體
授權軟體是用於編輯重要檔案的應用軟體，例如：Microsoft Word、Photoshop、
AutoCAD、Visual Studio 等。
在加密系統中，使用授權軟體編寫的文件會自動加密，使用授權軟體打開加密文件時會
自動解密。非授權軟體無法開啟加密文件，未安裝用戶端的電腦也無法開啟加密文件。
安全區域和等級
安全區域和級別，是用來區分企業內部不同的用戶端對加密文件的存取權限。
安全區域預設有「公共安全區域」
，可新增自訂區域，如行銷部、財務部。安全區域的指
定等級共分五級：「普通」、「內部」、「秘密」、「機密」和「極機密」。從普通到極機密，安全
等級依次遞增。
在控制台的“工具→帳號→加密功能”權限設定中，設定管理者可以管理的安全區域和
安全等級。在“加密文件管理→加密授權設定→加密文件預設安全內容”中，可設定用戶端
能讀取此文件的安全區域和安全等級。例如：用戶端具有行銷部的普通等級權限，則他能讀
取行銷部普通等級的加密文件，不能讀取財務部普通等級的文件。
線上與離線
當用戶端能連上伺服器時，為線上狀態；當用戶端無法連上伺服器時，為離線狀態。例
如：筆記型電腦在企業內接上區域網路能連上伺服器，為線上狀態；筆記型電腦帶回家連不
上伺服器，為離線狀態。
一般情況下，用戶端離開企業環境，是不允許使用加密檔案的。如果確實需要使用加密
檔案，可設定離線權限。
191
在控制台的「加密權限設定」介面，可設定用戶端線上時的權限；在控制台的「長期離
線授權」介面，可設定用戶端離線時的權限。
離線檔案保護
離線檔案保護功能，當加密用戶端處於離線狀態時，將無法正常開啟已有的加密文件，
但新建立的文件則仍會用加密的方式儲存，減少洩密的風險。該功能是透過設定用戶端配置
策略方式達成，沿用用戶端線上時的加密策略，包括授權軟體、加密文件預設安全內容。
 離線檔案保護
在離線狀態下新建檔案自動加密，該功能定義為“離線檔案保護”。
 離線保護授權：
用戶端在離線狀態下啟用該功能，則加密用戶端的模式稱為「離線保護授權」。
主要分為兩種模式：
模式一：離線新建檔案並儲存，退出應用程式後，可再次開啟離線新建的加密檔案。
模式二：退出應用程式後，不能再次開啟離線新建的加密檔案。
備援模式
當主要伺服器發生問題時，如停止或當機時，備援伺服器便會啟動，顯示為備援模式，
代表目前 IST 加密系統進入備援模式，用戶端此時連線到備援伺服器，則轉變為備援模式，
具備線上時的加解密權限，但不可進行任何申請及審核作業。
解密
企業內的加密文件有時候需要發給企業外部人員，此時需要將文件手動解密成普通的文
件，對方才能查看。
有解密權限的員工，可直接解密文件。無解密權限的員工，可向管理員申請解密，管理
員核准通過後才會解密。
192
外發
企業內的加密文件有時候需要發給指定的企業外部人員查看，而且希望防止二次洩密，
則可以把文件產生外發文件。
有外發權限的員工，可直接產生外發文件；無外發權限的員工，可向管理員申請外發，
管理員核准後才會產生外發文件。企業外部人員需使用外發文件檢視器才能查看外發文件。
13.2 操作流程
啟用加密功能
 安裝用戶端
 在控制台對用戶端啟用加密授權
 在控制台設定加密權限，含授權軟體、安全區域和安全等級等。
 視需要設定磁碟掃描任務或進行本機掃描。
 啟用加密新增文件設定。
申請與核准
 用戶端申請解密/外發
 控制台或代理管理員介面進行審核
 用戶端執行解密/外發
外發文件檢視器
 安裝外發文件檢視器
 控制台對外發文件檢視器進行授權
 外發文件檢視器匯入授權
 用戶端產生外發文件
 外發文件檢視器查看外發文件
193
13.3 啟用/禁用加密授權
加密授權分為兩種模式：透明加密和唯讀加密，兩種加密模式不能同時啟用。
加密授權模式說明
透明加密用戶端的檔案開啟時自動解密、儲存時自動加密。
用戶端只能以唯讀方式打開加密檔案，不可以修改加密文件；用戶端修改非
唯讀加密
加密檔案，儲存後該檔案不會被加密。
用戶端電腦預設未啟用加密授權，在“統計→基本資訊”中的「加密授權」顯示加密授
權狀態為「未授權」。管理員可根據實際需要，對用戶端電腦啟用或禁用加密授權。
已啟用透明加密的用戶端，在電腦清單上的圖示左下角有個鎖頭標誌。在“統計→基本
資訊”中的「加密授權」顯示加密授權狀態為「透明加密授權」。
已啟用唯讀加密的用戶端，在電腦清單上的圖示左下角有個綠色小球標誌。在“統計→
基本資訊”中的「加密授權」顯示加密授權狀態為「唯讀加密授權」。
說明 MAC 用戶端與 Linux 用戶端僅提供「透明加密模式」。
電腦清單
在 IST 控制台的電腦清單中，選擇目標電腦或群組（如果是群組，則對群組內所有電腦
授權），右鍵選擇「加密管理功能→啟用透明加密」，或者是“啟用唯讀加密”，即啟用目標
電腦對應的加密授權模式。若選擇「加密管理功能→禁用加密授權」
，即取消目標電腦的加密
授權。
基本資訊
在 IST 控制台的基本資訊中，選擇一個電腦群組，可查看群組內所有電腦的資訊。選其
中一個或多個電腦，右鍵選擇「加密管理功能→啟用透明加密」，或者是「啟用唯讀加密」，
即啟用目標電腦對應的加密授權模式。若選擇「加密管理功能→禁用加密授權」
，即取消目標
電腦的加密授權。
194
電腦管理
在 IST 控制台中，選擇功能表“工具→電腦”進入電腦管理視窗。
圖示按鈕說明
啟用透明加密
啟用唯讀加密
注意
1. 禁用用戶端的加密授權後，電腦中的加密文件將無法查看。如需要禁用加密授權，
請先把電腦中的加密文件全部解密。
2. 以下的操作說明，如無特別指出，皆預設是啟用了透明加密模式。
13.4 授權軟體管理
點選功能表【文件加密管理授權軟體管理】進入文件加密管理主視窗，可查看目前支
援的 Windows、Linux 及 MAC 環境授權軟體。
圖示按鈕操作
從檔案中匯入授權軟體資料庫。
195
匯出授權軟體資料庫資訊。
新增自訂授權軟體。
修改自訂授權軟體設定。
刪除自訂授權軟體。
還原至先前的自訂授權軟體設定。
儲存修改。
如果需要使用的授權軟體，不存在於授權軟體資料庫中，可自訂新增授權軟體。
欄位名稱說明
名稱自訂的授權軟體名稱，可以修改，名稱不能空白。
圖示點選【…】按鈕選擇該自訂授權軟體的圖示。
描述對該自訂授權軟體的描述說明。
該授權軟體的關聯處理程序，一個軟體可以比對多個處理程序。如：
winword.exe； Excel.exe。多個用 “；”隔開。
★ 高級應用：如果想比對版本資訊，可以使用如下規則：
相關處理程序比對項 1=值 1|比對項 2=值 2|比對項 3=值 3|比對項 4=值 4
多個比對值以“；”隔開。沒有“=”表示比對值為處理程序名稱。
例如：
ProcessName=Excel.exe|InnerName=Excel|OriginalName=Excel.exe
加密文件開啟時自動解密、儲存時自動加密的檔案，多個文件以“；”隔開。
開啟時自動解密、儲存時不會加密的檔案，多個文件以“；”隔開。
只解密不加密文件本功能需滿足特殊條件才能生效，請洽詢原廠技術專線瞭解您的軟體是否適
用本項參數。
13.5 安全區域管理
在針對用戶端進行加密權限設定之前，應該先根據企業部門分類，完成加密安全區域的
196
設定。
在“文件加密管理”視窗，可查看和修改安全區域。
圖示按鈕操作
匯入安全區域資訊。
匯出安全區域資訊。
新增安全區域，也可輸入描述資訊。
修改安全區功能變數名稱稱和描述資訊。
刪除安全區域。
預設安全區域為「公共安全區域」
，無法修改和刪除。授權軟體自動加密產生的檔案，預
設為「安全區域：公共安全區域；等級：普通」
。為了方便資訊交流，所有啟用加密的電腦都
擁有公共安全區域-普通等級的讀取權限。
注意自訂安全區域名稱後，系統會產生唯一識別碼做為該安全區域的識別依據，因此，自訂安全
區域更即使更改名稱，也不會影響識別機制。但若管理者刪除該自訂安全區域後，又新增一
個相同名稱的自訂安全區域，會因為識別碼不同而視為不同。因此，請以「匯入/匯出安全區
域資訊」做為安全區域資訊的備份、移轉。
197
13.6 外發對象管理
外發對象是指可以在加密系統環境外可以打開外發文件的對象。
在外發對象管理介面中可查看和修改外發對象。
圖示按鈕操作
查詢外發對象。
匯入外發對象。
匯出外發對象。
新增外發對象，也可輸入描述資訊。
修改外發對象名稱和描述資訊。
刪除外發對象。
匯入外發電腦識別碼。
該識別碼用於將外發文件綁定到外發對象的指定電腦上使用。
選中“文件加密管理”視窗右下〔授權情況〕頁籤的狀態欄，按右鍵點選清單中的「啟
用/禁用」
，設定啟用或禁用對應的外發對象。
198
授權情況
目前支援三種外發對象授權方式，三種授權都必須具備副檔名為.aor 的授權檔，才可開
啟外發檔案。
授權方式說明
該授權方式下，無需指定外發電腦，任意電腦只要匯入該外發對象產生的通用授權
通用授權
檔，都能打開發給此外發對象的外發檔案。
該授權方式下，需要透過電腦識別碼綁定電腦資訊，則發給此外發對象的外發檔案
綁定授權
之後，只有符合該識別碼的電腦才可以查看。
指定外發該授權方式下，採用外發 USBKey 所含的金鑰做為外發識別，發給此外發對象的外

USBKey 授權發檔案之後，只有插入該外發 USBKey 的電腦才可查看。。
通用授權
操作步驟如下：
1. 在“外發對象管理”介面中新增一個外發對象，預設為啟用狀態。
2. 在下方〔授權情況〕頁籤按右鍵選擇“建立通用識別碼”，按右鍵查看“狀態”為
「啟用」
（此步驟可以省略，如直接對外發對象授權，會自動產生一個通用識別碼。）
3. 選取上面〔外發對象〕頁籤中的指定外發對象，按右鍵功能表中選擇“授權”。
4. 在開啟的“授權”視窗中填寫授權設定，包括：外發對象資訊和授權設定，完成後
點選【產生授權檔案】按鈕，產生副檔名為.aor 的「通用授權檔」。
5. 在外發對象電腦中的“外發檢視器→設定→載入”中匯入該授權檔，則通用識別碼
為啟用狀態時，該外發檢視器即能查看發給此外發對象的所有外發檔案。
199
綁定授權
2. 在下面〔授權情況〕頁籤按右鍵選擇“匯入外發電腦識別碼”。
3. 在開啟的“匯入”視窗中填寫用外發對象電腦“外發檢視器→設定”中的識別碼、
名稱以及描述資訊，完成後點選【確定】。
4. 以滑鼠右鍵點選該筆識別碼，選擇“認證”。
5. 選中該外發對象，右鍵功能表中選擇“授權”。
點選【產生授權檔案】按鈕，產生副檔名為.aor 的「綁定授權檔」。
7. 在外發對像電腦中的“外發檢視器→設定→載入”中匯入該授權檔，才能查看發給
此外發對象的所有外發檔案。
指定外發 USBKey 授權
本功能需要專屬的「外發 USBKey」裝置。操作步驟如下：
1. 在執行 IST 控制台的電腦上，插入外發 USBKey。(建議不要同時插入多個外發
USBKey，以免混淆)
3. 在下面〔授權情況〕頁籤按右鍵選擇“匯入外發 USBKey 識別碼”。
4. 在開啟的“匯入”視窗中，會自動在「USBKey 欄位」顯示 USBKey 識別碼。如果
插入多個外發 USBKey，則需要依照授權對象選擇正確的外發 USBKey。請填寫外
發 USBKey 名稱以及描述資訊，完成後點選【確定】。
5. 以滑鼠右鍵點選該筆外發 USBKey 識別碼，選擇“認證”。
6. 選中該外發對象，右鍵功能表中選擇“授權”。
200
點選【授權 USBKey】按鈕，則該外發 USBKey 授權成功，外部的電腦只要插入
該外發 USBKey，就可以查看發給此外發對象的所有外發檔案。
8. 在進行【授權 USBKey】時，若該外發 USBKey 沒有插在 IST 控制台所在的電腦
上，就需要點選【產生授權檔案】
，並將該檔案複製到有安插該外發 USBKey 的外
部電腦上，匯入該授權文件來完成外發 USBKey 授權。
注意 1. 綁定授權中，電腦的識別碼需先透過外發對象電腦，執行外發檢視器來取得。
2. 如果在文件申請外發時沒有指定外發對象，產生的外發文件任何人都可以查看，
可能會產生資訊洩密的風險。
通用授權和綁定授權的切換
「通用授權」和「綁定授權」不能同時啟用。啟用了通用授權時，綁定授權會被禁用；
同理，啟用了一個或一個以上的綁定授權時，通用授權會被禁用。
如果一開始使用通用授權，在管理過程中需要加強嚴格管控，此時可以匯入外發對象電
腦“外發檢視器→設定”中的識別碼，產生綁定授權並啟用。之後只有綁定了識別碼的電腦，
才能查看外發給此外發對象的外發檔案。
如果目前已是綁定授權，需要放寬管理尺度，做法為產生通用授權並啟用（若原來已存
在通用授權則直接啟用）。此時，只要是匯入通用授權檔 (*.aor)的任何電腦，都能查看外發
給此外發對象的外發檔案。先前已綁定的電腦無需再匯入授權檔，也可以查看外發檔案。
13.7 外發組態範本管理
控制台功能表“文件加密管理→外發組態範本管理”，管理員可以設定外發組態範本並
進行統一管理，方便地使用常用設定。
201
功能按鈕說明
圖示按鈕說明
匯入，匯入外發組態範本檔案。
匯出，把外發組態範本匯出儲存成檔案。
新增，點選該按鈕新增加一個範本。
刪除，點選該按鈕刪除選取的範本。
複製，點選該按鈕複製選取的範本。
恢復，取消新增或修改範本時點選該按鈕。
儲存，設定置或修改範本後需儲存才會生效。
每個管理員只能使用、管理自己新增的外發組態範本，無法查看到其他管理員建立的，
但可以匯入由其他管理員匯出的範本。
13.8 加密授權設定
加密權限設定是對啟用加密授權的用戶端，在連上伺服器時的權限設定。
在主控制台點選功能列“文件加密管理→加密授權設定”，可設定加密授權權限。
202
圖示按鈕說明
修改選中電腦或使用者的加密權限。
刪除選中電腦或使用者的加密權限。
更多操作，包括：匯出 XML 檔、匯入 XML 檔、複製到…。
可以對電腦和網域使用者帳號設定加密授權。如果某電腦或網域使用者帳號有自己的權
限，在控制台清單圖示旁有個紅旗表示。如果電腦和網域使用者沒有自己的權限，則會繼承
其所在群組的權限。使用者權限優先於電腦權限。
一般
一般權限說明
允許申請解密文件可以向管理者申請檔案解密。
允許直接解密文件不需要透過管理員審核，直接解密已加密文件的權限。
備份解密文件備份解密的文件，備份的是解密之前的加密文件。
備份的範圍(KB) 解密後在此限定範圍內的文件才會備份。
允許申請外發文件可以向管理者申請外發文件。
更多進階設定用戶端申請外發檔案時，設定外發對象的選擇以及外發檔案的功能權限。
用戶端申請外發時，只能選擇指定的外發對象產生外發檔案；同時還可
外發對象
設定申請外發時，必須指定至少一個外發對象。
用戶端申請外發時，指定檔案能行使的功能權限設定。
列印、虛擬列印、剪貼簿、螢幕擷取、編輯修改，可指定權限如下：
 無限制：用戶端在申請外發檔案時，此五項權限可以自由設定為允許
或者禁止。
外發設定
 禁止：用戶端在申請外發檔案時，此五項權限為“禁止”且不可更改。
 允許：用戶端在申請外發檔案時，此五項權限為“允許”且不可更改。
最大開啟次數、有效時間，可指定權限如下：
 無限制：用戶端在申請外發檔案時，此二項權限可以自由選擇是否設
203
定最多開啟次數、有效時間。
 最大打開次數：輸入值表示次數。輸入 1-99 的正整數，則用戶端申

請外發檔案時，開啟次數不能超過輸入的次數。
 有效時間：輸入值表示天數。輸入 1-1000 的正整數，則用戶端申請

外發檔案時，有效時間設定不能超過輸入的天數。
自動刪除、只解密不加密、密碼認證、隱藏，可指定權限如下：
 自動刪除：啟用自動刪除超過最大開啟次數，或有效時間已經到期的
外發文件。
 只解密不加密文件：指定特定檔案類型進行檔案寫出不加密，此功能
需有暫存檔才會生效，更多技術細節請洽原廠技術支援專線。
 密碼認證：可要求「必須設定密碼」或「密碼符合複雜度要求」。
 隱藏：外發檢視器開啟外發文件時，自動隱藏「有效時間」、
「最大開
啟次數」和「編輯修改」等權限資訊。
允許直接外發文件直接產生外發文件，不需要透過管理員審核。
用戶端申請外發檔案時，設定外發對象的選擇以及外發檔案的功能權
更多進階設定
限。（詳細說明請參見允許申請外發文件─更多進階設定）
備份外發文件對外發的文件進行備份。
備份的範圍(KB) 在此限定範圍內的外發文件才會備份。
允許擷取用戶端權限內的
可擷取存取權限在用戶端權限內的外發檔案。
外發檔案
允許擷取更高權限
可擷取存取權限高於用戶端權限的外發檔案。
的外發檔案
允許申請變更加密文件
向管理者申請變更加密文件安全內容。
安全內容
允許直接變更加密文件在符合設定權限情況下，不需要通過管理者審核，可以直接變更加密文
安全內容件安全內容。
可以在用戶端上使用管理員帳戶登入審核管理平台，進行解密核准和外
允許登入代理管理員
發核准。
204
 允許用戶端自行設定：在用戶端電腦工作列通知區域的加密系統按右
鍵點選“選項→加密系統登入設定”中，
「線上登入」和「離線登入」
可按用戶端使用者意願進行設定。
 強制手動登入：用戶端電腦開機時，不自動登入加密系統，需由使用
者透過加密用戶端介面進行登入加密系統。在用戶端加密介面中按右
鍵選單“選項→加密系統登入設定”中，
「線上登入」和「離線登入」
加密登入方式
被指定為“強制手動登入”且不可更改。
 自動登入：用戶端電腦開機時，依照上一次的狀態設置，自動登入加
密系統。在用戶端加密介面中按右鍵選單“選項→加密系統登入設
定”中，
「線上登入」和「離線登入」被指定為“自動登入”且不可更
改。
 強制自動登入：無論上一次狀態設置為何，一律強制進行登入。
勾選“允許用戶端登出加密系統”，用戶端可以自行登出加密系統，登
允許用戶端登出加密系統
出後所有加密功能會停用。重新登入加密系統，才可重新啟用加密功能。
授權軟體
對於透明加密授權，需要手動選定授權軟體；唯讀加密授權，以唯讀方式打開一個加密
檔案時，用戶端會自動把打開加密檔案的軟體設定為授權軟體。
目前授權軟體有四種工作模式：
工作模式說明
自動加解密可以查看加密文件，並且使用此軟體編寫的文件，都會被加密。
可以查看加密文件。
智慧加解密使用此軟體修改加密文件或新增文件並儲存，該文件仍為加密格式。
使用使軟體修改未加密的文件並儲存，該文件仍為未加密格式。
唯讀加密僅可查看加密文件，無法此用此軟體修改並儲存加密文件，也無法列印文件。
只解密不加密可以查看加密文件，並且使用此軟體修改後儲存的文件，都會變成非加密文件。
205
此外，還可以設定使用各授權軟體時是否允許列印、虛擬列印、螢幕擷取和剪貼簿。
說明對於唯讀加密授權，唯讀加密模式的程式，如果並未設定為授權軟體，則列印、
虛擬列印、螢幕擷取以及剪貼簿都會被禁止。
安全區域
指定用戶端能打開的文件的安全區域和等級。例如：用戶端只有業務部機密等級的權限，
則他可以打開業務部機密等級以下的文件，不能打開管理部和財務部的文件。
206
加密文件預設安全內容
加密文件的預設安全內容是「公共區域普通等級」，管理者可以設定所有文件或特定的
文件具有指定的安全區域和等級。
207
選項說明
對新產生的加密檔勾選該項後，將啟動預設安全內容設定。針對新產生的加密文件，自動套用安
設定預設安全內容全內容設定參數。
安全內容設定加密文件預設的設定權限和存取權限；
設定權限設定加密文件預設所屬安全區域和等級；
存取權限設定加密文件預設的存取權限範圍；
文件範圍設定加密文件的安全內容；
在此範圍中的文件使用已設定的預設安全內容；
包含文件
輸入檔案名稱或路徑，可使用萬用字元。如：*.docx;c:\*等。
在此範圍中的文件不使用設定的預設安全內容；
排除文件
輸入檔案名稱或路徑，可使用萬用字元。如：*.txt;c:\*等。
注意此設定只對新產生的加密文件有效，已存在的加密文件不會修改其安全內容。
13.9 加密參數設定
在“加密參數設定”介面中，可設定整個網路、指定電腦群組或指定用戶端電腦的容災
時間，及是否需要在用戶端的檔案總管中，隱藏加密文件上的加密圖示等功能。
在主控制台點選選功能列“文件加密管理→加密參數設定”，可設定加密參數權限。
208
圖示按鈕說明
設定加密參數。
刪除加密參數設定。
更多操作。點選後，透過清單選擇相關操作，包括：匯出 XML 檔、匯入 XML

檔、複製到…。
刪除已設定的加密參數。
注意下列加密參數設定的各項功能中，如果沒有特別註記，則表示該功能僅針對 Windows 用戶
端生效，該功能將不適用於 Mac 用戶端及 Linux 用戶端環境。
209
13.9.1 應急設定
容災時間
容災時間是為應急考慮而設定。設定了「容災時間」的用戶端，如因網路或伺服器異常
或故障，而導致用戶端與伺服器之間無法正常連線，而用戶端又沒有長期離線授權策略，那
麼，該用戶端就可在容災時間範圍內進入備用模式，正常地依照其加密授權設定權限進行加
解密操作。
說明容災時間也適用於 MAC 用戶端與 Linux 用戶端。
允許複製少量文字
對於設定了禁止剪貼簿的授權軟體，使用該軟體開啟文件時，不可以將內容複製到非授
權軟體中。但是，有時企業內部會因為業務上的需求，要在這類的授權軟體文件中將少量內
容複製到其他地方，此時可以設定「允許複製少量文字」功能。
設定時輸入允許複製的字數，例如「5」，代表允許複製 5 個字以內的內容。
13.9.2 顯示設定
隱藏加密圖示
設定了“隱藏加密圖示”的用戶端上，所有的加密文件上均不再顯示加密鎖頭圖示。使
用者從檔案圖示上，無法判定哪些是加密檔案，哪些是非加密檔案。
隱藏加密用戶端介面
設定了「隱藏加密用戶端介面」的用戶端上，右下角通知區域的加密系統圖示，及滑鼠
右鍵的加密相關選單將被隱藏。使用者無法進行加密系統功能表中的功能操作。
210
13.9.3 安全密碼設定
在使用者進行解密/外發類的操作時，可要求輸入「安全密碼」，來確認操作者身分。
必須設定安全密碼
設定了「必須設定安全密碼」的用戶端上，安全密碼不能空白，必須要設定。
密碼必須符合複雜性要求
設定了「密碼必須符合複雜性要求」的用戶端上，設定的安全密碼必須符合複雜性要求。
複雜性要求需同時滿足以下三個條件：
1. 長度至少為六個字元
2. 包含來自以下四個類別中的至少三種字元：
(1) 英文大寫字母（A 到 Z）
(2) 英文小寫字母（a 到 z）
(3) 10 個基本數字（0 到 9）
(4) 非字母字元（例如：!、$、#、%）
3. 密碼強度至少要中級以上。
安全密碼輸入設定
指定加密文件的安全密碼輸入設定，共有四個模式：
設定選項說明
預設模式；用戶端的“安全密碼輸入設定”，可自行設定安全密碼的輸
允許用戶端自行設定
入模式。
選擇此項，則用戶端的“安全密碼輸入設定”被指定為“每次操作都必
每次操作都必須輸入
須輸入”且不可更改；
登入安全對象後選擇此項，則用戶端的“安全密碼輸入設定”被指定為“登入安全物件
只需輸入一遍後只需輸入一遍”且不可更改；
登入操作選擇此項，則用戶端的“安全密碼輸入設定”被指定“登入操作無需再
無需再輸入安全密碼輸入安全密碼”且不可更改；
211
密碼錯誤次數驗證
透過限制安全密碼錯誤次數以及安全密碼使用期限，提高安全密碼的安全性，從而降低
洩密風險。
設定選項說明
密碼錯誤次數驗證勾選此項，以下的選項才可以設定。
 可設定一個整數的時間，單位為“分鐘” 。
在限定時間內  預設：20 分鐘。
 0 分鐘：代表不限時間。
 指輸入密碼錯誤的次數，要滿足在限定時間內的要求；
密碼錯誤達到
 預設：5 次。
 從最後一次輸錯密碼起算，在該段時間內安全密碼輸入框不可用。
密碼輸入鎖定時間  預設：鎖定 10 分鐘。
 0 分鐘：表示不鎖定。
 輸入超過錯誤次數，控制台會有警報資訊，等級為最低。
密碼輸入鎖定報警
 預設勾選。
 限定安全密碼的使用期限。
密碼最長使用期限  預設：0 天，代表不限制時間。
 可設定一個整數的時間，單位為“天”。
注意必須在“安全密碼輸入設定”為「每次操作都必須輸入」的前提下使用。
13.9.4 加密文件縮略圖設定
設定加密文件縮略圖，可在檔案總管中顯示加密檔案的縮圖圖示和預覽圖。
設定選項說明
顯示縮略圖設定是否顯示加密檔案縮圖。勾選後，可設定顯示及排除的檔案類型。
顯示的檔案類型選擇顯示縮略圖的加密檔案類型。
排除的檔案類型選擇不顯示縮略圖的加密檔案類型。
212
顯示預覽圖設定是否顯示加密檔案預覽圖。勾選後，可設定顯示及排除的檔案類型。
顯示的檔案類型選擇顯示預覽圖的加密檔案類型。
排除的檔案類型選擇不顯示預覽圖的加密檔案類型。
說明 *.jpg *.jpeg *.jpe *.bmp *.gif *.png*.tif *.tiff 等類型的加密檔案預設顯示縮圖。
13.9.5 郵件白名單
設定郵件白名單的用戶端，透過設定郵件白名單，可在發送指定郵件時，附件中的加密
檔案會自動解密。目前只支援非 SSL 加密的 SMTP 協定郵件。
請點選「郵件白名單配置」右方的鈕，可進行信箱位址規則配置、加密附件名稱、備
份解密的附件檔案、備份範圍等設置。
設定選項說明
信箱位址規則配置啟用郵件白名單地址規則，可依需要設定多條規則。
僅針對指定的加密檔案類型進行解密，可指定郵件夾帶的檔案類型，也
加密附件名稱可以輸入要排除的檔案類型。
支援萬用字元，輸入多個副檔名時，請以“,”“；”作為分隔符號。
備份解密的附件檔案選擇是否備份指定郵件中解密的附件；
如果勾選了“備份解密附件檔案”，則可在這裡對備份的密文附件大小
備份範圍做控制。設定範圍為 0-100000 KB；附件檔案大小不在此範圍時，將不
會被備份。
信箱位址規則配置說明
點選「郵件白名單配置」右方的鈕，再點選鈕，可新增信箱位址規則。
設定選項說明
規則名稱為這一個郵件規則設定一個識別名稱。
213
預設為「解密附件」，可選擇「解密附件」及「不解密附件」
。
模式解密附件：符合此規則的郵件，附件中的加密檔案將會被解密。
不解密附件：符合此規則的郵件，不會解密附件中的加密檔案。
對收件人的郵件信箱做控制。收件人也包括副本和密件副本的郵件信箱，
可指定本規則要包含的郵件信箱，以及要排除於本規則的郵件信箱，「排
除」的條件優先「包含」的條件。
若收件人屬於排除範圍的郵件信箱，將繼續依照下一個郵件白名單規則進
接收信箱
行比對。
管理員可以直接輸入郵件信箱，支援萬用字元，支援輸入多個郵件信箱，
請以“,”“；”作為分隔符號。
管理員也可以選擇事先定義的「信箱位址庫」分類進行控制。
對接收郵箱排除範圍之外的收件人郵件信箱做控制；
若該信件同時包含多個收件人：
1. 屬於「包含」範圍內的收件人，收到的郵件附件一定是解密過的。
允許排除範圍外的
2. 屬於「排除」範圍內的收件人，收到的郵件附件一定不會解密。
收件人解密
3. 收件人不屬於包含範圍，也不屬於排除範圍時：
勾選此項：這些收件人收到的附件都會解密。
不勾選此項：這些收件人收到的附件不會解密。
發送信箱對寄件者的郵箱位址做控制，輸入規則同“接收信箱”。
管理者可設定多條信箱位址規則，並可點選鈕調整信箱規則的優先順序。
信箱位址規則比對說明
信箱規則是由上往下進行比對，當郵件符合到一條信箱規則後，將不會繼續往下進行規
則比對。若該封郵件沒有符合任何一個規則時，該郵件的加密附件將不會被解密。
214
信箱位址規則範例
 情境需求：
公司設置稽核信箱(mailbox@ist.tw)，當對外信件有同時寄發副本給該信箱時，附件的
加密檔案才會自動解密。
 策略設定：
新增一條信箱位址規則如下：
接收信箱：新增「mailbox@ist.tw」在包含範圍內，不設定排除範圍，並勾選「允許排
除範圍外的收件人解密」。
發送信箱：新增「*@ist.tw」在包含範圍內，不設定排除範圍。
13.9.6 日誌策略
預設會記錄用戶端的所有加密文件操作日誌。企業內可能會有一些需求，並不是所有的
日誌都希望記錄下來，此時可透過日誌策略來控制加密文件操作日誌的記錄。
設定選項說明
預設為「記錄」加密文件操作日誌，點選欄位後的【…】開啟〔加密文件
操作日誌記錄〕視窗，進行下列設定；
加密文件操作日誌
不勾選「記錄日誌」則為不記錄日誌，勾選此項才可以對操作類型和文件
範圍進行記錄設定。
記錄的操作類型預設為記錄全部類型，可根據需求進行選擇。
記錄的文件範圍設定記錄的文件範圍。
此範圍內的檔案，其加密操作會記錄；點選新增檔案名稱或路徑，可
包含文件
使用萬用字元。如：*.doc、c:\*等。
此範圍內的檔案，其加密操作不會被記錄；點選新增檔案名稱或路
排除文件
徑，可使用萬用字元。如：*.doc、c:\*等。
說明日誌策略也適用於 MAC 用戶端與 Linux 用戶端。
215
13.9.7 延伸功能
加密新建檔案功能，可以對指定目錄下新出現的文件，和修改過的文件進行自動加密，
加密後文件安全內容為「公共安全區域 – 普通等級」。
設定選項說明
設定新增文件是否啟用自動加密策略；
加密新增文件預設為「禁用」
，點選欄位後的【…】開啟〔設定〕視窗，勾選「啟用自
動加密新增文件策略」後，才可進行下列設定；
該範圍內指定目錄下的指定檔案不會被自動加密。支援多筆設定，新增
排除範圍
設定時預設為「本機磁碟(_local)」目錄的所有檔案；
該範圍內指定目錄下的指定檔案會被自動加密。支援多筆設定，新增設
加密範圍
定時預設為「本機磁碟(_local)」目錄的所有檔案。
加密授權軟體設定加密授權軟體在新增文件時，於編輯模式有暫存檔架構下，不會加
只解密不加密文件密的檔案類型。
處理程序設定的授權軟體名稱，支援萬用字元，多個程式以“,”分隔；
新增設定的過濾檔，支援路徑和附檔名，如 E:\work\*.dat；支援萬用字
檔案
元和通用路徑；支援“,”作為分隔符號。
延伸功能
目錄必須是一個確定的合法的用戶端本機磁碟路徑，支援萬用字元“*”和通用路徑{sd}。
如：{sd}users\*\Documents。
注意，“*”在目錄中僅能表示一層文件夾。{sd}代表系統磁碟根目錄，如 C:\，必須使
用小寫字母，{sd}後直接接文件夾名稱，不能加“\”。
檔案類型支援萬用字元“*”和“?”。
若部署了明文備份伺服器，則啟用了“加密檔自動備份任務”的用戶端，透過加密新增
檔策略而加密的檔案也會自動備份。
216
加密授權軟體只解密不加密文件
僅對授權軟體在使用過程中修改的檔案有條件生效，對直接手動加密、加密新增檔案功
能、全部掃描加密功能的操作檔案不生效。
此設定中的過濾檔案，比授權軟體庫中的加密檔案優先。
13.9.8 視窗浮水印
外發文件視窗浮水印，開啟外發文件時，相應的可見視窗自動顯示各種浮水印資訊。包
括：自訂文字、外發文件建立者資訊、外發文件閱讀者資訊等。
設定選項說明
設定是否啟用外發文件視窗浮水印功能；
視窗浮水印預設為「禁用」
。點選欄位後的【…】開啟〔視窗浮水印設定〕視窗，勾選
「啟用策略」後，才可進行內容設定。
文字內容設定浮水印的文字內容。可自行輸入螢幕顯示的浮水印內容訊息；
字體類型設定浮水印內容顯示文字的字體類型；
字體大小設定浮水印內容顯示文字的字體大小；
字體顏色設定浮水印內容顯示文字的字體顏色；
透明度設定浮水印內容文字的透明度。預設為百分之 80；
選擇浮水印內容中顯示外發文件建立者的資訊，包括：電腦名稱、IP 位址、
建立者資訊
使用者名稱、建立時間；
選擇浮水印內容中顯示的外發文件閱讀者資訊，包括：電腦名稱、IP 位址、
閱讀者資訊
使用者名稱、閱讀時間；
設定是否啟用外發文件浮動視窗標題功能。
當開啟外發文件閱讀時，會在外發文件視窗範圍內顯示一個浮動視窗，可
外發文件浮動視窗標題
預先設定該浮動視窗顯示的資訊。
浮動視窗在外發文件視窗範圍內，可以任意移動位置。
文字內容設定外發文件浮動視窗「視窗標題」的文字內容。
217
文字色彩設定外發文件浮動視窗「視窗標題文字」的字體顏色；
背景色彩設定外發文件浮動視窗「視窗標題文字」的背景顏色；
勾選此項目，在浮動視窗上會顯示關閉鈕，允許使用者關閉浮動視窗。
顯示關閉按鈕
不勾選此項目，使用者無法關閉浮動視窗。
勾選此項目，會顯示外發文件處理程序類型的圖示。
顯示處理序類型圖示
不勾選此項目，不會顯示外發文件處理程序類型的圖示。
勾選此項目，當滑鼠移至浮動視窗時，會顯示該外發文件的存取權限。
顯示權限
不勾選此項目，不會顯示外發文件的存取權限資訊。
設定是否啟用外發文件視窗邊框色彩功能。
外發文件視窗邊框在使用者開啟的外發文件視窗上，可設定邊框色彩和邊框大小，使操作者
可以輕易的瞭解目前視窗上開啟的文件，是普通文件還是外發文件。
邊框色彩設定邊框顏色。
設定邊框顏色粗細。
邊框大小
請輸入 1-10 的正整數，數字越大，邊框顏色線條就越粗。
13.9.9 外發文件網路設定
為了保護敏感資料，開啟外發文件的應用程式將被禁止存取網路，以防止將文件內的資
料寫入網路上，但如果某些外發檔案在開啟時，需要存取特定網路才能正常查看，就可以透
過本設定，於指定的處理程序存取特定的網路時，開放網路存取權限。
設定選項說明
設定是否啟用外發文件允許網路功能；
外發文件允許網路預設為「禁用」
。點選欄位後的【…】開啟「網路設定」視窗，勾選【啟用
策略】後，才可進行內容設定。
設定處理程序與對應允許網路。可設定多筆條件，每個條件僅能包含一個
允許網路處理程序名稱，和一組網路 IP 位址。
網路 IP 位址格式為「IP」或「IP:Port」
，若有多組 IP 位址，請以英文逗號
218
區隔。不支援 IP 區段及埠號區段。
例如：處理程序為 CATIA.exe，允許網路設定為 192.168.1.2:8090。
在使用 CATIA.exe 讀取外發文件時，該程式將可存取 192.168.1.2:8090。
13.9.10 申請文件上傳設定
當使用者送出檔案解密、外發或變更安全內容申請時，主管欲查看申請的文件內容，該
使用者的電腦必須開機並保持網路連線，實務上可能會有困難，因此，在建置申請文件儲存
伺服器後，使用者送出檔案解密、外發或變更安全內容申請時，用戶端會將申請的文件上傳
到申請文件儲存伺服器內，供主管審核申請時，得以查閱申請文件內容。
設定選項說明
設定是否啟用申請文件上傳設定功能，預設為「禁用」。
申請文件上傳設定點選欄位後的【…】開啟「申請文件上傳設定」視窗，勾選【啟用策略】
後，才可進行內容設定。
文件儲存伺服器位址請輸入文件儲存伺服器的位址及埠號，例如：192.168.1.103:443。
此範圍內的檔案類型，會上傳到文件儲存伺服器內。
包含文件
點選【】新增檔案名稱或路徑，可使用萬用字元，如：*.doc、c:\*等。
此範圍內的檔案類型，不會上傳到文件儲存伺服器。
排除文件
點選【】新增檔案名稱或路徑，可使用萬用字元，如：*.doc、c:\*等。
檔案大小指定欲上傳的文件大小範圍，設定最大備份範圍為 0~2000000KB。
13.10 長期離線授權
長期離線授權設定，是對啟用加密授權的用戶端在連不上伺服器時的權限設定。例如：
員工帶著筆記型電腦出差或在家辦公時，要保證能正常查看和編輯加密文件，則可設定長期
離線授權。管理員可以依電腦或網域使用者設定用戶端長期離線時授權策略。
219
圖示按鈕說明
設定長期離線授權權限。
刪除長期離線授權權限。
產生離線授權檔案。
其他操作。點選後，透過清單選擇相關操作，包括：匯出 XML 檔、匯入 XML
檔、複製到…。
長期離線授權設定可指定允許離線使用的時間範圍，在此時間範圍之內可開啟加密文件。
離線權限還能設定解密、外發、授權軟體和安全區域等權限，相關操作設定同 15.8 加密授
權設定。
用戶端線上時，設定離線權限，權限能直接傳達給用戶端。
用戶端離線時，設定離線權限，還需要產生離線授權檔案(*.oap)，把離線授權檔案發給
用戶端，在用戶端匯入授權文件，才可啟用。
220
13.11 安全通訊設定
控制台功能列“文件加密管理→安全通訊設定”功能，是為安裝 IST ESG 設備的客戶，
方便其管理者設定 ESG 相關參數。IST ESG 透過「上傳解密」

、「下載加密」及「通訊加密」，
提供加密檔案上傳、下載與傳輸過程中的全面防護。未啟動安全通訊的加密用戶端，不能連
接受保護的 ERP、PLM 等系統。
IST ESG 的兩大功能為：應用系統保護和檔案共用保護。相關詳細說明請參閱 IST ESG
使用手冊。
13.12 加密文件操作日誌
控制台功能列“文件加密管理→加密日誌→加密文件操作日誌”，可記錄：
1. Windows 用戶端記錄加密檔案、解密檔案、申請解密檔案、產生外發檔案、申請產
生外發檔案、修改文件安全內容、申請修改文件安全內容等，相關的詳細操作日誌。
2. MAC 用戶端及 Linux 用戶端，記錄加密檔案、解密檔案等相關的詳細操作日誌。
加密文件操作日誌預設顯示所有用戶端操作日誌，管理員也可設定各種查詢條件，以滑
鼠點選任一筆日誌即可查看詳細資訊，已設定備份的操作日誌，可進一步查看文件副本。
13.13 磁碟掃描
管理者可同時對多部用戶端電腦設定掃描任務，對目標用戶端電腦的本機磁碟掃描，並
加／解密指定檔案。一部用戶端電腦可設定多個加／解密任務，並依新增任務時間順序執行。
查看【工具→帳號】
，選取或新增管理員，在〔一般〕頁籤勾選「具有加密功能管理權限」，
在〔加密功能〕頁籤，按【管理權限】
，勾選「任務管理」及其下層權限。只要擁有「加密功
能─任務管理」權限的管理員，就可以選擇功能列【文件加密管理→磁碟掃描任務】
，進行磁
碟掃描加解密任務的設定。
注意磁碟掃描功能不適用於 Mac 用戶端及 Linux 用戶端環境。
221
13.13.1 磁碟掃描任務設定
磁碟掃描加密任務
設定磁碟掃描加密任務步驟：
1. 點選功能列“文件加密管理→磁碟掃描任務”，選擇一部或多部用戶端電腦，點選
右上角的新增按鈕，選擇「建立加密任務」，開啟建立加密任務視窗。
2. 在〔一般〕頁籤中，設定任務名稱、任務對象等項目。
3. 切換至〔進階〕頁籤，對文件安全內容及效能等進階目進行設定。
4. 設定完成後，點選【確定】按鈕，掃描加密任務建立成功。
一般設定內容說明
設定選項說明
任務名稱目前任務的任務名稱。系統會自動填上預設值，可以修改。
可進行目標電腦選擇。之前選中的用戶端電腦在此處會被勾選上，也可以
選擇對象
增加或去除選擇對象。
此範圍內的文件，會被掃描加密。
包含文件點選按鈕後，可以在內建的預設文件類型中選擇；也可在設定視窗中，
點選按鈕進行手動輸入，支援萬用字元，如：*.doc;c:\*;D:\test\*.txt。
是否一併針對壓縮檔內，符合「包含文件」指定類型的檔案進行掃描。
搜索壓縮檔中的檔案
本功能支援 .zip、.rar、.7z、.gar、.gz 格式的壓縮檔。
此範圍內的文件，不會被掃描加密。
排除文件點選按鈕後，可以在內建的預設文件類型中選擇；也可在設定視窗中，
點選按鈕進行手動輸入，支援萬用字元，如：*.doc;c:\*;D:\test\*.txt。
注意 IST 預設會排除一些系統檔案，點選圖示查看說明，如果不想排除預設的排除路

徑，請在包含文件中新增。
包含文件、排除文件、過濾文件之間的優先順序為：排除範圍＞包含範圍＞過濾
文件。
222
進階設定內容說明
設定選項說明
工作選項由控制台進行批量修改用戶端加密文件的安全內容；
只勾選此項，系統會將包含文件內的明文文件加密成“加密授權”設定的
明文加密成密文
安全內容；
只勾選此項，會根據設定的變更模式，將包含文件內滿足條件的加密文件
安全內容變更為新設定的安全內容。
※同時勾選「明文加密成密文」、「密文變更安全內容」：
密文變更安全內容
系統會將包含文件內的明文文件加密成“加密授權”設定的安全內
容；同時，將包含文件內滿足條件的加密文件安全內容變更為設定的安
全內容。
公共普通變更安全
變更加密屬性中存取權限只有“公共-普通”的所有加密文件；
內容
系統會對加密文件的原設定屬性與新設定的屬性進行比對，原設定權限低
低級別變更進階別
於新設定權限則變更。滿足條件：同一安全區域、加密文件安全內容的安
安全內容
全等級低於或等於新設定的安全等級；
無論原文件的安全內容為何，都會變更為新設的安全內容，即可跨安全區
強制變更安全內容
域變更文件的安全內容，以及降低文件安全內容等級。
設訂文件被加密後的安全內容，包括設定權限和存取權限，加密後的檔案
文件安全內容
的安全內容和此處設定一致。
效能設定任務進行時的效能設定；
掃描速度會比較快，對系統性能會有一定影響；執行任務時間為非工作時
掃描速度優先
段可建議選擇此選項；
掃描速度會放慢，對電腦的資源消耗不會太高，確保系統效能；執行任務
系統效能優先
時間為工作時間時，建議選擇此選項；系統預設選項；
勾選該選項時，用戶端電腦空閒時才會掃描並對指定檔案加密，其餘時間
僅在空閒時掃描
不掃描不加密。
223
※ 用戶端空閒指：
「基本資訊」顯示狀態“正在運作（空閒）”的用戶端。
設定任務開始掃描加密的時間。在下拉式功能表中選擇符合要求的時間分
掃描時段類。
※ 此處下拉式功能表中選擇分類，即為時間類型管理中的各分類。
檔案大小在此限定範圍內的檔案才會被加密。
說明
1. 〔一般〕頁籤「選擇對象」和「包含文件」不勾選或空白，無法建立掃描加密任務。
2. 管理員建立加密任務並設定文件安全內容時，受其本身的安全區域和等級限制。
3. 磁碟掃描加密任務建立成功後，則無法修改任務設定。在建立任務時，請務必確認
每項設定正確無誤後再按【確定】按鈕。
4. 只要管理員有“加密功能→管理權限→任務管理→設定加密任務”權限，就可以透
過控制台“文件加密管理→磁碟掃描任務→建立加密任務→進階”批次修改用戶端
加密文件安全內容。
磁碟掃描解密任務
設定磁碟掃描解密任務步驟：
1. 點選功能列“文件加密管理→磁碟掃描任務”，選擇一部或多部用戶端電腦，點選
右上角的新增按鈕，選擇「建立解密任務」，開啟建立解密任務視窗。
2. 在〔一般〕頁籤中，設定任務名稱、任務對象等項目。
3. 切換〔進階〕頁籤，對文件安全內容及效能等進階目進行設定。
4. 設定完成後，點選【確定】按鈕，掃描解密任務建立成功。
一般設定內容說明
設定選項說明
任務名稱目前任務的任務名。系統會自動填上預設值，可以修改；
224
可進行目標電腦選擇。此前選中的用戶端電腦在此處被勾選上，也可以增
選擇對象
加會去除選擇對象；
此範圍內的文件，會被掃描解密；預設解密所有檔案；
點選按鈕後，可以在內建的預設文件類型中選擇；也可在設定視窗中，
包含文件
點選按鈕進行手動輸入，支援萬用字元。如：*.doc;c:\*;D:\test\*.txt
等。
是否要一併針對壓縮檔內，符合「包含文件」指定類型的檔案，進行掃描
搜索壓縮檔中的檔案
動作。
此範圍內的文件，不會被掃描解密；
點選按鈕後，可以在內建的預設文件類型中選擇；也可在設定視窗中，
排除文件
點選按鈕進行手動輸入，支援萬用字元。如：*.doc;c:\*;D:\test\*.txt
等。
進階設定內容說明
設定選項說明
文件安全內容設定解密存取權限為指定安全內容的加密檔案；
全部區域全部等級選擇此項，則屬於全部區域和全部等級的加密檔案都會被解密；
選擇此項，並指定等級，則屬於全部區域且為指定等級的加密檔案會被
全部區域的指定等級
解密；
選擇此項，並設定指定的安全區域和等級，則存取權限屬於或低於此設
指定區域與指定等別
定的加密檔案會被解密。
效能設定任務進行時的效能設定；
掃描速度會比較快，對系統性能會有一定影響；執行任務時間為非工作
掃描速度優先
時段可建議選擇此選項；
掃描速度會放慢，對電腦的資源消耗不會太高，確保系統效能；執行任
系統效能優先
務時間為工作時間時，建議選擇此選項；
勾選該選項時，用戶端電腦空閒時才會掃描並對指定檔案解密，其餘時
僅在空閒時掃描
間不掃描不解密。
225
※ 用戶端空閒指：「基本資訊」顯示狀態“正在運作（空閒）”的用戶
端。
設定任務開始掃描解密的時間。在下拉式功能表中選擇符合要求的時間
掃描時段分類。
※ 此處下拉式功能表中選擇分類，即為時間類型管理中的各分類。
檔案大小此大小範圍內的檔案才會被解密。
說明
1. 沒有選擇任何用戶端電腦對象時，無法建立掃描解密任務。
2. 管理員建立解密任務並設定文件安全內容時，受其本身的安全區域和等級限制。
3. 磁碟掃描解密任務建立成功後，則無法修改任務設定。在建立任務時，請務必確認
每項設定正確無誤後再按【確定】按鈕。
13.13.2 查看任務資訊
對一部用戶端電腦可以設定多個加/解密任務，任務按照建立順序依次執行，正在執行的
任務為「目前任務」，等待執行的任務為「後續任務」，目前任務執行完後，後續任務自動變
為目前任務。
目前任務資訊
在磁碟掃描功能介面上半窗格〔磁碟掃描任務〕中，可以查看每部用戶端電腦目前執行
任務的基本資訊。
內容項說明
電腦用戶端的電腦名稱。
所屬群組用戶端電腦所在群組名稱。
掃描功能的狀態：啟用/禁用；啟用時可執行磁碟任務，禁用時磁碟掃描
掃描功能
任務暫停；
226
※ 掃描功能預設為啟用狀態。
目前任務用戶端目前執行的磁碟掃描任務名稱及加/解密包含文件類型。
用戶端目前執行的磁碟掃描任務狀態；
 當掃描功能為啟用時，執行目前掃描任務，狀態為「已啟動」
；
 當掃描功能為禁用時，禁用目前掃描任務，狀態為「暫停」
；
目前任務狀態
 在掃描任務啟動和禁用的過程中，對應會有“正在啟動”/“正在暫
停”的狀態
 當掃描任務執行完成後，狀態為「完成」
開始時間用戶端目前執行的磁碟掃描任務開始執行的時間。
進度目前執行的磁碟掃描任務的完成進度，會根據目前進度自動更新。
其他任務資訊
選中一部用戶端電腦，在磁碟掃描功能介面下半窗格〔任務資訊〕頁籤中，除了可以查
看該部用戶端電腦目前任務，也可以查看後續任務的資訊明細，包括：建立該加/解密任務時
對應的各項設定內容。
說明磁碟掃描任務僅執行一次，執行完畢後不會保留，將執行後續任務。
※ 特殊情況：
一部用戶端電腦最後一個任務（無後續任務）執行完成後，會保留在磁碟掃描功
能介面該用戶端的「目前任務」資訊中。此時對該電腦執行先「禁用掃描功能」，
再選擇「啟用掃描功能」的操作，會重新執行該任務，適用於需定時執行同一任
務的使用情形。
13.13.3 查看任務日誌
在磁碟掃描功能介面，選中一部用戶端，在下半窗格〔任務日誌〕頁籤中，可以查看該
用戶端執行任務的日誌。透過工具列上的按鈕進行重新整理。
227
內容項目說明
該筆任務日誌產生的時間；
時間加密任務：在時間前有一個鎖頭標示；
解密任務：在時間前有一個鑰匙標示；
任務名稱日誌記錄當時執行的任務名稱；
包括：執行任務完成的百分比、目前掃描的目錄路徑、該任務的主要資訊
內容
（包含條件、排除條件）
、任務完成後的統計結果。
13.13.4 啟用/禁用掃描功能
禁用
電腦的掃描功能預設為啟用狀態。在磁碟掃描功能介面，選中一部或多部用戶端電腦，
點選禁用按鈕，或是右鍵功能表中選擇「禁用掃描功能」，則目標用戶端電腦的掃描功能
會被禁用，正在進行的任務將暫停。
啟用
選中一部或多部被禁用掃描功能的用戶端電腦，點選啟用按鈕，或是右鍵功能表中選
擇“啟用掃描功能”，則目標用戶端的掃描功能會被啟用，此時若有暫停的任務，該任務將
繼續執行，後續任務也會按次序執行。
13.13.5 刪除任務
選中一部或多部用戶端電腦，點選移除任務按鈕，或是右鍵功能表中選擇“刪除電腦
任務”，則目標用戶端的所有任務都會被刪除，包括目前任務和後續任務。
228
13.13.6 查詢電腦任務
查詢
點選查詢按鈕，於〔對象選擇〕視窗，選取指定的電腦或者電腦群組，點選【確定】
按鈕，則電腦清單中僅會出現符合查詢條件的電腦以供檢視。
模式
點選模式切換按鈕，可以選擇「顯示全部電腦」或「僅顯示有任務的電腦」進行查看。
13.14 解密申請管理
解密申請管理，預設查看所有解密申請資訊，包括已核准和未核准的申請，並可依多種
方式查詢。
線上審核
用戶端線上時，解密申請及審核的操作步驟如下：
1. 在用戶端電腦上，針對目標檔案，使用右鍵功能表或掃描工具申請解密。
2. 控制台上有訊息提示視窗，在解密申請管理中也可以查看申請記錄，狀態「審核中」。
3. 快點兩下記錄，可查看申請資訊和申請內容資訊。
4. 若要批准，點選【批准】按鈕，反之則點選【拒絕】按鈕。
5. 審核通過後，可在用戶端加密介面中按右鍵選單“查看申請情況”中開啟〔申請和
審核情況〕視窗查看解密申請審核情況。
離線審核：
用戶端離線而加密系統處於備用模式狀態時，解密申請及審核的操作步驟如下：
1. 用戶端使用右鍵功能表或掃描工具申請解密，並在“查看申請情況”開啟〔申請和
審核情況〕視窗按，右上角的【離線申請】產生申請檔案(*.ODR)。
229
2. 管理員拿到(*.ODR)申請檔案，在解密申請管理介面，選擇右鍵功能表“匯入申請檔
案”，開啟申請檔案匯入。
3. 控制台上有訊息提示視窗，並在解密申請管理中可以查看申請記錄，狀態「審核中」。
4. 快點兩下記錄，可查看申請資訊和申請内容資料。
5. 若要批准，點一下【批准】按鈕，反之點【拒絕】按鈕；
6. 在解密申請管理介面選中此筆申請記錄，選擇右鍵功能表“匯出審核結果”，並儲
存檔案(*.ORR)。
7. 把匯出的結果檔案發給用戶端，在用戶端“查看申請情況” 開啟〔申請和審核情況〕
視窗按右上角的【匯入審核】，匯入結果檔案(*.ORR)並解密。
快速審核
同時選中多個解密申請，選擇右鍵功能表“快速審核”或解密申請管理介面上面的快速
審核按鈕，若要批准，點選【批准】按鈕，反之點【拒絕】按鈕。
刪除申請
具有刪除解密申請權限的管理員，可以刪除解密申請。在解密申請介面中，選擇一條或
多條申請記錄，點選滑鼠右鍵選擇“刪除”，根據需要選擇一種刪除模式：所選記錄、本頁
記錄、所有滿足條件的記錄。
說明任何狀態的解密申請均可以刪除，已審核但未發送的申請被刪除後，審核結果不
會繼續發送到用戶端。
13.15 外發申請管理
外發申請管理預設查看所有外發申請資訊，並可依多種方式查詢，和解密申請管理類似。
線上審核
用戶端線上時，外發申請及審核的操作步驟如下：
230
1. 用戶端使用右鍵功能表或掃描工具申請外發。
2. 控制台會顯示提示視窗，並在外發申請管理中可以查看申請記錄，狀態「審核中」。
3. 滑鼠針對記錄點兩下，可查看申請資訊。多層目錄時，按兩下資料夾可以進入子目
錄查看，點選或者鈕可以返回上層目錄。
5. 審核通過後，用戶端在“查看申請情況”中產生外發文件。
離線審核
用戶端離線而加密系統處於備用模式狀態時，外發申請及審核的操作步驟如下：
1. 用戶端使用右鍵功能表或掃描工具申請外發，並在“查看申請情況”開啟〔申請和
審核情況〕視窗，按右上角的【離線申請】產生申請檔案(*.OOR)。
2. 管理員拿到(*.OOR)申請檔案，在外發審核管理介面，選擇右鍵功能表“匯入申請檔
案”，開啟申請檔案匯入。
3. 控制台上有訊息提示視窗，並在外發申請管理中可以查看申請記錄，狀態「審核中」。
4. 快點兩下記錄，可查看申請資訊和文件內容。
6. 在外發申請管理介面選中此筆申請記錄，選擇右鍵功能表“匯出審核結果”，並儲
存檔案(*.ORR)。
7. 把匯出的結果檔案發給用戶端，在用戶端“查看申請情況” 開啟〔申請和審核情況〕
視窗按右上角的【匯入審核】，匯入結果檔案(*.ORR)並產生外發文件。
快速審核
同時選中多個外發申請，選擇右鍵功能表“快速審核”或外發申請管理介面上面的快速
審核按鈕，若要批准，點選【批准】按鈕，反之點【拒絕】按鈕。
231
刪除申請
具有刪除外發申請權限的管理員，可以刪除外發申請。在外發申請介面中，選擇一筆或
多筆申請記錄，點選滑鼠右鍵選擇“刪除”，根據需要選擇一種刪除模式：所選記錄、本頁
說明任何狀態的外發申請均可以刪除，已審核但未發送的申請被刪除後，審核結果不
會繼續發送到用戶端。
13.16 安全內容變更申請管理
安全內容變更申請管理與解密申請類似。
線上審核
用戶端線上時，安全內容變更申請及審核的操作步驟如下：
1. 用戶端使用右鍵功能表或掃描工具申請變更安全內容；
2. 在彈出的申請視窗中，可查看到新增的檔案資訊。如還有需要增加的檔案，可點選
“檔案資訊”標籤頁上的新增按鈕或新增資料夾按鈕進行檔案新增操作。
3. 確定目標檔案後，切換到“安全區域”標籤頁，設定變更後的文件安全屬性。
4. 隨後切換至“申請理由”標籤頁，填寫申請理由。
5. 所有資訊設定填寫完畢之後，點選【申請】，完成操作。
用戶端在線上時，申請變更文件安全屬性後，控制台能馬上收到通知並審核：
1. 控制台顯示提示視窗，在申請管理介面可以查看申請記錄，狀態「審核中」。
2. 快點兩下記錄，可查看申請資訊。管理者可直接修改申請內容資訊。
3. 若要批准，點選【批准】按鈕，反之點【拒絕】按鈕；
4. 審核通過後，用戶端可以在“查看申請情況”中修改檔案安全內容。
232
離線審核
用戶端離線而加密系統處於備用模式時，安全內容變更申請及審核的操作步驟如下：
1. 用戶端使用右鍵功能表或掃描工具申請變更安全內容，並在“查看申請情況”開啟
〔申請和審核情況〕視窗，按右上角的【離線申請】產生申請檔案(*.OSR)。
2. 管理員拿到(*.OSR)申請檔案，在安全內容變更申請管理介面，選擇右鍵功能表“匯
入申請檔案”，選擇申請檔案匯入。
3. 控制台上有訊息提示視窗，並在安全內容變更申請管理中可以查看到申請記錄，狀
態為「審核中」。
4. 快點兩下記錄，可查看申請資訊。管理者可直接修改申請內容資訊。
5. 若要批准，點選【批准】按鈕，反之點【拒絕】按鈕；
6. 在安全內容變更申請管理介面選中此條申請記錄，選擇右鍵功能表“匯出審核檔”，
並儲存檔案(*.SRR)。
7. 把匯出的審核檔案發給用戶端，在用戶端“查看申請情況” 開啟〔申請和審核情況〕
視窗按右上角的【匯入審核】，匯入審核檔(*.SRR)並完成檔案安全內容修改。
快速審核
同時選中多個安全內容變更申請，選擇右鍵功能表“快速審核”，若要批准，點選【批
准】按鈕，反之點【拒絕】按鈕。
刪除申請
具有刪除安全內容變更申請權限的管理員，可以刪除安全內容變更申請。在安全內容變
更申請介面中，點選滑鼠右鍵選擇“移除”，根據需要選擇一種刪除模式：所選記錄、本頁
說明任何狀態的安全內容變更申請均可以刪除，已審核但未發送的申請被刪除後，審
核結果不會繼續發送到用戶端。
233
13.17 臨時離線申請
用戶端短時間內出差，如幾天之內便可以完成出差任務時，建議使用臨時離線功能。
臨時離線申請管理預設查看所有臨時離線申請資訊，包括已審核和未審核，並可依指定
條件查詢。
線上審核
用戶端線上時，臨時離線申請審核流程如下：
1. 用戶端申請臨時離線，在用戶端電腦右下角用戶端圖示中，按滑鼠右鍵點選“臨時
離線申請”。
2. 控制台上有訊息提示視窗，並在臨時離線申請管理中可以查看到申請記錄，狀態為
「審核中」。
3. 快點兩下記錄進入審核視窗，可查看用戶端的申請理由及申請離線到期時間。如果
管理員認為用戶端申請的臨時離線時間持續太久，可透過修改「允許到期時間」進
行調整。
4. 若要批准，點選【批准】按鈕，在審核視窗中即產生授權碼；在反之點【拒絕】按
鈕，拒絕時需要填入拒絕理由。
5. 審核通過後，用戶端才可離線，從離線後開始直至到期時間之前，用戶端進入備用
模式，依照在線加解密策略執行加解密操作。
6. 用戶端查看申請審核情況時，可在“查看申請情況”中查看。
離線審核
用戶端離線時，無法申請臨時離線，可由管理員在控制台建立申請。步驟如下：
1. 點選功能列“申請管理→加密申請管理→臨時離線申請管理”，在管理頁面點選
建立申請。
2. 選擇離線的用戶端電腦，點選【確定】。
3. 選擇到期時間，點選【批准】。
234
4. 在臨時離線申請管理視窗按右鍵「重新整理」
，可看到增加一筆「已批准」的記錄。
5. 管理員點選兩下該記錄，再次打開〔臨時離線申請〕視窗獲取授權碼，以電話或其
他形式告知離線用戶端。
6. 用戶端在電腦右下角用戶端圖示中，按右鍵選單“匯入授權→匯入臨時離線授權
碼”，將管理員給的授權碼輸入後，即可進入備用模式，在管理員設定的到期時間
之前，執行線上加密權限策略。
刪除申請
具有刪除臨時離線申請權限的管理員，可以刪除臨時離線申請。在臨時離線申請介面中，
點選滑鼠右鍵選擇“刪除”，根據需要選擇一種刪除模式：所選記錄、本頁記錄、所有滿足
條件的記錄。
說明任何狀態的臨時離線申請均可以刪除，已審核但未發送的申請被刪除後，審核結
果不會繼續發送到用戶端。
13.18 審核權限委託
當管理員外出或休假時，可將自身的審核權限，臨時委託給信任的權限管理人代為審核
管理，如果代理人是系統管理員權限，還可以幫助其他管理者將權限委託給別的管理者。權
限委託時，可設定授權時間區間與審核權限範圍，預定時間到期後管理權限自動收回。
具有“工具→帳號→加密功能→管理權限→流程管理→審核權限委託”的管理員才能將
權限委託給其他管理員，具有“工具→帳號→一般→具有加密功能管理權限”的管理員才能
接受委託。系統管理員同時可以查看所有的委託情況。
圖示按鈕說明
一個管理員既可以是委託者，也可以是受託者；可切換查看委託及受託的
情況。系統管理員還可以切換查看全部管理員的委託情況；
進行審核權限委託設定；
刪除委託的權限，即收回委託的權限。
235
設定帳號的委託權限
設定“委託權限”的步驟如下：
1. 系統管理員登入控制台“工具→帳號”，進入帳號管理介面。
2. 選擇某一個帳戶，勾選“加密功能→管理權限→流程管理→審核權限委託”，則該
帳號便可將權限委託給其他管理員。沒有此權限，則無法執行權限委託。
權限委託
將委託權限交給其他管理員的步驟如下：
1. 選擇功能表“申請管理→加密申請管理→審核權限委託”進入文件加密管理主視
窗。
2. 點選【模式】圖示按鈕，切換到「權限委託設定」介面，再點選【委託設定】
圖示按鈕，開啟〔審核權限委託設定〕視窗。
3. 在〔一般〕頁籤中勾選「啟用委託」
，選擇被委託人，設定委託有效起止時間，可勾
選「委託人上線時自動暫停委託」以避免委託人和被委託人同時執行任務而造成不
必要的衝突，再填寫備註資訊。
4. 切換到〔功能權限〕頁籤，選擇要委託的權限，可以選擇全部權限，也可以選擇部
分權限；完成之後點選【確定】按鈕。
5. 此時“申請管理→加密申請管理→審核權限委託→委託權限設定”中，可以查看委
託權限的相關資訊。
權限代委託
1. 擁有系統管理員權限的管理帳號，點選“審核權限委託”介面的【模式】按鈕
切換至「查看全部委託情況」介面，點選【代委託權限設定】按鈕，開啟〔審核
權限委託設定〕視窗。
2. 在〔一般〕頁籤中勾選「啟用委託」
，選擇委託人和被委託人，設定委託有效起止時
間，可勾選「委託人上線時自動暫停委託」
，以避免委託人和被委託人同時執行任務，
236
而造成不必要的衝突，再填寫備註資訊。
3. 切換到〔功能權限〕頁籤，選擇要委託的權限，可以選擇全部權限，也可以選擇部
分權限；完成之後點選【確定】按鈕。
4. 此時“申請管理→加密申請管理→審核權限委託→查看全部委託情況”中，可以查
看委託權限的相關資訊。
自動暫停委託
權限委託和權限代委託時，
〔一般〕頁籤中有「委託人上線時自動暫停委託」選項。勾選
此項，則委託人未登入控制台時，被委託人能得到受託的權限，當委託人登入控制台時，該
委託將暫停，被委託人的受託權限將被收回。
此處設定只是在委託人登入控制台時暫時收回權限，委託人登出控制台後，受託人將再
次獲得受託權限。想要完全收回權限需要在審核權限委託介面執行刪除操作。
注意受委託的權限，不能被委託或代委託給其他管理員。
13.19 審核流程管理
審核流程管理中的多層級審核功能，可以滿足企業內部多個級別進行審核流程的要求，
保證申請得到各級別管理者覆核和審查。多層級審核中，負責各級別審核的角色均稱為“加
密審核者”。加密審核者其實就是具有加密管理功能權限的管理員。
具有“查看加密審核流程”以及“設定加密審核流程”管理權限的管理員登入 IST 控制
台，在“申請管理→加密申請管理→審核流程管理”中，進入審核流程管理介面，可對審核
237
流程進行各項管理操作。
功能按鈕說明
圖示按鈕說明
新增，點選該按鈕新增加一條流程。
修改，點選該按鈕編輯選中的流程。
刪除，點選該按鈕刪除選中的流程。
複製，點選該按鈕複製選中的流程。
上移，將選中的流程上移一個位置。
下移，將選中的流程下移一個位置。
還原，取消新增或修改流程時點選該按鈕。
儲存，新增或修改流程後，需儲存才會生效。
新增流程
新增流程的操作步驟：
1. 點選新增按鈕，開啟“建立流程”的〔基本設定〕介面。
2. 輸入「流程名稱」，選擇「申請類型」和「申請對象」後，點選【下一步】。
(1) 流程名稱：新增流程的名稱，不可重複。預設為“審核流程”，其後新增預設
名稱為“審核流程_1”、“審核流程_2”，依此類推。
(2) 申請類型：新增流程可審核的申請類型，可選取全部或部分類型。
(3) 申請對象：新增流程可審核的申請對象，可選擇電腦也可選擇網域使用者帳號。
3. 進入〔文件設定〕介面，設定文件數量、文件總大小、文件路徑\文件類型，此處如
果不設定則表示不限制，點選【下一步】。
(1) 文件數量：申請的文件數量在設定的數量範圍內的申請才能比對此流程。數值
範圍在[0,100000]間，預設值為[0,10000]
(2) 文件總大小：申請的文件總大小在設定的範圍內的申請才能比對此流程。數值
238
範圍在[0,100000000]間，預設為[0,2000000]
(3) 單一文件大小：申請文件的個別大小在設定的範圍內的申請才能比對此流程。
數值範圍在[0,100000000]間，預設為[0,2000000]
(4) 文件路徑\文件類型：申請的檔案路徑\文件類型在設定的內容範圍得申請才能
比對此流程。此處可以設定文件路徑也可設定文件類型，兩者也可混合設定。
各條件間以“,”或“;”分隔，支援萬用字元，如*.doc 或*.txt,c:\test\*等。各
條件之前是“或”的關係。
4. 進入〔文件安全內容〕設定介面，此處如果不設定則表示不限制，點選【下一步】。
(1) 點選按鈕開啟“安全內容條件”設定視窗，可以設定文件的「設定權限」和
「存取權限」
(2) 若勾選「滿足上述任一條件即可」
，則與設定的任一條件相符合即可比對此流程，
不勾選則必須與設定的條件完全一致才算符合條件。
5. 進入〔外發對象〕設定介面，選擇外發對象；若勾選了「包含上述任一外發對象條
件即滿足條件」
，則與設定的任一條件相符合即可比對此流程，不勾選則必須與設定
的條件完全一致才算符合條件。此處如果不設定則表示不限制，點選【下一步】。
6. 進入〔外發設定〕設定介面，此處如果不設定則表示不限制，點選【下一步】。
(1) 點選按鈕開啟“外發設定”視窗，可以設定外發條件（列印、虛擬列印、剪
貼簿、螢幕擷取、編輯修改）以及對應條件（禁止/允許）。
(2) 若勾選了「滿足上述任一條件即可」
，則與設定的任一條件相符合即可比對此流
程，不勾選則必須與設定的條件完全一致才算符合條件。
7. 進入〔臨時離線〕設定介面，可選擇臨時離線時長的區間，時間單位有分鐘、小時
和天可以選，最多不能超過 1000 天。此處如果不勾選“臨時離線”則表示不限制，
點選【下一步】。
8. 進入〔環節設定〕介面，設定每一級別的審核要求，包括：審核人員、審核通過條
件。可建立多個環節，每個環節建立後都能進行修改、刪除、上下移動操作。
點選按鈕開啟〔環節設定〕視窗，輸入環節名稱、選擇審核人員及審核通過條件：
239
(1) 環節名稱：必填。新增的環節名稱，格式不限，不能與已有的重複。
(2) 審核人員：必選。此環節的所有審核人員，可選擇多個審核人員。
(3) 審核通過條件：此環節通過的條件，可選擇「必須由全體審核人員批准通過」
或者「必須由指定人數的審核人員批准通過」
。指定的人數不能大於全部審核人
員的人數。任意一人拒絕申請此環節不能通過。
9. 建立好所有條件和所需環節後，點選【完成】按鈕，完成流程設定。至少要有一個
「環節」，才能完成流程設定。
10. 新建立的審核流程預設不啟用。點選流程名稱前的核取方塊即可啟用流程。
說明新增流程時，依“建立流程→流程條件→基本設定”所選擇的申請類型顯示文件
設定、文件安全內容等以下可設定的頁面，部分流程條件頁面僅對指定的申請類
型有效（對應頁面有提示說明）
。當新增流程選擇的申請類型不包含某種類型時，
其僅生效的頁面將直接不顯示。
修改流程
點選修改按鈕，進入編輯流程頁面，可對選取的流程進行流程條件及流程環節修改。
複製流程
點選複製按鈕，則選中的流程將會被複製。複製的流程預設在流程清單的最上方，名稱
為原審核流程名稱後加_N，N 指目前流程是流程清單中存在的原流程的第幾個複製版本。複
製流程所有設定，包括是否啟用都與原流程一致。
刪除流程
點選刪除按鈕，則選中流程會被刪除。若刪除流程時，尚有申請處於流程中未結束，則
該申請終止，有相應提示返回給申請者。
240
流程比對原則
申請會按照審核流程清單中的各流程順序，自上而下比對，比對符合某一條流程就不會
再繼續向下比對。如果申請不能比對到任何自訂的流程，則會比對到預設流程，由擁有該類
型審核權限的管理員或系統管理員進行審核。預設流程不能進行修改、移動、刪除等操作。
一條申請比對符合了某一流程後，再依順序到每個環節。每個環節都需要達到指定審核
通過結果時，才會進入下一個環節。只有目前環節的審核人可以審核，其他環節的審核人不
能進行審核。申請在經過所有環節批准通過的情況下才算是被批准。
申請審核處於某一環節 N 時，達到指定人數的審核人員審核通過，則往下到 N+1 環節
繼續審核；若未達到指定人數的審核人員審核通過時，有審核者拒絕，則會回到 N-1 環節。
此時，N-1 環節的審核者無需重新審核，只要有一名審核者點選【拒絕】按鈕，則該申
請會回到 N-2 環節；只要有一名審核者點選【說明】並輸入審核通過的解釋說明，則審核回
到 N 環節。
注意加入到流程中的審核者帳號，可能會出現權限變更或者被刪除的情況。在已啟用的
流程中，如果某一環節存在且擁有加密管理權限的管理者小於必要批准人數，則該
條流程失效。
對於失去加密管理權限的環節審核者，即使重新賦予其加密管理權限，該流程也不
會重新生效。
13.20 檔案管理
控制台本機掃描
選擇功能列“文件加密管理→本機掃描”，可以掃描控制台所在電腦的加密檔案，並可
以執行加密、解密、產生外發文件、修改檔案安全內容等操作。
241
遠端文件管理
在 IST 控制台主視窗，在電腦欄選擇一台電腦，選擇右鍵功能表“加密管理功能→遠端
加密文件管理”，可以掃描用戶端的加密文件，並可以遠端直接執行加密、解密、產生外發
文件、修改檔案安全內容等操作。只能對線上的用戶端進行操作。
13.21 備援伺服器設定
點選控制台功能列“文件加密管理→備援伺服器管理”，開啟備援伺服器管理介面。
設定
點選控制台功能列“文件加密管理→備援伺服器管理”，開啟“備援伺服器設定”視窗，
進行備援伺服器接入範圍的設定。操作步驟如下：
1. 點選控制台功能列“文件加密管理→備援伺服器管理”，開啟“備援伺服器設定”
視窗。
2. 設定備援伺服器的 IP 允許範圍後，點選【重新整理】。
(1) 如勾選「全部 IP 位址」，即表示所有網路位址範圍內的備援伺服器都可與主伺
服器連接。
242
(2) 也可點選【新增】按鈕，設定允許的 IP 範圍，再按【提交】加入下方備援伺服
器清單。例如：設定網路位址範圍為 192.168.0.1-192.168.0.100，則在該 IP
位址以外的備援伺服器無法與主伺服器連接。
可在“備援伺服器設定”視窗中的〔備援伺服器清單〕
，檢視目前主伺服器上的所有備援
伺服器清單。
修改密碼
點選【連接密碼】，設定備援伺服器和主伺服器之間的連接密碼。操作步驟如下：
1. 點選控制台功能列“文件加密管理→備援伺服器管理”，開啟“備援伺服器設定”
視窗。
2. 點選左下角【連接密碼】按鈕，輸入新的連接密碼及再次確認密碼。
3. 設定了連接密碼後，備援伺服器才能成功連接到主要伺服器，透過主伺服器驗證，
獲取主伺服器的授權。
13.22 自訂金鑰
管理者可自行選擇加密檔案時的加密演算法，同時可設定自訂金鑰，備份金鑰資訊。
加密演算法設定
點選控制台功能列“文件加密管理→檔案加密演算法設定”，進入“檔案加密演算法設
定”視窗，點選「加密演算法」群組方塊處的【修改】按鈕。
可以使用預設的檔案加密演算法，也可以自訂檔案加密演算法，目前有四種加密演算法
可供選擇：DES、3DES、AES128、AES256。
加密金鑰設定
點選控制台功能列“文件加密管理→檔案加密演算法設定”進入“檔案加密演算法設定”
視窗，點選「加密金鑰」群組方塊處的【修改】按鈕。
243
可以使用預設的文件加密金鑰，也可以自訂檔案加密金鑰，自訂時可以選擇隨機產生或
是手動輸入，是否顯示金鑰明文；「備註」為必填欄位。
備份自訂加密金鑰
點選“檔案加密演算法設定”視窗「加密金鑰」群組方塊處的【備份】按鈕，可將金鑰
資訊匯出備份到指定位置；點選【匯入】，可將已備份的金鑰訊息匯入。
說明自訂的加密金鑰會同時對 Windows 用戶端、MAC 用戶端及 Linux 用戶端生效。
注意使用此功能的兩個前提條件：1. 伺服器需註冊正式序號；2. 需在伺服器環境下啟動控制台。
13.23 加密文件備份
管理者可設定加密文件備份伺服器，指定將各用戶端的加密檔案以明文或密文方式備份
到檔案備份伺服器上，即使用戶端上的加密檔案遺失或損壞，都能在檔案備份伺服器中找回。
說明檔案備份伺服器可提供對 Windows 用戶端、MAC 用戶端及 Linux 用戶端的文件備份。
13.23.1 檔案備份伺服器
安裝
檔案備份伺服器可與主伺服器裝在同一台電腦上，也可以裝在不同電腦上。直接按兩下
執行安裝程式進行安裝，操作步驟如下：
1. 按兩下 ISTBackup.exe，選擇安裝介面語言，點選【確定】。
2. 系統會彈出歡迎安裝的視窗，點選【下一步】繼續。
3. 安裝程式會提示使用者確定安裝的路徑，使用者也可以自己選擇安裝的路徑。
4. 選擇開始功能表的快捷方式的目錄，點選【下一步】。
5. 確認設定無誤，點選【安裝】
，複製檔案結束後系統安裝完畢，按一下【完成】按鈕
完成安裝。
244
查看檔案備份伺服器狀態
檔案備份伺服器的圖示，顯示目前備份伺服器運作時的狀態，相關狀態有：
圖示狀態說明
檔案備份伺服器正在啟動。
檔案備份服務停止。
未設定執行參數，包括連接參數、備份設定、空間設定；或未與 IST 伺服
器進行授權驗證。
與 IST 伺服器連接成功，已獲得授權。
與 IST 伺服器連接成功，未獲得授權。
與 IST 伺服器斷開連接，或是達到空間警報限制。
與 IST 伺服器斷開連接，未獲得授權。
停止備份，或是通訊錯誤。
在電腦桌面右下角“工作列→通知區域→檔案備份伺服器“的圖示上點選右鍵功能表
“狀態”，可以查看檔案備份伺服器的啟動時間、運作時間等更加詳細的狀態。
伺服器參數設定
在“工作列→通知區域→檔案備份伺服器“圖示上點選右鍵功能表“工具→選項”，開
啟“伺服器參數設定”視窗，進行對應的參數設定。
參數內容
連接參數
伺服器位址指定所要連接的主伺服器 IP 位址。
如果外網存取本機，可以使用本機網域名稱或 IP 位址方式連接。
本機網域名稱或 IP
要在外網存取時，需先開放 TCP 8249 埠。
備份庫路徑指定加密備份文件的儲存路徑。
歷史副本
245
副本數量到多保留勾選此選項，備份伺服器會依指定保留副本數量；
一個檔案經過多次修改，會進行多次備份，每備份一次，就是一個副本，
預設為 10；
副本最大數量
例如：指定備份的最大副本數量為 10，每個檔案僅保留最新的 10 次備份，
更早以前備份的檔將會自動刪除。
剩餘空間管理
自動清理：當剩餘空勾選此項，當備份磁碟剩餘空間小於設定值時，啟動自動刪除備份功能。
間少於刪除備份檔案的歷史副本，不是所有備份檔案。
歷史副本數量至少
指定至少要保留幾份歷史副本，預設 0。
保留
空間警報限制備份路徑所在磁碟剩餘空間低於此值則發警報通知；
停止備份限制備份路徑所在磁碟剩餘空間低於此值則停止備份。
說明「空間警報限制」和「停止備份限制」同時存在時，前者設定的值要大於後者。
查看運作日誌
“工作列→通知區域→檔案備份伺服器“圖示上點選右鍵功能表“工具→運作日誌”，
可以查看檔案備份伺服器工作狀態的相關日誌。
備份文檔管理工具
在“工作列→通知區域→檔案備份伺服器“圖示上點選右鍵功能表“工具→備份文檔管
理工具”，可以查看各用戶端電腦的備份文件。
246
13.23.2 檔案備份管理
授權
設定完加密文件備份伺服器的連接參數後，需要在連接到相應伺服器的 IST 控制台上對
其進行授權。
IST 控制台“文件加密管理→檔案備份伺服器管理”，選取列表中對應的檔案備份伺服
器，點選【授權】。授權成功後，檔案備份伺服器的授權狀態顯示為「授權」。點選【取消授
權】，檔案備份伺服器會變回「未授權」狀態。
設定範圍
備份檔案的電腦範圍，預設沒有選取任何對象。點選【設定範圍】
，開啟“對象選擇”視
窗，勾選要備份的電腦或電腦群組，點選【確定】，完成設定。
設定模式
備份檔案的備份模式：
備份模式說明
247
明文備份加密文件備份到備份伺服器時是以明文方式備份。
密文備份加密文件備份到備份伺服器時，還是以密文方式備份。
文件備份到備份伺服器時，保持其原始檔案屬性，加密文件以加密方式備
原文備份
份，明文文件以明文方式備份。
大部分公司擔心舊有的加密檔案遺失，所以允許公司員工在備份伺服器上查找，但是為
了防止有權限在備份伺服器查找檔案的員工洩露機密資料，所以需要對該伺服器上面的加密
檔案做加密處理，防止員工以複製、擷取螢幕等方式洩密。
設定備份條件
用戶端電腦預設不啟用加密文件自動備份任務。登入 IST 控制台功能列“文件加密管理
→檔案備份設定”，設定啟用或停止電腦的加密文件自動備份任務，並設定備份條件。
圖示按鈕說明
展開電腦清單。
修改選中電腦的檔案備份設定。
刪除選中電腦的檔案備份設定。
其他操作。點選後，透過清單選擇相關操作，包括：匯出 XML 檔、匯入

XML 檔、複製到…。
修改備份條件時，勾選「啟用加密檔案自動備份任務」
，則修改加密檔案、把非加密檔案
加密，都會根據下面的備份限制條件對該電腦的加密檔案進行備份，各限制條件包括：
選項說明
在此範圍中的檔案會被備份；輸入檔案名或路徑，可使用萬用字元。如：
包含檔案
*.doc、c:\*等。
在此範圍中的檔案不會被備份；輸入檔案名或路徑，可使用萬用字元。如：
排除檔案 *.doc、c:\*等。
「排除檔案」優先於「包含檔案」。
備份範圍在此大小範圍內有加密操作的檔案會被備份。
248
備份間隔以此時間範圍內，多次修改檔案，僅備份一次。
備份流量上傳備份檔案時的流量不會超過此限制數值。
備份時段在此時段內才向備份伺服器上傳備份，例如：14:00-18:00。
定期掃描備份是否定期對加密檔案進行掃描備份，支援斷點掃描；
掃描日期指定定期掃描備份的日期；
開始時間指定定期掃描備份的開始時間；
結束時間勾選選擇框，指定定期掃描備份的結束時間。
指定定期掃描備份的時間；
 勾選：若在掃描時段未完成當次的全部掃描，到了設定的結束時間即自
動暫停掃描；下次的掃描開始時間，將從中斷點開始繼續上次的掃描。
掃描時段
 不勾選：用戶端從設定的掃描開始時間進行掃描，直至掃描結束；若未
完成即關機，則再次開機後到了下一個掃描開始時間時，才會繼續從上
一次的中斷點開始掃描。
查看檔案備份日誌
點選控制台【文件加密管理→檔案備份操作日誌】，可查看檔案備份操作日誌。
13.24 智慧終端加密管理
提供可在智慧型手機上安裝的「安全文件檢視器」
，管理員可開啟 IST 控制台「文件加密
管理→智慧終端加密管理」
，管理哪些手機上有安裝安全文件檢視器，並針對已安裝該檢視器
的手機進行許可權限管理。
13.24.1 基本操作
查看基本資訊
249
在左方的裝置列表中，點選任何一支手機，可在右側的「基本→基本資訊」查看該手機
裝置的相關訊息：
 智慧終端裝置基本資訊
欄位名稱說明
概要資訊
該智慧型手機的名稱，預設會以申請授權時填寫的使用者名為名稱。
名稱
管理者可以重新命名。
使用者該智慧型手機申請授權時，所填寫的使用者名稱。
所屬群組該智慧型手機被分配到的群組。
最後上線時間該智慧型手機最後一次與 IST 伺服器連線的時間。
顯示該智慧型手機的授權狀態，包括：已授權、未授權、等待審核、已取
授權狀態
消授權、已拒絕授權、已過期、已暫停、已刪除。
申請資訊該智慧型手機申請授權時，所填寫的申請理由。
管理者對該智慧型手機設定的授權有效時間，超過此一時間，將無法使用
授權有效時間
安全文件檢視器閱讀加密文件。
授權認證間格管理者對該智慧型手機設定的授權認證時間，在認證間隔時間內，才可使
250
用安全文件檢視器閱讀加密文件。
設備資訊
App 資訊該智慧型手機所安裝的安全文件檢視器版本資訊。
智慧終端名顯示該智慧型手機內建的顯示名稱。
狀態該智慧型手機目前與 IST 伺服器的連線狀態，包括：上線和離線。
離線天數該智慧型手機未與 IST 伺服器連線的天數。
IP 位址顯示該智慧型手機上的 IP 資訊。
作業系統顯示該智慧型手機的作業系統版本資訊。
裝置型號顯示該智慧型手機的產品型號。
裝置廠商顯示該智慧型手機的製造商資訊。
 智慧終端群組資訊
在智能終端左方列表中選擇一個群組，並點選右方的【基本】頁籤，畫面會顯示該群組
內的裝置清單訊息。
分組操作
在智能終端左方的樹狀架構中，預設只會有一個「未分組」
。當有手機裝置申請授權後，
會自動出現「未授權」和「等待審核」群組，該台申請的手機名稱將同時顯示在這兩個群組
中。當管理員對該台手機申請做出審核操作後，該台設備將會從「等待審核」群組中消失。
如果管理員審核的動作是「拒絕」
，可以在「未授權」群組中持續看到該手機名稱。如果管理
員審核的動作是「啟用授權」，則該手機名稱將會從「未授權」移動到「未分組」。
在智能終端左方的樹狀架構中，所有的智慧型手機在第一次獲得授權成功之後，預設都
會顯示在「未分組」內。為了方便管理，管理者可建立一些分組，並將這些智慧型手機移動
到所建立的分組中，以利統一管理與設定權限。
251
 新增群組
在智能終端左方的樹狀架構中，所選擇最上方的或某個分組，點選上方的【檔
案→新增群組】
，可在樹狀架構中新增一個群組，為該群組設定一個識別名稱後，將已授權的
智慧型手機拖曳到該群組。管理員可依此方法，建立多層級的樹狀分組架構使用。
說明不可在預設的「未分組」上建立子分組，也不可刪除或將「未分組」重新命名。
 指定群組和改變群組
若欲將智慧型手機移動到指定的群組，或整批裝置一起移到特定群組，可先選定欲移動
的對象，並點選上方的【檔案→移動到】
，選擇欲移動到的目的地群組，如此即可快速移動對
象。當然，也可以透過滑鼠點選欲移動的對象，並拖曳到目的地群組的方式來完成分組。
尋找
若智慧型手機裝置的數量很多，可透過尋找的功能，快速找到欲指定的智慧型手機裝置。
在智能終端左方的樹狀架構中，點選上方的【檔案→尋找】
，在「搜尋智慧終端」視窗中，
可以依照名稱、IP 位址、作業系統、授權狀態、線上狀態等條件查詢，支援模糊查詢。符合
查詢條件的智慧型手機會顯示在下方列表，只要以滑鼠點選欲查詢的對象，就會在樹狀清單
中自動跳到該智慧型手機上。
重新命名
基於管理上的需求，管理員可隨時更改智慧型手機的識別名稱，只要先點選欲更改識別
名稱的手機，再點選上方的【檔案→重新命名】，即可修改該智慧型手機的顯示名稱。
說明本動作僅改變 IST 控制台上的識別名稱資訊，不影響手機本身的名稱設定。
252
刪除
對於離職或不再需要接受控管的智慧型手機，可先選取欲刪除的對象，再點選上方的【檔
案→刪除】
，即可刪除該智慧型手機資訊。若是選取整個分組刪除，會一併刪除該分組下所有
的子分組與智慧型手機。刪除操作僅是刪除開啟加密文件的授權，刪除後，安全文件檢視器
將顯示「你的授權已被刪除，請聯繫管理員」
，無法用以開啟加密文件。刪除後的裝置，會自
動移動至「已刪除」群組內。
還原
針對位在「已刪除」群組內的智慧型手機，可點選欲還原的裝置，再選擇上方的【檔案
→還原】進行還原。還原後，該智慧型手機會回到先前所分配的群組，授權狀態也會恢復至
刪除前的狀態。
13.24.2 授權管理
啟用授權
在智慧型手機上安裝安全文件檢視器，並進行申請授權後，該裝置將會出現在「等待審
核」群組內，按滑鼠右鍵點選正在等待審核的手機名稱，接著選擇【授權管理→啟用授權】，
並於「授權設定」完成授權配置，最後點選【確定】鈕完成授權。
授權設定項目包括：
欄位名稱說明
授權時間設定設定智慧型手機的授權時間。
勾選此選項，並輸入指定天數，表示授權啟用後，該智慧型手機上的安全
認證間格文件檢視器，需在指定的天數內至少連接 IST 伺服器一次。若超過指定天
數，則智慧型手機上的安全文件檢視器，會因為授權失效而無法開啟加密
253
文件。
不勾選此項，表示啟用授權後，即使該智慧型手機上的安全文件檢視器，
認證後就沒有再連接 IST 伺服器，也能開啟加密文件。
預設勾選此選項，並指定天數為 7 天。
勾選此選項，並選擇指定日期，表示授權啟用後，超過指定日期後，該智
慧型手機上的安全文件檢視器就無法開啟加密文件。
授權有效時間不勾選此項，表示該智慧型手機上的安全文件檢視器沒有時間限制，將能
持續開啟加密文件。
預設不勾選此選項。
分組設定智慧型手機的分組設定
選擇分組可選擇啟用授權後，要將該智慧型手機分派到的群組。
拒絕
要拒絕使用者的申請，請以滑鼠右鍵點選正在等待審核的手機名稱，選擇【授權管理→
拒絕】
，並輸入拒絕理由後按「確定」鈕，即可拒絕該裝置的申請。申請遭管理員拒絕後，該
智慧型手機的授權狀態會顯示「已拒絕」
，拒絕理由也會顯示在安全文件檢視器的授權狀態畫
面中。
暫停授權
對於已經獲得授權的智慧型手機裝置，管理員可用滑鼠右鍵點選該手機名稱，選擇【授
權管理→暫停授權】
，將可暫停該裝置對加密文件的存取，且會在安全文件檢視器的授權狀態
畫面中，顯示「你的授權已被暫停，請聯繫管理員」訊息。
254
取消授權
對於授權狀態為「已授權」、「已暫停」、「已過期」的裝置，管理員可用滑鼠右鍵點選該
手機名稱，選擇【授權管理→取消授權】
，取消對該裝置的授權，且會在安全文件檢視器的授
權狀態畫面中，顯示「你的授權已被取消，請聯繫管理員」訊息。
修改授權資訊
對於授權狀態為「已授權」、「已暫停」、「已過期」的裝置，管理員可用滑鼠右鍵點選該
手機名稱，選擇【授權管理→修改授權資訊】
，修改對該裝置的授權設定，可修改的授權設定
項目，和啟用授權時的設定畫面一樣。
13.24.3 加密設定
加密設定
智慧終端上的加密設定，主要授權該裝置能夠開啟的「安全區域」與「安全等級」加密
文件，不屬於授權範圍的加密文件，在該裝置上將無法開啟閱讀。
例如：阿明的智慧型手機僅被授權能開啟業務部-內部等級的權限，因此，阿明僅能使用
安全文件檢視器開啟業務部-內部等級，及業務部-普通等級的加密文件。阿明無法使用安全
文件檢視器開啟其他部門的加密文件。
浮水印設定
安全文件檢視器可在開啟加密文件時出現螢幕浮水印，以嚇止使用者在開啟加密文件時，
進行手機畫面截圖的行為。管理員可透過下列參數，設定浮水印類型和浮水印要顯示的資訊：
255
欄位名稱說明
啟用策略
啟用浮水印策略勾選此選項，會啟用安全文件檢視器的浮水印功能。
浮水印內容設定浮水印要顯示的資訊。
勾選此選項，可以定義浮水印要呈現的文字內容，包括：使用者、日期、
文字浮水印自訂文字，並可設定字型大小、字型顏色及透明度。
「使用者」指的是該裝置在申請授權時，所填寫的使用者名稱。
勾選此選項，可以定義浮水印呈現的 QR Code 中，所要包含的資訊，包
QR Code 浮水印括：使用者、日期、自訂文字，並可設定透明度。
「使用者」指的是該裝置在申請授權時，所填寫的使用者名稱。
參數設定
可設定浮水印的版面，有三種樣式可以選擇，可在左邊的「效果預覽」視
浮水印樣式
窗中查看樣式效果。
設定要啟用浮水印的檔案屬性，預設是「全部文件」，也可以選擇僅在開
文件類型
啟加密文件時才顯示浮水印。
13.25 USBKey 管理
USBkey 是一種提升用戶加密權限的工具。使用者可以透過在用戶端電腦上插入 USBkey，
進行權限的變更。
點選控制台【文件加密管理→USBKey 管理】，開啟「USBKey 分類」，在此管理介面，
可以對 USBKey 的生命週期和綁定資訊，進行完整的管理。
圖示狀態註冊狀態執行動作
正常未註冊
鎖定未註冊
正常已授權啟用/修改註冊資訊（未儲存）
256
鎖定已授權
正常已授權儲存
鎖定已授權重設密碼，USBKey 退出再插入
正常已禁用禁用
鎖定已禁用重設密碼，USBKey 退出再插入
正常未註冊刪除
正常
未註冊
（產品編號不相符）
說明本只有正式加密序號才具有此功能。
說明 USBKey 功能僅支援 Windows 用戶端，暫不支援 MAC 用戶端及 Linux 用戶端。
對於處在離線狀態的用戶端電腦，系統內僅留存離線前的加密 USBKey 授權資訊，若有

離線後才註冊或修改授權的加密 USBKey，就需要從【文件加密管理→USBKey 管理→操作
→匯出 USBKey 授權檔】
，匯出*.ukl 的檔案，並拿到用戶端電腦匯入，該離線狀態的用戶端
電腦，才能使用後來註冊／調整的 USBKey。
257
十四、加密用戶端
14.1 用戶端執行狀態
在控制台上對用戶端啟用加密授權，用戶端就會啟用加密功能，在電腦桌面右下角【工
作列→通知區域】顯示圖示。
桌面申請權限
加密權限加密狀態用戶端狀態圖示圖示說明文字
或使用者系統
無無任意無無
線上藍色文件用戶端線上
有無
離線藍色文件+紅色叉叉用戶端離線
線上藍色文件+黃色鎖已啟用加密功能
啟用容災狀態藍色文件+黃色鎖+驚嘆號用戶端已進入加密備用模式
加密授權藍色文件+黃色鎖+紅色叉
離線-有長期離線用戶端處於加密離線授權狀態
叉
線上藍色文件+灰色鎖未啟用加密功能，按兩下圖示啟用加密功能
關閉容災狀態藍色文件+灰色鎖+驚嘆號未啟用加密功能，按兩下圖示啟用加密功能
加密功能藍色文件+灰色鎖+紅色叉
透明離線用戶端處於離線狀態，加密功能暫停
叉
加密
線上藍色文件+深灰色鎖未啟用加密功能
任意藍色文件+深灰色鎖+驚嘆
回收容災狀態未啟用加密功能
號
加密授權
藍色文件+深灰色鎖+紅色
離線未啟用加密功能
叉叉
設定
離線-離線保護藍色文件+紅色鎖+紅叉用戶端處於加密離線保護授權狀態
離線保護
線上藍色文件+綠色鎖已啟用加密功能（唯讀模式）
唯讀啟用容災狀態藍色文件+綠色鎖+驚嘆號用戶端已進入加密備用模式（唯讀模式）
加密加密授權藍色文件+綠色鎖+紅色叉
離線-有長期離線用戶端處於加密離線授權狀態（唯讀模式）
叉
【文件加密管理→加密參數設定】中設定「隱藏加密用戶端介面」時，則用戶端電腦桌
面右下角【工作列→通知區域】的用戶端圖示將不會顯示。
14.2 檔案總管
在檔案總管中，加密檔案的圖示下方有個鎖頭標誌。若【文件加密管理→加密參數設定】
中設定「隱藏加密標記」時，則加密檔案上的鎖頭標誌將不顯示。
258
在檔案總管中，選擇一個加密檔案，點選滑鼠右鍵，開啟加密相關功能表，可執行加密、
解密、申請解密、外發、申請外發、申請變更安全內容等功能，在「內容」對話視窗的「加
密」選項標籤中，可以查看及修改文件安全內容功能。
14.3 加密文件掃瞄工具
在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇【掃描本機檔案】
，可啟動掃描工
具。
在掃描文件工具選擇掃描路徑、文件類型、是否搜尋子資料夾、是否僅搜尋加密文件等
條件，再點選「掃描」，可以掃描出本機的加密和非加密檔。加密檔的圖示有個鎖頭標誌。
在掃描結果中，選擇一個或多個檔案，使用右鍵功能表可執行加密、解密、申請解密、
外發、申請外發、安全內容變更申請等操作。
14.4 加密
在檔案總管中，選擇一個非加密檔案，點選右鍵功能表【文件加密系統→加密】
，可以把
此檔案加密，並設定此檔案的文件安全內容。同時可將此次設定的安全內容設為預設值，下
次加密時無需重複修改。
掃描工具中對非加密檔案直接右鍵【加密】，亦可加密檔案並指定預設安全內容。
259
沒有直接解密權限的用戶端，不能直接加密 Windows 和 Program Files 目錄裡的檔案
以及一些 PE 文件，如*.exe、* .ini、* .bat、* .dll 等，其餘檔案可以加密。
14.5 解密
具有直接解密權限時，在檔案總管選擇一個加密檔案，選擇右鍵功能表【檔案加密系統
→解密】，就能對此加密檔案進行解密。
在掃描工具中對加密檔案直接右鍵【解密】，也可解密文件。
14.6 申請解密
沒有直接解密權限的用戶端，可以使用右鍵功能表或掃描工具，或者將加密文件拖曳到
解密申請浮動視窗中，選擇申請解密，填寫申請理由並提交。用戶端線上時，申請解密後控
制台能馬上收到通知並審核。審核通過後，可以在用戶電腦滑鼠右鍵點選工作列中的用戶端
圖示，選擇「檢視加密申請情況」中進行解密。
用戶端離線時，申請解密後還需要在「檢視加密申請情況」功能表中，匯出申請檔，把
申請檔寄發給管理員，管理員在控制台匯入後進行審核。審核通過後，從管理員處拿到授權
檔，在用戶端匯入授權檔，並在「檢視加密申請情況」中進行解密。
260
14.7 唯讀加密
對於啟用了「授權唯讀加密」的用戶端，選擇一個加密檔案按右鍵功能表【文件加密系
統→唯讀開啟】
，直接開啟該文件進行查看，也可以透過右鍵功能表【文件加密系統→唯讀開
啟方式】，選擇相應的程式打開該文件進行查看。
擁有「唯讀授權加密」的用戶端，不能修改加密文件、也不能列印加密文件。
14.8 外發
有直接外發權限的用戶端，可以使用右鍵功能表或掃描工具產生外發文件。
外發操作步驟
1. 選擇外發目標檔案按右鍵，在右鍵功能表中選擇【檔案加密系統→外發】。
2. 在開啟的「建立外發文件」視窗中，可查看選擇的檔案訊息。如還有需要增加檔案，
可點選「文件資訊」標籤頁上的【】新增文件按鈕或【】新增資料夾按鈕進行
檔案的新增操作（可新增加密檔案，也可新增非加密檔案）。
增加資料夾時，子資料夾也會一並加入，原有的層次結構保持不變。
在任一級目錄選擇增加檔案或資料夾時，會以目前所在目錄為主目錄。按兩下資料
夾可以查看子資料夾，點選或者返回上一層目錄；
261
3. 確定目的檔案後，切換到「外發對象」標籤頁，選擇外發對象；可以在右上角的查
詢欄位中輸入查詢條件，快速定位到指定的外發對象，查詢條件支援模糊查詢。
4. 確定外發對象後，切換到「外發設定」標籤頁，設定外發檔案的操作權限：可設定
檔案的有效時期，是否允許外發文件列印、虛擬列印、剪貼簿複製、螢幕擷取、允
許修改、限制開啟次數、同步標準時間、密碼認證、視窗浮水印、是否允許過濾指
定的檔案類型、自動刪除、隱藏等功能。
5. 所有資訊選擇勾選完畢之後，點選【建立】
，選擇外發檔案格式（*.oeax、*.exe、*.zip）
以及儲存位置，點選【確定】即可完成產生外發檔案。
說明
1. 是否啟用浮水印以及浮水印內容設定，由管理員在控制台【文件加密管理→加密參
數設定→視窗浮水印】中設定，用戶端在外發／申請外發時僅能查閱，無法更改。
2. 建立外發文件時，在「外發設定」勾選【允許過濾】並設定「過濾文件類型」
（例如：
*.doc），使用外發檢視器查看產生的外發檔案時，對外發檔案進行另存新檔操作，
儲存為過濾的檔案類型，則儲存下來的檔案為明文。另存新檔為非過濾檔案類型的
文件為外發密文，當關閉外發檔案後，另存的非過濾文件會自動刪除。
3. 外發檔案產生為.zip 壓縮格式時，壓縮檔裡面包含.oeax 與免安裝版的外發閱讀器。
用戶端外發範本管理
1. 用戶端把自己常用的外發組態做成範本加以管理。
2. 直接外發或者申請外發時，在“外發組態範本”中點選按鈕，可進入「管理常用
外發設定」介面。
3. 在直接外發或者申請外發時，在“外發組態範本”中點選按鈕，可以將目前的外
發設定內容，儲存為常用設定。
4. 使用方式同控制台外發組態範本管理。
262
說明
1. 每個用戶端只能使用、管理自己建立的常用外發組態範本，無法查看到其他用戶端
建立的；不過，可以匯入其他用戶端匯出的範本。
2. 如果用戶端選中的“常用外發配置”跟控制台下發的外發組態策略衝突，以控制台
的為準。
3. 在「常用外發設定」視窗中，預設會有一個名稱為“default”的配置，該配置內容
是系統記錄上次外發動作自動儲存的。
14.9 申請外發
沒有直接外發權限的用戶端，可以使用右鍵功能表或掃描工具，選擇“申請外發”。申
請外發時需填寫申請理由，並指定外發對象和外發設定選項。
用戶端線上時，申請外發後控制台能馬上收到通知並審核。審核通過後，可以在“查看
申請情況”中進行產生外發。
用戶端離線時，申請外發後，還需要在用戶端圖示按滑鼠右鍵，選擇“檢視加密申請情
況”，點選該次外發記錄並按滑鼠右鍵匯出申請檔，把申請檔轉發給管理員，管理員在控制
台匯入後進行審核。審核通過後，從管理員處拿到授權檔，在用戶端的“查看申請情況”中
匯入審核，並在“檢視加密申請情況”中產生外發檔案。
14.10 擷取外發文件
讓文件有效地再次編輯使用，節省相關人員重複製作類似文件的時間，提升工作效率；
也可以在外發文件超出設定的有效期限後仍能擷取出來，免去與客戶間往返修改的時間。
外發文件擷取功能
 加密授權和長期離線授權二者皆新增「擷取外發文件」功能。
 僅適用 exe 和 oeax 格式的外發文件。
263
 可擷取已設定期限但已過期的外發文件內容。
 擷取出來的文件目錄結構不變。
 擷取出來的文件自動加密：加密文件的安全屬性不變；
非加密文件，安全屬性為「公共安全區域＋普通」。
 擷取功能包括：允許擷取用戶端權限內的外發檔案、允許擷取更高權限的外發檔案。
（這裡的權限指的是存取權限）
擷取外發文件操作步驟
1. 透過控制台“文件加密管理→加密授權設定”，勾選「允許擷取用戶端權限內的外
發文件」。
2. 於用戶端電腦點選文件，按右鍵“文件加密系統→擷取外發文件”。
3. 選取儲存目錄，按【確定】按鈕進行擷取。
14.11 修改加密文件安全內容
檔案的安全內容，包含兩個權限設定，即「設定權限」和「存取權限」。
1. 設定權限：能修改加密文件安全內容的權限，只能有一個安全區域和安全等級。
2. 存取權限：能開啟、編輯此加密文件的權限，可以有多個安全區域和安全等級。
有直接修改加密文件安全內容權限的用戶端，可以選取檔案按右鍵“內容→加密”頁籤
中或和掃描工具的右鍵功能表“文件安全內容變更”中，修改加密文件的安全內容。
14.12 加密文件安全內容變更申請
具有申請修改加密文件安全內容權限的用戶端，可以使用右鍵功能表或掃描工具申請變
更加密文件安全內容。
申請變更安全內容操作步驟：
1. 選取變更加密文件安全內容的檔案，點選右鍵功能表“申請安全內容變更”。
264
2. 開啟“安全內容變更申請”視窗，查看選取的檔案資訊。如還有需要增加檔案，可
點選〔文件資訊〕標籤頁上的新增文件或新增資料夾進行新增操作。
3. 確定目的檔案後，切換到〔安全區域〕標籤頁，設定變更後的安全內容。
4. 隨後切換至〔申請資訊〕標籤頁，填寫申請理由。
5. 所有資訊設定填寫完畢之後，點選【申請】，完成操作。
用戶端線上時，申請變更加密文件安全內容後，控制台能馬上收到通知並審核。審核通
過後，安全內容即時變更，也可以在“查看申請情況”中進行安全內容變更檢視。
用戶端離線時，申請變更加密文件安全內容後，還需要在“查看申請情況”功能表中匯
出申請檔，把申請檔轉發給管理員，管理員在控制台匯入後進行審核。審核通過後，從管理
員處拿到審核檔，在用戶端的“查看申請情況”中匯入審核檔，並在“查看申請情況”中進
行安全內容變更。
14.13 申請臨時離線
用戶端短期出差，如幾天內便可完成出差任務時，建議使用臨時離線申請功能：
1. 在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇“臨時離線申請”。
2. 在開啟的“臨時離線”策略設定視窗中，填寫離線到期時間及理由，點選【確定】。
3. 管理員收到申請資訊並審核後，用戶端離線後即可進入備用模式，依照線上加解密
策略執行加解密操作。
說明如果用戶端還未申請臨時離線，便已離開公司的網路環境，則需要以郵件或電話
等形式通知管理員，讓管理員產生臨時授權碼返回給用戶端匯入。
※ 匯入方式：在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇“匯入授權
→匯入臨時離線授權碼”，輸入臨時離線授權碼，點選【確定】即可。
14.14 查看申請訊息
在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇“查看申請情況”，可查看臨時
265
離線、安全內容變更、解密和外發的申請和審核情況。
文字按鈕說明
完成申請快速完成申請訊息的變更。
查看查看解密申請和離線申請的詳細資訊。
匯入審核離線時，匯入 IST 控制台管理員提供的審核檔，以獲取審核結果。
離線申請產生離線申請檔，發給 IST 控制台管理員進行審核。
取消申請取消解密/外發申請。
解密申請
可查看解密申請的時間、狀態、檔案路徑、大小、數量、安全區域和安全等級等資訊。
按兩下申請記錄，可查看申請的詳細資訊，並可解密、產生離線申請檔、取消申請。
已批准的申請，可點選【解密】按鈕進行解密，可選擇解密到原文件，也可以儲存到其
他目錄。
離線時提交的解密申請，點選【產生離線申請檔】按鈕，產生申請檔，發給 IST 控制台
管理員進行審核。
外發申請
可查看外發申請的時間、狀態、文件名稱、大小、數量、安全區域和安全等級等資訊。
雙擊申請記錄，可查看申請的資訊，並可建立外發文件、產生離線申請檔、取消申請。
已批准的申請，可點選【建立外發文件】按鈕產生外發檔案，可選擇產生檔案的目錄。
離線時提交的外發申請，點選【產生離線申請檔】按鈕產生申請檔，發給 IST 控制台管
理員進行審核。
安全內容變更申請
可查看安全內容變更申請的時間、狀態、文件名稱、大小、數量、安全區域和安全等級
等資訊。按兩下申請記錄，可查看申請的詳細資訊，並可修改安全內容、產生離線申請檔、
266
取消申請。
已批准的申請，可點選【安全內容變更】按鈕修改文件的安全內容。
離線時提交的外發申請，點選【產生離線申請檔】按鈕，產生申請檔，發給 IST 控制台
管理員進行審核。
臨時離線申請
可查看臨時離線申請的時間、狀態、到時時間和申請理由等資訊。
按兩下申請記錄，可查看申請的詳細資訊，包括申請時間、申請的離線到期時間、審核
人員、審核時間、審核狀態等資訊。
用戶端在離線狀態下，所發起的臨時離線申請，必須在重新連接上伺服器時，管理員才
可進行審核。因此，在用戶端離線時，如需要使用臨時離線功能，請以電話或郵件等聯繫方
式通知管理員，由管理員產生授權碼發給用戶端進行匯入。
14.15 加密系統資訊
在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇【加密系統資訊】
，可查看：顯示
目前授權處理程序、顯示目前安全對象、檢視加密系統日誌、檢視離線資訊、強制更新策略。
顯示目前授權處理程序
透明加密授權下，顯示目前開啟加密文件的授權軟體。
唯讀加密授權下，顯示目前唯讀打開加密文件的授權軟體，以「！」標識。
顯示目前安全對象
顯示目前用戶端的加密授權資訊，包括安全對資訊是屬於電腦策略或使用者策略、一般
權限、授權軟體、安全區域、加密文件預設安全內容，這些資訊與 IST 控制台上的加密授權
設定一致。
267
檢視加密系統日誌
顯示系統日誌，報告加密文件失敗、解密文件失敗、以及加密系統事件等日誌。
其中加密系統事件如：唯讀加密授權下以唯讀方式開啟加密文件。
檢視離線資訊
顯示臨時離線狀態，有關「電腦策略」、「使用者」策略的離線授權起迄時間，與容災時
間剩餘天數。。
強制更新策略
當用戶端授權數量很多時，可能會出現策略下發速度變慢的情況，此時用戶端電腦可以
在用戶端“工作列→通知區域→加密系統”圖示處，選擇右鍵功能表“強制更新策略”，強
制更新伺服器上最新的策略，策略更新成功後會有相應的視窗提示。
14.16 文件安全內容
在檔案總管的加密檔案內容〔加密〕頁籤中，和掃描工具的右鍵功能表【修改檔案安全
內容】中，可以查看和修改加密文件的安全內容。
1. 設定權限：是指能修改加密文件安全內容的權限，只能有一個安全區域和安全等級。
2. 存取權限：是指能開啟、編輯此加密文件的權限，可以有多個安全區域和安全等級。
14.17 匯入長期離線授權文件
在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇【匯入授權→匯入長期離線授權
檔案】，選擇匯入由 IST 控制台產生的長期離線授權檔案，即可獲得長期離線離線權限。
也可以匯入備援伺服器產生的緊急授權檔，即可獲得緊急授權。
268
14.18 離線啟用加密功能
用戶端在離線狀態下，在已匯入長期離線授權文件後，其離線加解密權限需要輸入安全
密碼後才能正常使用。在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇【啟用加密功
能】，輸入安全密碼後點選確定，即可登入離線授權模式。
14.19 加密系統的啟用與關閉
有允許登出加密系統權限的用戶端，在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，
選擇【關閉加密功能】後，所有加密功能不可使用，無法開啟加密檔案。
在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇【啟用加密系統】
，登入時需要輸
入安全密碼，成功登入後加密功能正常使用。
14.20 參數設定
在用戶電腦滑鼠右鍵點選工作列中的用戶端圖示，選擇【加密功能選項】
，可設定安全密
碼、離線登入以及系統日誌儲存時間、是否顯示解密申請浮動視窗、申請管理設定及右鍵選
單設定。
269
14.20.1 安全密碼設定
安全密碼設定
安全密碼的作用在於：
1. 為防止他人使用此用戶端非法解密檔案，用戶端應該要設定一個密碼對檔案解密或
外發進行控制，在每次解密或外發時都需要輸入密碼驗證。
2. 用戶端離線後，必須使用安全密碼登入離線授權模式才能正常使用離線加解密權限，
增強用戶端離線狀態下加密文件的安全保護。
3. 用戶端線上時登出加密系統，加密功能停用，必須使用安全密碼重新登入加密系統
才會正常使用加密功能，增強加密系統使用的安全性。
說明：安全密碼初始預設為空白，可在「選項」視窗中的〔安全密碼輸入設定〕修改。
清除安全密碼
用戶可直接在用戶端電腦上開啟【用戶端工具】，清除用戶端安全密碼。
1. 在用戶端電腦上同時按住鍵盤上“Ctrl+Alt+Shift”，然後依次輸入“ocularat””
字串，開啟用戶端工具。
2. 選擇「清除加密安全密碼」，點選【產生操作碼】按鈕。
3. 會彈出一個“檢驗操作碼”視“，請把「原始操作碼」告知管理員。
4. 管理員在 IST 控制台功能列“工具→用戶端工具→確認碼產生器”輸入用戶端的原
始操作碼，點選【解析】按鈕產生相應的用戶端資訊；
5. 管理員確認後點選擊【核發確認碼】。
6. 管理員將確認碼告訴用戶端，輸入正確的確認碼並執行指定的操作。
14.20.2 安全密碼輸入設定
點選“選項”視窗中的〔安全密碼輸入設定〕選項，可設定安全密碼的輸入模式：
270
選項說明
每次操作都需輸入每一次解密檔案、產生外發檔案時都必須輸入安全密碼驗證。
用戶端啟動「線上加解密模式」或「離線授權模式」登入模式下，
首次操作需要輸入在第一次解密檔案、產生外發檔案時輸入安全密碼後，接下來的解
密檔案、產生外發檔案操作均不需要再輸入安全密碼。
用戶端啟動「連線時登入加密系統」或「離線時登入離線授權模式」
加密系統登入後無需再輸入
後，解密文件、外發文件操作都不需要輸入安全密碼。
14.20.3 加密系統登入設定
線上登入設定
用戶端如果有登出加密系統權限，在登出系統後加密功能會停用，需要重新登入加密系
統才會正常使用加密功能。
可選擇用戶端啟動時加密系統的登入模式。參數說明：
選項說明
用戶端每次啟動時都處於加密系統登出狀態，需要手動輸入正確的安
強制手動登入
全密碼才可登入加密系統。
用戶端上一次線上時為登出加密系統狀態，則啟動後仍舊為登出加密
系統狀態。
沿用上一次的狀態
用戶端上一次線上時為登入加密系統狀態，則啟動後仍舊為登入加密
系統狀態。
自動登入（不建議）每次啟動後都自動登入加密系統。
離線登入設定
用戶端如果有離線加解密權限，則在用戶端離線後，需要登入離線授權模式後，才能正
常執行離線加解密權限。
271
可選擇離線後自動登入離線授權模式，參數說明：
選項說明
用戶端每次啟動時都處於離線授權模式登出狀態，需要手動輸入正確
強制手動登入
的安全密碼才可登入離線授權模式。
用戶端上一次離線時為離線授權模式登出狀態，則啟動後仍舊為離線
授權模式登出狀態。
沿用上一次的狀態
用戶端上一次離線時為離線授權模式登入狀態，則啟動後仍舊為離線
授權模式登入狀態。
自動登入（不建議）用戶端每次啟動後都自動登入離線授權模式。
14.20.4 資料儲存設定
在選項中可設定用戶端加密系統日誌的儲存時間，預設 3 天。
14.20.5 解密申請浮動視窗設定
可設定是否顯示申請解密浮動視窗、是否記錄上次浮動視窗位置，並可調整浮動視窗的
透明度。
14.20.6 申請管理設定
預設情況下，解密申請和安全內容變更申請審核通過後，需要手動完成解密和安全內容
變更操作。可設定「自動完成安全內容變更申請」和「自動完成解密申請」
，審核通過後自動
完成對應的操作。
14.20.7 右鍵選單設定
預設情況下，選擇任意一個檔案按滑鼠右鍵，第一級功能表中含有“申請解密”、“申
272
請外發”功能項目，其餘功能項目放在“文件加密系統”下的第二層功能表。可以根據使用
習慣進行設定，選擇的功能項目顯示在第一級右鍵功能表中。
14.21 審核管理平台
管理員設定某一用戶端可以登入審核管理平台後，則可在該用戶端所在電腦上登入審核
管理平台，進行審核解密申請、外發申請、安全內容變更申請、臨時離線申請以及審核權限
委託。
14.21.1 登入
有允許登入代理管理員權限的用戶端，可在用戶電腦滑鼠右鍵點選工作列中的用戶端圖
示，選擇“審核管理平台”，並輸入管理員帳號和密碼，即可登入審核管理平台。審核管理
平台支援記住密碼、自動登入及自動啟動功能。
登入審核管理平台時，勾選「自動啟動」
，則下次用戶端啟動並且連上伺服器後，審核管
理平台自動啟動，開啟登入視窗。也可在審核管理平台選單“申請管理→選項”進行設定，
在〔基本設定→登入設定〕中勾選「自動啟動」。
如勾選「記住密碼」時，則將記錄上次登入時，所輸入的密碼。
273
勾選「自動登入」時，將在審核管理平台啟動後，自動套用上次輸入的密碼進行登入。
如要取消自動登入功能時，可在審核管理平台選單“申請管理→選項”進行設定，在〔基本
設定→清除記住的密碼〕中點選【立即清除】按鈕。
14.21.2 審核管理
審核管理平台的審核管理功能和控制台一樣，可以查看解密/外發/臨時離線申請/安全內
容變更申請，可以審核申請、匯入申請文件和匯出審核文件，可以查看審核權限委託情況、
進行權限委託。
14.21.3 鎖定
為防止他人使用審核管理平台進行審核，管理員離開時可鎖定審核管理平台。鎖定後審
核管理平台仍然可以收到解密申請和外發申請的快顯視窗通知，需要輸入安全密碼登入才能
進行審核。鎖定有三種方式：直接鎖定、離開後鎖定和最小化鎖定。
直接鎖定
選擇功能表“操作→鎖定”進行鎖定。
離開後鎖定
選擇功能表“申請管理→選項”進行設定，勾選「使用者離開後自動鎖定」
，並可設定離
開後多少分鐘進行鎖定，預設為 15 分鐘。
最小化鎖定
選擇功能表“申請管理→選項”進行設定，勾選「最小化到系統匣後鎖定」。
274
十五、外發檢視器
IST 外發加密文件檢視器是安裝在非企業內的電腦上，用來閱讀外發文件的工具。目前
提供安裝版及免安裝版兩種版本。
15.1 安裝
使用安裝版時，需事先安裝於電腦上。
在要安裝的電腦上執行安裝程式，選擇安裝資料夾，直到程式安裝完畢。
15.2 授權
授權步驟
外發檢視器進行授權的操作步驟：
1. 執行安裝目錄下的 ISToeaVSetup.exe 或直接執行免安裝版本的執行程式
OEAViewer.exe，如已安裝執行程式可以點選“開始→所有程式→IST
OeaViewer→IST 外發加密文件檢視器”啟動外發閱讀器。
2. 點選外發檢視器介面右下角的【設定】，進入外發檢視器設定視窗。
3. 在〔授權管理〕頁籤中，點選【載入】
，匯入授權檔案，並在備註欄填寫公司資訊。
4. 在授權清單中可看到此外發檢視器獲得了哪些公司的授權，和授權有效期限。
識別碼獲取
點選外發檢視器介面右下角的【設定】
，進入外發檢視器設定視窗；在〔授權管理〕頁籤
中找到識別碼，將此識別碼發給管理員便可進行綁定授權。
275
15.3 時間同步
點選外發檢視器介面右下角的【設定】
，進入外發檢視器設定視窗，選取〔時間同步〕頁
籤。時間同步功能可以防止使用者藉由修改系統時間，延長使用有時間限制的外發檔案，從
而更好的控制外發檔案的使用權限。
時間同步設定有兩種方式：
方式說明
當電腦可以連接網際網路時，選擇此方式。點選【更新】按鈕，便可
直接連接到網際網路
直接連到網際網路以同步正確的網路時間。
當電腦無法連接網際網路時，選擇此方式。在一台能連接網際網路的
電腦上執行時間同步工具，把外發檢視器中的操作碼輸入到時間同步
使用時間同步工具
工具中，產生確認碼，再在外發檢視器的「確認碼」文字框中輸入確
認碼，點選【更新】，即可與網路時間同步。
15.4 查看外發檔案
1. 外發檔案副檔名為.oeax。開啟的方式有兩種：
(1) 直接快點兩下外發檔案，開啟外發檢視器，在檢視器的檔案清單中直接快點兩下開
啟文件，或是點選【開啟方式】按鈕選擇開啟外發檔案。
(2) 執行外發檢視器，將外發檔案拖曳入外發檢視器檢案清單中，在檔案清單中直接快
點兩下開啟，或是點選【開啟方式】按鈕選擇開啟外發檔案。
2. 外發檔案副檔名為.exe 時。按兩下該格式檔案，自動呼叫內建的免安裝版外發檢視器，
接下來的查看方式同.oeax 格式。
說明查看多層目錄的外發檔案時，按兩下資料夾可以進入子目錄查看，點選或可
以返回上層目錄。
276
十六、加密備援伺服器
備援伺服器用於在主伺服器運作發生問題，如：主伺服器被停止時。保證加密用戶端的
線上加解密策略權限正常。
一個主伺服器可以部署多個備援伺服器，但一個備援伺服器在執行時只能連線一個主伺
服器。
16.1 安裝與執行
備援伺服器可與主伺服器裝在同一台電腦上，也可以裝在不同電腦上。
執行 ISTStandby.exe 後，在桌面右下角“工作列→通知區域”顯示執行圖示。
注意備援伺服器應該與主伺服器一樣長期執行，而不是等主伺服器出問題才啟動。
16.2 查看備援伺服器狀態
備援伺服器的圖示，顯示目前備援伺服器運作時的狀態，相關狀態有：
圖示狀態說明
服務未啟動。
參數未設定，包括 IST 主伺服器的 IP 位址、連接密碼；或未與 IST 主伺服器

進行授權驗證。
正在與 IST 主伺服器連接。
與 IST 主伺服器斷開連接並進入緊急模式。
授權錯誤，備援伺服器無法與主伺服器連接。
點選“工作列→通知區域→備援伺服器”，按右鍵功能表“狀態”，可查看到目前備援
伺服器是否已與 IST 主伺服器建立連接，是否獲得備援授權，以及備援伺服器獲取 IST 主伺
服器上所有用戶端資訊的更新時間。
277
16.3 登入密碼設定
在備援伺服器的執行圖示上點選右鍵功能表“工具→設定登入密碼”，可以設定在使用
備援伺服器時，是否需要使用密碼。
設定登入密碼後，在使用備援伺服器右鍵功能表“工具”中的各個子功能表時，需要輸
入密碼才能成功操作。
登入密碼可以在備援伺服器的右鍵功能表“工具→設定登入密碼”中進行修改。
16.4 備援伺服器設定
備援伺服器安裝成功後，預設不與任何主伺服器相連。在為主伺服器部署備援伺服器時，
必須先在 IST 控制台上設定備援伺服器的所在範圍及連線密碼。
在 IST 控制台上設定了備援伺服器的所在範圍及連線密碼後，需繼續在備援伺服器上進
行對應的參數設定。
16.4.1 伺服器連線設定
1. 點選“工作列→通知區域→備援伺服器”圖示，按右鍵選取“工具→設定連接參數”。
2. 在〔伺服器連接〕頁籤中填寫「主伺服器的 IP 位址」及「連接密碼」，點選【確定】。
根據以上步驟依次設定，備援伺服器即可連線對應的 IST 主伺服器，成功獲取備援授權。
16.4.2 主動輪詢
1. 主動輪詢功能，可應用在兩個方面：
(1) 加密系統進入備用模式狀態，網路正常，但用戶端顯示為離線狀態，無法進入備用
模式，線上策略不生效時：可開啟備援伺服器的「主動輪詢」功能，讓備援伺服器
自動連線用戶端。
(2) IST 主伺服器尚未部署備援伺服器便出現異常：可在安裝備援伺服器後，開啟備援

278
伺服器的「主動輪詢」功能，讓備援伺服器自動連線用戶端。
2. 開啟主動輪詢功能的操作說明：
點選備援伺服器電腦桌面“工作列→通知區域→備援伺服器→工具→設定連接參數”，
選取〔主動輪詢〕標籤頁，勾選「啟動主動輪詢」，如圖所示：
注意預設情況下，主動輪詢會自動檢測網段中所有用戶端電腦。如果設定檢測範圍，則
只檢測指定 IP 範圍內的用戶端。
16.5 查看用戶端狀態
備援伺服器已連線至 IST 主伺服器，且已同步用戶端及電腦群組的資訊，則在備援伺服
器的“工作列→通知區域→備援伺服器→工具”按右鍵功能表“用戶端狀態”，可以查看到
目前主伺服器上所有的用戶端資訊，包括用戶端電腦名稱、IP、群組等資訊。
如果用戶端曾經連線上備援伺服器，在用戶端連線狀態資訊中，能查看到用戶端與備援
伺服器連線的最新時間。
279
16.6 查看連線清單
當 IST 主伺服器出現異常時，已獲取到備援授權的備援伺服器即進入緊急模式，主伺服
器上的用戶端也進入到緊急模式中，連線到備援伺服器上。
此時，在備援伺服器圖示上點選右鍵“工具→連線清單”中，可查看目前連線到備援伺
服器的用戶端資訊。
注意若在主伺服器停止前，備援伺服器與主伺服器連線中斷（備援伺服器被人為停
止或網路斷線所致）時間超過 30 分鐘，則預設該備援伺服器未獲得正確的備援授權，
用戶端不會連線到該備援伺服器上。
16.7 新增緊急模式授權檔案
備援伺服器進入緊急模式後，若用戶端由於網路問題或其他未知因素無法正常連接到備
援伺服器，則可以在備援伺服器中產生緊急模式授權檔，匯入到用戶端中，強制用戶端進入
緊急模式。
緊急模式授權文件只能在備援伺服器進入緊急模式時產生，操作步驟如下：
1. 建立緊急模式授權檔案：
在備援伺服器系統圖示上按右鍵點選“工具→進階→建立緊急模式授權檔案”，開啟「建
立離線緊急模式授權檔」視窗。
2. 設定檔案密碼：
用戶端在匯入緊急授權檔案時，需要輸入密碼才能成功匯入。為了避免不合法的用戶端
匯入緊急授權檔案，執行線上加解密策略，建議設定檔案密碼。
3. 設定有效期限：
用戶端匯入的緊急授權檔案，只在檔案有效期限內生效，過期後，需重新產生緊急模式
授權檔案，重新匯入。
280
16.8 超級授權
若備援伺服器未部署完成，主伺服器便出現問題無法正常執行，請使用備援伺服器的超
級授權功能，向 IST 原廠發出申請。
超級授權與備援伺服器是一對一的關係，一台備援伺服器上發出的超級授權申請，核准
後，只能用於備援伺服器本身，不能用於其他備援伺服器。
如果需要部署多台備援伺服器，請在各個備援伺服器上各自產生申請檔案，並發送給原
廠技術支援信箱。
16.8.1 申請超級授權
1. 安裝備援伺服器並執行。
2. 在備援伺服器的系統圖示上點選右鍵“工具→進階→申請超級授權”，進入“申請
超級授權”視窗。
3. 在視窗中輸入主伺服器的序號，點選【建立申請檔案】
，然後將產生的申請檔案，透
過郵件發送給原廠技術支援信箱。
16.8.2 設定超級授權
IST 原廠會根據收到申請檔案，產生一份超級授權檔案並發送。在備援伺服器的系統圖
示上點選右鍵【工具→進階→設定超級授權】
，在設定超級授權對話視窗中，選取 IST 原廠發
送的超級授權檔，點選【設定超級授權】按鈕，匯入超級授權檔。
如下圖所示，您可以在匯入超級授權檔案的同時，輸入主伺服器上的檢驗碼；也可以在
成功匯入超級授權檔案之後，再另行輸入檢驗碼。
281
超級授權檔匯入成功後，備援伺服器進入緊急模式。
16.8.3 設定檢驗碼
為保證主伺服器上的用戶端能成功連線上備援伺服器，請在備援伺服器的系統圖示上點
選右鍵“工具→進階→設定檢驗碼”，在開啟的檢驗碼設定對話視窗中，填入主伺服器的檢
驗碼。
透過超級授權檔案進入緊急模式的備援伺服器，不需要設定主伺服器的連線參數，但是
必須開啟「主動輪詢」功能。
282
十七、資料備份
17.1 使用資料庫備份
主資料庫備份
為了防止資料庫檔破壞或其它意外情況造成伺服器不能正常啟動，建議管理員做好各種
分類和策略後，將資料庫備份。
IST 系統預設每七天自動進行一次主資料庫備份，儲存在 DATA 資料目錄中，檔案名稱
為 OCULAR3_XXXXXXXX.BAK。
管理者也可進行手動備份，主要操作下列步驟：
1. 首先停止 IST Server 以及其他一切使用 OCULAR3 資料庫的程式。
2. 開啟 MS SQL 管理器 SQL Management Studio。
3. 選取“OCULAR3”資料庫，按右鍵選擇功能表“工作→卸離”。
283
4. 卸除資料庫成功後，管理員可以將安裝目錄中的主資料庫檔 OCULAR3.MDF、
OCULAR3_Log.LDF 兩個檔案一起複製到備份目錄。
5. 卸除完成後，SQL Management Studio 中的 OCULAR3 目錄會被清除，管理員需要選
擇功能表“附加”，來還原 Server 安裝目錄下的主資料庫。
以上是透過卸離資料庫，然後複製資料庫檔來進行備份。
管理者也可以直接將 MSSQLSERVER 服務停止，然後將資料庫檔複製到備份目錄，再啟
動 MSSQLSERVER 服務和 IST 服務控制器，同樣可以達到備份的目的。
日誌資料庫備份
日誌資料按「天」儲存在 DATA 目錄，預設存放在安裝程式的 DATA 資料夾中。按日期
命名，例如：2021-6-22 這一天的檔案名為：
OCULAR3_DATA.20210622.MDF
OCULAR3_DATA.20210622_Log.LDF
OCULAR3_DATA.20210622.X.MDF
OCULAR3_DATA.20210622.X_Log 等有 2 個或 18 個檔。
說明 IST 系統中的螢幕資料、列印備份、文檔備份、郵件備份和加密操作日誌備份
檔案的儲存方式，由原本的資料庫儲存改為檔案儲存方式(檔案類型為：*.ods、
*.ops、*.oms、*.ohs、*.oes、*.ors)，改善儲存過程並提升資料儲存效率。
說明使用正式版 MS SQL 伺服器時，僅有 OCULAR3_DATA.20210622.MDF、
OCULAR3_DATA.20210622_Log.LDF 兩個資料庫檔案；若使用免費版本 MS
SQL 資料庫，並且授權數量超過設定值時，則將多產生
OCULAR3_DATA.20210622.0~OCULAR3_DATA.20210622.8，九組資料庫
檔案。
說明日誌資料庫的備份，請按照「19.2 控制台備份管理」中的操作方式進行。
284
17.2 控制台備份管理
17.2.1 備份資料
管理員可以使用控制台提供的備份資料功能，定期備份用戶端的資料，將資料存放在其
它磁碟或移動儲存裝置中，以防止資料量太大，磁碟空間不足而引發的問題。
點選 IST 控制台功能表【工具→伺服器管理→資料庫備份管理】開啟備份管理視窗，查
看已經備份的任務清單：
圖示狀態說明
新增備份工作。
取消備份工作。
設定定期備份計畫。
新增備份工作
點選工具列的【新增工作】圖示，新增一個備份任務，操作步驟如下：
1. 選擇需要備份的資料類型，包括：基本事件日誌、文檔操作日誌、備份備份文檔、網頁
瀏覽日誌、列印日誌、郵件和螢幕歷史等十幾種資料類型。
2. 設定需要備份資料的日期起迄範圍。
3. 選擇儲存備份資料的路徑，或是將資料備份到網路磁碟，填寫網路路徑。
4. 為了清理資料庫空間，管理員可以勾選「刪除原始的資料」自動清除已經備份的資料，
否則備份的資料不會從資料庫中刪除。
5. 點選【確定】，啟動備份任務。
說明伺服器與資料庫在同一台電腦，支援可將資料庫備份到網路磁碟。
伺服器與資料庫不在同一台電腦，則不支援此功能。
※ 測試連接，需要滿足以下條件：
 所輸入的網路路徑是存在的，IP 位址可改成主機名稱，例如：
\\192.168.113.10\sharefiles\，可以改成\\istsols\sharefiles\；
285
 使用者名稱必須填寫完整的格式，例如：istsols\istsupport；
 密碼必須正確；
 使用者有讀寫網路路徑的權限；
 IST 控制台或服務器所在電腦不能同時有其他帳號連接共用服務器。
例如：服務器透過檔案總管透過帳號 istsols\istsupport 來存取共用服務器
192.168.113.10，此時備份工作建立，無法二人以上同時連接共用目錄。
注意事項備份到網路磁碟後，要再附加回來備份資料庫，需將資料從網路磁碟複製到 IST 服務器所在的
電腦，再執行載入。
新增備份計畫
點選工具列的【備份計劃】圖示，打開“備份計劃管理”視窗，點選【新增】圖示，
新增備份任務 (不支援設定多組備份計畫)。操作步驟如下：
1. 設定備份週期：可以選定以「月」或「週」為單位。例如，每個月備份一次，每 3 個月
備份一次，每 2 週備份一次等。最長支援每 10 年備份一次，即 120 個月或 520 個週。
2. 設定首次備份時間。
3. 設定備份的時間範圍：填入起始日期和終止日期，「終止日期」為必填欄位，單位保持
與備份週期選定的單位一致。設定之後，從備份開始的時間算起，前後對應的時間範圍
內進行備份。
4. 選擇備份的資料類型：包括基本事件日誌、文檔操作日誌、備份備份文檔、網頁瀏覽日
誌、列印日誌、郵件和螢幕歷史等十幾種資料類型。
5. 刪除原始資料：根據實際情況勾選「刪除原始資料」，勾選後會自動清除已備份的資料。
6. 選擇儲存備份資料的路徑。
7. 點選【確定】，在備份計畫列表中可見此新增的備份計畫。
說明到了指定的任務執行時間，系統會按照設定新增一條備份任務並啟動該任務。
286
備份計畫清單
〔備份計畫清單〕顯示了備份任務的基本內容，包括：建立時間、下次執行時間、資料
範圍、刪除原始資料、備份路徑。可以編輯、刪除備份任務。
項目說明
建立時間備份任務的建立時間。
下次執行時間任務下次執行的時間，如果該任務從未執行過，則為首次執行時間。
資料範圍任務備份的資料類型範圍。
移除原始的資料是否在備份後刪除資料庫中已備份的資料。
備份至備份的資料檔案所在的目錄。
備份工作清單
〔備份工作清單〕顯示了備份任務的基本內容，包括：起始日期、終止日期、備份路徑、
是否刪除原始資料、備份時間和狀態。
〔備份工作明細清單〕顯示備份任務的詳細資訊，包括
在什麼時間備份了哪個資料庫。
項目說明
起始日期
在此日期範圍內的資料進行備份。
終止日期
備份至備份的資料檔案所在的目錄。
移除原始的資料是否在備份後刪除資料庫中已備份的資料。
開始時間
備份任務的啟動時間和完成時間，由此可以得出備份任務完成所需要的時間。
結束時間
正在備份中的任務狀態是即時變化的，可以查看目前備份哪個資料庫，狀態還
狀態
包括：備份工作被取消、備份工作成功完成、備份工作失敗等。
在〔備份工作清單〕裡，右鍵功能表還可以做以下的操作：
項目說明
287
重新整理重新整理備份任務列表。
新增備份工作新增一個備份任務。
刪除日誌刪除目前所選中的任務紀錄，未完成的任務不可以刪除。
取消工作停止備份目前選中的備份任務。
內容查看備份工作條件，查看目前備份任務的詳細設定。
注意
1. 備份任務一次只能執行一個，如果已經存在正在執行的備份任務，無法再新增任務。
2. 備份下來的資料庫檔案，根據資料內容日期自動命名。如備份資料的資料內容日期
為 2021.10.27，則資料檔案的名稱則為 OCULAR3_DATA.20211027.MDF。已備
份的資料如果需要重複備份，需要選擇不同的存儲路徑。
3. 新增工作時，需慎重選擇「刪除原始資料」
。該項被勾選後，將會刪除資料庫中指定
日期範圍內的相應資料，無法在控制台上直接查詢，需要將備份下來的資料載入。
17.2.2 載入和移除備份資料
管理員可以把先前的備份資料載入到資料庫中查看。載入備份資料只是將備份的資料還
原到伺服器中，並不破壞伺服器現有的資料。
選擇功能表“工具→伺服器管理→資料庫備份管理”開啟備份管理視窗，選取〔載入〕
頁籤查看已載入的備份資料清單，也可以載入和移除備份資料。
載入備份資料
按一下工具列的【載入備份】按鈕，選擇備份資料檔案所在的目錄，勾選需要載入
的資料，按一下【載入】和【確定】載入指定的備份資料。
備份資料清單中顯示了備份資料日期、檔案路徑和檔案大小，對於同一天的備份資料，
最多可以同時載入 10 個。
載入的備份資料可以直接透過控制台檢視及查詢，不影響伺服器本身資料的檢視。
288
移除備份資料
假如不需要查看某個備份資料，也可以將備份資料從伺服器中移除。選擇一個或者多個
需要移除的備份資料，按一下【移除備份】按鈕，可以查看待移除的備份清單，再按一
下【確定】，對應的備份資料清單將被移除，在控制台上也不能再查看到這些備份資料。
289
十八、工具
18.1 帳號管理
系統管理員擁有最高權限，可使用系統內的所有功能。系統管理員可透過新增管理員的
方式，授權其他管理者執行某些管理功能。
選擇功能表【工具→帳號】
，系統管理員可檢視管理員訊息，並可增加／刪除、啟用／禁
用管理員帳號，也可以修改管理員的登入密碼。
圖示按鈕操作
增加管理員帳號，也可輸入描述訊息。
刪除管理員帳號，但系統管理員「Admin」無法刪除。
修改管理員帳號的登入密碼，密碼預設為空白。
開啟其他功能選單。
 啟用：將被設定為禁用的帳號恢復啟用。
 禁用：禁用管理員帳號，但系統管理員「Admin」無法禁用。
 移動到：
移動管理員帳號層級，分成以下三種情境：
290
1. 將管理員 A 移動到管理員 B，則管理員 A 將變成管理員 B 的下級

管理員。
2. 將管理員 A 的下級管理員 C，移動到管理員 B，則管理員 C 將變

成管理員 B 的下級管理員。
3. 將管理員 A 的下級管理員 C，移動到整個網路，則管理員 C 將與

管理員 A 位在同一個階層。
 匯入加密審核人員帳號：
匯入檔案只支援 csv 和 txt 格式，檔案裡每個帳號以逗號「,」分隔帳
號名稱與帳號描述。已存在的帳號不會匯入，匯入的帳號自動勾選「具
有加密功能管理權限」和「只允許以代理管理員方式登入」
。
 複製權限到：
將選取的帳號權限複製到管理員清單裡的其他帳號，可同時將權限複
製到多個管理員帳號。
 匯出帳號功能權限：
匯出各管理員的權限對照表，可選擇匯出為 .html、.xls、.xlsx、.csv
等格式。
18.1.1 管理員密碼安全性驗證
管理員密碼安全驗證功能，包含對密碼複雜度和密碼錯誤次數的限制，主要是為了加強
保護管理員密碼，防止惡意程式破解管理員密碼。管理員密碼安全性預設為不啟用，系統管
理員可在「帳號管理」介面的左下角點選【管理員密碼安全性驗證】進行設定。
設定項目內容
啟用管理員密碼安全性驗證勾選此項，即開啟管理員密碼驗證功能，以下設定才會生效。
密碼複雜度設定密碼不為空白、最小長度和繁雜性驗證。
勾選此項，若管理員帳號登入控制台時密碼為空白，會強制要求設定非
密碼不能為空白
空值密碼，否則該管理員帳號無法登入。
密碼最小長度勾選此項，可強制限制管理員密碼設定最少要有幾個字。
密碼複雜性驗證勾選此項，若管理員帳號登入控制台時，密碼不符合複雜度，會強制要
291
求更改為滿足複雜度要求的密碼，否則該管理員帳號無法登入控制台。
（點選按鈕可查看密碼複雜度的要求）
密碼錯誤次數驗證管理員密碼錯誤次數的相關設定。
勾選此項，並設定「在限定時間內（分鐘）」、「密碼錯誤達到」、「鎖
啟用密碼定管理員帳號（分鐘）」，當管理員帳號登入控制台，且於限定時間內
錯誤次數驗證密碼輸入錯誤次數達指定次數，該管理員帳號將被鎖定，即使密碼正確，
在指定時間內仍無法登入控制台。
超時鎖定管理員登入控制台超時鎖定的相關設定。
勾選此項，並設定限制時間，當管理員登入控制台，且控制台的閒置時
空閒超過一定時間間達設定值時，控制台將自動鎖定，必須重新輸入管理員密碼才能登入。
鎖定控制台此設定在管理員登入審核管理平台時同樣生效。控制台上的超時鎖定設
定，優先於審核管理平台上的鎖定設定。
當帳號密碼錯誤達指定次數而被鎖定時，會產生一筆稽核日誌，可登入稽核控制台查看。
說明
1. 「管理員密碼安全性驗證」設定對所有管理員皆生效。
2. 為防止惡意鎖定 Admin/Audit 帳號，該帳號於伺服器所在的電腦上登入控制台時，錯誤次數不
受限制。
18.1.2 管理員權限
管理員的管理權限分為四大類：一般、功能權限、管理範圍、加密功能（加密版本項目）。
管理權限內容
一般指定管理員的類型、管理員登入的模式等。
指定非系統管理員帳號具備的管理功能權限，包括管理用戶端的日誌、
設定各種策略、用戶端遠端維護及安全更新管理等。
功能權限其中，有關策略的管理功能權限皆分為「檢視策略」和「設定策略」
，勾
選「設定策略」權限，
「檢視策略」也會自動勾選；取消「檢視策略」權
限，
「設定策略」也會自動取消。
292
指定非系統管理員帳號所能管理的範圍，可選擇全部的電腦和使用者，
管理範圍
也可在電腦和使用者之間擇一管理。
指定非系統管理員帳號具備的加密功能權限，包括管理權限和安全區域
加密功能
（僅加密版本提供此項目）。
一般
一般權限內容
類型
系統管理員只有系統管理員能檢視和管理授權軟體和安全區域。
具有加密功能
選擇此項才能管理加密系統。
管理權限
登入
只允許同時
不可同時登入多個控制台。
登入一個控制台
只允許在指定的
只能在指定的電腦名稱或指定 IP 的電腦上登入。
電腦或 IP 上登入
只允許登入
只能在加密用戶端上登入審核管理平台，不可在控制台上登入。
審核管理平台
只允許登入能從控制台登入，登入後直接顯示加密管理系統介面，無法使用 IST

加密管理系統控制台上加密以外的功能。
只允許登入
只能登入報表控制台。
報表控制台
此項需要伺服器安裝目錄存在遠端控制憑證，並且使用 Admin 帳號
透過憑證授權方式登入控制台，才會顯示。
遠端控制勾選此項，管理員可直接強制遠端連線用戶端，不需要使用者授權以
及密碼授權。（請參閱 8.2.1 遠端控制 3.憑證授權）
帳號管理
允許管理員建立下級管理員。下級管理員的帳號，權限不可超過所屬
允許建立子帳號所屬的管理員。本選項僅可授與給「非系統管理員」，擁有完整權限
的「系統管理員」及 admin、audit 等帳號，不適用本選項。
293
功能權限
功能權限說明
電腦清單與使用者清單的操作權限。
檔案例如：新增電腦群組、移動、修改名稱、刪除等。同時也包括允許管理
已刪除的對象、匯出資料與列印。
用戶端控制的權限。
控制包括：發送通知訊息、鎖定／解鎖、登出使用者、關機／重新啟動、移
除用戶端。
統計記錄查詢的權限。
統計
包括：應用程式統計，網頁瀏覽統計，網路流量統計等。
日誌記錄查詢的權限。
包括：基本事件日誌、應用程式日誌、網頁瀏覽日誌、文檔操作日誌、
日誌
列印日誌、列印記錄、資產變更日誌、策略日誌、系統事件、備份文檔、
共用文檔操作日誌和移動儲存日誌。
針對策略檢視或設定的權限。勾選設定權限，檢視權限會一併自動勾選；
僅勾選檢視權限，設定權限不會自動勾選。
包括：基本原則、應用程式控制原則、網頁瀏覽控制原則、裝置控制原
策略則、列印控制原則、螢幕記錄原則、日誌記錄原則、遠端控制原則、流
量控制原則、網路控制原則、郵件控制原則、即時通訊檔案傳送原則、
上傳控制原則、文件控制原則、系統警報原則、移動存放授權原則、用
戶端組態原則和軟體安裝管理。
針對螢幕、郵件、即時通訊等記錄，進行查詢與匯出等操作的權限。
監視
包括：即時螢幕快照、即時通訊、郵件、檢視螢幕歷史、匯出螢幕歷史。
遠端電腦維護操作的權限。
即時維護
包括：檢視遠端資訊、遠端操作、遠端控制、遠端檔案傳送、指令行等。
資產管理的權限。
資產管理
包括：資產查詢、定義資產類別內容、修改資產內容、軟體版權管理等。
系統安全更新的管理權限。
安全更新管理
包括：查詢安全更新情況、設定安全更新管理參數、執行安全更新操作。
漏洞管理系統漏洞的管理權限。包括：查詢漏洞檢查情況、設定漏洞檢查參數。
294
針對軟體派送的兩個部分－派送包操作、派送任務的操作權限。
軟體派送包括：查詢軟體派送包資訊、設定軟體派送包、查詢派送任務及安裝情
況資訊、設定派送任務、執行派送任務。
軟體移除功能的管理權限。
軟體移除管理
包括：查詢軟體移除任務、設定軟體移除任務。
網路接入檢測接入檢測功能的權限。包括：檢視接入檢測、設定接入檢測和設定策略。
可管理類別的權限。
所有分類管理包括：應用程式類別、網站類別、時間類別、網路位址類別、網路連接
埠類別、移動儲存類別、軟體安裝套件分類庫和軟體移除分庫庫管理。
指定可以進行桌面申請設定的權限。
包括：檢視桌面申請和審核情況、取消申請、審核否決權限、審核權限
桌面申請管理
委託、檢視桌面審核流程、設定桌面審核流程、檢視申請權限、設定申
請權限。。
指定可刪除哪些記錄的權限。
刪除
包括：刪除日誌資料、刪除即時通訊資訊、刪除郵件。
備份資料備份資料與檢視資料的權限。包括：備份日誌、載入備份。
設定伺服器與郵件報告伺服器的權限。
參數設定
包括：設定伺服器設定、郵件報告伺服器設定。
安全偵測功能的權限。
安全偵測
包括：安全偵測條件、安全偵測設定、全安偵測日誌和安全偵測狀態。
管理中繼伺服器功能的權限。
中繼伺服器管理
包括：檢視中繼伺服器、設定中繼伺服器。
策略角色功能的權限。
角色
包括：檢視角色、設定角色、分配角色。
管理文檔雲端備份伺服器的權限。
文檔雲端備份伺服器
包括：管理文件權限、設定配置權限、掃描任務管理。
設定敏感資料功能的權限。
包括：檢視敏感資料磁碟掃描任務和日誌、設定敏感資料磁碟掃描任務、
敏感資料
檢視敏感資料外傳控制策略、設定敏感資料外傳控制策略、檢視敏感資
料落地控制策略、設定敏感資料落地控制策略、檢視敏感資料日誌、刪
295
除敏感資料日誌。。
伺服器相關設定權限。
伺服器管理包括：網域組織架構管理、分散式伺服器管理、遠程伺服器檢查、郵件
報告。
用戶端識別機制與版本升級管理的權限。
用戶端管理
包括：電腦管理、用戶端升級管理。
設定管理者登入 NAC 伺服器的權限。

NAC 設備設置
包括：檢視 NAC 設備、設定 NAC 設備、NAC 伺服器登入權限。
報表系統設定管理者登入報表控制台的權限。
執行用戶端輔助工具的權限。
輔助功能包括：產生用戶端確認碼、產生用戶端離線輔助工具、產生用戶端離線
資料收集工具。
管理員在設定功能權限時，請根據實際需求設定，避免賦予過當的權限。
加密功能－管理權限
管理權限說明
文件加解密和外發的權限。
文件加密和外發包括：啟用／禁用加密功能、遠端管理加密文件、文件加密／解密、文
件外發、文件加密演算法設定、匯出 ESG 加密參數文件。
授權軟體管理授權軟體資料庫的權限。
安全區域增加、修改、刪除安全區域的設定權限。
外發對象設定外發對象和外發電腦的權限。
對用戶端設定加密策略的權限。
包括：檢視加密權限、設定加密權限、加密系統登入登出管理、檢視加
權限設定密參數設定、設定加密參數、檢視檔案備份策略、設定檔案備份策略、
檢視長期離線授權、設定長期離線授權、檢視安全通訊授權、設定安全
通訊授權。
296
加密文件操作日誌的操作權限。
包括：檢視加密文件操作日誌、檢視備份的加密文件、刪除加密文件操
加密文件操作日誌
作日誌、檢視檔案備份日誌、刪除檔案備份日誌、檢視加密系統登入日
誌、刪除加密系統登入日誌。
磁碟掃描功能的操作權限。
任務管理
包括：檢視磁碟掃描任務和日誌、設定加密任務、設定解密任務。
對各種申請的管理權限。
包括：檢視解密申請和審核情況、解密審核權限、刪除解密申請、檢視
外發申請和審核情況、外發審核權限、刪除外發申請、查看臨時離線申
流程管理
請和審核情況、臨時離線申請審核權限、刪除臨時離線申請、檢視安全
內容變更申請和審核情況、安全內容變更審核權限、刪除安全內容變更
申請、審核權限委託、檢視加密審核流程、設定加密審核流程。
備援伺服器備援伺服器的操作權限。包括：檢視備援伺服器、設定備援伺服器。
對檔案備份伺服器的操作權限。
加密檔案備份伺服器
包括：檢視檔案備份伺服器、設定檔案備份伺服器、設定明文備份模式。
對 USBKey 功能的操作權限。
USBKey 管理包括：新增／移除 USBKey 資訊、檢視 USBKey 資訊、修改 USBKey 資
訊、檢視 USBKey 日誌、移除 USBKey 日誌。
使用智慧終端管理的操作權限。
智慧終端管理
包括：檢視智慧終端、設定智慧終端、授權智慧終端。
隨身碟加密用戶端管理隨身碟加密用戶端的權限。包括：隨身碟加密用戶端管理。
加密功能－安全區域
安全區域說明
全部安全區域和等級能管理所有安全區域和全部安全等級的文件。
能管理所有安全區域之指定等級以下的文件。
全部安全區域的指定等級安全級別共有五個等級：普通、內部、秘密、機密、極機密，若指定等
級為秘密，則可管理普通、內部、秘密等級別的文件。
指定安全區域與相應等級能管理指定的安全區域與相應等級以下的文件。
管理員在設定安全權限時，請根據實際需求設定，避免賦予過當的權限。
297
18.2 電腦管理
為了方便管理員管理整個網域內已安裝用戶端的電腦，同時方便使用者查詢授權的使用
情況，例如：已使用多少個授權、是否超出授權範圍等，我們可透過電腦管理視窗來檢視。
另外，當企業環境中存在大量電腦，且在電腦的硬體維護過程中，欲更換硬碟或網卡時，
需要重新指定用戶端識別碼，使更換硬碟或網卡後的電腦，仍被識別為原有的用戶端。用戶
端識別碼的重新指定操作，也可在電腦管理視窗中完成。
18.2.1 電腦管理視窗簡介
選擇功能表【工具→用戶端管理→電腦管理】進入「電腦管理」視窗，該視窗中包含查
詢欄、電腦授權資訊清單，以及電腦識別資訊清單。
298
「電腦授權資訊」清單中包含的內容有：
內容名稱說明
此圖示表示電腦在授權（License）範圍內，屬於授權電腦。
無此圖示的電腦，則超出授權範圍，必須透過視窗最下方的「授權資
訊」，檢視購買的授權和目前使用的授權數量。
此圖示表示用戶端電腦具備加密授權（或唯讀授權）。
當用戶端啟動加密授權（或唯讀授權）時，會顯示此圖示以玆識別。
用戶端電腦在控制台上顯示的名稱。當電腦名稱與控制台顯示的名稱不
名稱
符時，會在控制台用戶端以「名稱（真實電腦名稱）」顯示。
識別碼伺服器為用戶端分配的識別碼，唯一標識該電腦。
IP 位址用戶端電腦的 IP 位址。
網路卡位址用戶端的網卡 MAC 位址和 IP 位址。
用戶端所屬群組用戶端所屬的電腦群組。
狀態用戶端的執行狀態，包括：正在運作、離線、空閒等。
衝突用戶端識別是否正在發生衝突。
最後出現時間用戶端最後一次出現的時間。
安裝時間用戶端的安裝時間。
版本用戶端的版本資訊。
離線天數用戶端的離線天數。
在「電腦授權資訊」清單中，點選任一筆記錄，即可在電腦管理視窗下面的「電腦識別
資訊」清單中，查看該記錄的相關識別資訊。
「電腦識別資訊」清單中包含的內容有：
內容名稱說明
該圖示上有紅色小勾，表示用戶端目前正在使用該筆識別資訊。
作業系統用戶端電腦目前使用的作業系統資訊。
299
IP 位址用戶端的網路 IP 位址。
硬碟 ID 用戶端的硬碟 ID 資訊。
網路卡位址用戶端的網路卡 MAC 位址。
電腦用戶端的電腦名稱。
首次出現時間用戶端第一次連接接伺服器的時間。
最後出現時間用戶端最後一次連接伺服器的時間。
管理員可根據「查詢條件」快速搜尋欲查看的電腦資訊，查詢條件包括：
內容名稱說明
全部預設查詢所有已安裝用戶端的電腦。
依 IP 地址設定 IP 地址範圍，查詢指定範圍內的用戶端電腦。
設定日期範圍，查詢最後出現日期包含在該範圍內的用戶端，方便查找
依最後出現日期
已經一段時間未出現的用戶端。
依用戶端識別碼根據用戶端識別碼查詢指定的用戶端訊息。
依電腦名稱依用戶端在控制台上顯示的名稱查詢，支援模糊查詢。
按離線天數（>=）設定離線天數，查詢超過指定離線天數的用戶端。
狀態查詢用戶端的執行狀態。
網路卡位址依用戶端電腦的網路卡位址做查詢，支援模糊查詢。
硬碟 ID 依用戶端電腦的硬碟序號做查詢，支援模糊查詢。
在「電腦授權資訊」欄位中，有一些輔助工具按鈕，其功能說明如下：
內容名稱說明
匯出電腦授權資訊清單，匯出格式有：*.html、*.xls、*.csv。
列印電腦授權資訊清單。
預覽列印電腦授權資訊清單。
刪除，管理員可刪除不需要的用戶端以釋放授權（License）數量。
刪除會在移除用戶端程式的同時，減少授權數量。
300
移除。移除用戶端不會減少授權（License）數量。
對選取的用戶端電腦啟用透明加密授權。
對選取的用戶端電腦啟用唯讀加密授權。
對選取的用戶端電腦禁用加密授權。
執行刪除或移除等操作時，系統會提示是否刪除，管理員必須輸入密碼後按【確定】
，才
可進行下一步，否則所做的操作將不生效，其目的是為了減少失誤。
18.2.2 重新指定用戶端識別碼
一般來說，以下兩種情況必須重新指定用戶端識別碼：
1. 為解決衝突狀況而重新指定用戶端識別碼
企業內的兩部電腦互換硬碟後同時上線，系統可能會將兩者識別為同一個用戶端，此時，
控制台會彈出衝突提示。在電腦管理視窗的「電腦授權資訊」清單中，可看到該用戶端的資
訊顯示為紅色，點選該筆授權資訊，可查看到有兩筆或多筆識別資訊。
2. 企業內的電腦硬碟或網路卡損壞需要更換
更換硬體後的電腦可能會被識別為新的用戶端，因此必須將新識別的用戶端指定為原有
的用戶端識別碼。
操作步驟
1. 在【電腦授權資訊】清單中選取欲重新指定的用戶端，接著點選下方的【電腦識別資訊】
清單。
2. 點選用戶端識別資料欄位右上角的【設定鈕】，進行電腦識別設定，設定方式有二：
(1) 為電腦識別重新分配新的用戶端授權：重新為識別資訊分配識別碼，可自訂用戶端
名稱，重新分配的用戶端名稱會顯示在控制台電腦清單的未分組中。
(2) 將電腦識別資訊移動到指定的用戶端授權：可手動輸入既有的用戶端識別碼，也可
以點選【…】按鈕，選擇既有的用戶端。
301
例如：將 B 的識別資訊指定為既有的用戶端 A，則控制台上 A 的名稱將會自動被更
改成 B。
18.2.3 查看用戶端識別跟蹤日誌
由於更換作業系統、硬碟、網路卡等原因，用戶端的識別資訊可能產生改變，透過「電
腦識別資訊」的檢視跟蹤日誌，可查看用戶端識別資訊的改變情況。
操作步驟
1. 在【電腦授權資訊】清單中選取欲檢視跟蹤日誌的用戶端，接著點選下方的【電腦識別
資訊】清單。
2. 點選用戶端識別資料欄位右上角的【檢視跟蹤日誌鈕】
，可查詢用戶端識別跟蹤日誌。
資訊內容包括：
內容名稱說明
時間用戶端登入上線的時間。
識別方式用戶端使用的識別方式。
比對結果用戶端識別後的比對結果。
識別碼用戶端的識別碼。
名稱用戶端的電腦名稱。
作業系統用戶端目前的作業系統。
作業系統目錄用戶端目前作業系統目錄。
IP 位址用戶端的網路 IP 位址訊息。
網路卡位址用戶端的網路卡 MAC 位址訊息。
硬碟 ID 用戶端的硬碟 ID 資訊。
識別資訊發生改變會產生日誌，前後不同的記錄會以紅色字體標示。
302
18.3 組織架構同步設定
透過 AD 及 LDAP 網域匯入功能，可為網域中未連接伺服器的電腦和使用者，預先設定
群組，當用戶端連接伺服器，即可自動分配到所屬群組中。
注意為了避免過大的查詢範圍，影響到網域主機與 IST 伺服器的效能，因此組織架構同步僅會匯
入 10 層的架構，超過 10 層的架構將無法匯入。
18.3.1 匯入 AD 網域
1. 新增 AD 網域同步
選擇【工具→伺服器管理→組織架構同步】，開啟【同步設定】介面。
點選【】圖示鈕，新增一條同步設定，或在「同步設定區域」任意位置按滑鼠右鍵，
點選【新增設定】，進入同步設定介面。
同步設定介面主要包含「連接設定」和「對象設定」兩個部分。
2. 連接設定
登入目標網域後，開啟「網域組織結構」視窗，可查看網域中的電腦和使用者。
連接設定主要用以填寫登入 AD 網域的相關資訊，包含內容如下：
內容說明
設定名稱同步設定的名稱，可不填，會自動設定為「網域名稱」。
伺服器類型選擇同步的對象，請選擇網域伺服器。
網域名稱需要同步 AD 網域的網域名稱，必填。
伺服器位址 AD 網域所在的電腦 IP 或網域名稱，必填。
登入帳號可登入 AD 網域的帳號，必填。
密碼登入帳號所對應的密碼，可以為空白。
會根據所設定的同步間隔時間自動同步，例如：同步間隔為 24 小時，則每
啟用自動同步
一天會自動同步一次。此功能預設不啟用，勾選後即啟用。
303
以上資訊填寫完畢後，可點選【測試連接】鈕。
若資訊填寫正確，即可正常登入 AD 網域，並提示「成功」
，這時可繼續進行對象設定；
若填寫不正確，則有相關提示，待修正後才可進行對象設定。
3. 對象設定
可根據實際需求，選擇將對應的 AD 網域結構匯入伺服器。
「對象設定區」的右上角有功能圖示，可增加、修改、刪除對象設定，以及預覽效果。
點選【】圖示增加一條對象設定，進入「對象設定視窗」。
對象設定主要包含「來源設定」、「目標設定」和「其他設定」三個部分。
(1) 來源設定：
選擇對應的 AD 網域組織結構。點選【】圖示，檢視相對應的 AD 網域組織結構。
(2) 目標設定：
設定將 AD 網域組織結構同步至 IST 伺服器上的指定位置。
支援同步至電腦群組和使用者群組。
(3) 其他設定：
內容說明
預設勾選，若有個 OU 組織架構下沒有任何使用者和電腦，則不會將此 OU 匯
不導入無對象 OU
入至伺服器上。
預設不勾選，不會同步被禁用的使用者和電腦。
同步禁用對象
勾選後，會同步被禁用的使用者和電腦。
18.3.2 匯入 LDAP 架構
1. 新增 LDAP 架構同步
選擇【工具→伺服器管理→組織架構同步】，開啟【同步設定】介面。
點選【】圖示鈕，新增一條同步設定，或在「同步設定區域」任意位置按滑鼠右鍵，
點選【新增設定】，進入同步設定介面。
304
同步設定介面主要包含「連接設定」和「對象設定」兩個部分。
2. 連接設定
登入目標架構後，可開啟「LDAP 架構」視窗，查看 LDAP 架構中的電腦和使用者。
連接設定主要用以填寫登入 AD 網域的相關資訊，包含內容如下：
內容說明
設定名稱同步設定的名稱。
伺服器類型選擇同步的對象，請選擇 LDAP 伺服器。
網域名稱需要同步 LDAP 架構的網域名稱，必填。
伺服器位址輸入 LDAP 伺服器的 IP 位址。
會根據所設定的同步間隔時間自動同步，例如：同步間隔為 24 小時，則每
啟用自動同步
一天會自動同步一次。此功能預設不啟用，勾選後即啟用。
以上資訊填寫完畢後，請點選【進階】鈕，在「進階設定」的視窗中確認伺服器接埠、
協定版本號與登入驗證帳號資訊。
內容說明
網域名稱請確認 LDAP 的網域名稱。
伺服器位址請確認 LDAP 伺服器的 IP 位址。
305
伺服器連接埠輸入 LDAP 通訊埠號。
使用 SSL 請確認是否啟用 SSL 加密通訊。
協定版本號請選擇協定版本。
匿名連接若要以匿名身分連接，請勾選此項目。
使用者請輸入連接用的帳號。
密碼請輸入連接用帳號的密碼。
填寫完成後，請按【測試連接】鈕，若畫面顯示「連接成功」
，即可點選【確定】鈕並繼
續進行對象設定；若填寫不正確，待修正後才可進行對象設定。
3. 對象設定
可根據實際需求，選擇將對應的 LDAP OU 架構匯入伺服器。
「對象設定區」的右上角有功能圖示，可增加、修改、刪除對象設定，以及預覽效果。
點選【】圖示增加一條對象設定，進入「對象設定視窗」。
對象設定主要包含「來源設定」、「目標設定」和「其他設定」三個部分。
(1) 來源設定：
選擇對應的 LDAP OU 架構。點選【】圖示，檢視相對應的 LDAP OU 架構。
(2) 目標設定：
設定將 LDAP OU 架構同步至 IST 伺服器上的指定位置。
支援同步至電腦群組和使用者群組。
(3) 其他設定：
內容說明
預設勾選，若有個 OU 組織架構下沒有任何使用者和電腦，則不會將此 OU 匯
不導入無對象 OU
入至伺服器上。
預設不勾選，不會同步被禁用的使用者和電腦。
同步禁用對象
勾選後，會同步被禁用的使用者和電腦。
306
18.3.3 檢視同步設定
點選【】圖示鈕，或在「同步設定區域」任意位置按滑鼠右鍵，點選【檢視同步設定】
開啟檢視同步設定介面，可看到該設定執行後的實際效果。
當用戶端接入伺服器後，對應到該同步設定，會自動分配至所屬群組，此時再查看同步
設定介面，可發現該用戶端已在其所屬群組中。
18.3.4 例外對象
針對一些特別的電腦或使用者，需要被固定於特定的分組，無須保持和 AD 網域／LDAP
架構相同，可在此設定為「例外對象」
。管理者進行手動或自動同步時，將不會移動例外對象
內的電腦或使用者。
點選【工具→伺服器管理→組織架構同步】開啟【例外對象】介面。點選【】圖示鈕，
選擇欲指定為例外對象的電腦或使用者。也可在已完成架構同步的電腦或使用者中，手動移
動被同步的對象，系統會提示「您是否要移動目前選中的對象」
，確認要進行移動時，被移動
的對象也會自動被設定為「例外對象」。
18.4 使用者系統
透過使用者系統的登入驗證功能，要求人員輸入 AD/LDAP 或使用者系統的帳號進行身
分驗證，並根據驗證的身分給予對應的控管策略與日誌記錄。此外，也可用於關聯驗證功能，
透過要求用戶端進行驗證，來關聯電腦與使用者帳號，做為其他系統關聯電腦與使用者之用。
307
18.4.1 伺服器設定
新增設定
點選 IST 控制台的【工具→伺服器管理→使用者系統管理】，選擇【伺服器設定】，點選
右上角的【】鈕來新增設定。
基本設定
欄位名稱功能說明
伺服器類型可選擇 AD 網域伺服器或 LDAP 伺服器。
網域名稱請輸入伺服器的網域名稱。
伺服器位址請輸入伺服器的 IP 位址。
308
進階設定(LDAP 伺服器適用)
在 LDAP 伺服器的「進階」中設定
LDAP 伺服器參數，包含伺服器通訊埠、
協議版本號、是否使用 SSL、是否使用
匿名連接。
欄位名稱功能說明
網域名稱請確認 LDAP 的網域名稱。
伺服器位址請確認 LDAP 伺服器的 IP 位址。
伺服器連接埠輸入 LDAP 通訊埠號。
使用 SSL 請確認是否啟用 SSL 加密通訊。
協定版本號請選擇協定版本。
匿名連接若要以匿名 anonymous 身分連接，請勾選。
使用者請輸入連接使用的帳號。
密碼請輸入連接使用的帳號密碼。
測試登入
點選「設定」介面中的【測試登入】按鈕，在「測試連接」頁面輸入網域帳號進行測試
連接，「登入成功」表示伺服器參數設定正確，測試連接通過後，可儲存伺服器設定。
309
18.4.2 登入驗證
用戶端電腦使用本機帳號登入時，可要求人員以設定於伺服器中的帳號登入使用者系統。
待登入驗證通過後，日誌記錄中的使用者一欄，將改以登入使用者系統的帳號為顯示名稱，
若有設定使用者策略，也會在登入驗證通過後，套用該驗證帳號所對應的使用者策略。
策略設定
1. 在「伺服器管理」介面中選擇【登入驗證】，接著點選右上角的【】按鈕。
2. 可於「登入驗證設定」介面中，選擇啟用「強制驗證」或「非強制驗證」
，並分別選
擇欲設定的用戶端。
 強制驗證：勾選後，用戶端必須通過使用者系統驗證，方可使用電腦。
 非強制驗證：勾選後，用戶端可以按【取消】鈕，關閉使用者系統的登入驗證視
窗，解除鎖定並正常操作電腦。
18.4.3 關聯驗證
「關聯」指的是連結電腦與使用者帳號，並可按照使用者帳號的配置資訊，將電腦移動
到與使用者帳號對應的群組名稱中。例如：使用者帳號（使用者群組：中科廠）與新電腦建
立關聯，則新電腦將會被移動到名稱為「中科廠」的群組內。
當電腦未關聯 AD 網域使用者或 LDAP 用戶時，可要求用戶端使用「伺服器設定」中的
網域帳戶登入，同時會以首次完成驗證的帳號與電腦進行關聯。
策略設定
1. 在「伺服器管理」介面中選擇【關聯驗證】，接著點選右上角的【】按鈕。
2. 可於「關聯驗證設定」介面中，選擇啟用「強制驗證」或「非強制驗證」
，並分別選
擇欲設定的用戶端。
 強制驗證：勾選後，用戶端必須通過使用者系統驗證，方可使用電腦。
310
 非強制驗證：勾選後，用戶端可以按【取消】鈕，關閉使用者系統的登入驗證視
窗，解除鎖定並正常操作電腦。
 不關聯使用者：以此清單內的帳號登入電腦或進行驗證時，無須進行關聯驗證即
可正常操作電腦。使用「本機帳號」和「網域\帳號」格式。
 禁止關聯使用者：以此清單內的帳號登入電腦或進行驗證時，電腦仍然維持鎖定。
使用「本機帳號」和「網域\帳號」格式。
18.5 警報訊息
警報訊息記錄了所有策略觸發的即時警報日誌，可在【工具→警報】中檢視。若於控制
台的【工具→選項→控制台設定→即時警報】裡勾選了「顯示警報快顯視窗」
，一旦有用戶端
觸發某個策略，就會在控制台電腦上彈出警報快顯視窗，按一下該視窗，可檢視所有的即時
警報記錄。
警報訊息主要有：策略觸發報警訊息、伺服器報警訊息、用戶端異常報警訊息。
1. 策略觸發報警訊息
針對所有的 IST 策略，只要設定策略時勾選了「報警」

，則觸發策略時會在控制台電腦上
彈出報警訊息視窗進行通知，並記錄在【工具→警報】中。
2. 伺服器警報訊息
IST 伺服器自身機制定義的警報，出現相應的情況都會在控制台彈出訊息視窗。主要的
伺服器報警資訊如下：
報警名稱說明
兩台用戶端電腦被識別為同一台用戶端授權時，會認定為用戶
用戶端登入衝突
端登入衝突並發出警報。
ZTEMP 目錄所在磁碟分割空間不足暫存目錄所在磁碟分割的空間低於 512 MB 時，會發出警報。
DATA 目錄所在磁碟分割空間不足資料目錄所在磁碟分割的空間低於 512 MB 時，會發出警報。
檢測到新的電腦啟動接入檢測功能後，網路中出現新電腦時，會發出警報。
發現長期離線用戶端發現離線時間超過指定時間的用戶端電腦時，會發出警報。
311
在控制台【工具→選項→控制台設定→即時警報】勾選「啟動
用戶端離線警報」並設定「指定天數」。
備份文件所在磁碟的剩餘空間低於指定值時，會發出警報。
文件備份伺服器空間不足在加密文件備份伺服器的圖示上按滑鼠右鍵，點選【工具→選
項→空間管理設定】
，勾選「空間報警限制」並設定指定值。
文件備份路徑所在磁碟的剩餘空間低於指定值時停止備份，會
發出警報。
明文備份伺服器停止收集
在加密文件備份伺服器的圖示上按滑鼠右鍵，點選【工具→選
項→空間管理設定】
，勾選「停止備份限制」並設定指定值。
執行備份任務時，若連結資料庫出錯，會發出警報，警報資訊
連結資料庫時出錯
中有錯誤訊息描述。
伺服器上一次記錄的時間，和目前的系統時間不一致時，會發
伺服器所在計算機時間是否信任
出警報，警報資訊會提示是否信任目前系統時間。
3. 用戶端異常警報訊息
在控制台【工具→選項→控制台設定→即時警報】勾選「啟動用戶端異常警報」
，一旦發
現異常用戶端，就會發出警報，於警報資訊中顯示異常用戶端清單。
「控制台設定－即時警報」預設最多能顯示 500 條記錄，管理員可透過【工具→選項→
即時警報→警報視窗】來調整顯示警報記錄的最大數量。
若關閉控制台或重新登入控制台，即時警報記錄會自動清空，管理員如需查詢策略觸發
警報訊息，請於【日誌→策略日誌】中查詢；伺服器警報訊息請於【日誌→系統事件】中查
詢；用戶端異常警報訊息目前無法查詢，可在【工具→網路接入檢測】中查看目前的異常用
戶端。
注意用戶端異常警報訊息須配合網路控制模組中的「網路接入檢測功能」使用，當網路接入檢測
代理電腦掃描該用戶端為開機狀態，比對電腦清單確實為離線狀態，則視為異常。
312
18.6 郵件報告設定
即時警報資訊可以透過郵件伺服器發送到指定的信箱，管理員可以透過郵件及時瞭解和
處理警報。
使用郵件報告設定功能前，系統管理員必須先在【工具→選項→郵件報告伺服器設定】
中設定郵件報告伺服器，才開始進行郵件報告設定。
選擇功能列【工具→郵件報告設定】，管理員可以查看、新增和修改郵件報告設定。
圖示按鈕操作
新增郵件報告設定。
刪除郵件報告設定。
注意只有 Admin 管理員可查看及刪除其他管理員設定的郵件報告，但不可編輯修改；非 Admin
管理員，僅能看到自己設定的郵件報告，無法查看其他管理員設定的郵件報告。
警報訊息郵件需要設定以下參數：
參數說明
由使用者自行定義對該郵件報告的描述。新增設定時，控制台會預設新
名稱
增名稱，管理員也可更改自訂名稱。
郵件主旨設定發送的郵件報告標題。
每封郵件包含的警報資訊最大數量，當警報訊息滿足此參數時，會立即
最大警報個數
發送郵件，超過此個數，則在下一封郵件中發送。預設值為 100。
「低」等級：會發送全部等級的警報資訊。（預設）
最低警報等級「重要」等級：發送重要和嚴重等級的警報資訊。
「嚴重」等級：只發送嚴重等級的警報資訊。
發送時間間隔（分鐘）指定郵件發送的時間間隔。預設為 30 分鐘。
收件者位址接收警報資訊的信箱位址。
發送郵件測試發送一封測試郵件，確認能否發送到收件人信箱。
313
勾選此項，則警報資訊會以附件形式發送。
以附件發送
預設為不勾選，以內文形式發送。
附件解壓密碼以附件形式發送時，會發送一個壓縮檔，此壓縮檔可設定密碼。
指定需要發送警報郵件的策略類型，如：應用程式控制策略、網頁瀏覽
警報類型
控制策略、系統報警策略等。
電腦範圍指定郵件報告中所管理的電腦範圍。
使用者範圍指定郵件報告中所管理的使用者範圍
注意只要在「電腦範圍」或「使用者範圍」其中一個範圍內，就會發送郵件。
郵件發送情況，如發送時間、發送信箱、是否成功等資訊，可在【日誌→系統事件】中
檢視。
18.7 策略應用查詢
點選功能列【工具→策略應用查詢】
，可查詢目前設定的所有策略項目。管理員可透過策
略資料庫，清楚得知目前所設定的策略套用在哪些對象上，以及策略的設定，例如策略是否
啟用、策略的模式、套用的對象是電腦、電腦群組、使用者或使用者群組等。管理員可根據
策略名稱加以檢視，並可在右方的檢視列表中，按滑鼠右鍵選擇「匯出」
，可匯出目前的查詢
結果。匯出的文件可儲存為三種格式：文字檔案（.CSV）
、HTML 檔案、EXCEL 檔案（IST 控
制台所在電腦必須已安裝 Microsoft Excel 程式）。
在控制台點取一項策略時，電腦清單或使用者清單中的對象旁邊會出現小紅旗圖示，
表示該對象已有設定該類型策略。
18.8 用戶端工具
確認碼產生器
當已安裝用戶端的電腦無法連接伺服器，例如禁用網卡或出差時，卻臨時需要解除策略
314
或移除用戶端，此時無法透過控制台設定相對應的策略。
使用者可直接在用戶端電腦上執行用戶端工具，操作步驟如下：
1. 在用戶端電腦同時按住鍵盤【Ctrl+Alt+Shift】
，再依次輸入【ocularat】字串，開啟「用
戶端工具」視窗。
2. 選擇【臨時清除所有策略】
，設定臨時清除策略的時間，單位為分鐘，完成後點選【產生
操作碼】
。
3. 此時會彈出一個「檢驗操作碼」視窗，使用者需要把「原始操作碼」回報給管理員。
4. 管理員在 IST 控制台的【工具→用戶端工具→確認碼產生器】中輸入用戶端的原始操作
碼，接著按下【解析】，會解析出該用戶端的操作及相對應的用戶端資訊。
5. 管理員確認後點選【核發確認碼】，將「確認碼」告知用戶端。
6. 用戶端在「檢驗操作碼」視窗輸入「確認碼」，按【確定】後繼續執行指定的操作。
注意使用用戶端工具移除用戶端的詳細說明，請參考 2.6.1 移除用戶端。
用戶端離線輔助工具
臨時需要解除策略或移除用戶端，也可以透過用戶端離線輔助工具進行。
1. 管理員在控制台功能列【工具→用戶端工具→用戶端離線輔助工具】開啟用戶端離線輔
助工具，可選擇臨時清除用戶端策略，也可選擇永久移除用戶端。
2. 選取需要的操作後，點選【下一步】，設定工具的「有效執行次數」、「有效執行時間」，
以及執行工具時需要輸入的密碼，密碼可以為空白。
3. 設定完成後，選擇匯出 agttool.exe 的儲存路徑，便可將產生臨時清除策略工具檔匯出。
匯出的工具檔為.EXE 格式的可執行程式，將工具複製到離線用戶端上執行即可。
用戶端離線資料收集工具
有些用戶端可能長期處於離線狀態，管理者依舊需要定期掌握這些離線用戶端的使用情
況。此時，可透過用戶端離線資料收集工具，收集和上傳離線用戶端的資料。
315
1. 管理員在控制台【工具→用戶端工具→用戶端離線資料收集工具】調出用戶端離線資料
收集工具。
2. 選擇收集工具要存放的路徑，也可設定使用工具的密碼和有效時間，設定完成後點選【新
增】，即可產生用戶端離線資料收集工具。
3. 將產生的離線資料收集工具發給離線用戶端，直接於離線用戶端上執行。在工具【資料
收集】選項頁面，選擇時間區間和資料類型後，點選【備份】
，待備份完成後，在工具的
同目錄下會出現一個「odtb」資料夾。
4. 將離線資料收集工具及「odtb」資料夾發給一台線上用戶端，於線上用戶端上執行。在
「資料管理」頁面，選擇已收集的用戶端離線資料，再點選【上傳】，等待上傳完成。
注意
1. 採用正式序號並已註冊的伺服器，才能使用離線用戶端資料收集功能。
2. 從未上線的離線用戶端，首次上傳離線資料後，會在電腦結構樹的未分組產生該用戶端的節點。
18.9 伺服器時間
若 IST 伺服器時間不正確，例如：伺服器所在電腦的系統時間被人為調整，會嚴重影響
系統的穩定性和安全性，因為許多功能，如策略的有效時間、資料的產生時間、自動清除等，
都仰賴伺服器時間的正確性。
當伺服器時間異常，管理員登入控制台後，會彈出警報訊息視窗提醒，並且定時反覆提
醒。此時，需要管理員修改伺服器的作業系統時間，並在控制台上重新設定信任。
選擇功能列【工具→伺服器管理→伺服器時間】可查看伺服器目前的時間，若管理員確
認伺服器目前時間沒有問題，點選【信任】鈕，控制台就不再彈出警報訊息視窗。
用戶端電腦則可透過用戶端設定策略，自動同步服務控制器時間。
316
18.10 分類庫同步管理
在分類庫資訊發生改變時，伺服器會將最新的分類庫資訊同步到用戶端電腦。
選擇【工具→伺服器管理→分類庫同步管理】
，可檢視各用戶端電腦同步分類庫資訊的時
間，包括：應用程式類別、應用程式識別、網站類別，網站識別、網路位址類別、網路連接
埠類別管理、時間類型、移動儲存類別、移動儲存識別、信箱類別、信箱識別、軟體安裝套
件分類庫、軟體安裝套件庫、軟體移除分類庫、軟體移除庫、安全偵測條件、USBKey 分類
庫、USBKey 類別、特徵規則庫、敏感資料分類庫、浮水印範本庫的同步時間。
18.11 用戶端升級管理
IST 伺服器升級後，管理員可將用戶端升級程式派送給用戶端，用戶端會自動安裝，重
新啟動後就升級成功。
由於伺服器預設不會自動將升級程式派送給用戶端，因此用戶端電腦不會自動升級，必
須於「用戶端升級管理」介面進行設定。
點選功能列【工具→伺服器管理→用戶端升級管理】可檢視目前伺服器上的用戶端升級
程式版本，透過升級管理設定，可讓用戶端自動升級或降級到與伺服器一致的版本。
參數說明
顯示目前最新的升級程式版本編號及檔案大小。
 不升級：選擇此項，則選取的用戶端不升級用戶端程式。
 自動升級：選擇此項，則選取的用戶端會在指定時段，自動派送並升級
升級包版本
到最新版本。
 僅升級到 xx.x.xxxx.x 版本：選擇此項，則選取的用戶端僅升級至指定版

本的用戶端程式。
若用戶端電腦上的版本高於目前 IST 伺服器上用戶端升級程式版本，勾選

允許用戶端
此項，則用戶端電腦上的版本會降級；不勾選此選項，用戶端電腦上的版
降級到較低版本
本保持不變。
分發時間段只在該時間段內才向用戶端電腦派送升級程式。
317
範圍只對選取範圍內的用戶端電腦派送升級程式。
選定範圍內電腦的狀態資訊，包括電腦名稱、所屬群組、用戶端目前作業
狀態
系統、升級狀態、IP 位址及目前用戶端版本等。
18.12 選項
選擇【工具→選項】可檢視並修改目前控制台和伺服器的預設值。
18.12.1 控制台參數設定
可於「控制台設定」介面設定多個系統參數。參數說明如下：
參數說明
基本設定
即登入控制台時的操作。勾選「密碼為空白時提醒」，當使用無密碼的管
登入設定
理員帳號登入控制台時，將彈出提示視窗。
點選【立即清除】
，則登入介面中的記住密碼訊息會被清除，下次登入時，
清除記住的密碼
將無法自動登入。
即關閉控制台時的操作。可選擇「最小化所有視窗到系統匣」或「退出程
關閉設定
式」，也可選擇彈出提示，系統預設為「關閉主控制台時出現提示視窗」
。
升級維護管理者升級維護設定，僅供正式序號使用。
線上升級功能，產品未取得維保期時的提醒設定。
 在每次登入時提醒：每次登錄控制台，都會提示無維保碼並彈出更新維
保碼視窗。
未取得產品維保期  在指定日期以後登入時提醒：設定指定日期，則指定日期之後每次登入
控制台，都會提示無維保碼並彈出更新維保碼視窗。
 不會提醒：每次登入控制台都不會提示無維保碼，亦不會彈出更新維保
碼視窗。
自動檢查產品升級線上升級功能，自動檢查產品升級方式的設定。
318
 每次登入後自動檢查：每次登入控制台，都會檢查是否有新版本，若有
新版本，則彈出新版本提示。
 在指定日期以後登錄後檢查：設定指定日期，則指定日期之前不自動檢
查新版本，指定日期之後，每次登入後自動檢查是否有新版本。
 不進行自動檢查：設定該選項後，不再自動檢查是否有新版本。
聲音設定
啟用聲音勾選此項，則控制台彈出警報訊息及申請通知時，會有聲音提示。
聲音類型有「警報」和「發送通知訊息」兩項可供選擇。
指定音效檔，可按「瀏覽」鈕選擇您自己的音效檔，僅接受 100KB 以下
文件路徑
的 .wav 檔。
日誌檢視
日誌查詢查詢每頁顯示的最大數量，系統預設為每頁 20 筆日誌。
群組欄位顯示為
勾選欄位後，日誌記錄中群組欄位顯示將包含上層群組路徑。
全路徑
即時資訊
 即時螢幕更新時間間隔（秒）：
即時螢幕快照時間間隔，系統預設 2 秒。
螢幕監視  自動輪播時間間隔（秒）
：
多螢幕監視時，自動輪播畫面的間隔時間，系統預設 20 秒。
 僅顯示可見螢幕：預設勾選，可選擇是否僅顯示可見螢幕。
 應用程式清單更新時間間隔（秒）
：
應用程式清單的跟蹤更新時間間隔，系統預設 2 秒。
 處理程序清單更新時間間隔（秒）：
即時維護
處理程序清單跟蹤更新時間間隔，系統預設 2 秒。
 效能清單更新時間間隔（秒）：
效能清單跟蹤更新時間間隔，系統預設 2 秒。
遠端控制時的預設操作，可選擇「預設鎖定遠端電腦的滑鼠和鍵盤」或「僅
遠端控制
檢視不操作電腦」
。
即時警報
319
警報視窗警報視窗顯示記錄的數量，系統預設為 500 筆記錄。
 顯示警報快顯視窗：
快顯視窗設定勾選後，在控制台的電腦上會彈出觸發策略的即時警報。
 顯示快顯視窗的最低警報等級：低、重要、嚴重。
啟動用戶端離線警報功能，並設定指定天數，例如：10 天，則控制台在
用戶端離線警報下一次登入時，系統會自動彈出警報訊息，顯示離線時間大於或等於 10
天的用戶端清單。
啟動用戶端異常警報，則出現異常用戶端時，會彈出警報訊息，顯示異常
用戶端異常警報
用戶端清單。
勾選「儲存修改流程時提示」後，若有管理員修改「桌面審核流程」，其
桌面審核流程提醒
他管理員將會收到提醒訊息。
勾選「彈出申請氣泡」後，若有使用者提出「桌面審核」申請時，管理員
桌面申請通知提醒
將會收到申請訊息。
加密功能
 加密序號未註冊時提醒：未註冊加密序號時，彈出警報訊息。
加密序號警告
 加密序號過期時提醒：加密序號過期時，彈出警報訊息。
啟動「儲存修改流程時提醒」，則修改審核流程並儲存時，會提醒「如果
加密審核流程提醒目前有申請在審核中，修改流程可能導致申請失效，需要重新申請」，不
啟動則不會提醒。
啟動「彈出申請快顯視窗」，則解密、外發、變更安全內容、臨時離線等
加密申請通知提醒
申請提出時，會彈出申請提示視窗；不啟用則不會彈出提示視窗。
320
18.12.2 伺服器參數設定
可設定多個系統參數，設定參數說明如下：
參數說明
安全更新選項
勾選此項，新安裝用戶端的電腦會自動安裝已經下載的安全更新。
新出現的用戶端
預設不勾選、不自動安裝新用戶端電腦，如果需要用戶端自動安裝安全更
預設自動安裝
新，管理員可以在第一次登入控制台時設定該項；
勾選此項，新掃描到的安全更新會自動下載。
新發現的安全更新
預設不勾選、不自動下載，如果需要所有掃描出來的安全更新自動下載，
預設自動下載
管理員可以在第一次登入控制台時設定該項；
資料清除預設不會自動清除資料，勾選「啟用此功能」啟動資料清除功能；
 保留全部資料：預設選項，伺服器不會刪除任何資料；
全局設定  保留指定天數內的資料：選擇該選項，指定天數預設為 30 天，伺服器

會刪除 30 天前的資料；
可以分別設定各種日誌資料的保留天數；
自訂設定預設保留天數為「全局設定」，則根據全局設定進行刪留資料；
可以選擇「自訂」並設定自訂天數，也可以選擇「全部」保留。
管理範圍
可新增伺服器搜尋用戶端電腦的 IP 位址範圍，系統預設管理範圍為伺服
搜尋範圍器本機所在網域，若管理多網域，可在此新增網域管理範圍。一般用於用
戶端無法主動連接正確伺服器時，伺服器應開啟主動輪詢功能。
僅允許搜索範圍內
勾選此項，則不在搜索範圍內的電腦將不會連接上伺服器。
的電腦連接伺服器
可以新增伺服器的排除用戶端電腦的位址範圍。在排除範圍內的用戶端不
排除範圍能與該伺服器連接。
當開啟「主動輪詢」功能時，伺服器將不對排除範圍進行掃描。
321
伺服器會依電腦清單中具有授權的用戶端網域，主動連接用戶端的 8235
主動輪詢埠，預設開啟。
不勾選此項，伺服器不會主動連接用戶端。
透過流量設定策略，依據實際情況對指定的用戶端進行流量限制，避免伺
服器和用戶端之間的通訊造成頻寬佔用，影響一些常用通訊。
流量設定
點選新增按鈕，設定網路位址、限制時間、流量設定，按【確定】產
生一筆新的流量策略。可建立多筆流量策略。
目錄設定
管理員可以更改一些資料檔案的存放路徑，包括：資料目錄、暫存目錄、
軟體派送、微軟產品安全更新。
資料目錄預設的儲存目錄是 IST 安裝目錄。管理員可以修改設定目錄，但是之前的
資料不會自動移動到新的目錄中，需要將伺服器停止服務，再手動搬移資
料到新目錄，重新啟動 IST 伺服器才能生效。
按一下設定按鈕“ ”打開伺服器電腦的資料夾，選擇新的資料存放目
設定目錄
錄，直到重啟伺服器後，儲存目錄才會更新為新目錄。
按一下回復按鈕“ ”，將指定資料目錄的儲存路徑回復到預設的目錄，
還原預設目錄
預設的目錄是伺服器的安裝目錄。
剩餘空間管理
存儲空間
設定剩餘儲存空間低於最低值時，伺服務停止接收資料。
最低剩餘值(MB)
剩餘存儲空間
設定剩餘儲存空間低於最低值時，伺服務發出警報訊息。
報警值(MB)
效能設定
固定模式設定伺服器能同時處理用戶端的最大數量，設定的範圍是[0-100]。
動態模式是伺服器自動根據負載調整同時處理用戶端的數量。處理模式分
為「低」
、「標準」
、「高」
，說明如下：
動態模式
 低：伺服器對於資料庫處理程序的平均佔用率上限值 10%。
 標準：伺服器對於資料庫處理程序的平均佔用率 30%。
322
 高：伺服器對於資料庫處理程序的平均佔用率上限值 50%。
IST 伺服器預設是在「動態模式」下執行，處理模式「標準」
。
一般在動態模式下，伺服器性能越好，同時處理的用戶端數量越多。
對於即時性的操作，如控制台檢視即時螢幕，或者進行遠端維護等，不受
這個選項的影響，會即時處理。
錯誤設定
記錄驗證用戶端過程
記錄用戶端錯誤資訊，伺服器的錯誤資訊可在【日誌系統事件】中檢視。
中的錯誤資訊
錯誤等級是指錯誤資訊的嚴重度：
 全部：記錄全部的錯誤。
記錄錯誤資訊的最低  低：通訊中用戶端的回應並不是預期的結果。
等級  中等：超過序號授權數。
 重要：序號或者檢驗碼錯誤。
 嚴重：因為處於伺服器排除範圍內而無法通過伺服器檢驗。
用戶端自動刪除
自動刪除長期未上線勾選該項並設定「未上線天數」
，預設為 30 天。則控制台下一次登入時，
的用戶端自動刪除未上線時間大於或等於 30 天的用戶端。
流量設定
可在伺服器參數的「流量設定」中，透過流量策略進行限制。
各種管理操作設定說明如下：
圖示按鈕說明
新增，點選該按鈕新增策略。
修改，點選該按鈕修改策略。
刪除，點選該按鈕刪除策略。
上移，將選中的策略上移一個位置。
323
下移，將選中的策略下移一個位置。
點選新增按鈕【】設定網路位址、限制時間、流量設定，按【確定】產生一筆新的流
量策略。可建立多筆流量策略。
新增策略時各參數說明如下：
參數說明
策略生效的網路位址範圍，可選全部、區域網路、外網、企業網、網際網
網路位址
路，也可以在【分類管理→網路位址】中進行自訂。
策略生效的時間，包括：全天、工作時間、休息時間、週末時間、自訂時
限制時間
間、同樣的也可以在【分類管理→時間類型】中預先設定。
流量設定
網路位址範圍內所有 IP 的限制流量。
可限制伺服器向用戶端發送的流量、限制伺服器接受用戶端的流量、限制
合計流量
發送和接受的流量總和。每項設定的值為整數，也可以不設定，不設定表
示不限制。
網路位址範圍內每個 IP 的限制流量。
可限制伺服器向用戶端發送的流量、限制伺服器接受用戶端的流量、限制
單計流量
發送和接受的流量總和。每項設定的值為整數，也可以不設定，不設定表
示不限制。
策略比對原則
策略是由上而下進行比對，一個 IP 僅會比對一個單計流量限制和一個合計流量限制。
1. 策略按照優先比對的方式比對。
2. 每條策略都可以包含合計流量和單獨流量的限制，比對該條策略時，要同時檢查單
計和合計的流量（區分單計與合計的目的：一是為了特殊 IP 開放；二是為了不超過
某條對外專線的頻寬。）。
策略範例 1
324
情境需求：如果單獨的希望某一 IP 網段（192.168.2.50-192.168.2.100）內，每台用戶
端與伺服器之間的流量不超過 200KB。
策略設定：網路位址為「192.168.2.50-192.168.2.100」
，單計流量「限制發送和接收流
量總和為(KB/S)」200KB/S。
策略範例 2
情境需求：如果希望某一 IP 網段（192.168.2.50-192.168.2.100）內，所有用戶端與伺
服器之間的總流量不超過 2MB。
策略設定：網路位址為「192.168.2.50-192.168.2.100」
，合計流量「限制發送和接收流
量總和為(KB/S)」2048KB/S。
策略範例 3
情境需求：存在以下情況：
(1) 公司外部的用戶端電腦透過 VPN 連入公司網路（劃給這部分電腦的網段為
192.168.10.1-192.168.10.254），每台電腦的頻寬為 1MB，但管理上需要和
IST 伺服器的通訊流量不超過 500KB。
(2) 公司內部的頻寬也有限制，總共 10MB 的頻寬，管理上需要 IST 使用的頻寬不
要超過 5MB。公司內部網段為 192.168. 9.1-192.168.9.254。
(3) 某重要辦事處的監控電腦（192.168.10.10）需要優先控制，它的限制頻寬為
2MB/S。
策略設定：設定策略時依照以下步驟：
(1) 新增網路位址分類：在功能列【分類管理→網路位址】新增類別「VPN 接入
網段」，網路位址為「192.168.10.1-192.168.10.254」。
(2) 新增網路位址分類：在功能列【分類管理→網路位址】新增類別「企業內網」，
網路位址為「192.168.9.1-192.168.9.254」。
325
(3) 在【工具→選項→伺服器設定→流量設定】新增一筆流量策略：網路位址選擇
「VPN 接入網段」和「企業內網」
，合計流量選「限制發送和接收流量總和為
KB/S」5120KB/S，單計流量「限制發送和接收流量總和為(KB/S)」500KB/S。
(4) 再新增另一筆流量策略：網路位址設為「192.168.10.10」
，單計流量「限制發
送和接收流量總和為」2048KB/S。
18.12.3 郵件報告伺服器設定
使用郵件報告功能之前，系統管理員必須在【工具→選項→郵件報告伺服器設定】中設
定郵件報告伺服器。
參數說明
設定列表新增、修改、刪除郵件報告伺服器設定。
郵件報告伺服器設定清單的按鈕含義：
圖示按鈕操作
新增郵件報告伺服器設定，點選該按鈕進入郵件伺服器設定介面。
刪除目前所選的郵件報告伺服器設定。
編輯修改目前所選的郵件報告伺服器設定。
向上排序，將目前所選的郵件報告伺服器設定上移一位，已設為預設的
設定不參與排序，保持在最底端。
向下排序，將目前所選的郵件報告伺服器設定下移一位，已設為預設的
設定不參與排序，保持在最底端。
設定目前所選的郵件報告伺服器為預設伺服器。
取消目前所選的郵件報告伺服器為預設伺服器。
郵件伺服器設定按照從上到下比對，如果規則比對符合，則使用此設定發送郵件，如果
所有設定都不符合，則不發送郵件。
326
新增或修改郵件報警伺服器需要對以下內容進行設定：
參數說明
管理者自訂郵件伺服器設定的描述。當新增一個郵件伺服器設定時，控
組態名稱
制台會預設新增名稱，管理員可以修改自訂。
伺服器位址郵件伺服器位址，可以是 IP，也可以是郵件伺服器主機名稱。
連接埠 SMTP 埠，預設是 25。
SMTP 帳號 SMTP 帳號。
密碼 SMTP 帳號所對應的密碼。
要求安全連接（SSL）勾選此項，設定的郵件發送伺服器使用安全連接（SSL）發送郵件。
發送郵件信箱用來發送警報郵件的郵件信箱位址。
暱稱發送郵件的寄件者暱稱。
用來接收報警郵件的郵件信箱的集合，用“；”分隔，例如：
郵箱集合
@gmail.com; @companyname.com。
注意郵件伺服器僅支援標準 SMTP 與 SMTP SSL 協定，不支持 TLS 協定。
策略範例
情境需求：假如企業內部使用的郵件系統不能收發外部的郵件，但內部信箱和外部信箱
都需要接收警報郵件。
策略設定：此時需要設定兩個郵件伺服器，一個發送給內部信箱，一個發送到外部信箱。
策略 1：設定一個郵件伺服器，比對郵箱為：@companyname.com。
策略 2：再設定一個郵件伺服器，比對郵箱為：@gmail.com，調整最下方
一筆，再把此伺服器設為預設伺服器。
18.13 NAC 設備管理

IST 管理系統可與 IST NAC 硬體設備互相搭配，依照設定的安全偵測條件，對連接指定
327
網路（如企業內部網路、伺服器等）的電腦進行嚴格的合法性稽核，只有滿足策略條件的用
戶端設備才可以連接到指定網路，確保網路安全。有效地避免企業內網電腦脫離 IST 管控，
加強網路管理，保證企業內部網路安全性原則的執行，同時杜絕非法連接網路帶來的資料外
洩風險。
NAC 設備管理介面工具列圖示按鈕說明：
圖示按鈕說明
新增 NAC 設備。先在控制台新增 NAC 設備後，才可在 NAC Web 管理介面

“伺服器管理”看到 IST 伺服器，進行編輯容災相關設定。
修改 NAC 設備。可修改 IST 伺服器名稱和 NAC 設備的 IP 位址。
刪除 NAC 設備。選取“NAC 設備管理”清單中要移除的 NAC 設備，點選
按鈕進行移除操作。
重新整理。更新和檢視 NAC 設備的連接狀態和最後連接時間等資訊。
328
NAC 設備管理介面的欄位說明：
欄位名稱說明
序號系統自動編號，一套 IST 系統可以同時搭配多台 NAC 設備。
NAC 設備 IP NAC 設備的 IP 位址。
連接狀態顯示 NAC 設備目前是已連線、拒絕或中斷連線的狀態。
最後連接時間 NAC 設備最後一次與 IST 伺服器連接通訊的時間。
資訊下方資訊欄位顯示所選取的 NAC 設備相關資訊。
注意一台 IST 伺服器可以同時管理多台 NAC 設備，但一台 NAC 設備只能連接一部 IST 伺服器。
新增 NAC 設備
選擇功能列【工具→NAC 設備管理】
，開啟「NAC 設備管理」視窗，點選【操作→新增
NAC 設備】或點選【新增 NAC 設備】按鈕，新增佈署完成並已連接網路的 NAC 設備。
「新增 NAC 設備」視窗內容說明：
欄位名稱說明
連接參數 NAC 設備資訊。
伺服器顯示名稱在 NAC 設備中顯示的 IST 伺服器名稱。
NAC 設備 IP NAC 設備的 IP 位址。
密碼 NAC 設備的登入密碼。
容災設定當伺服器與 NAC 設備通訊異常時的處理。
伺服器授權
當通訊異常時，伺服器授權 NAC 設備的有效時間範圍。
有效期間
始終有效當通訊異常時，伺服器對 NAC 設備的授權始終有效。
可以設定當通訊異常時，伺服器授權在幾分鐘內是有效的，超出時間限制就
分鐘內有效
阻斷連結。
NAC 控制範圍
當通訊異常時，NAC 控制範圍的設定。
設定
329
始終維持原有
當通訊異常時，始終維持 NAC 原設定的控制範圍。
控制
分鐘內維持原
可設定當通訊異常時，NAC 設備在幾分鐘內維持原有控制範圍。
有控制
當伺服器與 NAC 設備通訊異常，且 NAC 設備已超出指定維持原控制時間的

IP 範圍
限制，設定釋放對指定 IP 範圍的控制。
在 IST 控制台上成功新增 IST NAC，且兩者的連接正常時，該 IST 伺服器所管理的符合
規範的用戶端會自動被授權，且能正常連結 IST NAC 以保護網路。
修改 NAC 設備
選取要修改的 NAC 設備，開啟「修改」視窗，可修改「IST 伺服器顯示名稱」和「NAC
設備 IP 位址」。
330
十九、稽核控制台
稽核控制台主要呈現管理員操作控制台的日誌記錄，方便查詢所有管理員在控制台上的
操作行為。
19.1 登入稽核控制台
執行安裝目錄下的 OConsole3.exe，或於【Windows 開始功能表→所有程式→IST→IST
控制台】啟動控制台。
輸入伺服器 IP 或伺服器電腦名稱，使用系統稽核員的帳號「audit」，預設密碼為空白，
登入稽核控制台。
331
19.2 稽核介面簡介
稽核控制台包括：標題列、功能列、工具列、管理員、資料檢視欄、查詢欄和狀態列。
管理員欄位顯示的是所有管理員和稽核員的清單，選取任一個管理員，右邊稽核日誌將
顯示該管理員的所有操作日誌。
稽核日誌檢視提供了列印、匯出功能，以儲存有用的統計日誌，也提供了刪除功能，以
便刪除無用的稽核日誌。
欄位名稱說明
列印／預覽列印選擇功能列【檔案→列印／預覽列印】
，列印目前的檢視日誌。
選擇功能列【檔案→匯出】匯出稽核日誌。
設定查詢條件後按【查詢】，在「稽核日誌」區域按滑鼠右鍵匯出：
匯出
 本頁記錄：匯出選取管理員的稽核日誌。
 所有滿足條件的記錄：匯出符合查詢條件範圍的所有管理員稽核日誌。
有 3 種刪除方式：按滑鼠右鍵點選【刪除→選中的記錄】、【刪除→本頁記
刪除
錄】、【刪除→所有滿足條件的記錄】。
332
19.3 使用稽核控制台
稽核日誌內容
稽核日誌包括控制台登入情況，以及管理員的操作日誌、修改刪除策略、檢視即時螢幕、
遠端控制、設定管理員的帳號與權限等。
稽核日誌記錄的內容包括：
欄位名稱說明
時間管理員操作控制台的時間。
電腦管理員登入控制台所在的電腦名稱。
IP 位址管理員登入控制台所在電腦的 IP 位址。
管理員管理員的帳號名稱。
管理員描述控制台建立管理員帳號時的描述說明。
描述管理員對控制台的操作描述資訊。
稽核日誌查詢
稽核管理員可透過時間範圍、管理員名稱、操作描述，查詢需要的日誌資訊。
查詢條件說明
時間範圍設定一段時間範圍，查詢某一段時間範圍內的稽核日誌。
管理員名稱查詢指定管理員的稽核日誌，管理員清單可在「管理員」欄位中檢視。
操作描述根據「稽核日誌」的「描述」資訊，查詢指定操作的稽核日誌。
設定稽核員帳號
選擇功能列【工具→帳號】
，系統稽核員可檢視與新增稽核員帳號，並設定其功能權限。
查詢條件說明
一般指定稽核員的類型及登入的模式等，與控制台管理員帳號設定的意義相似。
333
功能權限包括稽核日誌的儲存及刪除。
檔案包括匯出資料和列印的權限。
刪除刪除日誌資料的權限。
選擇一個或多個該稽核員可稽核的管理員，使該稽核員有權限檢視其他管理
管理對象
員的操作日誌。系統稽核員可稽核所有的管理員。
334
二十、報表系統
報表系統可根據各項日誌進行多種組合條件的查詢，並以圖表與明細提供管理者最新的
查詢結果，使管理員可迅速掌握環境內的使用情況，找出可能潛在的風險行為，為制定策略
提供有意義的參考依據。
20.1 報表控制台
在 IST 控制台中，點選【工具→登入報表系統】啟動報表控制台。
335
報表控制台介面包括：
介面區域說明
功能列包含本系統的所有功能選單，是各功能視窗的入口。
工具列包含一些常用的功能。
位於視窗左邊，顯示所有的報表、查詢。
為了方便管理者使用，預設提供各個報表類型的統計表及趨勢表，並按照報
導航列
表類型分組。
※ 實際顯示的報表類型數目，仍會按產品序號購買的模組來顯示。
資料顯示區本系統的核心區域，所有的資料都在資料顯示區檢視。
查詢欄提供查詢條件以篩選報表內容。
圖表欄位於查詢欄下方，顯示查詢結果統計圖的區域。
數據欄位於查詢欄下方，列出查詢結果的資料明細。
20.2 預設報表和查詢
各個報表類型預設都會提供「報表」和「查詢」功能，並分別依照報表類型再區分統計
表及趨勢表。在「報表」分類中，預設提供統計月表和趨勢季度表。
以下是報表類型說明：
報表類型說明
文檔操作報表文檔操作日誌統計。
加密文件操作報表加密文件操作日誌統計。
列印報表列印操作日誌統計。
即時通訊報表即時通訊日誌統計。
移動儲存報表移動儲存日誌統計。
郵件報表郵件記錄日誌統計。
資產報表軟硬體資產明細統計。
綜合報表綜合日誌統計，包括所有日誌的綜合統計（不含徵兆報表）。
336
網頁瀏覽報表網頁瀏覽時間統計。
徵兆事件日誌統計，是針對符合管理者設定的徵兆條件之事件，所進行的統
徵兆報表計報表。
徵兆條件可在【報表→徵兆條件設定】進行調整。
應用程式報表應用程式日誌統計。
說明 1. 預設的報表，不包含策略日誌報表。
2. 預設的報表、分組等，都可進行修改與刪除。
3. 綜合報表僅提供統計表，沒有趨勢表。
20.3 報表範本管理
範本內包含了查詢條件設定與統計顯示設定，點選【報表→範本管理】
，管理員可自行設
計報表範本。預設會提供每個模組的統計表範本和趨勢表範本（綜合報表只提供統計表）
，預
設的範本無法修改或刪除。
20.4 徵兆條件設定
徵兆條件為管理者事先設定的指標，在指定時間內，對各項操作行為定義限制條件，並
區分「嚴重、重要、一般」三個等級。
舉例來說，管理者依照下列條件來設定徵兆等級：
嚴重：一天內列印頁數>=100 頁。
重要：一天內列印頁數>=50 頁。
一般：一天內列印頁數>=20 頁。
此外，還可在「篩選條件」內設定更多過濾條件，使報表的呈現符合實際需求的目標。
20.5 週期報表
週期報表是依照管理者設定好的條件，定期產生報表，管理者可在【報表資料中心】
337
內，查閱所有建立的歷史報表。
週期報表可透過三種方式產生：從範本建立、從報表建立、從查詢條件建立。
從範本建立
管理者可透過範本來建立週期報表，建立新報表時，可選擇要參考的現有範本，新報表
內容會套用現有範本內的條件設定和統計設定，管理者可視實際需要進行修改。
下面範例說明如何從範本建立列印報表統計表：
1. 選擇左側視窗導航列的「報表」，按滑鼠右鍵選擇【新增報表→從範本建立】，會出
現建立報表視窗。
2. 選擇【列印報表範本→標準列印統計表】，並按【下一步】。
3. 依照您的需要，進行報表篩選設定。可設定統計的電腦範圍、使用者範圍，以及進
階條件設定，並按【下一步】。
說明這裡的進階條件設定，不會影響其他報表週期。
4. 在報表統計類型設定中，選擇統計類型是以哪一種組合方式進行統計，也可設定統
計查詢的階層數，並按【下一步】。
例如：阿正的電腦位在「整個網路\技術部\研發二組\一課」下，若查詢統計到第一
級，將會以「整個網路\技術部」進行統計，若查詢統計到第二級，將會以「整個網
路\技術部\研發二組」進行統計。
5. 設定報表產生的週期，選定週期後，也可點選【修改設定】來進行該週期的細項調
整，並按【下一步】。
說明在此的週期內容修改，不會影響其他報表週期。
6. 給予報表一個識別的名稱，並指定該報表存放的位置與備註資訊。填妥後，請按【完
成】」來產生報表。
338
從報表建立
管理者可透過現有報表來建立週期報表，建立新報表時，可選擇要參考的現有報表，新
報表內容會套用現有報表內的條件設定和統計設定，管理者可視實際需要進行修改。
選擇左側視窗導航列的「報表」，按滑鼠右鍵選擇「新增報表從報表建立」，接下來的
操作步驟與上述「從範本建立」相同。
從查詢條件建立
管理者可透過已有的查詢來建立週期報表，建立新報表時，可選擇欲參考的現有報表，
新報表內容會套用現有報表查詢內的條件設定和統計設定，管理者可視實際需要進行修改。
選擇左側視窗導航列的「報表」，按滑鼠右鍵選擇【新增報表→從查詢條件建立】，接下
來的操作步驟與上述「從範本建立」相同。
20.6 郵件報告
設定好的週期報表，可以透過本設定，於報表產生時透過郵件寄到指定的信箱，方便管
理者透過郵件取得最新的報表資料。
使用郵件報告功能之前，請務必確認您已經參照「19.6 郵件報告設定」，完成郵件報告
伺服器設定。確認郵件報告伺服器已經正常運作之後，才可以進行這裡的設定。
在 IST 報表控制台中，點選【報告→郵件報告】
，新增欲接收報告郵件的信箱，以下是郵
件報告設定說明：
欄位名稱說明
組態名稱對此郵件報告設定的識別名稱。
報表選擇要附加在郵件中的報表。
郵件標題設定郵件的主旨。
收件者位址輸入要設定接收郵件報告的電子郵件信箱。
將報表新增到內文勾選此項目，則郵件內文中會顯示報表資料內容，包括條件設定和統計類
339
型、統計圖與統計資料。
產生明細表勾選此項目，則郵件內文中會顯示包含報表的明細資料資料內容。
勾選此項目，將報表以附件的方式寄送，可選擇為三種格式：文字檔案
報表以附件形式傳送（.CSV）、HTML 檔案、EXCEL 檔案（IST 伺服器上必須已安裝 Microsoft
Excel 程式）。
郵件內文欲附加在郵件內文的文字。
傳送測試郵件點選該按鈕，會發送一封測試郵件到收件人信箱，驗證是否能收到信件。
勾選此項目，會將報表以 .zip 格式壓縮，並做為郵件的附件寄送。

壓縮附件
管理者可決定是否要指定解壓縮密碼。
說明選定的報表會按照週期設定產生，產生當下就會立刻發送郵件，因此無法針對歷史報表
做再次郵件發送。若有需要發送歷史報表，可以建立新的週期報表，並設定郵件報告。
340
二十一、附件
21.1 檔案類型索引表
檔案類型說明相關章節
AgentSetup.dat 用戶端安裝設定資訊 2.5.1 直接安裝用戶端
*.ipa 用戶端識別資訊檔 3.3.9 策略匯出
*.ipz 策略匯出檔 3.3.9 策略匯出
RC.cert 遠端控制授權憑證 8.2.1 遠端控制
*.odr 離線桌面申請檔 12.4.3 離線申請和匯入審核結果
SecurityZoneInfo.szi 安全區域匯出資訊 14.5 安全區域管理
OutboundRecipientInfo.ori 外發對象清單匯出資訊 14.6 外發對象管理
*.aor 外發對象授權檔 14.6 外發對象管理
*.oap 離線授權檔案 14.10 長期離線授權
*.odr 離線解密申請檔 14.14 解密申請管理
*.drr 匯出離線解密審核結果檔 14.14 解密申請管理
*.oor 外發離線申請檔 14.15 外發申請管理
*.orr 匯出離線外發審核結果檔 14.15 外發申請管理
*.osr 安全內容變更離線申請檔 14.16 安全內容變更申請管理
*.srr 匯出安全內容變更審核結果檔 14.16 安全內容變更申請管理
341
*.ukl USBKey 授權檔 14.25 USBKey 管理
*.oeax 外發文件 17.8 外發
*.bak 主資料庫備份檔 18.1 使用資料庫備份
LicenseAdjustCertFile.dat 分散式架構序號管理授權檔
*.ipk 隨身碟加密用戶端程式檔案
*.uea 隨身碟加密用戶端識別檔
*.ipz 隨身碟加密用戶端策略檔
21.2 IST 通訊埠說明表

元件埠號說明
TCP 8235
IST 用戶端<- IST 伺服器接收來自伺服器的策略更新
UDP 8235
IST 用戶端<- IST 控制台監聽來自控制台/伺服器的遠端連線

TCP 8300-8350
IST 伺服器 (遠端維護模組專用)
IST 伺服器<- IST 控制台 TCP 8236 監聽來自控制台的連線
IST 伺服器<- IST 用戶端 TCP 8237 接收來自用戶端的日誌回傳
IST 伺服器 -> Internet TCP 80 序號線上註冊驗證
342
技術支援
感謝您對本公司產品的信賴和支持，為客戶提供優質服務是我們的職責與承諾。
若您對本手冊內容有任何疑問或相關的技術問題，可與IST技術支援部門聯繫。
技術支援客服專線：
電話：+886-2-7732 0669
電子郵件：support@ist.tw
您的意見與建議對我們很重要，我們會據此持續改進，期許為您提供更臻完美
的軟硬體產品及服務。
343

230418 使用手冊 Ist 使用手冊

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

230418 使用手冊 Ist 使用手冊

Uploaded by

Copyright:

Available Formats

Endpoint Security System

版權所有 © 2022 安和科技有限公司保留所有權利。

1.2 功能介紹 ................................................................................................................... 3

2.2 軟硬體環境 ................................................................................................................ 9

2.3 安裝與部署伺服器和控制台 ..................................................................................... 10

2.3.2 安裝伺服器和控制台 ...................................................................................... 11

2.3.4 設定系統檢驗碼 （本步驟可忽略不做） ........................................................ 14

2.4 安裝與部署中繼伺服器 ............................................................................................. 15

2.4.1 安裝中繼伺服器 ............................................................................................. 15

2.4.2 連接主伺服器 ................................................................................................. 15

2.4.3 查看中繼伺服器狀態 ...................................................................................... 16

2.4.4 中繼伺服器日誌 ............................................................................................. 17

2.5 部署用戶端 .............................................................................................................. 17

2.5.1 直接安裝用戶端 ............................................................................................. 17

2.5.2 遠端派送用戶端 ............................................................................................. 19

2.5.3 網域登入指令檔安裝 ...................................................................................... 21

2.6 系統升級 ................................................................................................................. 23

2.6.2 升級伺服器和控制台 ...................................................................................... 25

2.6.3 升级中繼伺服器 ............................................................................................. 25

2.7.2 移除伺服器和控制台 ...................................................................................... 28

3.1.2 修改密碼 ........................................................................................................ 30

3.2 控制台簡介 .............................................................................................................. 30

3.3 電腦和使用者操作 ................................................................................................... 33

3.3.1 檢視基本資訊 ................................................................................................. 33

3.3.3 分組操作 ........................................................................................................ 36

3.3.7 重新命名 ........................................................................................................ 38

3.3.8 資料同步 ........................................................................................................ 38

3.3.9 策略匯出 ........................................................................................................ 39

3.3.10 清除子群組的策略 ........................................................................................ 40

3.4.1 發送通知訊息 ................................................................................................. 41

3.4.2 鎖定電腦／解鎖 ............................................................................................. 41

3.4.3 登出使用者、關閉／重新啟動 ........................................................................ 42

3.5 輔助功能說明 .......................................................................................................... 42

3.5.2 列印、預覽列印 ............................................................................................. 43

3.6 策略角色 ................................................................................................................. 43

3.6.2 支援的策略類型 ............................................................................................. 45

3.6.3 策略優先順序 ................................................................................................. 46

3.6.4 策略應用查詢 ................................................................................................. 46

4.2 網頁瀏覽統計 .......................................................................................................... 50

5.2 基本事件日誌 .......................................................................................................... 53

5.3 應用程式日誌 .......................................................................................................... 54

5.4 網頁瀏覽日誌 .......................................................................................................... 56

5.5 文檔操作日誌 .......................................................................................................... 57

5.6 燒錄操作日誌 .......................................................................................................... 60

5.7 共用文檔操作日誌 ................................................................................................... 61

5.8 列印操作日誌 .......................................................................................................... 63

5.9 移動儲存操作日誌 ................................................................................................... 65

5.10 文檔雲端備份操作日誌 .......................................................................................... 67

5.11 資產變更日誌 ........................................................................................................ 68

5.12 策略日誌 ............................................................................................................... 69

5.13 系統事件日誌 ......................................................................................................... 70

5.14 離線匯出日誌 ........................................................................................................ 70

6.1 策略簡介 ................................................................................................................. 72

6.2 基本策略 ................................................................................................................. 75

6.3 設備控制策略 .......................................................................................................... 78

6.4 應用程式策略 .......................................................................................................... 84

6.5 網頁瀏覽策略 .......................................................................................................... 86

6.6 螢幕記錄策略 .......................................................................................................... 87

6.7 日誌記錄策略 .......................................................................................................... 88

6.9 用戶端配置策略 ....................................................................................................... 91

6.10 系統警報策略 ........................................................................................................ 93

6.11 軟體安裝管理 ........................................................................................................ 95

6.12 IM 檔案傳送策略 .................................................................................................... 96

6.13 上傳控制策略 ........................................................................................................ 97

2.3.4 設定系統檢驗碼（本步驟可忽略不做） ........................................................ 14

十一、桌面申請管理 ................................................................................ 174