您可以根据需要创建不同配置的策略,并将其关联到云桌面,以便统一控制使用云桌面的相关安全配置,提供桌面使用的安全性。

背景信息

策略是一组安全规则的集合,可以控制终端用户使用云桌面的相关安全配置,包括基础策略(USB重定向、水印等配置)和网络管控规则(出入方向的流量管控规则)。更多信息,请参见策略概述

操作步骤

  1. 打开策略管理页面。
    1. 登录无影云桌面控制台
    2. 在顶部菜单栏左上角处,选择地域。
    3. 在左侧导航栏,单击策略管理
  2. 策略管理页面,单击创建策略
  3. 创建新策略面板,完成基础策略的相关配置。
    1. 输入策略名称。
    2. 根据需要设置配置项。
      参数 描述
      USB重定向 设置是否开启USB重定向功能。开启后,云桌面可以使用本地终端连接的各种USB设备。
      水印 设置是否开启水印。开启后,您可以配置水印信息和透明度,云桌面上将均衡显示。水印支持的配置如下:
      • 水印信息:根据需要设置要显示的水印信息,支持显示用户名、桌面ID或者两者均显示。
      • 透明度:根据需要选择水印显示的深浅程度,支持选择较浅、中等或者较深。
      本地磁盘映射 设置是否可以读写本地磁盘在云桌面的映射驱动器。相关选项说明如下:
      • 关闭:云桌面上没有本地磁盘的映射。
      • 只读:云桌面上有本地磁盘的映射,但是只能读取(复制)本地文件,不能修改本地文件。
      • 读写:云桌面上有本地磁盘的映射,可以读取(复制)本地文件,也可以修改本地文件。
      剪贴板 设置云桌面和本地之间是否可以互相复制内容。相关选项说明如下:
      • 单向允许:可以将本地内容复制到云桌面,不能将云桌面内容复制到本地。
      • 双向允许:可以将本地内容复制到云桌面,也可以将云桌面内容复制到本地。
      • 双向禁止:云桌面和本地之间无法进行复制操作。
      是否允许用户抢占 为保证正在使用云桌面的终端用户的操作体验和数据安全,暂不允许多个用户之间互相抢占,即该配置默认为禁止,不支持修改。
      图像显示质量 设置Windows桌面的画面图像显示质量,包括自适应、流畅、高清和无损,请根据业务需求和带宽情况选择适合的显示质量。
      HTML5客户端文件传输 设置通过Web客户端登录云桌面时,云桌面和本地之间是否可以互相传输文件。相关选项说明如下:
      • 关闭:云桌面和本地之间无法互相传输文件。
      • 允许上传:可以将本地文件上传到云桌面,不能将云桌面文件下载到本地。
      • 允许下载:将云桌面文件下载到本地,不能将本地文件上传到云桌面。
      • 允许上传下载:可以将本地文件上传到云桌面,也可以将云桌面文件下载到本地。
      说明 该配置项目前仅对Windows云桌面生效。如果Linux云桌面想要使用文件传输功能,只能使用默认的系统策略。
      打印机重定向 设置是否允许在云桌面中使用打印机。相关选项说明如下:
      • 允许:可以在云桌面使用打印机。
      • 禁止:无法在云桌面使用打印机。
      说明
      • 如果是USB打印机,您需要将USB重定向设置为开启,打印机重定向设置为允许后,终端用户才可以在云桌面中使用USB打印机。
      • 如果终端用户是AD用户,您需要将AD域的组策略和打印机重定向均设置为允许后,终端用户才可以在云桌面中使用打印机。
  4. 创建新策略面板,单击登录方式管控,完成登录方式的相关配置。
    默认情况下,终端用户可以使用所有类型的客户端登录云桌面,您可以根据选中或者取消选中各类型客户端。
  5. 可选:创建新策略面板,单击安全组管控,完成安全组管控规则的相关配置。
    1. 单击添加安全组规则
      默认情况下,云桌面拒绝所有入方向的访问,允许所有出方向的访问。您可以根据需要添加入方向或者出方向的规则来满足业务需求。
    2. 设置规则的相关属性。
      一条网络管控规则由规则方向、优先级、IP地址段、协议类型、端口范围、授权策略等属性确定。相关说明如下表所示:
      参数 描述
      规则方向 分为入方向和出方向:
      • 入方向:控制是否放行访问云桌面的请求。
      • 出方向:控制是否放行云桌面访问其他应用的请求。
      优先级 优先级的取值范围为1~60,数值越小,代表优先级越高。同类型规则之间由优先级决定最终生效的规则。
      IP地址段 CIDR格式的IPv4地址网段。请根据需要设置。
      协议类型 支持TCP、UDP、ICMP(IPv4)和GRE,请根据需要选择。
      端口范围 应用或协议开启的端口。协议类型选择自定义TCP或者自定义UDP时,您可以自定义设置端口。设置端口时,支持输入具体的端口(如:80)或者端口范围(如:1/80)。

      更多信息,请参见常用端口

      描述 规则描述信息。
      授权策略 设置允许或者拒绝:
      • 放行访问请求。
      • 拦截访问请求并直接丢弃数据包,不会返回任何回应信息。
      说明 一个策略内最多可以添加20条网络管控规则。添加网络管控规则时,请遵循最小授权原则,尽可能授权到具体的IP地址和具体的端口,谨慎授权IP地址全网段(如:0.0.0.0/0)和大量端口范围(如:1/65535)。
  6. 可选:创建新策略面板,单击域名黑白名单,完成添加域名黑白名单规则的相关配置。
    1. 根据实际业务需求,选择黑名单白名单
      域名黑白名单配置说明如下:
      • 只设置黑名单:云桌面不允许访问黑名单中的域名。
      • 只设置白名单:云桌面仅可访问白名单中的域名。
      • 不设置黑白名单:默认云桌面允许访问所有域名。
      • 黑名单和白名单为互斥关系,每次只能设置一种,如果多次设置,默认只保留最后一次设置的域名数据。
    2. 单击+,在域名输入框中输入域名。
      • 每个域名输入框中仅支持输入1条域名规则,域名支持*通配符,如*.example.com,但不支持前后同时加*通配符,如:*example.com*。
      • 如果需要添加多条域名规则,可单击+,继续添加域名规则;如果需要删除某一条域名规则,选中某一行后,单击-即可。
      说明 黑白名单中最多分别可以添加500条域名规则。
  7. 可选:创建新策略面板,单击客户端访问IP白名单,完成配置。
    不设置客户端访问IP白名单时,终端用户均可以通过客户端连接云桌面;设置客户端访问IP白名单后,则只允许特定IP地址段下的客户端可以连接云桌面。
    1. 在输入框中输入IP地址段和备注信息。
      根据实际业务需求,合理指定IPv4地址段。格式要求为CIDR格式块,例如:192.0.XX.XX/32、10.0.XX.XX/8。
    2. 如果需要添加多个IP地址段,可单击增加,在输入框中输入IP地址段和备注信息。
  8. 单击创建

后续步骤

如果您添加了出方向的安全组管控规则,且使用的是旧版目录升级而成的工作区,您需要手动调整默认规则的优先级。

默认情况下,云桌面拒绝所有入方向的访问,允许所有出方向的访问,即默认已有一条允许所有访问的出方向规则。此时,您添加的出方向规则,将与默认规则产生冲突。根据云桌面所属的工作区情况,您可能需要调整默认规则的优先级,以便您添加的规则能够生效:
  • 如果您使用的是新版工作区(ID格式为:地域ID+dir+10位数字),由于默认规则优先级最低,系统将直接生效您添加的规则,您无需做额外操作。
  • 如果您使用的是旧版目录升级而成的工作区(ID格式为:地域ID+dir+17位字母和数字),由于默认规则优先级最高,您需要手动调整默认规则的优先级。操作步骤如下:
    1. 找到云桌面所属的工作区,单击工作区ID。
    2. 在工作区详情页面,单击安全组ID。
    3. 安全组列表页面,单击安全组ID。
    4. 安全组规则页面,单击出方向页签。
    5. 修改对应规则的优先级。

      建议您设置优先级为60以上,以便后续您手动添加的出方向规则均可以直接生效。