策略是一组安全规则的集合,可以控制终端用户使用云桌面的相关权限,提高数据安全性。本文介绍策略包含的安全规则配置项,部分策略展示效果示例。

策略包含水印、本地磁盘映射等基础策略,以及USB重定向、安全组管控、登录方式管控等策略,具体如下表所示。
配置项 描述
基础策略 水印 是否开启水印功能。开启后,您可以设置水印显示的内容和透明度,云桌面上将均衡分布显示水印。
防截屏 是否允许终端用户截取屏幕。
重要
  • 仅部分客户端支持防截屏功能。具体如下:
    • Windows客户端和Mac客户端:支持(必须使用5.2.0及以上版本的无影云电脑)。
    • Web客户端、iOS客户端或安卓客户端:不支持。
  • 各类客户端支持防截屏功能的情况不同,如果开启防截屏策略,建议您同时开启登录方式管控策略。
本地磁盘映射 是否可以读写本地磁盘在云桌面的映射驱动器。
重要 无影云桌面不支持在桌面内运行本地安装的应用,如果需要,您可以在云桌面内运行本地的免安装应用。但是在云桌面内运行免安装的本地应用也会影响带宽以及您对桌面的使用体验,故不建议在桌面内运行本地应用。您可以通过开启本地磁盘映射,在云桌面内读取或读写本地文件。
剪贴板 云桌面和本地之间是否可以互相复制文本或图片内容。
重要 开启剪切板策略后,云桌面和本地桌面之间仅支持复制文本或图片内容,不支持复制文件。
是否允许用户抢占 在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。该配置默认为禁止,不支持修改。
重要 为保证正在使用云桌面的终端用户的操作体验和数据安全,暂不允许多个用户之间互相抢占。
图像显示质量 控制Windows桌面的画面显示质量。
画质策略 控制企业图形型桌面的画面显示质量。
重要
  • 该策略仅针对非ASP协议的云桌面生效。
  • 如果是ASP协议云桌面,ASP协议针对图形云桌面自适应,因此无需额外设置。如果您的企业图形型桌面主要用于设计场景,为提高桌面性能和使用体验,建议开启该策略(开启后仅对策略关联的企业图形型桌面生效)。
HTML5客户端文件传输 通过Web客户端登录Windows云桌面时,云桌面和本地之间是否可以互相传输文件。
重要 该配置项目前仅对Windows云桌面生效。如果Linux云桌面想要使用文件传输功能,只能使用默认的系统策略。
打印机重定向 是否允许在云桌面使用本地终端连接的打印机。
重要 该配置项仅适用于使用软终端登录的云桌面,如果终端用户使用硬终端登录云桌面,请设置USB重定向。
摄像头重定向 是否允许在云桌面使用本地终端的摄像头。
登录方式管控 控制终端用户可以使用哪些类型的客户端登录云桌面。
安全组管控 通过添加入方向和出方向的安全组管控,控制云桌面的入流量和出流量。默认情况下,云桌面拒绝所有入方向的访问,允许所有出方向的访问。
域名黑白名单 通过设置域名黑白名单,限制云桌面可以访问的域名。默认情况下,不设置域名黑白名单,允许云桌面访问所有的域名。
客户端访问IP白名单 通过设置客户端访问IP白名单,实现只允许特定IP地址段下的客户端可以连接云桌面。默认情况下,不设置客户端访问IP白名单,终端用户均可以通过客户端连接云桌面。
USB重定向 是否开启USB重定向功能。开启后,云桌面上可以使用本地终端连接的USB设备,同时支持按照USB设备的VID和PID,或者USB设备类别进行黑白名单管控限制。
录屏审计管控 是否录制终端用户在云桌面屏幕上的操作视频,以便管理员回看录屏视频,进行安全行为审计。
警告 仅支持使用新版Windows镜像的云桌面,即适用于Windows系统镜像0.1.0版本,或者基于该系统镜像的自定义镜像创建的桌面。Linux镜像暂不支持录屏审计。

策略生效规则

设置或者修改策略后,部分策略即时生效,部分策略需要下次连接云桌面时生效。本节为您介绍各项策略生效的规则。

策略 生效规则
水印 实时生效。
防截屏 下次连接云桌面时生效。
本地磁盘映射 下次连接云桌面时生效。
剪贴板 下次连接云桌面时生效。
是否允许用户抢占 下次连接云桌面时生效。
图像显示质量 实时生效。
画质策略 下次连接云桌面时生效。
HTML5客户端文件传输 下次连接云桌面时生效。
打印机重定向 下次连接云桌面时生效。
摄像头重定向 下次连接云桌面时生效。
登录方式管控 下次连接云桌面时生效。
安全组管控 实时生效。
域名黑白名单 实时生效。
客户端访问IP白名单 下次连接云桌面时生效。
USB重定向 下次连接云桌面时生效。
录屏审计管控 实时生效。
网络重定向 下次连接云桌面时生效。

基础策略效果展示

水印

水印配置可以在桌面上叠加信息,降低因截屏、拍照导致的数据泄露风险。您可以根据需要设置水印内容(用户名、桌面ID)和透明度(较浅、中等、较深)。
  • 关闭:云桌面上不显示水印。
  • 开启:云桌面上均匀分布显示水印。如下图所示。水印

本地磁盘映射

本地磁盘映射配置可以控制终端用户是否可以读写本地磁盘在云桌面上的映射驱动器的权限。
重要 该功能不适用于通过Web浏览器登录的云桌面。
  • 关闭:云桌面上没有本地磁盘的映射,如下图所示。关闭本地磁盘映射
  • 只读:云桌面上有本地磁盘的映射,但是只能读取(复制)本地文件,不能修改本地文件,如下图所示。只读本地磁盘
  • 读写:云桌面上有本地磁盘的映射,可以读取(复制)本地文件,也可以修改本地文件,如下图所示。读写本地磁盘

剪贴板

剪贴板配置可以控制终端用户是否可以在本地和云桌面之间进行复制操作的权限。
  • 单向允许:可以将本地内容复制到云桌面,不能将云桌面内容复制到本地。
  • 双向允许:可以将本地内容复制到云桌面,也可以将云桌面内容复制到本地,如下图所示。读写剪贴板
  • 双向禁止:云桌面和本地之间无法进行复制操作。

抢占

抢占配置可以控制在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。为保证正在使用云桌面的终端用户的操作体验和数据安全,暂不允许多个用户之间互相抢占,即该配置默认为禁止,不支持修改。
说明 终端用户通过某一客户端登录云桌面后没有断开连接的情况下,如果该终端用户通过另一个客户端尝试登录同一台云桌面,此时可以成功登录,之前的登录连接将自动断开。

图像显示质量

图像显示质量配置可以控制Windows云桌面的画面显示质量,包括自适应、流畅、高清和无损,请根据业务需求和带宽情况选择适合的显示质量。

画质策略

画质策略可以控制企业图形型(即GPU型)云桌面的画面显示质量。如果使用企业图形型云桌面,且企业图形型云桌面主要用于设计场景,建议开启画质策略来提高桌面性能和使用体验。

HTML5客户端文件传输

HTML5客户端文件传输配置可以控制通过Web浏览器登录云桌面时,云桌面和本地之间是否可以互相传输文件。
重要 该功能仅适用于Windows云桌面。
  • 关闭:云桌面和本地之间无法互相传输文件。
  • 允许上传:可以将本地文件上传到云桌面,不能将云桌面文件下载到本地。
  • 允许下载:将云桌面文件下载到本地,不能将本地文件上传到云桌面。
  • 允许上传下载:可以将本地文件上传到云桌面,也可以将云桌面文件下载到本地。
上传下载

打印机重定向

打印机重定向配置可以控制终端用户是否可以在云桌面中使用本地终端连接的USB打印机和网络打印机。该配置项仅适用于使用软终端登录的云桌面。
  • 允许:在云桌面中允许使用本地终端连接的打印机。
  • 禁止:在云桌面中禁止使用本地终端连接的打印机。
说明
  • 终端用户使用硬终端登录云桌面时,您可以通过功能管控是否允许使用本地终端连接的USB打印机。
  • 如果终端用户是AD用户,您需要将AD域的组策略和打印机重定向均设置为允许后,终端用户才可以在云桌面中使用打印机。

摄像头重定向

摄像头重定向配置可以控制终端用户是否可以在云桌面中使用本地终端连接的摄像头。
  • 允许:在云桌面中允许使用本地终端连接的摄像头。
  • 禁止:在云桌面中禁止使用本地终端连接的摄像头。