策略是一组安全规则的集合,可以控制终端用户使用云桌面的相关权限,提高数据安全性。本文介绍策略包含的安全规则配置项,并给出效果示例。
策略包含水印、本地磁盘映射等基础策略,以及USB重定向、安全组管控、登录方式管控等策略,具体如下表所示。
| 配置项 | 描述 | |
|---|---|---|
| 基础策略 | 水印 | 是否开启水印功能。开启后,您可以设置水印显示的内容和透明度,云桌面上将均衡分布显示水印。 |
| 本地磁盘映射 | 是否可以读写本地磁盘在云桌面的映射驱动器。 | |
| 剪贴板 | 云桌面和本地之间是否可以互相复制内容。 | |
| 是否允许用户抢占 | 在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。该配置默认为禁止,不支持修改。
注意 为保证正在使用云桌面的终端用户的操作体验和数据安全,暂不允许多个用户之间互相抢占。
|
|
| 图像显示质量 | 控制Windows桌面的画面显示质量。 | |
| 画质策略 | 控制图形型桌面的画面显示质量。 | |
| HTML5客户端文件传输 | 通过Web浏览器登录Windows云桌面时,云桌面和本地之间是否可以互相传输文件。
说明 该配置项目前仅对Windows云桌面生效。如果Linux云桌面想要使用文件传输功能,只能使用默认的系统策略。
|
|
| 打印机重定向 | 是否允许在云桌面使用本地终端连接的打印机。
说明 该配置项仅适用于使用软终端登录的云桌面,如果终端用户使用硬终端登录云桌面,请设置USB重定向。
|
|
| 登录方式管控 | 控制终端用户可以使用哪些类型的客户端登录云桌面。 | |
| 安全组管控 | 通过添加入方向和出方向的安全组管控,控制云桌面的入流量和出流量。默认情况下,云桌面拒绝所有入方向的访问,允许所有出方向的访问。 | |
| 域名黑白名单 | 通过设置域名黑白名单,限制云桌面可以访问的域名。默认情况下,不设置域名黑白名单时,允许云桌面访问所有的域名。 | |
| 客户端访问IP白名单 | 通过设置客户端访问IP白名单,实现只允许特定IP地址段下的客户端可以连接云桌面。默认情况下,不设置客户端访问IP白名单时,终端用户均可以通过客户端连接云桌面。 | |
| USB重定向 | 是否开启USB重定向功能。开启后,云桌面上可以使用本地终端连接的USB设备,同时支持按照USB设备的VID和PID,或者USB设备类别进行黑白名单管控限制。 | |
| 录屏审计管控 | 是否录制终端用户在云桌面上的屏幕操作视频,以便管理员回看录屏视频,进行安全行为审计。 | |
基础策略
水印
水印配置可以在桌面上叠加信息,降低因截屏、拍照导致的数据泄露风险。您可以根据需要设置水印内容(用户名、桌面ID)和透明度(较浅、中等、较深)。
- 关闭:云桌面上不显示水印。
- 开启:云桌面上均匀分布显示水印。如下图所示。
本地磁盘映射
本地磁盘映射配置可以控制终端用户是否可以读写本地磁盘在云桌面上的映射驱动器的权限。
说明 该功能不适用于通过Web浏览器登录的云桌面。
- 关闭:云桌面上没有本地磁盘的映射,如下图所示。
- 只读:云桌面上有本地磁盘的映射,但是只能读取(复制)本地文件,不能修改本地文件,如下图所示。
- 读写:云桌面上有本地磁盘的映射,可以读取(复制)本地文件,也可以修改本地文件,如下图所示。
剪贴板
剪贴板配置可以控制终端用户是否可以在本地和云桌面之间进行复制操作的权限。
- 单向允许:可以将本地内容复制到云桌面,不能将云桌面内容复制到本地。
- 双向允许:可以将本地内容复制到云桌面,也可以将云桌面内容复制到本地,如下图所示。
- 双向禁止:云桌面和本地之间无法进行复制操作。
抢占
抢占配置可以控制在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。为保证正在使用云桌面的终端用户的操作体验和数据安全,暂不允许多个用户之间互相抢占,即该配置默认为禁止,不支持修改。
说明 终端用户通过某一客户端登录云桌面后没有断开连接的情况下,如果该终端用户通过另一个客户端尝试登录同一台云桌面,此时可以成功登录,之前的登录连接将自动断开。
图像显示质量
图像显示质量配置可以控制Windows云桌面的画面显示质量,包括自适应、流畅、高清和无损,请根据业务需求和带宽情况选择适合的显示质量。
画质策略
画质策略可以控制图形型(即GPU型)云桌面的画面显示质量。如果使用图形型云桌面,且图形型云桌面主要用于设计场景,建议开启画质策略来提高桌面性能和使用体验。
HTML5客户端文件传输
HTML5客户端文件传输配置可以控制通过Web浏览器登录云桌面时,云桌面和本地之间是否可以互相传输文件。
说明 该功能仅适用于Windows云桌面。
- 关闭:云桌面和本地之间无法互相传输文件。
- 允许上传:可以将本地文件上传到云桌面,不能将云桌面文件下载到本地。
- 允许下载:将云桌面文件下载到本地,不能将本地文件上传到云桌面。
- 允许上传下载:可以将本地文件上传到云桌面,也可以将云桌面文件下载到本地。
打印机重定向
打印机重定向配置可以控制终端用户是否可以在云桌面中使用本地终端连接的USB打印机和网络打印机。该配置项仅适用于使用软终端登录的云桌面。
- 允许:在云桌面中允许使用本地终端连接的打印机。
- 禁止:在云桌面中禁止使用本地终端连接的打印机。
说明
- 终端用户使用硬终端登录云桌面时,您可以通过功能管控是否允许使用本地终端连接的USB打印机。
- 如果终端用户是AD用户,您需要将AD域的组策略和打印机重定向均设置为允许后,终端用户才可以在云桌面中使用打印机。
登录方式管控
登录方式管控用于控制终端用户可以通过哪些类型的客户端登录云桌面。目前支持以下几种类型的终端:
- PC软终端:Windows客户端、macOS客户端。
- Web终端:HTML5客户端。
- 硬件终端:A系列盒式云终端、C-key卡片式云终端、
- 移动终端:支持Android客户端、iOS客户端。
安全组管控
安全组管控用于控制云桌面的入流量和出流量,一条安全组管控规则由规则方向、优先级、IP地址段、协议类型、端口范围、授权策略等属性确定。与云桌面建立数据通信前,系统将逐条匹配云桌面关联策略中的安全组管控规则,确认是否放行访问请求。对于不同授权策略的规则,采取的措施如下:
- 对于允许策略的规则,如果访问请求匹配上规则,则将放行访问请求。
- 对于拒绝策略的规则,如果访问请求匹配上规则,则将拦截访问请求并直接丢弃数据包。
在没有添加任何安全组管控规则的情况下,云桌面默认拒绝所有入方向的访问,允许所有出方向的访问。您可以根据需要添加入方向或者出方向的安全组管控规则来进一步控制云桌面的出入流量。常见的安全组管控规则配置示例如下:
- 示例一:只允许云桌面访问特定的IP地址。
默认情况下,云桌面允许所有出方向的访问。您可以添加以下出方向规则,实现只允许云桌面访问特定的IP地址:
- 规则1:拒绝所有出方向访问。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 出方向 2 0.0.0.0/0 全部 -1/-1 拒绝 - 规则2:允许访问特定IP地址,优先级必须高于规则1。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 出方向 1 允许访问的IP地址,例如:192.168.1.1/32。 选择适用的协议类型。 设置合适的端口范围。 允许
- 规则1:拒绝所有出方向访问。示例如下:
- 示例二:允许特定的IP地址能够访问云桌面。
默认情况下,云桌面拒绝所有入方向的访问。您可以添加允许特定IP地址访问的入方向规则,实现该IP地址能够访问云桌面。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 入方向 1 允许访问的IP地址,例如:192.168.1.1/32。 选择适用的协议类型。 设置合适的端口范围。 允许 - 示例三:关联不同策略的云桌面之间实现网络互通。
假设云桌面A关联了策略A,云桌面B关联了策略B。由于云桌面默认拒绝所有入方向的访问,云桌面A和云桌面B之间无法互相访问。您可以在策略A和策略B中添加以下入方向规则,实现云桌面A和云桌面B的网络互通:
- 在策略A中添加允许云桌面B访问的入方向规则。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 入方向 1 云桌面B的IP地址。 选择适用的协议类型。 设置合适的端口范围。 允许 - 在策略B中添加允许云桌面A访问的入方向规则。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 入方向 1 云桌面A的IP地址。 选择适用的协议类型。 设置合适的端口范围。 允许
- 在策略A中添加允许云桌面B访问的入方向规则。示例如下:
域名黑白名单
域名黑白名单用于控制云桌面是否可以访问域名。默认情况下,云桌面默认允许访问所有域名。您可根据实际需求设置域名黑白名单:
- 如果不设置域名黑白名单,则云桌面可以允许访问所有域名。
- 如果设置域名黑名单,则云桌面不允许访问黑名单中的域名。例如:某企业不允许员工在云桌面中访问一些视频网站,可以将这些视频网站的域名加入到黑名单中。当员工访问黑名单中的域名时,网页将显示404;访问黑名单之外的域名时,可以正常访问。
- 如果设置域名白名单,则云桌面仅可访问白名单中的域名。例如:某企业只允许员工在云桌面访问一些企业内部网站或者工作需要的网站,可以将这些所需的网站域名加入白名单中。当员工访问白名单中的域名时,可以正常访问;访问白名单之外的域名时,网页将显示404。
说明 黑名单和白名单为互斥关系,设置时请选择一种进行设置。如果同时设置了域名黑名单和白名单,则只生效最后一次设置的域名黑名单或者白名单。
客户端访问IP白名单
客户端访问IP白名单用于控制本地客户端是否可以连接云桌面。
- 不设置客户端访问IP白名单时,终端用户均可以通过客户端连接云桌面。
- 设置客户端访问IP白名单后,则只允许特定IP地址段下的客户端可以连接云桌面。例如:为了保障企业数据安全,企业可以将某区域员工的本地客户端网段设置为白名单,设置白名单后,则只允许该区域的员工可以通过客户端连接云桌面,从而限制其他区域员工通过本地客户端连接云桌面。
USB重定向
USB重定向用于控制终端用户是否可以在云桌面上使用本地终端连接的USB设备。
- 关闭:云桌面上无法使用本地终端连接的USB设备。
- 开启:云桌面上可以使用本地终端连接的USB设备,同时支持按照USB设备的VID和PID,或者USB设备类别设置黑白名单策略。请根据实际业务需求,评估允许和禁止的USB设备情况,设置黑名单或者白名单来管控USB设备的使用权限。
说明 黑名单和白名单为互斥关系,如果同一设备命中了多条策略,则按优先级最高的策略生效,将该设备纳入黑名单或者白名单。
录屏审计管控
录屏审计功能可以控制是否录制终端用户在Windows云桌面上的操作视频,以便管理员回看录屏,进行安全行为审计。
- 关闭:默认情况下该功能关闭,系统不进行录屏。
- 开启:开启录屏审计后,系统将根据您的录屏设置(全程录屏或间隔录屏)和选择的录制图形帧率,自动录制终端用户在云桌面上的操作视频。每次录屏从终端用户连接云桌面开始,到终端用户断开桌面连接时结束。录屏完成后,生成的视频将自动保存到OSS
Bucket中,您可以播放和下载视频。
说明 目前录屏视频仅支持保存到OSS中,系统将自动为您创建一个OSS Bucket,您需要支付相应的存储费用。具体计费信息,请参见OSS计费概述。
更多信息,请参见使用录屏审计。