策略是一组安全规则的集合,可以控制终端用户使用云桌面的相关权限,提高数据安全性。本文介绍策略包含的安全规则配置项,并给出效果示例。
策略包含USB重定向、水印等基础策略,以及安全组管控等规则,具体如下表所示。
| 配置项 | 描述 |
|---|---|
| USB重定向 | 是否开启USB重定向功能。开启后,云桌面上可以使用本地终端连接的USB设备。 |
| 水印 | 是否开启水印功能。开启后,您可以设置水印显示的内容和透明度,云桌面上将均衡分布显示水印。 |
| 本地磁盘映射 | 是否可以读写本地磁盘在云桌面的映射驱动器。 |
| 剪贴板 | 云桌面和本地之间是否可以互相复制内容。 |
| 是否允许用户抢占 | 在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。该配置默认为禁止,不支持修改。
注意 为保证正在使用云桌面的终端用户的操作体验和数据安全,暂不允许多个用户之间互相抢占。
|
| 图像显示质量 | 控制Windows桌面的画面显示质量。 |
| HTML5客户端文件传输 | 通过Web浏览器登录Windows云桌面时,云桌面和本地之间是否可以互相传输文件。
说明 该配置项目前仅对Windows云桌面生效。如果Linux云桌面想要使用文件传输功能,只能使用默认的系统策略。
|
| 打印机重定向 | 是否允许在云桌面使用本地终端连接的USB打印机和网络打印机。 |
| 登录方式管控 | 控制终端用户可以使用哪些类型的客户端登录云桌面。 |
| 安全组管控 | 通过添加入方向和出方向的安全组管控,控制云桌面的入流量和出流量。默认情况下,云桌面拒绝所有入方向的访问,允许所有出方向的访问。 |
| 域名黑白名单 | 通过设置域名黑白名单,限制云桌面可以访问的域名。默认不设置域名黑白名单时,允许云桌面访问所有的域名。 |
| 客户端访问IP白名单 | 通过设置客户端访问IP白名单,实现只允许特定IP地址段下的客户端可以连接云桌面。默认不设置客户端访问IP白名单时,终端用户均可以通过客户端连接云桌面。 |
USB重定向
USB重定向配置,可以控制终端用户是否可以在云桌面上使用本地终端连接的USB设备。
- 关闭:云桌面上无法使用本地终端连接的USB设备。
- 开启:云桌面上可以使用本地终端连接的USB设备。
水印
水印配置可以在桌面上叠加信息,降低因截屏、拍照导致的数据泄露风险。您可以根据需要设置水印内容(用户名、桌面ID)和透明度(较浅、中等、较深)。
- 关闭:云桌面上不显示水印。
- 开启:云桌面上均匀分布显示水印。如下图所示。
本地磁盘映射
本地磁盘映射配置可以控制终端用户是否可以读写本地磁盘在云桌面上的映射驱动器的权限。
说明 该功能不适用于通过Web浏览器登录的云桌面。
- 关闭:云桌面上没有本地磁盘的映射,如下图所示。
- 只读:云桌面上有本地磁盘的映射,但是只能读取(复制)本地文件,不能修改本地文件,如下图所示。
- 读写:云桌面上有本地磁盘的映射,可以读取(复制)本地文件,也可以修改本地文件,如下图所示。
剪贴板
剪贴板配置可以控制终端用户是否可以在本地和云桌面之间进行复制操作的权限。
- 单向允许:可以将本地内容复制到云桌面,不能将云桌面内容复制到本地。
- 双向允许:可以将本地内容复制到云桌面,也可以将云桌面内容复制到本地,如下图所示。
- 双向禁止:云桌面和本地之间无法进行复制操作。
抢占
抢占配置可以控制在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。为保证正在使用云桌面的终端用户的操作体验和数据安全,暂不允许多个用户之间互相抢占,即该配置默认为禁止,不支持修改。
说明 终端用户通过某一客户端登录云桌面后没有断开连接的情况下,如果该终端用户通过另一个客户端尝试登录同一台云桌面,此时可以成功登录,之前的登录连接将自动断开。
图像显示质量
图像显示质量配置可以控制Windows桌面的画面显示质量,包括自适应、流畅、高清和无损,请根据业务需求和带宽情况选择适合的显示质量。
HTML5客户端文件传输
HTML5客户端文件传输配置可以控制通过Web浏览器登录云桌面时,云桌面和本地之间是否可以互相传输文件。
说明 该功能仅适用于Windows云桌面。
- 关闭:云桌面和本地之间无法互相传输文件。
- 允许上传:可以将本地文件上传到云桌面,不能将云桌面文件下载到本地。
- 允许下载:将云桌面文件下载到本地,不能将本地文件上传到云桌面。
- 允许上传下载:可以将本地文件上传到云桌面,也可以将云桌面文件下载到本地。
打印机重定向
打印机重定向配置可以控制终端用户是否可以在云桌面中使用本地终端连接的USB打印机和网络打印机。
- 允许:在云桌面中允许使用本地终端连接的打印机。
- 禁止:在云桌面中禁止使用本地终端连接的打印机。
说明
- 如果是USB打印机,您需要将USB重定向设置为开启,打印机重定向设置为允许后,终端用户才可以在云桌面中使用USB打印机。
- 如果终端用户是AD用户,您需要将AD域的组策略和打印机重定向均设置为允许后,终端用户才可以在云桌面中使用打印机。
登录方式管控
登录方式管控用于控制终端用户可以通过哪些类型的客户端登录云桌面。目前支持以下几种类型的终端:
- PC软终端:Windows客户端、macOS客户端。
- Web终端:HTML5客户端。
- 硬件终端:A系列盒式云终端、C-key卡片式云终端、
- 移动终端:支持Android客户端、iOS客户端。
安全组管控
安全组管控用于控制云桌面的入流量和出流量,一条安全组管控规则由规则方向、优先级、IP地址段、协议类型、端口范围、授权策略等属性确定。与云桌面建立数据通信前,系统将逐条匹配云桌面关联策略中的安全组管控规则,确认是否放行访问请求。对于不同授权策略的规则,采取的措施如下:
- 对于允许策略的规则,如果访问请求匹配上规则,则将放行访问请求。
- 对于拒绝策略的规则,如果访问请求匹配上规则,则将拦截访问请求并直接丢弃数据包。
在没有添加任何安全组管控规则的情况下,云桌面默认拒绝所有入方向的访问,允许所有出方向的访问。您可以根据需要添加入方向或者出方向的安全组管控规则来进一步控制云桌面的出入流量。常见的安全组管控规则配置示例如下:
- 示例一:只允许云桌面访问特定的IP地址。
默认情况下,云桌面允许所有出方向的访问。您可以添加以下出方向规则,实现只允许云桌面访问特定的IP地址:
- 规则1:拒绝所有出方向访问。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 出方向 2 0.0.0.0/0 全部 -1/-1 拒绝 - 规则2:允许访问特定IP地址,优先级必须高于规则1。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 出方向 1 允许访问的IP地址,例如:192.168.1.1/32。 选择适用的协议类型。 设置合适的端口范围。 允许
- 规则1:拒绝所有出方向访问。示例如下:
- 示例二:允许特定的IP地址能够访问云桌面。
默认情况下,云桌面拒绝所有入方向的访问。您可以添加允许特定IP地址访问的入方向规则,实现该IP地址能够访问云桌面。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 入方向 1 允许访问的IP地址,例如:192.168.1.1/32。 选择适用的协议类型。 设置合适的端口范围。 允许 - 示例三:关联不同策略的云桌面之间实现网络互通。
假设云桌面A关联了策略A,云桌面B关联了策略B。由于云桌面默认拒绝所有入方向的访问,云桌面A和云桌面B之间无法互相访问。您可以在策略A和策略B中添加以下入方向规则,实现云桌面A和云桌面B的网络互通:
- 在策略A中添加允许云桌面B访问的入方向规则。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 入方向 1 云桌面B的IP地址。 选择适用的协议类型。 设置合适的端口范围。 允许 - 在策略B中添加允许云桌面A访问的入方向规则。示例如下:
规则方向 优先级 IP地址段 协议类型 端口范围 授权策略 入方向 1 云桌面A的IP地址。 选择适用的协议类型。 设置合适的端口范围。 允许
- 在策略A中添加允许云桌面B访问的入方向规则。示例如下:
域名黑白名单
域名黑白名单用于控制云桌面是否可以访问域名,云桌面默认允许访问所有域名。您可根据实际需求设置域名黑白名单:
- 当黑名单和白名单都不设置时,云桌面可以访问所有域名。
- 当设置黑名单时,云桌面不可以访问黑名单中的域名。例如:某企业不允许员工在云桌面访问一些视频网站,可以将这些视频网站的域名加入到黑名单中,对于黑名单中的域名员工访问网页显示404,黑名单之外的域名员工可以正常访问。
- 当设置白名单时,云桌面只可以访问白名单中的域名。例如:某企业只允许员工在云桌面访问一些企业内部网站或者工作需要的网站,可以将这些所需的网站域名加入白名单中,对于白名单中的域名员工可以正常访问,白名单之外的域名员工访问网页显示404。
注意 域名黑名单和白名单为互斥关系,系统只保留最后一次配置的域名数据。
客户端访问IP白名单
客户端访问IP白名单用于控制本地客户端是否可以连接云桌面。
- 不设置客户端访问IP白名单时,终端用户均可以通过客户端连接云桌面。
- 设置客户端访问IP白名单后,则只允许特定IP地址段下的客户端可以连接云桌面。例如:为了保障企业数据安全,企业可以将某区域员工的本地客户端网段设置为白名单,设置白名单后,则只允许该区域的员工可以通过客户端连接云桌面,从而限制其他区域员工通过本地客户端连接云桌面。