基础设施安全

无影云电脑企业版基础设施安全主要包括应用安全和系统安全。无影云电脑企业版还可以集成办公安全平台 SASE(Secure Access Service Edge),为云电脑提供防病毒扫描等免费基础安全服务,以及办公安全一体化防护与审计等付费服务。

01 应用安全

1.1 应用沙箱模式

通过无影云电脑企业版管控侧的应用管理界面和云电脑内置的无影应用中心,可以实现安全可控的软件分发。无影预置了200余款经过验证的常用办公应用,可以由管理员强制安装或用户自主安装,避免了搜索下载来路不明的应用软件所带来的恶意软件、盗版软件等常见问题。同时,也支持上传企业自选应用。

应用沙箱模式:应用中心的部分应用软件以沙箱模式安装,在这种模式下,应用以动态挂载的形式“安装”到云电脑上,而并不实际安装到云电脑的系统内,可以实现秒级的极速安装和卸载,保持系统的洁净。

  • 默认状态:关闭

  • 配置责任:客户

  • 功能费用:免费

  • 依赖产品:无

  • 条件限制:仅V2.1.0及以上版本的云电脑镜像支持无影沙箱应用的自动卸载。

  • 参考文档:开启自动安装和自动卸载

配置或使用方法

上传应用

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择应用与外设驱动中心 > 应用管理,单击应用管理页签。

  3. 应用管理页面上单击添加应用

  4. 应用上传面板,填写以下配置项的信息,并单击确定

    配置项

    描述

    应用分类

    您可以根据所上传应用的类型,选择云电脑应用或者Web应用

    应用名称

    填写应用的名称。

    版本信息

    填写应用的版本信息。

    开发者

    填写应用的开发者。

    应用简述

    简单描述应用的用途和功能。

    应用详述

    详细描述应用的相关信息。

    应用图标

    您可以单击上传图片,选择应用图标并上传。

    说明

    只支持上传PNG、SVG、JPGJPEG格式的图片,图片大小不可超过1 MB。

    应用类型

    从下拉框中选择应用所属的分类。

    应用标签

    根据需要为自上传的应用增加标签,用于快速搜索应用。最多可以添加5个标签。

    上传方式

    当应用分类为云电脑应用时,需要填写该配置项。

    根据需要,选择上传文件OSS链接

    • 上传文件

      选择上传文件,然后单击查看本地文件,并选择符合要求的文件。

      说明

      仅支持上传.exe、.mis或.zip格式的文件,文件大小不可超过5 GB。若超过,请使用OSS链接。

    • OSS链接

      1. 选择OSS链接

      2. 将鼠标悬停在OSS链接右侧的问号上,在弹出的气泡中单击帮助文档,查看获取OSS链接的方法并获取OSS链接。

        bt_get_oss_link.png

      3. OSS链接文本框中填入上一步获取的OSS链接。

    应用链接

    当应用分类为Web应用时,需要填写该配置项。

    填写Web应用的URL。

    应用提权安装

    开启后,即使终端用户不具备本地管理员的权限,也可以安装此应用。

    说明

    2.0.0及以上版本的云电脑镜像支持此功能。

    入驻协议

    选择我已经阅读并同意《不侵权承诺及免责声明》

设置应用可见性

您可以通过可见性开关和可见用户范围来控制应用在无影应用中心内的可见性与可见范围。

  1. 在左侧导航栏,选择应用与外设驱动中心 > 应用管理,单击应用管理页签。

  2. 应用管理页面找到目标应用,并根据需要完成以下操作之一:

    • 单一操作:在操作列中单击设置可见性

    • 批量操作:选中多个目标应用,在页面顶部单击批量设置可见性

  3. 设置可见性面板或批量设置可见性面板上,根据需要完成以下操作之一:

    • 令应用对所有用户不可见:关闭设置可见性开关。

    • 令应用对所有用户可见:打开设置可见性开关,并选择全部用户

    • 令应用对指定用户可见:打开设置可见性开关,并选择部分用户,然后选择具体的用户账号。

  4. 单击确定

开启自动安装和自动卸载

无影提供的沙箱应用支持自动安装和自动卸载。

  1. 在左侧导航栏,选择应用与外设驱动中心 > 应用管理,单击应用管理页签。

  2. 根据需要执行相应的操作:

    自动安装
    1. 应用管理页面找到目标应用,并根据需要完成以下操作之一:

      • 单一操作:在操作列中单击自动安装

      • 批量操作:选中多个目标应用,在页面顶部单击批量自动安装

    2. 自动安装面板或批量自动安装面板上根据需要完成以下操作之一:

      • 为全部用户开启自动安装:选择全部用户

      • 为指定用户开启自动安装:选择部分用户,然后选择用户账号类型和具体的用户账号。

    自动卸载
    说明

    2.1.0及以上版本的云电脑镜像支持无影沙箱应用的自动卸载。

    1. 应用管理页面找到目标应用,并根据需要完成以下操作之一:

      • 单一操作:在操作列中单击自动卸载

      • 批量操作:选中多个目标应用,在页面顶部单击批量自动卸载

    2. 自动卸载面板或批量自动卸载面板上根据需要完成以下操作之一:

      • 为可见该应用的全部用户开启自动安装:选择可见选中应用的全部用户

      • 为可见该应用的指定用户开启自动安装:选择可见选中应用的部分用户,然后选择用户账号类型和具体的用户账号。

  3. 单击确定

1.2 应用管控

无影云电脑企业版还提供了云电脑内应用软件的运行限制能力。基于黑名单或白名单的规则,管理员可以限制某些已知应用程序的运行,或只允许某些特定应用程序的运行,从而提高办公效率,降低系统安全风险,以及满足安全合规的需求。应用程序的匹配规则可以基于程序的名称、Hash值和/或签名。

  • 默认状态:关闭

  • 配置责任:客户

  • 功能费用:免费

  • 依赖产品:无

  • 条件限制:

    • 应用白名单功能尚未开放使用,该功能目前处于邀测中,如需体验,请提交工单申请开通。

    • 必须同时满足以下条件,才能使用应用黑白名单功能。

      1. 云电脑镜像操作系统:Windows Server 2022、Windows Server 2019Windows 10。

      2. 云电脑镜像版本:2.0.0或更高版本。关于如何升级镜像版本,请参见升级镜像

      3. 云电脑上安装的无影应用中心版本:V2.1.8或更高版本。

  • 参考文档:配置应用黑白名单

配置或使用方法

  1. 创建管控规则

    1. 登录无影云电脑企业版控制台

    2. 在左侧导航栏,选择应用与外设驱动中心 > 应用管理,单击应用管控(Beta)页签。

    3. 应用管控(Beta)页面上单击创建管控规则

    4. 创建管控规则面板上配置以下规则基本信息。

      配置项

      说明

      示例

      规则名称

      自定义的应用管控规则名称。长度不可超过40个字符。

      禁用应用列表

      规则类型

      控制对识别出的应用是要执行拦截还是要放行。可选项:

      • 白名单

      • 黑名单

      黑名单

      子进程自动继承策略

      默认关闭。启用后,在只添加应用主进程的情况下,进程树下的一级子进程默认跟随主进程的白名单策略。

      说明
      • 仅白名单类型的规则可用。

      • 该能力需要镜像版本高于2.10.0。更多操作,请参见升级镜像

      管控规则

      控制识别应用时特征值之间的逻辑关系。可选项:

      • 匹配名称和Hash或签名

      • 匹配名称或Hash或签名

      匹配名称和Hash和签名

      应用名单

      需要管控的应用。

      AppName1、AppName2

    5. (可选)应用管控规则是根据应用特征来识别应用的,您可以借助我们提供的小工具来获取目标应用的特征值,以便接下来填写。

      1. 创建管控规则面板的应用名单区域单击点击下载,即可下载应用特征提取小工具(仅支持Windows操作系统)。

      2. 打开小工具,在右上角单击浏览,并选择目标应用的可执行文件所在的目录。

      3. 在右下角单击开始扫描

      4. 在扫描结果列表中,单击名称(对应进程名称)和Hash(对应Hash)右侧的复制,即可将它们的值复制出来。

        panel_app_spec_pick_tool.png

    6. 创建管控规则面板上单击新增应用,并在新增应用对话框中填写准备好的应用特征值,然后单击确定

      配置项

      说明

      示例

      应用名称

      方便您识别哪一款应用的自定义名称。长度不可超过40个字符。

      AppName

      进程名称

      应用的进程名称,可以从应用特征提取小工具的扫描结果中获取。必须以.exe结尾,且长度不可超过50个字符。

      appname.exe

      Hash

      应用的MD5 Hash值,可以从应用特征提取小工具的扫描结果中获取。长度不可超过40个字符。

      8d6a08df5973e54a34695fd7aab5****

      签名

      应用的签名,可以从应用特征提取小工具的扫描结果中获取。长度不可超过80个字符。

      SampleSignature

      重要

      对于由阿里云、微软提供的应用,以及与无影云电脑服务相关的应用,默认全部放行,不允许禁用,请勿将相关应用添加到黑名单中。

    7. 管控规则配置完毕后,在面板底部单击确定

  2. 绑定云电脑

    1. 在左侧导航栏,选择应用与外设驱动中心 > 应用管理,单击应用管控(Beta)页签。

    2. 应用管控(Beta)页面上找到目标规则,并在操作列中单击新增

    3. 绑定云电脑面板上,选中一台或多台需要绑定该规则的云电脑,并单击确定

02 系统安全

2.1 OTA更新

无影云电脑企业版支持通过OTA(Over The Air)方式更新系统软件,实现了安全、高效的系统升级管理。系统软件更新前,系统更新程序验证OTA下载到设备或离线复制到终端的升级包的完整性及签名有效性,防止非授权升级行为。

  • 默认状态:开启

  • 配置责任:客户

  • 功能费用:免费

  • 依赖产品:无

  • 条件限制:无

2.2 安全办公SASE集成

云电脑镜像内可以集成办公安全平台 SASE(Secure Access Service Edge),以完善无影办公安全防护和办公行为审计能力。

  • 办公安全一体化防护

    为企业移动办公及分支机构上网提供统一的安全管理能力。具体支持以下特性:

    • 零信任内网访问管控:自研HTTPS加密传输协议,基于动态身份认证,支持端到端(TCP)、端到应用(HTTP、HTTPS)的最小权限访问控制,相较于传统VPN访问,具备访问更快速、运维更高效、部署更便捷以及系统安全性更高等特点。

    • 办公网准入:支持基于证书的802.1x网络准入功能,无需通过手动输入用户名密码导入证书文件,只需安装阿里云办公安全平台客户端即可实现安全入网。办公安全平台客户端不仅为用户提供更高的办公网准入安全性和便利性,同时还支持哑终端、账号密码白名单的准入方式,以满足打印机、IoT等类型设备的入网需求,让网络准入更简单。

    • 办公数据保护:更高效的云端文件分析引擎,在不占用终端计算资源的情况下,对于办公终端通过移动存储、即时通讯工具、邮件、HTTP、FTP、打印、刻录、网盘等通道外发的办公敏感数据进行审计留存和告警,支持识别超过100种文件类型,预置60多项敏感信息字典,让办公数据保护更简单。

  • 办公行为一体化审计

    全场景办公行为审计,企业员工行为可视、可查、可控。具体支持以下特性:

    • 实时访问日志:多维度访问情况展示,企业员工行为实时管控。

    • 互联网访问行为审计:支持实名制多维度审计员工上网行为,满足网络安全法及等保合规要求。

    • 内网访问行为审计:支持实名制审计员工内网访问行为,审计日志留存6个月,满足企业内部审查的需求。

关于办公安全平台 SASE(Secure Access Service Edge)的详细功能特性,请参见什么是办公安全平台

配置或使用方法

开启防病毒服务

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择安全与审计 > 防病毒

  3. 首次使用防病毒服务时,在防病毒页面上单击立即启用,然后单击添加办公网络

  4. 选择办公网络对话框中,选择地域和要开启防病毒服务办公网络,并单击确定

  5. 病毒防御区域,单击立即扫描

    首次扫描时,请在授权提示对话框中单击确定

  6. 选择扫描范围面板上,选择账号类型以及相应的扫描范围,并单击确定

扫描病毒

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择安全与审计 > 防病毒

  3. 根据需要执行以下任务之一:

    立即扫描
    1. 病毒防御区域,单击立即扫描

      首次扫描时,请在授权提示对话框中单击确定

    2. 选择扫描范围面板上,选择账号类型以及相应的扫描范围,并单击确定

    定时扫描
    1. 病毒防御区域,单击定时扫描

    2. 定时扫描页面上单击新建定时扫描

      首次扫描时,请在授权提示对话框中单击确定

    3. 新建定时扫描面板上完成以下配置,并单击确定

      配置项

      说明

      任务名称

      自定义的定时扫描任务名称。长度不超过128个字符,仅支持中文、英文、数字、下划线(_)和短划线(-)。

      任务频率

      选择执行定时扫描任务的频率(例如每隔3天执行一次)和每次执行时的时间区间(例如00:00~06:00)。

      账号类型

      选择终端用户账号的类型,包括便捷账号AD域账号。若选择AD域账号,则还需要选择具体的AD域。

      扫描范围

      选择终端用户所属的组织。

      创建成功的定时扫描任务将显示在定时扫描页面的表格内。您可以在该页面对定时扫描任务进行禁用、启用、编辑、复制或删除操作。

处理病毒扫描结果

若扫描出病毒,为了保障云电脑环境和数据的安全,请及时处理。在病毒防御区域单击立即处理,即可跳转至SASE控制台进行处理。具体操作,请参见查看病毒统计数据

2.3 组件盘

无影云电脑企业版运用独创的组件盘机制,为自身的运行时组件提供物理上的隔离和防护,保障云电脑不会因为误操作、软件兼容性问题或恶意软件而瘫痪,只需重启即可恢复正常运行。

  • 默认状态:开启(不可关闭)

  • 配置责任:阿里云

  • 功能费用:免费

  • 依赖产品:无

  • 条件限制:无