桌面管控包括USB存储设备管控防护、终端违规外联防护、远程协助、广告弹窗拦截、问题软件安装防护、磁盘加密和SSH服务管控。其中磁盘机密和SSH服务管控只在信创桌面生效，其它桌面管控策略在Windows终端生效。

3.3.8.1.USB设备管控防护

未经授权的移动存储介质的接入可能会导致终端面临病毒、木马、数据泄密、数据篡改等多种安全威胁。通过EDR管理端的USB存储设备管控防护功能，支持对包括U盘、移动硬盘、手机等移动设备在内进行禁用或白名单放行，并可设置终端弹窗告警提示终端用户，减轻终端用户因移动设备管控不足带来的风险。

在[策略中心/管控防护]的页签下，勾选“开启USB存储设备管控”，则开启该功能。

1. 定义禁止使用设备

禁止使用设备：仅禁止带有存储功能的USB接口设备，不会禁用鼠标键盘等设备，常见的USB设备如“U盘”、“移动硬盘”、“便携设备（手机、数码相机等）”等。

• 可以根据实际情况勾选禁止使用的设备。

• 当部分USB设备被允许使用时，可以通过外设白名单进行添加和配置，按需求填写设备信息，如下图所示。

2. 设置弹窗提醒

当勾选“发现终端使用禁止的设备，弹窗提醒用户”选项，在服务器或终端上使用禁止类设备时，会收到弹窗提醒，如下图。

 

•   说明：

USB外设管控防护同时支持windows终端、MAC终端、信创终端。其中MAC终端下USB管控防护支持禁用USB设备或USB设备只读操作，windows终端及信创终端只支持禁用USB设备、不支持设置只读操作。

 

 

 

3.3.8.2.终端违规外联

当内网终端访问未授权的目标服务器时，视为违规外联。EDR支持PING探测终端否存在违规外联行为，对存在违规外联的行为进行断网、关机、邮件告警等多种处置，实现违规终端的实时管控。

违规外联策略配置如下图。

其中：

1. 探测间隔：终端检测违规外联的时间间隔，最小值为60秒，最大值3600秒。
2. 探测地址：定义违规外联的探测地址，默认是www.baidu.com，管理员可以自己添加IP或者域名。

3. 发现违规外联终端：定义发现违规外联的处理方法。

• 不处理：仅弹窗告警。

• 断开网络：终端倒计时30s断开网络，终端除了与管理端通信之外，其他访问都不能访问，管理员可以在终端管理中重启agent恢复网络。

• 关机：终端倒计时60s关机。

4. 违规外联提醒：如果终端发生违规，桌面右下角会出现弹窗提示用户违规，此处可设置提醒的内容。
5. 邮件告警：当终端发生违规时，邮件告警通知管理员。

 

3.3.8.3.远程协助

当被管控的终端出现故障时，管理员可以通过远程协助功能对终端进行远程控制，快速、安全的响应解决终端问题。

前提条件

管理员能够远程管理终端的前提条件是终端Agent开启了[授权管理员远程]，右键Agent客户端托盘图标，如下图。该功能默认打开，如果终端关闭了[授权管理员远程]，则管理员无法通过EDR远程协助管理终端。

 

场景一：不需要终端确认、直接远程终端电脑

不需要终端确认、管理员可以直接远程终端电脑，适用于终端无人值守场景。

打开[终端管理/策略中心]，设置需要远程控制的终端所在分组的桌面管控策略，如下图。[是否需要终端用户同意]选择[不需要]。

 

打开[终端管理/终端分组管理]，选中需要远程的终端，发起远程协助，如下图。

 

首次使用远程协助时，需要下载VNC客户端远程工具 ，点击<立即下载>下载并安装VNC客户端远程工具，如下图。

 

 

安装VNC客户端远程工具后，再次对终端发起远程，如下图。

为了确认是管理员操作，需要输入当前管理员账号密码，输入管理员密码后点击<确定>，建立远程连接并成功远程被控制端电脑，如下图。

 

场景二：需要终端确认、才可以远程终端电脑

需要终端确认、管理员才可以远程终端电脑，适用于有人值守、对远程操作敏感场景。

打开[终端管理/策略中心]，设置需要远程控制的终端所在分组的桌面管控策略，如下图。[是否需要终端用户同意]选择[需要]。

打开[终端管理/终端分组管理]，选中需要远程的终端，发起远程协助，如下图。

 

首次使用远程协助时，需要下载VNC客户端远程工具 ，点击<立即下载>下载并安装VNC客户端远程工具，如下图。

 

安装VNC客户端远程工具后，再次对终端发起远程，如下图。

终端电脑EDR客户托盘弹出提示。

终端用户点击<允许>，管理员即可远程控制终端电脑。

 

 

为了确认是管理员操作，需要输入当前管理员账号密码，输入管理员密码后点击<确定>，建立远程连接并成功远程被控制端电脑，如下图。

 

 

•   说明：

                       

3.3.8.4.广告弹窗拦截

终端大量软件为盈利自带广告弹窗功能，给用户的办公带来很大的干扰，尤其是教育、政府行业。EDR能够对终端进行一键弹窗拦截，减少垃圾信息的干扰，为用户提供纯净的工作环境。

1.管理端开启广告弹窗拦截

打开[终端管理/策略中心]，点击[桌面管控]，同时开启广告弹窗拦截（基础版）和广告弹窗拦截（高级版），如下图。

•   说明：

 

2.终端开启广告弹窗拦截

用户也可以在终端开启广告弹窗拦截功能。打开客户端[系统工具]开启广告弹窗拦截基础版，如下图。

 

终端用户可在客户端[实时防护]，开启广告弹窗拦截高级版，如下图。

 

3.广告弹窗拦截效果

当检测到广告弹时，记录拦截记录，如下图。

 

4.自定义广告弹窗拦截

当出现不能拦截的广告弹窗时，用户可以通过自定义规则进行弹窗拦截，如下图。

5.自定义广告弹窗不拦截

当某些被拦截的弹窗实际不需要拦截时，可通过如下配置取消该软件弹窗拦截，如下图。

 

 

 

 

 

点击<扫描>检索终端存在弹窗行为的软件，选中不需要拦截弹窗的软件设置为不拦截，如下图。

 

3.3.8.5.问题软件安装防护

问题软件安装防护能够拦截问题软件捆绑安装、静默安装、强行安装等不良行为，有效保护用户的知情权与选择权。

1.管理端开启问题软件安装防护

打开[终端管理/策略中心]，点击[桌面管控]，开启问题软件安装防护，如下图。

 

2.终端开启问题软件安装防护

用户也可以在终端开启问题软件安装防护功能。打开客户端[实时防护]开启问题软件安装防护，如下图。

 

拦截问题软件安装：开启拦截问题软件安装，则匹配规则库中问题软件安装会弹窗告警提示用户，用户可选择阻止安装或允许安装。

 

拦截常规软件安装：开启拦截常规软件安装，则任何软件安装都会弹窗告警提示用户，用户可选择阻止安装或允许安装。

 

3.3.8.6.磁盘加密

此功能仅对信创桌面生效。为防止磁盘文件泄密，新增提供磁盘加解密功能，能对国产系统的磁盘下发加解密、定时检测磁盘加密状态、磁盘信息展示的功能（一共三种加密模式：混合、AES256、SM4）来平衡用户当前的安全合规问题和业务运行效率

查看终端加密情况，选择确认进行加密

选择需要加密的磁盘分区，默认选择全部分区

对终端下发磁盘加密，终端会有弹窗提醒，点击[立即重启]后，终端会重启，然后进行加密，如下：

等待重启加密完成后，管理端的终端加密状态会变成[已加密，混合模式]状态

管理端对[已加密]状态的终端下发解密，如下：

对终端下发磁盘解密，终端会有弹窗提醒，点击[立即重启]后，会重启解密，如下：

等待重启解密完成后，管理端的终端加密状态会变成[未加密]状态

 

3.3.8.7.SSH服务管控

此功能仅对信创桌面生效。启用SSH服务管控，则无法通过SSH接入信创桌面终端，防止终端SSH接入被恶意利用，如下图。

终端检测到SSH接入请求会弹窗告警，如下图