6.2.2.1.运维管理安全

账号密码管理

1. 强制修改初始密码

深信服桌面云采用一体化交付方式，用户在部署上线后，开机即可使用，为此我们为系统设置了初始的账号和密码。这些密码，在管理员首次登陆平台时就会提示修改，且必须满足密码复杂度要求。

2. 支持设置密码安全策略

启用安全策略后，使用桌面云的用户必须保证自己的密码满足策略要求，减少由用户弱密码带来的安全风险问题。

详细配置请参考“本地密码认证”章节。

3. 密码找回

深信服桌面云最大程度保护用户隐私，所有用户的密码在输入时均以密文显示，同时用户身份的鉴别信息在存储中同样是加密的，超级管理员也无法在控制台或后台查询到任意一个用户的密码，当用户忘记密码需要找回时，只能通过本人认证找回密码。

详细配置参考“自助修改密码”章节。

4. 管理员登录短信认证

启用管理员[短信登录认证]后，下一次管理员登录时，管理员在输入正确的用户名密码后，会进入短信认证流程。实现双因子

权限管理

在VMP和VDC的控制台中，均存在多种管理员角色，管理员角色是针对控制台各模块和功能访问权限的集合，平台各个功能模块划分为编辑、查看、不可见三种权限等级。系统超级管理员可以创建、修改、删除其他管理员的操作权限和管理的用户范围，管理员之间管理界面、权限相互隔离，互不干扰，实现管理员分权。

详细配置参考：VMP ：“分权管理与访问限制”；VDC：“分权分域管理与访问控制”。

日志管理

1. 日志分类与导出

在VDC、VMP管理控制台中，可以查看当前平台的运行情况、操作记录、告警信息和问题定位。日志分为服务日志、管理日志、安全日志三类，分别对应服务状态、管理类操作、安全事件。这些日志保存在系统独立的日志存储空间中，保留时长超过6个月。除去提供基本的日志功能外，为了对桌面云平台运行状态、资产状态、安全策略、数据安全、日志进行统计分析，深信服桌面云提供虚拟桌面报表中心。管理员可以通过报表中心导出各种所需的日志进行管理分析。

 

2. Syslog对接

一些企业用户自己有组件syslog日志服务器，VDC可以通过日志对接功能将选定日输出至syslog服务器中。进入VDC控制台，选择[系统设置/系统配置/Syslog]。

证书管理

深信服桌面云支持多种方式导入设备证书，客户可选择。

6.2.2.2.终端安全

桌面云瘦终端硬件安全

深信服桌面云瘦终端采用ARM与X86两种架构设计，在硬件设计上，将瘦客户机内置存储体以焊接方式固化在瘦终端主板上，无法拆卸到其他任何机器上进行引导。保障瘦终端本地系统安全。

桌面云瘦终端只提供内置存储引导方式，不提供其他引导方式，如USB、PXE引导。

桌面云瘦终端操作系统安全

桌面云瘦终端是一个经过充分精简、优化的Linux/Android操作系统，系统设计全面考虑了安全问题，主要包含以下方面：

• 禁止直接访问内置存储。

• 操作系统关闭内置存储访问接口，用户只能使用深信服科技提供的程序进行访问。

桌面云瘦终端策略安全

1. 禁止安装任意程序

深信服桌面云瘦终端默认不允许用户切出到本地桌面，用户仅能使用瘦终端中深信服科技提供的桌面云客户端访问资源登录到云桌面，如需要在瘦终端中切出到本地桌面，需要管理员通过VDC配置允许策略。

ARM架构瘦终端本地默认禁止安装软件，如需要在瘦终端中安装软件，需要管理员通过VDC配置允许策略，才能在瘦终端本地安装。X86架构瘦终端禁止安装任何其他软件。

关于禁止显示本地桌面和禁止安装任意程序的策略设置请参考“显示桌面和安装应用”章节。

2. 禁止存储类设备使用

除去USB-KEY之外，桌面云瘦终端从操作系统驱动层禁止USB存储设备使用，包括U盘、USB光驱等USB存储设备。

如需在瘦终端上使用存储类设备，需要在VDC上配置允许策略，此类设备才允许映射到桌面中，详细配置请参考“USB设备控制访问”章节。

3. 端口封闭

为了防止恶意入侵，瘦终端仅开放与VDC、VMP连接通信端口，其他端口均保持关闭，不对外开放。

桌面云瘦终端接入认证

桌面云瘦终端兼容802.1X环境，支持必须通过802.1X认证通过后，才能接入网络。认证模式支持EAP-MD5、EAP-MSCHARV2、EAP-GTC、EAP-PEAP、EAP-TLS、EAP-TTLS。

对于认证协议的设置，请参考“ SSL/TLS协议设置”、“客户机802.1x设置”。

6.2.2.3.接入控制安全

用户接入安全

对于企事业单位来说，信息安全的重要性是不言而喻的，而对于访问内部网络、数据的身份认证又是这中间至关重要的一个环节。为验证桌面系统访问者的身份合法性，深信服提供多种认证方式的随需组合，来满足不同级别的接入安全需求，最大限度防止云桌面被非法访问，保障用户重要数据的安全性。

针对桌面云产品，用户接入桌面云系统主要通过以下方式实现：

• 用户通过管理员在VDC中创建的用户名+密码方式，接入桌面云。

• 用户通过VDC配置烧录的USB-KEY方式，接入桌面云。

• 用户通过LDAP认证服务、radius认证服务、CAS认证服务，接入桌面云。

• 用户通过用户名+密码+短信验证方式，接入桌面云。

• 用户通过用户名+密码+硬件特征码方式，接入桌面云。

• 用户通过用户名+密码+动态口令方式，接入桌面云。

• 用户通过第三方平台对接认证方式，接入桌面云。

• 同时用户仍支持密码安全策略配置、软键盘登陆保障用户接入安全。

详细配置请参考“用户认证”章节。

外设接入安全

参考“设备访问控制”章节。

6.2.2.4.桌面使用安全

桌面云环境下的用户虚拟机主要用于生产、办公空间等，虚拟机操作系统与传统PC操作系统一致，也同样面临病毒、木马、恶意软件、操作系统漏洞的威胁，为此深信服桌面云在用户虚拟机侧提供如下应对方式。

应用管控

应用控制可以通过策略管控用户虚拟机中的应用程序运行，从而限制恶意软件、流氓软件在用户虚拟机中安装和运行，同时也避免了非办公用软件对于用户虚拟机资源的消耗。

对于应用管控的配置请参考“应用管控”章节。

虚拟机杀毒

桌面云环境下，为保障用户虚拟机使用安全，建议部署防病毒软件。一种是传统代理防病毒软件、一种是虚拟化轻代理防病毒软件、还有一种是终端检测响应平台。

1. 传统代理杀毒

采用传统有代理杀毒软件，其部署方式与传统PC机部署方式一致。但使用传统有代理杀毒软件， 管理员通常需要定期对虚拟机进行全盘病毒扫描、病毒库更新等。在同时对同一台服务器中的虚拟机进行全盘扫描时，容易出现“病毒扫描风暴”，造成CPU、内存、存储I/O和网络资源消耗严重，致使用户虚拟机使用卡慢，影响正常体验。

2. 轻代理杀毒

为解决传统有代理杀毒软件的这一问题，业界推出了轻代理杀毒方案，其原理如下：

即在虚拟化环境中，部署虚拟机环境下的轻客户端软件，该客户端软件可以使用虚拟机模板进行批量部署，不会导致部署任务增加。轻客户端软件在本地负责对OS本身事件进行精细化监控，但并不加载大型病毒库或者执行复杂病毒查杀操作。

而在虚拟化平台上部署一个虚拟机作为云杀毒中心，对所有虚拟化上的轻代理客户端提交的未知特征请求进行匹配，返回文件的安全属性；并支持收集系统各虚拟主机发送的安全日志，并进行审计和安全报警。

云杀毒中心负责所有高性能消耗的工作调度，而安装轻代理的虚拟机保持一个很低的负载，减少对虚拟机资源的消耗。

3. 终端检测响应平台

终端上的安全检测是防病毒核心技术，传统的病毒检测技术使用特征匹配，使得病毒特征库越来越大，运行所占资源也越来越多。深信服的终端检测响应EDR产品使用多维度轻量级的无特征检测技术，包含AI技术的SAVE引擎、行为引擎、云查引擎、全网信誉库等，检测更智能、更精准，响应更快速，资源占用更低消耗。

• AI技术SAVE引擎

深信服创新研究院的博士团队联合EDR产品的安全专家，以及安全云脑的大数据运营专家，共同打造人工智能的勒索病毒检测引擎。通过根据安全领域专家的专业知识指导，利用深度学习训练数千维度的算法模型，多维度的检测技术，找出高检出率和低误报率的算法模型，并且使用线上海量大数据的运营分析，不断完善算法的特征训练，形成高效的检测引擎。

• 行为引擎

独特的“虚拟沙盒”技术，基于虚拟执行引擎和操作系统环境仿真技术，可以深度解析各类恶意代码的本质特征，有效地解决加密和混淆等代码级恶意对抗。

根据虚拟沙盒捕获到虚拟执行的行为，对病毒运行的恶意行为链进行检测，能检测到更多的恶意代码本质的行为内容。

• 云查引擎

针对最新未知的文件，使用微特征的技术，进行云端查询。云端的安全云脑中心，使用大数据分析平台，多引擎扩展的检测技术，秒级响应未知文件的检测结果。

• 全网信誉库

在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开销。

6.2.2.5.主机安全

WEB安全

平台集成WAF模块SWAF，可以为WEB控制平台提供全面的应用安全防护能力，SWAF能够有效的防护OWASP组织提供的10大web安全威胁的主要攻击，并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书（最高评级为5星，深信服SWAF为国内同类产品评分最高）。该模块可以抵御SQL注入攻击、XSS跨站脚本攻击、CSRF攻击，能够对主要服务器的反馈信息进行有效的隐藏。具备弱口令防护、HTTP异常检测、缓冲区移溢出检测、DOS/DDOS攻击防护、应用协议内容隐藏功能。

防病毒

主机BIOS设置支持开启CPU防病毒功能，即启用Execute Disable Bit，防止病毒、蠕虫、木马等程序利用溢出、无线扩大等手法去破坏系统内存并取得系统的控制权。

6.2.2.6.新客户机接入权限

操作场景

管理员可以控制是否允许新加入到网络中的客户机接入VDC，也可以配置接入密码。

前提条件

无。

注意事项

无。

操作步骤

1. 登录VDC控制台，在[系统配置/接入选项/客户机]页面下，配置新客户机接入。

    

2. 新客户机接入：

• 允许接入：勾选后，新加入网络的客户机将被允许接入VDC。

• 禁止接入：勾选后，新加入网络的客户机将被禁止接入VDC。

• 接入需要密码：勾选后，可以填入密码，当新加入网络的客户机连接VDC的时候，会在客户机端提示需要输入密码才能接入VDC。

6.2.2.7.虚拟门户/外网接入限制

操作场景

虚拟门户功能可实现限制特定用户才能从外网访问云桌面。

虚拟门户适用于以下场景：

1. 客户云桌面主要在内网环境使用，但需要允许部分员工可以通过公网访问云桌面，其余人员只能在内网访问，即可通过虚拟门户功能实现。

2. 安全隔离：实现登录用户的完全隔离访问。在终端登录用户使用中，每一组用户单独使用不同的系统地址，不同的登录页面，不同的认证方式，访问不同的资源页面，从而实现完全的隔离访问。
3. 统一管理：对于拥有不同的分支结构或者不同部门之间的登陆，虚拟门户能在一台设备上虚拟多个登录平台，来提供不同的部门和分属子公司进行访问。

前提条件

边界路由设备上给VDC做端口映射。

注意事项

1. 集群部署时只能采用一个CIP（Cluster IP，集群IP）对外访问，可以采用不同HTTPS端口区分实现虚拟门户。

2. 虚拟门户功能不支持VDI Client登录，只支持浏览器方式登录。

操作步骤

1. 边界路由器映射VDC设备444端口到444。

2. 在[系统设置/接入选项/VDI Client/用户访问入口]，点击<设置端口>，添加其他HTTPS服务端口，如下图。

3. 开启虚拟门户功能。在[系统设置/登录策略]页面下，在WEB门户登录策略栏下选择[虚拟门户]并点击<保存>。

4. 配置虚拟门户登录策略。在[系统设置/登录策略/虚拟门户]页面下，点击<设置>，进入虚拟门户设置页面，配置不同IP或端口的访问地址、关联的用户/用户组、使用界面模板。

5. 测试，使用同地址zhangsan成功登录，其他组用户登录报错如下。

6.2.2.8.用户绑定客户端硬件

操作场景

只允许用户使用指定的客户端硬件登录，其他客户端硬件上不能正常登录的场景，可使用硬件特征码认证功能满足。

前提条件

无。

注意事项

无。

操作步骤

详情参考 “硬件特征码认证”章节。

6.2.2.9.端点安全

操作场景

端点安全是指针对客户端接入的安全规范检测，可以针对客户端的操作系统、文件、进程、注册表、登录和接入IP、登录时间、终端硬件特征以及客户端类型来进行端点安全策略的设置，根据对接入客户端检测的结果来决定是否允许客户端接入桌面。

具体流程为：先建立规则，根据规则进一步建立策略。

前提条件

无。

注意事项

无

操作步骤

1. 设置端点安全规则，在[桌面云设置/端点安全规则]页面下，点击<新建>。可以新建两种规则：基本规则和组合规则。

•   说明：

基本规则是针对单一类型的安全检测规则，而组合规则则是对基本规则进              行的组合（本节以两个基本规则组合形成的组合规则为例）。

 

2. 新建基本规则，填写名称和描述，选择规则类型（本节以操作系统为例），选择操作系统的类型，保存即可。

•   说明：

本条规则表示若客户端操作系统不是Windows 7，则不满足该规则；若是              Windows 7，则满足此规则。

 

3. 再建一个基本规则，选择登录时间为周二。

4. 新建组合规则，将刚才“win7”和“周二”的基本规则加入进来，保存。

5. 新建检查规则，将组合规则和基本规则添加进来。

•   说明：

检查规则是对组合规则和基本规则的进一步组合，与组合规则的区别是：              检查规则要求包含的规则里的任意一条规则成立即成立。而组合规则要求包含的规则              里每一条规则均需要成立才可以。

 

6. 设置端点安全策略，分为“接入准入策略”和“角色准入策略”，在策略中将之前建立的检查规则和用户、角色相关联。

•   说明：

“接入准入策略”和“角色准入策略”的区别是：“接入准入策略”是将规则和特定用户相关联，“角色准入策略”是将规则和特定角色相关联。如果一个              用户既关联了“接入准入策略”，其所关联的角色也关联了“角色准入策略”，则该              用户登录时会先检查“接入准入策略”，再检查“角色准入策略”。

 

7. 设置高级选项，启用登录前检查会对所有登录用户再登录前进行安全检测，检测内容可以点击在<设置登录前检查策略>中选择相应的规则。

8. 也可勾选“启用登录后定时检查”功能，可以设置检查的时间间隔。
   10. 用户可访问时段控制

操作场景

限制用户只能在某一规定时间内登录VDI，默认情况下用户可以在任何时间点登录VDI。

前提条件

无。

注意事项

无。

操作步骤

下面以设置用户只能在上班时间登录VDI为例，这里假设用户每周一至周五8:00-12:00，14:00-18:00为上班时间。

1. 登录VDC控制台，在[系统设置/时间计划]页面下，点击<新建>，新建时间计划表。

  

2. 本例中设置名称为“上班时间”，在时间计划表里面选择相应的时间小格，本例中先选中周一至周五8:00-12:00的小格，选择时间小格后会弹出选中时段的提示框，选择[设为已选]，然后用同样的方法选择周一至周五14：00-18：00时间段，设置完成后如下图。

  

3. 如需在时间计划中删除某一段时间，则勾选该段时间小格，点击<设为未选>即可。

  

4. 时间计划设置完成后如下。

  

5. 在[桌面云设置/策略管理]页面下，点击需要编辑的用户所关联的策略组，在策略选项中选择账号控制，在用户可登录时间段的下拉列表框选择“上班时间”，保存配置即可。

 

6.2.2.11.用户失效时间控制

操作场景

设置用户xx天未登录VDI后, 该用户账号将被自动禁用，不能再登录VDI。其中0表示不做限制。

前提条件

无。

注意事项

无。

操作步骤

登录VDC控制台，在[桌面云设置/策略管理/策略组]页面下，选择需要编辑的策略，点击<账号控制>，设置用户闲置时间后，点击<保存>即完成配置。

6.2.2.12.客户机修改配置权限

操作场景

配置后，当用户想要修改客户机的配置信息时，需要输入管理员设置的密码。

前提条件

无。

注意事项

无。

操作步骤

1. 登录VDC控制台，在[系统配置/接入选项/客户机]页面下，客户机修改配置如下图所示。

    

2. 客户机修改配置。

修改设置需要密码：勾选后，在客户机上修改设置需要输入密码，密码可以在下方的框中编辑。

修改登录信息需要密码：勾选后，在客户机上修改登录信息，如用户名、密码时，需要输入密码，密码可以在下方的框中编辑。

：

配置[修改登录信息需要密码]，仅在客户机配置自动登录的时候生效。

 

6.2.2.13.PC一体化修改配置权限

操作场景

配置后，当用户想要修改PC一体化客户端的配置信息时，需要输入管理员设置的密码。

前提条件

无。

注意事项

无。

操作步骤

1. 登录VDC控制台，在[系统配置/接入选项/客户机]页面下，PC一体化修改配置如下图所示。

    

2. PC一体化修改配置。

修改设置需要密码：勾选后，修改设置如返回本地桌面或者修改VDC地址时需要输入密码，密码可在下方框中编辑。

修改登录信息需要密码：勾选后，修改登录信息，如用户名、密码时，需要输入密码，密码可以在下方的框中编辑。

：

配置[修改登录信息需要密码]，仅在配置自动登录的时候生效。

    

6.2.2.14.条件策略  

 操作场景

企业管理员想要通过接入环境条件来相应地设置用户和虚拟机的策略，比如：

1. 用户从外网接入和内网接入时，应用不同的策略；

2. 用户从内网不同的IP段接入时，应用不同的策略；
3. 用户通过不同类型的终端接入时，应用不同的策略；
4. 用户通过不同的门户地址接入时，应用不同的策略。

此时可使用条件策略，即当用户的接入环境满足某些条件时，给用户或者虚拟机分配相应的策略动作（包括独享桌面与Windows应用策略、Winserver应用与共享桌面策略、辅助认证、分布式防火墙策略）。

前提条件

无。

注意事项

针对条件策略和用户策略、虚拟机策略冲突的情况，优先级情况如下：

临时策略 > 条件策略 > 策略组（虚拟机策略）> 策略组（用户策略）

：

隐藏导航条、关机一体化和网页重定向功能仅对用户生效，虚拟机即使配置该策略，也无法独立生效。

 

操作步骤

1. 管理员登录VDC，在[桌面云设置/策略管理/策略组]页面下，点击<新建>按钮，新建一个策略组。

2. 在 [桌面云设置/策略管理/条件策略]页面下，点击<新建>，新建条件策略。

3. 填写基本信息，选择条件策略需要作用的对象，可以选择用户或特定的虚拟机。

4. 填写条件策略的条件。

其他注意：

若选择的对象是用户，则条件可以选择四种：接入IP范围、终端IP范围、门户地址、终端类型。（门户地址即虚拟门户地址）

若选择的对象是虚拟机，则条件可以选择三种：接入IP范围、终端IP范围、终端类型。

设置“IP范围”条件，需要新建IP组，可在策略配置界面新建，或者在[系统设置/IP组]中进行新建和修改。

•   说明：

 

5. 也可以对条件进行添加组合，组合方式有两种：“与”、“或”。

6. 填写满足相应条件下的执行动作。

若选择的对象是用户，则执行动作有两种：策略组、辅助认证。

若选择的对象是虚拟机，则执行动作只有策略组。

7. 保存生效。 
   1. 条件策略支持分布式防火墙功能

操作场景

企业不同的业务系统有不同的安全等级，需要通过配置条件策略中的分布式防火墙策略规则，来实现不同用户在不同条件下防火墙规则不一样的效果，如部分低密级的业务系统允许通过外网客户端接入的桌面云虚拟机访问，但部分高密级业务系统只允许通过内网客户端接入的桌面云虚拟机进行访问。

前提条件

该功能仅VDC/VMP版本为5.5.5及以上版本支持，仅支持X86版本的VDC，arm版的不支持

注意事项

1. 分布式防火墙策略、条件策略-分布式防火墙策略同时存在的情况，规则优先级如下：

条件策略-分布式防火墙策略（虚拟机>用户，只能选1种）> 分布式防火墙策略

2. 条件策略更新并立即生效后（新增、修改、删除），需要用户重新登陆或重新进入虚拟机才能生效。
3. 分布式防火墙策略-引用策略更新并立即生效后（新增、修改、删除），可在虚拟机立马看到效果。
4. 具体生效的分布式防火墙策略，可以在安全日志中看到。

操作步骤

1. 登录VDC控制台，在[桌面云设置/策略管理/分布式防火墙策略]页面下，选择<新建/编辑>，配置分布式防火墙策略。（权限最小原则，即限制最广）

2. 在[VDC控制台/桌面云设置/分布式防火墙策略]页面，点击<引用策略>，通过<新建/编辑/删除>等按钮，配置对应的引用策略内容。

3. 在[VDC控制台/桌面云设置/条件策略]页面下，选择对应的条件策略进行编辑或者新建条件策略，（具体新建条件策略的配置此处不再赘述）在条件与执行动作中选择指定的“分布式防火墙策略”，如下图所示。

 

 

6.2.2.14.2.条件策略支持零信任联动功能

操作场景

对于开发、设计、财务、外包等涉及知识产权和机密数据的场景，通过与零信任联动功能，复用零信任强大的终端检测能力，同时结合桌面云的条件策略能力，实现终端安全策略的动态调控，保障业务安全的同时提升终端用户的易用性。

前提条件

1. 该功能需VDC/VMP版本在5.5.5及以上版本；对接的零信任atrust版本为2.2.4正式版。
2. 截止到5.5.5版本，若需要使用联动功能，需要安装零信任安全联动定制包，（可在社区下载），同时在对应的atrust上开启事件通知功能。配置路径：在[atrust控制台/安全中心/安全基线/应用防护策略]，开启“事件通知”。

3. 零信任atrust已配置桌面云应用，能正常单点登录。

注意事项

1. 不适用零信任atrust后台和桌面云VDI后台中间部署过NAT网络设备的部署环境。

2. 调整atrust应用防护策略或VDC条件策略，需要重新登录atrust应用防护策略可看到联动效果。
3. 仅支持windows/mac系统下装有特性补丁的atrust终端用户。

操作步骤

1. 在[VDC控制台/桌面云设置/认证设置]页面，选择单点登录认证下的 深信服零信任认证，如下图所示。

2. 点击<设置>按钮，填写配置的内容，如零信任的IP地址、ID、密钥、零信任联动策略等，配置完成后，点击<保存>即可，如下图所示。

3. 在[桌面云设置/条件策略]页面下，条件与执行动作，选择“零信任联动配置”，配置对应的条件以及执行动作即可，如下图所示。

6.2.2.15. SSL/TLS协议设置 

 操作场景

当有安全接入需求的场景。

前提条件

无。

注意事项

默认是勾选TLS 1.0/1.1/1.2（建议使用默认即可），不修改不会触发以下问题：

1. 低版本ARM盒子，接5.4.5版本的VDC（没有勾选SSLV3和TSLV1），无法连接中心管理器。

2. winxp客户端连接VDC（没有勾选SSLV3和TSLV1），无法连接中心管理器。
3. x86客户端不支持SSLv3协议，VDC只勾选SSLv3协议时，无法连接中心管理器。
4. GX420不支持SSLv3协议，VDC只勾选SSLv3协议时，无法连接中心管理器。
5. ios客户端登录时，若控制台只勾选SSLv3，则无法连接中心管理器 。
6. 客户端接入用户状态下，修改VDC控制台的SSL/TLS协议类型为客户端不支持的协议，则用户被注销，提示中心管理器地址不通，请检查网络或配置。
7. win10客户端不支持SSLv3协议，VDC只勾选SSLv3协议时，无法连接中心管理器。
8. 使用epass1001nd认证服务器登录，在arm客户端只勾选TLS1.1，1.2，或SSL3.0提示获取USBKEY失败。
9. epass1001nd型号的key,使用pc客户端证书登录，只能勾选TLS1.2协议登录，ssl3.0，tls1.0，tls1.1登录失败。

操作步骤

登录VDC控制台，点击[系统设置/接入选项/VDI Client/SSL/TLS协议设置]，如下图所示，根据实际情况配置SSL/TLS协议设置。

6.2.2.16. 客户机802.1x设置 

  操作场景

瘦客户机启用802.1x认证，以适应客户处已有的802.1x认证环境。

前提条件

无。

注意事项

1. 在DHCP 环境使用 802.1x，建议将DHCP服务器配置到802.1x的认证域之外。

2. 证书可用U盘导入，U 盘需要为 FAT32 格式，不支持 USB 3.0。
3. 证书和私钥文件只支持 *.der 和 *pem 两种格式。
4. 被导入的证书必须放在 U 盘根目录。
5. ARM 盒子暂不支持双网切换场景使用 802.1x 功能。

操作步骤

ARM盒子

1. 点击“盒子登录界面右下角的齿轮”图标，在弹出的菜单中点击<设置>，打开设置页面。

2. 在以太网页面，选择[802.1x认证]。

3. 将802.1x认证状态从禁用改为启用后，选择所需的认证方式，完成对应参数填写即可。

•   说明：

使用需要导入证书的认证方式的时候，将证书文件放在USB2.0的U盘根目录下插在盒子上，点击刷新证书列表后，即可在[CA证书]的下拉框中进行选择。

 

X86盒子

1. 点击“盒子登录界面左下角”的图标，在弹出的菜单中点击<设置>，弹出设置页面，如下图所示。

2. 点击<802.1X设置>，勾选“启用802.1x”，选择所需的认证方式，完成对应参数填写即可。

•   说明：

使用需要导入证书的认证方式的时候，将证书文件放在USB2.0的U盘根目录下插在盒子上，点击浏览后，弹出[浏览CA证书]窗口。

 

3. 点击<刷新>，选择对应的u盘，即可在[证书]下拉框找到对应证书，点击<应用>导入。