更新时间:2024-06-05
6.2.3.1. 设备访问控制
6.2.3.1.1.PC设备访问控制
操作场景
用户使用PC VDI客户端登录场景,可以通过此配置设置虚拟机是否允许PC剪切板、允许PC内置磁盘、允许PC内置光驱、运行串口重定向。
前提条件
无。
注意事项
PC剪切板目前仅支持使用windows、Linux客户端接入windows虚拟桌面,使用linux客户端或windows客户端接入linux虚拟机则不能使用。
操作步骤
登录VDC控制台,在[桌面云设置/策略管理/策略组]页面下,选择需要编辑的策略组,点击[独享桌面与Windows应用策略/PC设备访问控制],可设置允许PC剪切板、允许PC内置磁盘、允许PC内置光驱、允许串口和并口重定向。
- 允许PC剪切板:勾选后表示启用客户端剪切板功能,下面可选择 [双向拷贝], [虚拟桌面单向拷贝到本地桌面], [本地桌面单向拷贝到虚拟桌面]三个选项。不勾选“PC剪切板”表示不启用客户端剪切板功能,此时对应组策略的用户将无法使用该功能。
• 仅允许拷贝文本:勾选后表示客户端与虚拟桌面间通过剪切板仅可进行拷贝文本操作,无法对文件进行拷贝操作。
- 允许PC内置磁盘:勾选后表示将客户端本地磁盘映射到虚拟机里面,下面可选择[读写模式]、[只读模式]两个选项。不勾选“允许PC内置磁盘”表示不启用客户端本地磁盘映射到虚拟机里面。
- 允许PC内置光驱:勾选后表示将客户端本地光驱映射到虚拟机里面,下面可选择[读写模式]、[只读模式]两个选项。不勾选“允许PC内置光驱”表示不启用客户端本地光驱映射到虚拟机里面。
- 允许串口重定向、允许并口重定向:是指将PC的串口、并口重定向到虚拟机中,使用户可以在虚拟机上使用插在PC上的串口、并口设备(例如打印机、绘图仪、扫描枪等串口、并口的接口设备),像在PC上使用一样。勾选后表示可以虚拟机可以使用串口、并口设备,若不勾选,则不允许使用。
- 新建策略组时,映射到虚机的串口号、并口号和PC串口号、并口号绑定,和PC完全一致,例如:
• PC本地的串口号为COM3,虚拟机串口号也为COM3;
• PC本地的并口号为LPT3,虚拟机并口号也为LPT3。
- 在使用默认策略组时:
• PC本地的串口为COM3,虚拟机串口为COM2;
• PC本地的并口为LPT3,虚拟机并口为LPT3。
- 使用说明和注意事项:
• PC本地和虚拟机均需要安装对应的相同的驱动程序;虚拟机内串口/并口端口设置需要和PC本地保持一致,外设才能正常使用(图示为打印机);
• 在PC的设备管理器中检查PC本地串口/并口设备为正常状态;
• 在虚拟机内的设备管理器中检查串口/并口设备重定向成功;
• 第三方软件对COM口有独占性,不支持多个软件同时使用一个COM口;
• 重复安装打印机驱动,会造成驱动混乱,需要卸载重装驱动。
6.2.3.1.2. USB设备访问控制
操作场景
设置虚拟机是否允许使用某一类USB设备,还可在例外名单中对某一USB设备在映射过程中进行特殊处理。例外名单中的设备权限控制生效优先级高于上层页面配置的权限控制。
前提条件
无。
注意事项
无
操作步骤
登录VDC控制台,在[桌面云设置/策略管理/策略组]页面下,选择需要编辑的策略组,点击[独享桌面与Windows应用策略/USB设备访问控制],可设置允许USB存储器、允许USB光驱、允许USB打印机、允许USB音频设备、允许USB视频设备和允许其他USB设备。
- 允许USB存储器:勾选表示启用USB存储器映射功能,下面可选择[读写模式]、[只读模式]两个选项。勾选[启用USB存储器磁盘映射模式]表示将PC客户端接入的USB存储器优先执行磁盘映射模式。不勾选[允许USB存储器]表示不启用USB存储器功能,此时对应组策略的用户将无法使用该功能。
- 启用USB存储器磁盘映射模式:勾选后,USB存储设备不走USB通道映射,将通过磁盘通道进行映射,相当于将USB设备识别为磁盘;该情况下文件读写较快,但是流量消耗较高。
- 允许USB光驱:勾选表示启用USB光驱功能,只有“读写模式”。勾选“启用USB光驱磁盘映射模式”表示将PC客户端接入的USB光驱优先执行磁盘映射模式。不勾选“允许USB光驱”表示不启用USB光驱功能,此时对应组策略的用户将无法使用该功能。
- 允许USB打印机、允许USB智能卡:勾选后表示支持使用USB接口的打印机设备和智能卡,若不勾选,则不允许使用。
- 允许USB音频设备、允许USB视频设备:勾选后表示支持使用USB接口的音频和视频设备,若不勾选,则不允许使用。
- 允许其他USB设备:勾选后表示支持使用除了以上列出以外的USB接口的设备,若不勾选,则不允许使用。
- 配置USB例外名单:系统将对符合例外名单中VID:PID的USB设备在映射过程中进行特殊处理。例外名单(Reset、MpQuirks、Acc、Camera、Audio、UsbBan、驱动器映射黑名单、Usb中断非缓存模式、Usb存储器加速黑名单、恢复设备电源唤醒、同型号打印机名单)中的设备权限控制行为表现优先于上层页面配置的权限控制,名单具体功能可参考配置界面的说明。
- 终端屏幕安全
6.2.3.2.1.屏幕水印
操作场景
对于一些企业或者事业单位,内部资料的外泄可能带来巨大的损失。启用屏幕水印,可以在用户虚拟机上显示用户名及IP地址等信息,用户在使用VDI桌面的时候,截屏/拍照都会附带水印,从而防止用户对内网资料截屏/拍照等,降低数据泄密风险,保证数据安全性。
前提条件
无。
注意事项
- 屏幕水印不支持IOS移动终端接入的场景;
- 暂不支持屏幕水印自定义位置;在虚拟机本地使用截图工具和录屏工具,是不包含水印的;
- 在有Mac客户端的场景下,屏幕水印设置边框宽度建议不要超过6,否则MAC客户端接入时在白色背景下会出现水印模糊。
- VDC5.5.5及以上版本,Windows客户端水印新增支持思源黑体字体、支持三行四列的水印排版格式、字体大小修改支持从10px-150px。
- VDC5.5.5及以上版本,X86客户端、android客户端&手机端支持三行四列的水印排版格式、字体大小修改支持从10px-150px。
操作步骤
- 登陆VDC控制台,在[桌面云设置/策略管理]页面下,点击需要编辑的策略组,在策略选项的栏目下点击<独享桌面与Windows应用策略>。
- 勾选“启用屏幕水印”,进行屏幕水印相关配置,水印默认是关闭的。
• 可选水印内容:显示VDI账号、显示虚拟机IP地址、显示虚拟机MAC地址、显示虚拟机时间、显示满屏水印。
• 自定义水印内容:最大支持46个字符,汉字最多46个,水印内容支持特殊字符 `~!@#$^()_+-=[]{}:|,./??,。、;‘、:“(两个问号:英文问号和中文问号,从第二个问号开始,都是中文状态下的标点符号)等。
• 推荐显示风格:可以选择系统自带的四种风格之一,也可以选择自定义风格,只有选择自定义风格之后才能修改水印内容颜色、字体大小、边框颜色等内容。
• 水印透明度:透明度值越高越透明,水印边框透明度同理。
- 配置生效后,绑定该策略组的用户登录客户端时,虚拟机会显示屏幕水印。
- VDC上修改屏幕水印相关配置,需要客户端用户注销重新登录生效(无需重启虚拟机)。如配置了[显示虚拟机IP地址]和[显示虚拟机时间],则水印内容会一分钟无闪烁的刷新一次。
- PC防截屏 /防录屏
操作场景
针对数据安全要求高的企业客户,使用“PC防截屏/防录屏”功能,可实现用户通过VDI客户端接入虚拟机场景下,防止用户通过PC本地截屏/录屏软件截取虚拟桌面画面,从而获取虚拟桌面内机密数据。
前提条件
必须使用windows终端。
注意事项
- 防录屏仅支持Win10与Win11 PC终端,其余终端不支持
- 启用“PC防截屏/防录屏”功能后,非win10/11的Windows PC客户端虚拟桌面不能窗口化且不能使用自助服务功能。
操作步骤
- 登陆VDC控制台,在[桌面云设置/策略管理]页面下,点击需要编辑的策略组,在策略选项的栏目下点击<独享桌面与Windows应用策略>。
- 勾选“启用PC防截屏/防录屏”即可。
6.2.3.3.文件导出审计
请参考报表中心文档,点我跳转。
6.2.3.4.剪切板审计
操作场景
在日常使用中,有许多用户需要通过剪切板进行文件转出。但在实际桌面使用中,可能会造成泄密风险。为保障剪切板的安全使用,避免信息泄露,支持审计通过剪切板拷入拷出文件的功能,满足客户事后溯源的诉求。登录报表中心,可以在线预览用户拷贝的文本和图片,并支持下载文件。
前提条件
该功能在VDC/VMP版本为5.5.5及以上版本支持,需提前部署并对接报表中心。
注意事项
- 在报表中心查看时,支持预览bmp,jpg,jpeg,png,jpe格式的图片,其余不支持。
- 用户通过磁盘映射和光驱映射拷贝的文件,将不会被审计。
- 支持的客户端范围如下:
支持的客户端范围
|
windows7、windows10、windows11
|
Mac os
|
linux(含信创)
|
支持的资源类型
|
专有桌面、还原桌面、池桌面
|
支持的虚拟机类型
|
windows7、windows10、windows11
|
- 目前仅支持审计通过剪切板复制的文件。
操作步骤
- 配置报表中心,在[VDC控制台/系统设置/系统配置]页面,点击报表中心,勾选启用报表中心,填写正确的IP地址以及端口,测试连接通过后,点击<保存>。
- 启用剪切板审计,在[VDC控制台/桌面云设置/策略管理/策略组]页面,选择新建/编辑策略组,在[策略选项]中,点击“独享桌面与windows应用策略”,点击<外发审计>,勾选“启用剪切板审计”。
- 接入虚拟机,拷贝文件,同时,登录报表中心,可以查看到相关的记录,如下图。
6.2.3.5. 分布式防火墙策略
目前分布式防火墙新增策略支持新建策略、复制策略与导入策略三种方式,可以满足不同场景配置防火墙策略的需要。
1.3.3.5.1.新建防火墙策略
操作场景
需要添加全新的防火墙策略时使用,可以基于源目对象与服务进行配置并指定优先级。
前提条件
无。
注意事项
- 单条策略选择的用户或者用户组数量不能超过200条;
- 单条策略选择的服务数量不能超过10条;
- 单条策略选择的IP组数量也不能超过200个;
- 分布式防火墙不支持Linux虚拟机,windows虚拟机必须要安装agent才会生效,暂不支持分级分权功能。
- 平台防火墙策略数目上限1000条,为保证最佳性能,每个虚拟机应用的策略数目建议不要超过100条。
操作步骤
- 登录VDC控制台,在[桌面云设置/策略管理/分布式防火墙策略]页面下,点击<新建>,选择“新建策略”,打开策略新建页面。
- 依据实际需求,配置相应分布式防火墙策略。
• 配置基础信息
参数
|
作用
|
名称
|
用于给策略命名,必填。
|
描述
|
用于配置策略用途等,可选填。
|
所属组
|
可以将该资源划入相应的策略分组,日后可以基于分组快速筛出相应策略,方便运维。
|
所属区域
|
多部门/机构/分组共用平台而在VDC上划分了多个区域的场景中,可以将该策略划入VDC上设定的某个区域,方便运维时快速识别策略用于哪个区域;单区域场景选择待分配区域即可。区域的划分可在[系统设置/管理员设置/区域]配置。
|
优先级
|
用于指定此条策略在平台上所有防火墙策略中生效次序,优先级数值越小,生效优先级越高。
|
• 配置源
源对象:用于指定此条策略匹配网络流量的源地址,支持选择IP组、用户和虚拟机;
IP组:支持单个IP地址(段)或多个IP地址(段)组合(单条策略最多选择200个IP组);
用户:支持选择VDC本地的用户或用户组(单条策略最多选择200个用户或用户组);
虚拟机:支持选择VDC创建的独享桌面资源组、独享桌面资源或者单个独享桌面虚拟机。
• 配置目的
目的对象:用于指定此条策略匹配网络流量的目的地址,支持选择IP组、用户和虚拟机。
服务:用于指定此条策略对哪种业务类型的网络流量进行匹配(单条策略最多选择10种服务)。
• 配置生效条件
动作:用于指定匹配到此策略的流量,防火墙做放通还是阻止拒绝动作。
1.3.3.5.2.复制已有防火墙策略
操作场景
需要添加的策略与现有策略类似时(如源/目对象相同等),可以使用复制快速新建与当前策略相同的分布式防火墙策略并修改,减少配置量。
前提条件
无。
注意事项
- 单条策略选择的用户或者用户组数量不能超过200条;
- 单条策略选择的服务数量不能超过10条;
- 单条策略选择的ip组数量也不能超过200个;
- 平台防火墙策略数目上限1000条,为保证最佳性能,每个虚拟机应用的策略数目建议不要超过100条。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 找到要复制的分布式防火墙策略,点击最后的<复制>按钮,打开策略新建页面(内容已以复制的策略填写好)。
- 根据实际需求对策略信息进行修改后点击<确定>,保存即可。
1.3.3.5.3.导入防火墙策略
操作场景
需要大批量创建基于IP组的防火墙策略时,可以通过导入防火墙策略的csv文件的方式进行创建,提高配置速度。
前提条件
无。
注意事项
- 单条策略选择的用户或者用户组数量不能超过200条;
- 单条策略选择的服务数量不能超过10条;
- 单条策略选择的IP组数量也不能超过200个;
- 平台防火墙策略数目上限1000条,为保证最佳性能,每个虚拟机应用的策略数目建议不要超过100条;
- 平台IP组数目上限为1000个;
- 导入防火墙策略只支持源目对象均为IP组的策略,基于用户或虚拟机的策略不支持导入。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 点击<导入按钮>,打开选择文件窗口,点击下载示例文件下载分布式防火墙策略导入的csv文件模板。
- 根据模板示例格式,依照安全需求完成策略填写。
csv文件内容以连续#号行为界分为上下两部分,上半部分为IP组配置,下半部分为设置分布式防火墙策略;
IP组配置可以设置策略要用到的IP组,会随策略一并导入;
分布式防火墙策略设置的各列属性栏所要填写内容与新建防火墙策略配置一致,各列属性的具体说明请参照上文的“新建防火墙策略”章节;
防火墙策略的动作属性,y表示允许,n表示拒绝;
其他属性为保留参数,留空即可。
1.3.3.5.4.新建防火墙策略分组
操作场景
对平台的分布式防火墙策略进行分类,以方便管理员进行管理和维护。
前提条件
无。
注意事项
分组仅提供策略的分类,策略的优先级仍然是在全部分组下一起进行排序的。
操作步骤
- 登录VDC控制台,在[桌面云设置/策略管理/分布式防火墙策略]页面下,点击<新建>,选择“新建分组”,打开策略分组新建页面。
- 依据实际规划,填写要新建的分组名称,点击<确认>即可。
1.3.3.5.5.修改防火墙策略
操作场景
当安全需求发生变化,平台上部分分布式防火墙策略规则需要调整时,可以将这些测试重新编辑修改。
前提条件
无。
注意事项
无。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 选中要修改的策略,点击<编辑按钮>,打开编辑页面,根据需求,对策略做调整即可。
1.3.3.5.6.删除防火墙策略
操作场景
当安全需求发生变化,平台上部分分布式防火墙策略不再需要时,可以将这些策略删除。
前提条件
无。
注意事项
无。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 勾选需要删除的策略,点击<删除>按钮,在弹出的确认窗口选择<确定>,即可完成防火墙策略删除。
1.3.3.5.7.删除防火墙策略分组
操作场景
当安全需求发生变化,平台上部分分布式防火墙策略分组不再需要时,可以将这些策略分组删除。
前提条件
无。
注意事项
- 若策略分组下还有未清空的策略,则默认不能删除,需要在确认对话框中勾选“删除分组,同时删除组内所有策略”后才可删除。
- 默认分组无法删除。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 选中需要删除的策略分组,点击<删除>按钮,在弹出的确认窗口选择<确定>,即可完成防火墙策略删除。
1.3.3.5.8. 禁用防火墙策略
操作场景
当安全需求临时发生变化或者出现异常拦截问题需要排查,需要让平台上部分分布式防火墙策略临时失效时,可以将这些策略禁用,事后再重新启用避免策略反复配置。
前提条件
无。
注意事项
无。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 勾选需要禁用的策略,点击<禁用>按钮,即可完成防火墙策略禁用。
1.3.3.5.9.防火墙策略查询
操作场景
- 管理员运维过程中需要确认某个用户、虚拟机或IP匹配的策略时使用。
- 支持根据源或目的对象:用户、虚拟机、IP进行精确关联搜索,比如输入用户user,则用user、user所关联的虚拟机以及user关联虚拟机的IP所配置的分布式防火墙策略全部都可以搜索出来,便于管理员分析策略冲突,进行排障。
前提条件
无。
注意事项
无。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 选择搜索条件,填入搜索关键字并回车即可进行搜索。
• 按名称:以策略的名称为检索范围进行搜索,记得要搜索策略的名称关键字时可以使用;
• 按描述:以策略的描述为检索范围进行搜索,要搜索的策略有设置描述内容时可以使用;
• 按源对象:以策略配置的源对象为检索范围进行搜索,支持基于用户、虚拟机和IP,要搜索对特定源对象生效的策略时可以使用;
• 按目的对象:以策略配置的目的对象为检索范围进行搜索,支持基于用户、虚拟机和IP,要搜索对特定目的对象生效的策略时可以使用。
1.3.3.5.10.防火墙策略优先级调整
操作场景
分布式防火墙策略按照列表从上往下的顺序,对流量进行规则匹配,匹配即止不再往下匹配,因此优先级数字越低,策略优先级越高。在策略调试/排错等场景下,需要调整部分策略生效优先级时使用。
前提条件
无。
注意事项
无。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 勾选需要调整优先级的策略,点击<移动>按钮,根据需求选择相应操作即可完成优先级调整。
• 置顶:将选中的策略移动到所有策略最前面(变成最高优先级);
• 上移:将选中的策略向上移动一个(提高一个优先级);
• 下移:将选中的策略向下移动一个(降低一个优先级);
• 移动到指定位置:将选中的策略移动到指定的策略之前或之后。
1.3.3.5.11.直通
操作场景
在分布式服务器策略配置异常,导致虚拟机业务中断又无法快速定位是哪个策略问题时,可以通过配置直通让问题地址段临时不应用防火墙策略,以实现快速恢复业务。
前提条件
无。
注意事项
无。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 点击<开启直通>按钮,在弹出的开启直通窗口,根据实际需求,可选择对全部IP都放通,还是只对特定几个IP地址(段)放通。
- 开启直通后,分布式防火墙策略管理页面会有直通开启的提示,点击<关闭直通>即可将之前开启的直通关闭。
1.3.3.5.12.高级权限设置
分布式防火墙的高级权限设置包含“虚拟机agent异常时,禁用虚拟机网络访问”和“VDC不受分布式防火墙策略管控”两个功能。
1.虚拟机agent异常时,禁用虚拟机网络访问
操作场景
启用此功能后,当出现虚拟机agent异常导致无法上报IP时,将自动禁用虚拟机网络访问,防止因分布式防火墙策略失效导致安全问题。
前提条件
平台使用的是windows系统的云桌面。
注意事项
此策略仅对VDC派生的windows虚拟机有效。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 点击<高级设置>按钮,在弹出的高级设置页面勾选“虚拟机agent异常时,禁用虚拟机网络访问”即可开启。
2.VDC不受分布式防火墙策略管控(默认启用)
操作场景
为防止管理员误配置VDC在内的网络禁用策略,导致虚拟机内无法访问到VDC地址时使用。在极端情况下,如果集群内虚拟机中病毒,无法定位具体的虚拟机,为防止VDC受到病毒感染,可以关闭此功能,再设置分布式防火墙策略禁止集群内虚拟机访问VDC网络。一般情况此功能推荐开启,谨慎禁用。
前提条件
无。
注意事项
- 此配置只对软件VDC生效;
- 此配置只对虚拟机IP为源,软件VDC的IP为目的的流量放通。
操作步骤
- 登录VDC控制台,点击[桌面云设置/策略管理/分布式防火墙策略],打开分布式防火墙策略管理页面。
- 点击<高级设置>按钮,在弹出的高级设置页面勾选“VDC不受分布式防火墙策略管控”即可启用,取消勾选即禁用。
6.2.3.6.临时权限
操作场景
管理员为部分用户在某个时段内临时放通USB存储、PC剪切板等读写权限或文件导出审计权限,并在到期后自动回收相关权限。方便管理的同时,防止权限滥用导致的数据泄密,保证了数据安全。
前提条件
无。
注意事项
- 判断权限超时要以VDC时间为准。
- 一条临时权限只能开通一个用户。
操作步骤
- 登陆VDC控制台, 在[桌面云设置/策略管理/临时策略]的页面下,点击<新建>,跳转至“开通临时权限”页面。
- 配置临时权限基本属性,包括开通用户名,配置开通起始、结束时间及原因等。
:
外部用户名需手动输入,如果是AD域账号,必须输入全小写形式的名称。
- 配置开通权限。权限包含文件外发、USB白名单和应用控制,根据实际情况配置。
- 用户重新登录后权限生效。