更新时间:2023-11-24
场景一:防勒索病毒
操作场景
部署了云桌面后,通过云桌面和杀毒软件结合部署,防勒索病毒场景。
需求示例
- 如何预防:开启EDR实时防护功能(文件实时防护、webshell检测、暴力破解检测等);
- 事中检测:开启EDR定时查杀功能(在非业务时间段,对虚拟机进行病毒查杀,查杀结束对带有病毒文件进行隔离);
- 事后处置:如果不幸真有终端中了勒索病毒后,可以通过虚拟机的快照策略进行恢复到指定时间节点,避免数据全部丢失风险。
配置步骤
- 在虚拟机中打上了勒索补丁;
- 参考《桌面云_EDR结合部署指导》“运维管理指导章节”满足[需求示例]前2点需求。
- 自动备份策略,参考《深信服超融合HCI-用户手册》“虚拟机容灾与备份”章节相关内容。
场景二:数据防泄密
操作场景
客户对数据的要求较高的场景,通过禁用USB存储器/开启屏幕水印等功能,降低数据泄密的风险。
需求示例
- 开发测试场景用户,不能随意将公司的源代码文件拷贝出去,通过禁用USB存储设备策略,即可实现无法将云桌面的文件拷贝到移动硬盘;
- 防止用户通过拍照/截屏等形式泄露数据,管理员可通过屏幕水印策略实现溯源,起到一定震慑性
- PC利旧场景,允许用户将虚拟机的文件拷贝到本地PC上;防止泄露重要数据,可利用文件审计功能,对导出的文件大小进行限制,且必要时可审计文件导出的内容。
- 开发场景,每个用户有两个桌面一个桌面用于上网,另外一个用于办公,允许将上网桌面的文件拷贝到开发桌面,开发桌面的文件不能外发。
配置方案
- 盒子终端接入:屏幕水印+录屏审计(可选)+禁用USB口
• 开启屏幕水印功能,参考“屏幕水印”章节;
• 搭建第三方录屏审计平台(华夏威科),实时审计用户操作行为(可选);
• 禁用USB存储设备,参考“USB设备访问控制”章节。
- PC客户端接入:屏幕水印+录屏审计(可选)+文件审计+PC防截屏
• 开启屏幕水印功能,参考“屏幕水印”章节;
• 搭建第三方录屏审计平台(华夏威科),实时审计用户操作行为(可选);
• 启用外发审计功能,文件导出行为将被记录和审计,参考“外发审计”章节;
• 开启PC防截屏/防录屏功能,参考“PC防截屏/防录屏”章节。
- 通过使用嵌入登录,在开发桌面里再登录上网桌面,可通过单向拷贝策略或者文件审计策略满足开发场景办公人员对拷贝文件的需求。
场景三:单个用户关联多个资源虚拟机策略权限不一样
操作场景
终端用户拥有多个桌面时,管理员希望给不同的桌面设置不同的虚拟机策略。
需求示例
- VDI单个用户关联个两个虚拟机资源,一个内网办公桌面,另一个是上网桌面;
- 内网办公桌面可以允许USB打印设备,但是不能使用USB存储设备;
- 上网桌面可以使用USB存储设备,但是不能使用USB打印设备。
配置步骤
- 新建策略组A,策略勾选[允许USB打印机],不允许[USB存储设备],关联给内网办公虚拟机;
- 新建策略组B,策略勾选[允许USB器]读写模式;不允许[USB打印机],关联给上网桌面虚拟机;
- 如有其他策略权限控制需求请参考“独享桌面与Windows应用策略”章节;
- 为虚拟机单独关联策略组的操作方法,可参考本文档“关联策略组”章节内容。
建议使用Chrome浏览器访问!
