1、SSL VPN安全桌面功能培训,SANGFOR SSL 安全桌面功能介绍,安全桌面典型应用案例及配置,深信服公司简介,练练手,SANGFOR SSL,SANGFOR SSL 安全桌面功能介绍,SANGFOR SSL VPN的安全桌面功能,能为接入SSL VPN的用户生成一个虚拟的工作环境。 在此虚拟工作环境中,用户所有的文件操作都是虚拟的,安全桌面和真实电脑桌面的进程也都是隔离的。同时可以限制用户在安全桌面内访问的网段,是否允许安全桌面本地通信,是否允许使用打印机和COM口,选择远程应用程序运行在安全桌面或电脑桌面。通过这样的方式来保护通过VPN下载的服务器数据的安全性,避免数据外泄的风险。
2、当用户离开安全桌面时,安全桌面内的资料数据可以选择是否强制或可选删除、安全桌面文件明文导出,还有离线访问、安全桌面下支持USER权限用户、本地通讯白名单、支持保护L3VPN资源的文件共享、安全桌面进程白名单,插件代理安装等等。,安全桌面功能应用要求,1. 安全桌面功能需要序列号授权方能使用。,2. 需要在安全桌面内访问的资源,必须添加为TCP应用类型、L3VPN里面的TCP/UDP协议类型,以及可以设置远程应用资源必须在安全桌面内访问。,安全桌面功能设置,安全桌面功能设置:,安全桌面功能设置,安全桌面功能设置:,一,离线访问安全桌面功能,使用场景:外出或在家办公离线时,可以打开安全桌面访问安全
3、桌面内的文档。,配置操作:组策略启用离线访问安全桌面用户配置绑定usb-key,安全桌面功能设置,注意事项:离线访问时,需要插入V2的key,key里面烧入了用户信息和解密安全桌面数据的密钥。可支持同一个key认证和离线登录不支持第三方key;离线访问时,只支持文件重定向、注册表重定向和桌面切换功能,不支持导出文件。可离线访问的时间通过组策略限制,用户也可查看剩余60、40、20、10分钟时会弹出窗口提示;key用户在线后插key可充满时长(要在登录时插入)。,安全桌面功能设置,一,离线访问安全桌面功能,用户可自行绑定usb-key离线key,降低部署成本,安全桌面功能设置,一,离线访问,管理
4、员可配置强制删除或保留,也可以让用户自行选择设置了退出删除,如果异常掉电或电脑重启,文件不会删除,下次登录可正常使用。,二,退出操作,安全桌面功能设置,支持XP, WIN7 和WIN 8的32位和64位操作系统,以及WIN2003 32位操作系统。不支持保护L3VPN的ICMP资源和WEB 应用资源。,三,支持保护TCP/L3VPN的TCP和UDP资源,安全桌面功能设置,应用场景:可配置允许放行 的进程才能在安全桌面中运行使用,降低泄密风险。默认放行explorer.exe;ctfmon.exe;verclsid.exe;iexplorer.exe,四,安全桌面进程白名单,注意:安全桌面进程白
5、名单不启用的话,默认是放行所有进程。,安全桌面功能设置,应用场景:适用于用在已经部署了安全桌面的情况下,新部署的系统需要安装插件,且需要在安全桌面中用。步骤:1,取到插件的文件名称和签名名称,五,插件代理安装,安全桌面功能设置,2,配置并关联组策略3,用户登录VSP后,在安全桌面中就可以直接安装此插件,五,插件代理安装,安全桌面功能设置,配置了代理安装插件,没有配置代理安装插件,五,插件代理安装,安全桌面功能设置,安全桌面下,插件代理安装是否启用,有不同的回显提示:,启用效果:安全桌面启动后,桌面上只有“我的电脑”等系统图标未启用效果:和默认电脑桌面图标保持一致,六,干净桌面,安全桌面功能设置
6、,用户可自定义安全桌面壁纸,也可以使用管理员上传的壁纸,七,安全桌面标题和壁纸可自定义,安全桌面功能设置,安全桌面典型应用案例及配置,客户内网有两台服务器,一个是文件共享服务器,另一个是OA服务器(BS架构,计划发布成远程应用),需要将这台服务器发布出去,给SSL用户提供远程办公,1. 客户网络环境,文件共享服务器,OA服务器,安全桌面典型应用案例及配置,1)共享服务器和OA服务器下载的资料,禁止复制泄漏出去。 2)安全桌面内禁止上外网,只允许访问内网网段。 3)打开安全桌面不显示本地桌面已安装程序的快捷方式和文件。 4) 安全桌面内只允许运行word程序,不允许运行其他程序。,2. 客户需求
7、,安全桌面典型应用案例及配置,需求 1):共享服务器和OA服务器下载的资料,禁止复制泄漏出去。,3. 配置步骤及思路,(1) 将共享服务器设置成L3VPN的fileshare资源,OA服务器设置成远程应用资源(2)在数据安全,设置远程应用只能运行在安全桌面(3)将文件共享资源保护资源列表,限制该资源只能运行在安全桌面,安全桌面典型应用案例及配置,(1)禁止“允许使用COM口”、“允许使用打印机”防止用户通过外交设备传输资料(2)禁止“允许安全桌面本地通讯”防止用户在安全桌面和默认桌面进行数据通信(3)文件导出选择:禁止导出,禁止将安全桌面内的资料导出到默认桌面 注:安全桌面内默认是禁止截屏,禁
8、止将安全桌面的文件复制到默认桌面的,此时点击文件导出的按钮就变灰了,安全桌面典型应用案例及配置,需求 2):安全桌面内禁止上外网,只允许访问内网网段,添加安全桌面内允许访问的网段,不在“可访问网段”中的网段禁止访问。注:要让网段限制生效一定要安装TCP应用控件,如果使用该策略组的用户只有WEB应用资源,可以随意关联一个TCP应用来保证能安装上TCP应用控件。,安全桌面典型应用案例及配置,需求3):打开安全桌面不显示本地桌面已安装程序的快捷方式和文件。,勾选“强制使用干净桌面”则安全桌面启动后,桌面上只有“我的电脑”等系统图 标,不勾选的话,安全桌面启动后,安全桌面的图标和本地桌面的图标一致。,
9、安全桌面典型应用案例及配置,用户可以自定义是否使用干净桌面,下次重启安全桌面时生效。,如果不勾选“强制使用干净桌面”,客户端电脑也可在系统托盘自行开启:,安全桌面典型应用案例及配置,需求4):安全桌面内只允许运行word程序,不允许允许其他程序,(1)通过电脑的windows任务管理器查看word程序的进程名为“WINWORD.EXE”,安全桌面典型应用案例及配置,(2)右键点击word程序查看属性,可以查看word程序的“描述”“MD5值”等属性,注:此处查看的属性,不是word快捷方式,而是实际程序,可以进入word安装目录查看,安全桌面典型应用案例及配置,(3)策略组管理-进程组列表,添
10、加word进程,如下图:,添加(1)和(2)步骤获得的word程序的进程名称和描述,安全桌面典型应用案例及配置,(4)将设置好的word进程添加到“安全桌面进程白名单”,最后将策略关联给用户即可。,想一想,1. 通过安全桌面保存在电脑某个磁盘下的文件,切换回本地桌面时,是否仍然可以打开?,答: 用户退出安全桌面后,在安全桌面内产生文件将被删除。 用户切换回本地桌面后,将看不到在安全桌面内保存的文件,防止通过本地桌面进行传播和泄密。,2. 为什么不能在安全桌面内截图,然后粘贴到本地桌面呢?,答:为了防止通过截图的方式将安全桌面内的内容泄露出去,拦截了安全桌面和本地桌面的剪切板的通信。当用户从安全桌面切换到本地桌面时,自动清空剪切板的内容。只在安全桌面内使用剪切板是可以的。,练练手,某客户希望实现所有移动办公组的用户通过SSL VPN接入,只能在安全桌面内访问总部的订单系统(http:/),可以使用打印机和COM口,且不允许安全桌面和本地内网进行通信。 如何配置实现客户的需求呢?,问题思考,是否所有的资源均可实现在安全桌面内访问?为什么?,3. 是否可以控制用户通过安全桌面和局域网的通信?如果可以,该如何设置实现?,2. 是否可以通过安全桌面功能禁止用户接入SSL VPN后使用电脑的USB口?,,
