SANGFOR_SSL_v61_2013年度培训09_安全桌面功能培训_20130725

SSLVPN安全桌面功能培训培训内容培训目标安全桌面功能介绍1.掌握SSL安全桌面的基本功能和应用场景安全桌面典型应用案例及配置1.掌握安全桌面功能的配置思路和配置方法SANGFORSSL安全桌面功能介绍安全桌面典型应用案例及配置深信服公司简介练练手SANGFORSSLSANGFORSSL安全桌面功能介绍SANGFORSSLVPN的安全桌面功能，能为接入SSLVPN的用户生成一个虚拟的工作环境。在此虚拟工作环境中，用户所有的文件操作都是虚拟的，安全桌面和真实电脑桌面的进程也都是隔离的。同时可以限制用户在安全桌面内访问的网段，是否允许安全桌面本地通信，是否允许使用打印机和COM口，选择远程应用程序运行在安全桌面或电脑桌面。通过这样的方式来保护通过VPN下载的服务器数据的安全性，避免数据外泄的风险。当用户离开安全桌面时，安全桌面内的资料数据可以选择是否强制或可选删除、安全桌面文件明文导出，还有离线访问、安全桌面下支持USER权限用户、本地通讯白名单、支持保护L3VPN资源的文件共享、安全桌面进程白名单，插件代理安装等等。安全桌面功能应用要求1.安全桌面功能需要序列号授权方能使用。2.需要在安全桌面内访问的资源，必须添加为TCP应用类型、L3VPN里面的TCP/UDP协议类型，以及可以设置远程应用资源必须在安全桌面内访问。安全桌面功能设置安全桌面功能设置：安全桌面内允许访问的网段安全桌面内允许安装的插件安全桌面内允许访问的资源允许安全桌面和本地桌面进程之间的通信安全桌面内允许使用的进程安全桌面功能设置安全桌面功能设置：开启安全桌面功能开启用户离线访问设置远程应用允许运行的桌面设置退出时数据的处理手段设置文件是否允许导出安全桌面内的体验选项安全桌面内的访问权限一，离线访问安全桌面功能–使用场景：外出或在家办公离线时，可以打开安全桌面访问安全桌面内的文档。–配置操作：•组策略启用离线访问安全桌面•用户配置绑定usb-key安全桌面功能设置–注意事项：•离线访问时，需要插入V2的key，key里面烧入了用户信息和解密安全桌面数据的密钥。•可支持同一个key认证和离线登录•不支持第三方key；•离线访问时，只支持文件重定向、注册表重定向和桌面切换功能，不支持导出文件。•可离线访问的时间通过组策略限制，用户也可查看•剩余60、40、20、10分钟时会弹出窗口提示；•key用户在线后插key可充满时长（要在登录时插入）。安全桌面功能设置一，离线访问安全桌面功能用户可自行绑定usb-key离线key，降低部署成本安全桌面功能设置一，离线访问•管理员可配置强制删除或保留，也可以让用户自行选择•设置了退出删除，如果异常掉电或电脑重启，文件不会删除，下次登录可正常使用。二，退出操作安全桌面功能设置•支持XP,WIN7和WIN8的32位和64位操作系统，以及WIN200332位操作系统。•不支持保护L3VPN的ICMP资源和WEB应用资源。三，支持保护TCP/L3VPN的TCP和UDP资源安全桌面功能设置•应用场景：可配置允许放行的进程才能在安全桌面中运行使用，降低泄密风险。•默认放行explorer.exe;ctfmon.exe;verclsid.exe;iexplorer.exe四，安全桌面进程白名单注意：安全桌面进程白名单不启用的话，默认是放行所有进程。安全桌面功能设置•应用场景：适用于用在已经部署了安全桌面的情况下，新部署的系统需要安装插件，且需要在安全桌面中用。•步骤：–1，取到插件的文件名称和签名名称五，插件代理安装安全桌面功能设置–2，配置并关联组策略–3，用户登录VSP后，在安全桌面中就可以直接安装此插件五，插件代理安装安全桌面功能设置配置了代理安装插件没有配置代理安装插件五，插件代理安装安全桌面功能设置安全桌面下，插件代理安装是否启用，有不同的回显提示：–启用效果：安全桌面启动后，桌面上只有“我的电脑”等系统图标–未启用效果：和默认电脑桌面图标保持一致六，干净桌面安全桌面功能设置•用户可自定义安全桌面壁纸，也可以使用管理员上传的壁纸七，安全桌面标题和壁纸可自定义安全桌面功能设置安全桌面典型应用案例及配置客户内网有两台服务器，一个是文件共享服务器，另一个是OA服务器（BS架构，计划发布成远程应用），需要将这台服务器发布出去，给SSL用户提供远程办公1.客户网络环境文件共享服务器OA服务器安全桌面典型应用案例及配置1）共享服务器和OA服务器下载的资料，禁止复制泄漏出去。2）安全桌面内禁止上外网，只允许访问内网网段。3）打开安全桌面不显示本地桌面已安装程序的快捷方式和文件。4）安全桌面内只允许运行word程序，不允许运行其他程序。2.客户需求安全桌面典型应用案例及配置需求1）：共享服务器和OA服务器下载的资料，禁止复制泄漏出去。3.配置步骤及思路（1）将共享服务器设置成L3VPN的fileshare资源，OA服务器设置成远程应用资源（2）在数据安全，设置远程应用只能运行在安全桌面（3）将文件共享资源保护资源列表，限制该资源只能运行在安全桌面安全桌面典型应用案例及配置（1）禁止“允许使用COM口”、“允许使用打印机”防止用户通过外交设备传输资料（2）禁止“允许安全桌面本地通讯”防止用户在安全桌面和默认桌面进行数据通信（3）文件导出选择：禁止导出，禁止将安全桌面内的资料导出到默认桌面注：安全桌面内默认是禁止截屏，禁止将安全桌面的文件复制到默认桌面的此时点击文件导出的按钮就变灰了安全桌面典型应用案例及配置需求2）：安全桌面内禁止上外网，只允许访问内网网段添加安全桌面内允许访问的网段，不在“可访问网段”中的网段禁止访问。注：要让网段限制生效一定要安装TCP应用控件，如果使用该策略组的用户只有WEB应用资源，可以随意关联一个TCP应用来保证能安装上TCP应用控件。安全桌面典型应用案例及配置需求3）：打开安全桌面不显示本地桌面已安装程序的快捷方式和文件。勾选“强制使用干净桌面”则安全桌面启动后，桌面上只有“我的电脑”等系统图标，不勾选的话，安全桌面启动后，安全桌面的图标和本地桌面的图标一致。安全桌面典型应用案例及配置用户可以自定义是否使用干净桌面，下次重启安全桌面时生效。如果不勾选“强制使用干净桌面”，客户端电脑也可在系统托盘自行开启：安全桌面典型应用案例及配置需求4）：安全桌面内只允许运行word程序，不允许允许其他程序（1）通过电脑的windows任务管理器查看word程序的进程名为“WINWORD.EXE”安全桌面典型应用案例及配置（2）右键点击word程序查看属性，可以查看word程序的“描述”“MD5值”等属性注：此处查看的属性，不是word快捷方式，而是实际程序，可以进入word安装目录查看安全桌面典型应用案例及配置（3）策略组管理---进程组列表，添加word进程，如下图：添加（1）和（2）步骤获得的word程序的进程名称和描述安全桌面典型应用案例及配置（4）将设置好的word进程添加到“安全桌面进程白名单”最后将策略关联给用户即可。想一想1.通过安全桌面保存在电脑某个磁盘下的文件，切换回本地桌面时，是否仍然可以打开？答：用户退出安全桌面后，在安全桌面内产生文件将被删除。用户切换回本地桌面后，将看不到在安全桌面内保存的文件，防止通过本地桌面进行传播和泄密。2.为什么不能在安全桌面内截图，然后粘贴到本地桌面呢？答：为了防止通过截图的方式将安全桌面内的内容泄露出去，拦截了安全桌面和本地桌面的剪切板的通信。当用户从安全桌面切换到本地桌面时，自动清空剪切板的内容。只在安全桌面内使用剪切板是可以的。练练手某客户希望实现所有移动办公组的用户通过SSLVPN接入，只能在安全桌面内访问总部的订单系统（），可以使用打印机和COM口，且不允许安全桌面和本地内网进行通信。如何配置实现客户的需求呢？问题思考1.是否所有的资源均可实现在安全桌面内访问？为什么？3.是否可以控制用户通过安全桌面和局域网的通信？如果可以，该如何设置实现？2.是否可以通过安全桌面功能禁止用户接入SSLVPN后使用电脑的USB口？