深信服SSL渠道高級認(rèn)證培訓(xùn)06-安全桌面功能進階培訓(xùn)

SSLVPN安全桌面功能培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)安全桌面功能介紹1.掌握SSL安全桌面的基本原理和高級功能安全桌面高級配置1.掌握安全桌面功能的高級配置2、掌握安全桌面的注意事項SANGFORSSL安全桌面功能介紹安全桌面高級配置和注意事項深信服公司簡介練練手SANGFORSSLSANGFORSSL安全桌面功能介紹SANGFORSSLVPN的安全桌面功能，能為接入SSLVPN的用戶生成一個虛擬的工作環(huán)境。

在此虛擬工作環(huán)境中，用戶所有的文件操作都是虛擬的，安全桌面和真實電腦桌面的進程也都是隔離的。同時可以限制用戶在安全桌面內(nèi)訪問的網(wǎng)段，是否允許使用打印機和COM口等，通過這樣的方式來保護通過VPN下載的服務(wù)器數(shù)據(jù)的安全性，避免數(shù)據(jù)外泄的風(fēng)險。當(dāng)用戶離開安全桌面時，所有下載的資料以及用戶在安全桌面內(nèi)的所有操作將被刪除。知識回顧：什么是SSL安全桌面？安全桌面保護的對象SSL安全桌面可以阻止用戶通過以上途徑泄漏重要數(shù)據(jù)！思考：登錄SSL使用應(yīng)用時，用戶可以通過哪些途徑泄漏數(shù)據(jù)？安全桌面基本原理1、注冊表重定向除HKEY_CURRENT_USER以外的鍵的寫操作都會被攔截，只允許讀操作。而對HKEY_CURRENT_USR的所有操作都是允許，但是會被重定向至HKEY_USERS主鍵下子鍵$HKCU$，對注冊表做的修改都會保存$HKCU$安全桌面中對注冊表的修改都是對重定向之后的注冊表的修改，退出安全桌面即會恢復(fù)。很好的保護了電腦系統(tǒng)和禁止用戶通過注冊表泄漏數(shù)據(jù)。安全桌面基本原理2、文件重定向用戶在安全桌面中所產(chǎn)生或者所修改的文件，都是經(jīng)過加密和重定向，被重定向的文件以及重定向后的路徑需要保存起來。重定向后的文件，被保存到當(dāng)前磁盤的$SD$目錄下。在每個磁盤的根目錄下，存在一個隱藏的文件夾，下面存放了對應(yīng)的重定向的文件。思考：打開安全桌面時，如果插入一個U盤，能否把安全桌面里面的資料拷走？答案：在安全桌面里對U盤中文件的操作也會被重定向，脫離安全桌面之后即會恢復(fù)，所以無法通過U盤拷走資料，包括對U盤中文件的編輯修改也會恢復(fù)原狀。安全桌面基本原理3、網(wǎng)絡(luò)訪問權(quán)限的控制通過ProxyIE控件進行網(wǎng)絡(luò)控制。安全桌面啟動后，proxyie.dll會注入各運行的程序中，然后根據(jù)不同的網(wǎng)絡(luò)訪問權(quán)限策略放通或丟棄相應(yīng)的數(shù)據(jù)包。注：1、只能控制TCP和UDP應(yīng)用，無法控制ICMP應(yīng)用。2、SSL安全桌面要讓網(wǎng)段限制生效需要安裝TCP應(yīng)用控件，如果使用該組策略的用戶只有WEB應(yīng)用資源，可以隨意關(guān)聯(lián)一個TCP應(yīng)用來保證能安裝上TCP應(yīng)用控件。4、外接設(shè)備攔截例如COM口的攔截，COM口的打開需要調(diào)用NtCreateFile這個函數(shù)，先判斷配置中是否允許使用COM口，若允許則向下傳遞請求，若不允許則返回失敗。對打印機、U盤的封堵原理類似，不累贅講述。安全桌面高級配置1、離線登錄安全桌面-功能介紹功能簡介：SSLM5.7之后版本支持在離線狀態(tài)下（無法連接到SSL的情況下）打開安全桌面。使用場景：用戶外出或在家辦公無法連接SSL時，可以打開安全桌面并訪問安全

桌面中的文件（安全桌面的文件在默認(rèn)桌面是加密的，無法直接訪問）。基本要求：離線登錄安全桌面需要配合DKEY使用，DKEY里面燒入了用戶信息和

解密安全桌面數(shù)據(jù)的密鑰。安全桌面高級配置1、離線登錄安全桌面-配置步驟1、策略組管理---安全桌面，勾選“啟用離線訪問功能”，設(shè)置允許離線訪問的時長2、插入USB-KEY，新建用戶，創(chuàng)建USB-KEY用戶時，勾選“允許離線登錄安全桌面”創(chuàng)建之后,點擊“保存”并“配置生效”，DKEY用戶才是創(chuàng)建完畢。安全桌面高級配置1、離線登錄安全桌面-配置步驟3、如果是之前已經(jīng)創(chuàng)建好的DKEY用戶，現(xiàn)在需要給他開啟離線登錄安全桌面的功能，可以將該DKEY插入電腦，編輯該用戶，在“離線訪問”，點擊“綁定USB-KEY”：綁定之后，該DKEY用戶即被允許離線登錄安全桌面：安全桌面高級配置1、離線登錄安全桌面-客戶端登錄測試客戶端電腦通過開始---所有程序---SSLVPN登錄客戶端，點擊離線登錄安全桌面：輸入pin碼登錄：通過系統(tǒng)托盤，可以查看離線訪問剩余時間：安全桌面高級配置1、離線登錄安全桌面-注意事項1、離線訪問時，需要插入V2版本DKEY，DKEY里面燒入了用戶信息和解密安全

桌面數(shù)據(jù)的密鑰。2、可支持同一個DKEY認(rèn)證和離線登錄。3、不支持第三方DKEY。4、離線訪問時，只支持文件重定向、注冊表重定向和桌面切換功能，不支持導(dǎo)出

文件。5、可離線訪問的時間通過策略組限制，用戶可以在系統(tǒng)托盤查看。6、DKEY用戶在線后插DKEY可充滿時長（要在登錄時插入）。安全桌面高級配置2、安全桌面進程白名單-功能介紹可以通過安全桌面進程白名單功能，允許在安全桌面運行哪些進程，不勾選啟用此功能則默認(rèn)放通所有進程。安全桌面高級配置2、安全桌面進程白名單-配置步驟案例：安全桌面內(nèi)只允許運行word程序，不允許允許其他程序。(1)通過電腦的windows任務(wù)管理器查看word程序的進程名為“WINWORD.EXE”(2)右鍵點擊word程序查看屬性，可以查看word程序的“描述”、“MD5值”等屬性注：此處查看的屬性，不是word快捷方式，而是實際程序，可進入word的安裝目錄查看。安全桌面高級配置2、安全桌面進程白名單-配置步驟(3)策略組管理---進程組列表，添加word進程，如下圖：添加（1）和（2）步驟獲得的word程序的進程名稱和描述(4)將設(shè)置好的word進程添加到“安全桌面進程白名單”,最后將策略組關(guān)聯(lián)給用戶即可。安全桌面高級配置2、安全桌面文件導(dǎo)出-功能介紹SSL5.7版本之后安全桌面支持文件導(dǎo)出功能，需要配合外置數(shù)據(jù)中心使用，如果沒安裝外置數(shù)據(jù)中心或者外置數(shù)據(jù)中心異常，則無法實現(xiàn)文件導(dǎo)出功能。安裝外置數(shù)據(jù)中心的原因是審計保存從安全桌面中導(dǎo)出的文件。注：SSL外置數(shù)據(jù)中心DC5.7的安裝與配置請參考《SSL特殊需求配置指導(dǎo)培訓(xùn)》PPT。安全桌面注意事項1、安全桌面功能需要序列號開通2、安全桌面文件導(dǎo)出審計功能,需要搭建DC5.7專用數(shù)據(jù)中心3、安全桌面本地通信，勾選后為全局允許，去掉勾選，設(shè)置本地進程通訊白名

單才有意義4、SSL安全桌面從M5.7版本開始支持win764位系統(tǒng)，從M6.0版本開始支持

32/64位WIN8系統(tǒng)。5、兼容AC4.0的安全桌面，支持同時安裝，不支持同時運行6、安全桌面不支持代理環(huán)境、流緩存功能7、建議使用1G以上內(nèi)存電腦啟用安全桌面。練練手某客戶希望實現(xiàn)所有移動辦公組的用戶通過SSLVPN接入，只能在安全桌面內(nèi)訪問遠程應(yīng)用發(fā)布資源，安