深信服SSL渠道高級(jí)認(rèn)證培訓(xùn)06-安全桌面功能進(jìn)階培訓(xùn)

SSLVPN安全桌面功能培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)安全桌面功能介紹1.掌握SSL安全桌面的基本原理和高級(jí)功能安全桌面高級(jí)配置1.掌握安全桌面功能的高級(jí)配置2、掌握安全桌面的注意事項(xiàng)SANGFORSSL安全桌面功能介紹安全桌面高級(jí)配置和注意事項(xiàng)深信服公司簡(jiǎn)介練練手SANGFORSSLSANGFORSSL安全桌面功能介紹SANGFORSSLVPN的安全桌面功能，能為接入SSLVPN的用戶生成一個(gè)虛擬的工作環(huán)境。

在此虛擬工作環(huán)境中，用戶所有的文件操作都是虛擬的，安全桌面和真實(shí)電腦桌面的進(jìn)程也都是隔離的。同時(shí)可以限制用戶在安全桌面內(nèi)訪問(wèn)的網(wǎng)段，是否允許使用打印機(jī)和COM口等，通過(guò)這樣的方式來(lái)保護(hù)通過(guò)VPN下載的服務(wù)器數(shù)據(jù)的安全性，避免數(shù)據(jù)外泄的風(fēng)險(xiǎn)。當(dāng)用戶離開安全桌面時(shí)，所有下載的資料以及用戶在安全桌面內(nèi)的所有操作將被刪除。知識(shí)回顧：什么是SSL安全桌面？安全桌面保護(hù)的對(duì)象SSL安全桌面可以阻止用戶通過(guò)以上途徑泄漏重要數(shù)據(jù)！思考：登錄SSL使用應(yīng)用時(shí)，用戶可以通過(guò)哪些途徑泄漏數(shù)據(jù)？安全桌面基本原理1、注冊(cè)表重定向除HKEY_CURRENT_USER以外的鍵的寫操作都會(huì)被攔截，只允許讀操作。而對(duì)HKEY_CURRENT_USR的所有操作都是允許，但是會(huì)被重定向至HKEY_USERS主鍵下子鍵$HKCU$，對(duì)注冊(cè)表做的修改都會(huì)保存$HKCU$安全桌面中對(duì)注冊(cè)表的修改都是對(duì)重定向之后的注冊(cè)表的修改，退出安全桌面即會(huì)恢復(fù)。很好的保護(hù)了電腦系統(tǒng)和禁止用戶通過(guò)注冊(cè)表泄漏數(shù)據(jù)。安全桌面基本原理2、文件重定向用戶在安全桌面中所產(chǎn)生或者所修改的文件，都是經(jīng)過(guò)加密和重定向，被重定向的文件以及重定向后的路徑需要保存起來(lái)。重定向后的文件，被保存到當(dāng)前磁盤的$SD$目錄下。在每個(gè)磁盤的根目錄下，存在一個(gè)隱藏的文件夾，下面存放了對(duì)應(yīng)的重定向的文件。思考：打開安全桌面時(shí)，如果插入一個(gè)U盤，能否把安全桌面里面的資料拷走？答案：在安全桌面里對(duì)U盤中文件的操作也會(huì)被重定向，脫離安全桌面之后即會(huì)恢復(fù)，所以無(wú)法通過(guò)U盤拷走資料，包括對(duì)U盤中文件的編輯修改也會(huì)恢復(fù)原狀。安全桌面基本原理3、網(wǎng)絡(luò)訪問(wèn)權(quán)限的控制通過(guò)ProxyIE控件進(jìn)行網(wǎng)絡(luò)控制。安全桌面啟動(dòng)后，proxyie.dll會(huì)注入各運(yùn)行的程序中，然后根據(jù)不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限策略放通或丟棄相應(yīng)的數(shù)據(jù)包。注：1、只能控制TCP和UDP應(yīng)用，無(wú)法控制ICMP應(yīng)用。2、SSL安全桌面要讓網(wǎng)段限制生效需要安裝TCP應(yīng)用控件，如果使用該組策略的用戶只有WEB應(yīng)用資源，可以隨意關(guān)聯(lián)一個(gè)TCP應(yīng)用來(lái)保證能安裝上TCP應(yīng)用控件。4、外接設(shè)備攔截例如COM口的攔截，COM口的打開需要調(diào)用NtCreateFile這個(gè)函數(shù)，先判斷配置中是否允許使用COM口，若允許則向下傳遞請(qǐng)求，若不允許則返回失敗。對(duì)打印機(jī)、U盤的封堵原理類似，不累贅講述。安全桌面高級(jí)配置1、離線登錄安全桌面-功能介紹功能簡(jiǎn)介：SSLM5.7之后版本支持在離線狀態(tài)下（無(wú)法連接到SSL的情況下）打開安全桌面。使用場(chǎng)景：用戶外出或在家辦公無(wú)法連接SSL時(shí)，可以打開安全桌面并訪問(wèn)安全

桌面中的文件（安全桌面的文件在默認(rèn)桌面是加密的，無(wú)法直接訪問(wèn)）。基本要求：離線登錄安全桌面需要配合DKEY使用，DKEY里面燒入了用戶信息和

解密安全桌面數(shù)據(jù)的密鑰。安全桌面高級(jí)配置1、離線登錄安全桌面-配置步驟1、策略組管理---安全桌面，勾選“啟用離線訪問(wèn)功能”，設(shè)置允許離線訪問(wèn)的時(shí)長(zhǎng)2、插入U(xiǎn)SB-KEY，新建用戶，創(chuàng)建USB-KEY用戶時(shí)，勾選“允許離線登錄安全桌面”創(chuàng)建之后,點(diǎn)擊“保存”并“配置生效”，DKEY用戶才是創(chuàng)建完畢。安全桌面高級(jí)配置1、離線登錄安全桌面-配置步驟3、如果是之前已經(jīng)創(chuàng)建好的DKEY用戶，現(xiàn)在需要給他開啟離線登錄安全桌面的功能，可以將該DKEY插入電腦，編輯該用戶，在“離線訪問(wèn)”，點(diǎn)擊“綁定USB-KEY”：綁定之后，該DKEY用戶即被允許離線登錄安全桌面：安全桌面高級(jí)配置1、離線登錄安全桌面-客戶端登錄測(cè)試客戶端電腦通過(guò)開始---所有程序---SSLVPN登錄客戶端，點(diǎn)擊離線登錄安全桌面：輸入pin碼登錄：通過(guò)系統(tǒng)托盤，可以查看離線訪問(wèn)剩余時(shí)間：安全桌面高級(jí)配置1、離線登錄安全桌面-注意事項(xiàng)1、離線訪問(wèn)時(shí)，需要插入V2版本DKEY，DKEY里面燒入了用戶信息和解密安全

桌面數(shù)據(jù)的密鑰。2、可支持同一個(gè)DKEY認(rèn)證和離線登錄。3、不支持第三方DKEY。4、離線訪問(wèn)時(shí)，只支持文件重定向、注冊(cè)表重定向和桌面切換功能，不支持導(dǎo)出

文件。5、可離線訪問(wèn)的時(shí)間通過(guò)策略組限制，用戶可以在系統(tǒng)托盤查看。6、DKEY用戶在線后插DKEY可充滿時(shí)長(zhǎng)（要在登錄時(shí)插入）。安全桌面高級(jí)配置2、安全桌面進(jìn)程白名單-功能介紹可以通過(guò)安全桌面進(jìn)程白名單功能，允許在安全桌面運(yùn)行哪些進(jìn)程，不勾選啟用此功能則默認(rèn)放通所有進(jìn)程。安全桌面高級(jí)配置2、安全桌面進(jìn)程白名單-配置步驟案例：安全桌面內(nèi)只允許運(yùn)行word程序，不允許允許其他程序。(1)通過(guò)電腦的windows任務(wù)管理器查看word程序的進(jìn)程名為“WINWORD.EXE”(2)右鍵點(diǎn)擊word程序查看屬性，可以查看word程序的“描述”、“MD5值”等屬性注：此處查看的屬性，不是word快捷方式，而是實(shí)際程序，可進(jìn)入word的安裝目錄查看。安全桌面高級(jí)配置2、安全桌面進(jìn)程白名單-配置步驟(3)策略組管理---進(jìn)程組列表，添加word進(jìn)程，如下圖：添加（1）和（2）步驟獲得的word程序的進(jìn)程名稱和描述(4)將設(shè)置好的word進(jìn)程添加到“安全桌面進(jìn)程白名單”,最后將策略組關(guān)聯(lián)給用戶即可。安全桌面高級(jí)配置2、安全桌面文件導(dǎo)出-功能介紹SSL5.7版本之后安全桌面支持文件導(dǎo)出功能，需要配合外置數(shù)據(jù)中心使用，如果沒(méi)安裝外置數(shù)據(jù)中心或者外置數(shù)據(jù)中心異常，則無(wú)法實(shí)現(xiàn)文件導(dǎo)出功能。安裝外置數(shù)據(jù)中心的原因是審計(jì)保存從安全桌面中導(dǎo)出的文件。注：SSL外置數(shù)據(jù)中心DC5.7的安裝與配置請(qǐng)參考《SSL特殊需求配置指導(dǎo)培訓(xùn)》PPT。安全桌面注意事項(xiàng)1、安全桌面功能需要序列號(hào)開通2、安全桌面文件導(dǎo)出審計(jì)功能,需要搭建DC5.7專用數(shù)據(jù)中心3、安全桌面本地通信，勾選后為全局允許，去掉勾選，設(shè)置本地進(jìn)程通訊白名

單才有意義4、SSL安全桌面從M5.7版本開始支持win764位系統(tǒng)，從M6.0版本開始支持

32/64位WIN8系統(tǒng)。5、兼容AC4.0的安全桌面，支持同時(shí)安裝，不支持同時(shí)運(yùn)行6、安全桌面不支持代理環(huán)境、流緩存功能7、建議使用1G以上內(nèi)存電腦啟用安全桌面。練練手某客戶希望實(shí)現(xiàn)所有移動(dòng)辦公組的用戶通過(guò)SSLVPN接入，只能在安全桌面內(nèi)訪問(wèn)遠(yuǎn)程應(yīng)用發(fā)布資源，安