SANGFOR_SSL_v7.0_2016年度渠道高级认证培训09_安全桌面功能培训VIP

SSLVPN安全桌面功能培训,安全桌面功能介绍,安全桌面典型应用案例及配置,深信服公司简介,安全桌面高级配置和注意事项,SANGFORSSL,安全桌面原理介绍,沙盒技术简介,Sandbox，叫沙盒，也叫沙箱、沙盘。在计算机领域指一种虚拟技术，且多用于计算机安全技术。其原理是提供一个虚拟的环境给程序运行，通过重定向技术，把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。由于程序是在虚拟的环境中执行的，所造成的破坏也不会影响到真实环境中。如赛门铁克、sandboxie等等。,SANGFORSSL安全桌面功能介绍,SANGFORSSLVPN的安全桌面功能，能为接入SSLVPN的用户生成一个虚拟的工作环境。在此虚拟工作环境中，用户所有的文件操作都是虚拟的，安全桌面和真实电脑桌面的进程也都是隔离的。同时可以限制用户在安全桌面内访问的网段，是否允许使用打印机和COM口等，通过这样的方式来保护通过VPN下载的服务器数据的安全性，避免数据外泄的风险。当用户离开安全桌面时，所有下载的资料以及用户在安全桌面内的所有操作将被删除。,安全桌面需求场景,一般情况下用户可以通过以下方式泄露数据，SSL安全桌面功能可以有效的进行防护，避免损失。另外在安全桌面上网可以避免因为中毒、误操作等造成对电脑系统的损坏。,安全桌面功能应用要求,1.安全桌面功能需要序列号授权方能使用。,2.需要在安全桌面内访问的资源，必须添加为TCP应用类型或者L3VPN的文件共享资源，以及可以设置远程应用资源必须在安全桌面内访问。,安全桌面功能设置,安全桌面功能设置：,安全桌面典型应用案例及配置,某公司客户总部内网有OA办公系统和财务系统，单臂模式部署了SSLVPN设备供分部和其他移动办公人员安全接入和访问内网服务器。,1.客户网络环境,安全桌面典型应用案例及配置,1）要求分部SSL用户“财务张三”通过SSLVPN接入总部内网后，只能通过安全桌面访问OA办公系统（:8000）和财务系统(0)2）通过安全桌面只能与分部内网网段通信3）允许通过安全桌面使用COM口和打印机4）接入SSLVPN后只能使用安全桌面，不允许使用本地桌面,2.客户需求,安全桌面典型应用案例及配置,1）【SSLVPN设置】-【资源管理】-【TCP应用】新增OA办公系统和财务系统。2）【SSLVPN设置】-【策略组管理】新增策略组（设置安全桌面内的访问权限）。3）设置用户与策略组关联。4）【SSLVPN设置】-【角色授权】新增角色，将用户与资源关联起来。,3.配置思路,安全桌面典型应用案例及配置,配置步骤截图：1.【TCP应用】新增OA办公系统和财务系统,安全桌面典型应用案例及配置,2.【策略组管理】新增安全桌面策略组,安全桌面典型应用案例及配置,不允许切换桌面，则只能通过安全桌面访问资源。,安全桌面典型应用案例及配置,3.【用户管理】，用户“财务张三”关联策略组,安全桌面典型应用案例及配置,4.【角色授权】，用户“财务张三”关联OA办公系统和财务系统,安全桌面典型应用案例及配置,5.用户“财务张三”登录SSLVPN成功后，安装完控件会出现下图：,初始化完成后，将直接打开安全桌面，安全桌面和电脑本身的桌面一致，且安全桌面里会自动生成一个SSL客户端的图标。,把鼠标移到这个图标可看到SSL的流速，点击这个图标，可进行如下功能的显示和设置：【连接状态】，【加速效果】，【历史消息】，【个人设置】，【显示资源】等。,安全桌面配置说明,如果需要实现在安全桌面和本地桌面切换，则要在【策略组】-【安全桌面】设置中勾选“允许切换回电脑桌面”：,允许切换桌面，用户登录SSLVPN后，电脑的任务栏中会出现如下按钮，点击此按钮实现安全桌面和本地桌面的任意切换。,安全桌面配置说明,如果用户关联的资源还有远程应用资源类型，并且要求远程应用资源必须在安全桌面内运行，则需要在【策略组】-【安全桌面】中设置只允许远程应用运行在安全桌面,安全桌面配置说明,此时，该远程应用资源只会在安全桌面内的资源列表里显示。默认桌面资源列表：安全桌面资源列表：,想一想,1.通过安全桌面保存在电脑某个磁盘下的文件，切换回本地桌面时，是否仍然可以打开？,答：用户退出安全桌面后，在安全桌面内产生文件将被删除。用户切换回本地桌面后，将看不到在安全桌面内保存的文件，防止通过本地桌面进行传播和泄密。,2.为什么不能在安全桌面内截图，然后粘贴到本地桌面呢？,答：为了防止通过截图的方式将安全桌面内的内容泄露出去，拦截了安全桌面和本地桌面的剪切板的通信。当用户从安全桌面切换到本地桌面时，自动清空剪切板的内容。只在安全桌面内使用剪切板是可以的。,注意事项,1、安全桌面功能需要序列号开通2、SSL安全桌面从M5.7版本开始支持win764位系统，从M6.0版本开始支持win832/64位系统3、兼容AC4.0的安全桌面，支持同时安装，不支持同时运行4、安全桌面不支持代理环境、不支持流缓存5、建议使用1G以上内存电脑启用安全桌面。,问题思考,1.是否所有的资源均可实现在安全桌面内访问？为什么？,3.是否可以控制用户通过安全桌面和局域网的通信？如果可以，如何实现？,2.是否可以通过安全桌面功能禁止用户接入SSLVPN后使用电脑的USB口？,安全桌面基本原理,1、注册表重定向除HKEY_CURRENT_USER以外的键的写操作都会被拦截，只允许读操作。而对HKEY_CURRENT_USR的所有操作都是允许，但是会被重定向至HKEY_USERS主键下子键$HKCU$，对注册表做的修改都会保存在$HKCU$键下,安全桌面中对注册表的修改都是对重定向之后的注册表的修改，退出安全桌面即会恢复。很好的保护了电脑系统和禁止用户通过注册表泄漏数据,安全桌面基本原理,2、文件重定向用户在安全桌面中所产生或者所修改的文件，都是经过加密和重定向，被重定向的文件以及重定向后的路径需要保存起来。重定向后的文件，被保存到当前磁盘的$SD$目录下。在每个磁盘的根目录下，存在一个隐藏的文件夹，下面存放了对应的重定向的文件。,思考：打开安全桌面时，如果插入一个U盘，能否把安全桌面里面的资料拷走？,答案：在安全桌面里对U盘中文件的操作也会被重定向，脱离安全桌面之后即会恢复，所以无法通过U盘拷走资料，包括对U盘中文件的编辑修改也会恢复原状。,安全桌面基本原理,3、网络访问权限的控制通过ProxyIE控件进行网络控制。安全桌面启动后，proxyie.dll会注入各运行的程序中，然后根据不同的网络访问权限策略放通或丢弃相应的数据包。,注：1、只能控制TCP和UDP应用，无法控制ICMP应用。2、SSL安全桌面要让网段限制生效需要安装TCP应用控件，如果使用该组策略的用户只有WEB应用资源，可以随意关联一个TCP应用来保证能安装上TCP应用控件。,4、外接设备拦截例如COM口的拦截，COM口的打开需要调用NtCreateFile这个函数，先判断配置中是否允许使用COM口，若允许则向下传递请求，若不允许则返回失败。对打印机、U盘的封堵原理类似，不累赘讲述。,安全桌面高级配置,1、离线登录安全桌面-功能介绍,功能简介：SSLM5.7之后版本支持在离线状态下（无法连接到SSL的情况下）打开安全桌面。使用场景：用户外出或在家办公无法连接SSL时，可以打开安全桌面并访问安全桌面中的文件（安全桌面的文件在默认桌面是加密的，无法直接访问）。基本要求：离线登录安全桌面需要配合DKEY使用，DKEY里面烧入了用户信息和解密安全桌面数据的密钥。,安全桌面高级配置,1、离线登录安全桌面-配置步骤,1、策略组管理-安全桌面，勾选“启用离线访问功能”，设置允许离线访问的时长,2、插入USB-KEY，新建用户，创建USB-KEY用户时，勾选“允许离线登录安全桌面”,创建之后点击“保存”并“配置生效”，DKEY用户才创建完毕。,安全桌面高级配置,1、离线登录安全桌面-配置步骤,3、如果是之前已经创建好的DKEY用户，现在需要给他开启离线登录安全桌面的功能，可以将该DKEY插入电脑，编辑该用户，在“离线访问”，点击“绑定USB-KEY”：,绑定之后，该DKEY用户即被允许离线登录安全桌面：,安全桌面高级配置,1、离线登录安全桌面-客户端登录测试,客户端电脑通过开始-所有程序-SSLVPN登录客户端，点击离线登录安全桌面：,输入pin码登录：,通过系统托盘，可以查看离线访问剩余时间：,安全桌面高级配置,1、离线登录安全桌面-注意事项,1、离线访问时，需要插入V2版本DKEY，DKEY里面烧入了用户信息和解密安全桌面数据的密钥。2、可支持同一个DKEY认证和离线登录。3、不支持第三方DKEY。4、离线访问时，只支持文件重定向、注册表重定向和桌面切换功能，不支持导出文件。5、可离线访问的时间通过策略组限制，用户可以在系统托盘查看。6、DKEY用户在线后插DKEY可充满时长（要在登录时插入）。,安全桌面高级配置,2、安全桌面进程白名单-功能介绍,可以通过安全桌面进程白名单功能，允许在安全桌面运行哪些进程，不勾选启用此功能则默认放通所有进程。,安全桌面高级配置,2、安全桌面进程白名单-配置步骤,案例：安全桌面内只允许运行word程序，不允许其他程序。,(1)通过电脑的windows任务管理器查看word程序的进程名为“WINWORD.EXE”,(2)右键点击word程序查看属性，可以查看word程序的“描述”、“MD5值”等属性,注：此处查看的属性，不是word快捷方式，而是实际程序，可进入word的安装目录查看。,安全桌面高级配置,2、安全桌面进程白名单-配置步骤,(3)策略组管理-进程组列表，添加word进程，如下图：,添加（1）和（2）步骤获得的word程序的进程名称和描述,(4)将设置好的word进程添加到“安全桌面进程白名单”,最后将策略组关联给用户即可。,安全桌面高级配置,2、安全桌面文件导出-功能介绍,SSL5.7版本之后安全桌面支持文件导出功能，需要配合外置数据中心使用，如果没安装外置数据中心或者外置数据中心异常，则无法实现文件导出功能。,安装外置数据中心的原因是审计从安全桌面中导出的文件。,注：SSL外置数据中心DC5.7的安装与配置请参考SSL特殊需求配置指导培训PPT。,安全桌面注意事项,1、安全桌面功能需要序列号开通2、安全桌面文件导出审计功能需要搭建DC5.7专用数据中心3、安全桌面本地通信，勾选后为全局允许，去掉勾选，设置本地进程通讯白名单才有意义4、SSL安全桌面从M5.7版本开始支持win764位系统，从M6.0版本开始支持32/64位WIN8系统5、兼容AC4.0的安全桌面，支持同时安装，不支持同时运行6、安全桌面不支持代理环境、流缓存功能7、建议使用1G以上内存电脑启用安全桌面,练练手,1、某客户希望实现所有移动办公组的用户通过SSLVPN接入，只能在安全桌面内访问总部的订单系统（），可以