SANGFOR_VSP2.0安全桌面配置测试指导.pdfVIP

VSP2.0 安全桌面 配置测试指导 深信服电子科技有限公司 2012 年9 月10 日 深信服科技 提升带宽价值 第1 章 VSP2.0 安全桌面简介2 第2 章 配置案例2 1.1.需求背景2 1.2.配置指导2 第3 章 注意事项7 第1 章 VSP2.0 安全桌面简介 VSP2.0 安全桌面功能主要用于保证通过VPN 下载资料的必威体育官网网址性。在安全桌面内，用户 所有的文件操作都是虚拟的，安全桌面内的进程和安全桌面外的进程是隔离的，防止用户把 通过VPN 下载的资料泄露出去。 第2 章 配置案例 1.1.需求背景 客户内网有两台服务器，一个是文件共享服务器，另一个是OA 服务器（BS 架构，计划发 布成远程应用），需要将这台服务器发布出去，给SSL 用户提供远程办公。有以下要求： 1、共享服务器和OA 服务器下载的资料，禁止复制泄漏出去。 2 、安全桌面内禁止上外网，只允许访问内网网段。 3、打开安全桌面不显示本地桌面已安装程序的快捷方式和文件。 4 、安全桌面内只允许运行word 程序，不允许允许其他程序。 1.2.配置指导 需求1：共享服务器和OA 服务器下载的资料，禁止复制泄漏出去。 深信服科技 提升带宽价值 （1）将共享服务器将成L3VPN 资源的fileshare 资源，将OA 服务器将成远程应用发布资源。 （2 ）在数据安全，设置远程应用只能运行在安全桌面 （3 ）将文件共享资源保护资源列表，限制该资源只能运行在安全桌面 （1）禁止“允许使用COM 口”、“允许使用打印机”防止用户通过外交设备传输资料 （2 ）禁止“允许安全桌面本地通讯”防止用户在安全桌面和默认桌面之间进行数据通信 （3 ）文件导出选择：禁止导出，禁止将安全桌面内的资料导出到默认桌面 注：安全桌面内默认是禁止截屏，禁止将安全桌面的文件复制到默认桌面的。 深信服科技 提升带宽价值 需求2：安全桌面内禁止上外网，只允许访问内网网段。 添加安全桌面内允许访问的网段，不在“可访问网段”中的网段禁止访问。 注：要让网段限制生效一定要安装TCP 应用控件，如果使用该组策略的用户只有WEB 应 用资源，可以随意关联一个TCP 应用来保证能安装上TCP 应用控件。 需求3 ：打开安全桌面不显示本地桌面已安装程序的快捷方式和文件。 勾选“强制使用干净桌面”则安全桌面启动后，桌面上只有“我的电脑”等系统图标。不勾选的 话，安全桌面启动后，安全桌面的图标和本地桌面的图标一致。 如果不勾选“强制使用干净桌面”，客户端电脑也可在系统托盘自行开启，配置如下： 深信服科技 提升带宽价值 用户可以自定义是否使用干净桌面，下次重启安全桌面时生效。 需求4：安全桌面内只允许运行word 程序，不允许允许其他程序。 （1）通过电脑的windows 任务管理器查看word 程序的进程名为“WINWORD.EXE” 深信服科技 提升带宽价值 （2 ）右键点击word 程序查看属性，可以查看word 程序的“描述”、“MD5值”等属性 注：此处查看的属性，不是word 快捷方式，而是实际程序，可进入word 的安装目录查看。 （3 ）策略组管理进程组列表，添加word 进程，如下图： 添加（1）和（2 ）步骤获得的word 程序的进程名称和描述 （4 ）将设置好的word 进程添加到“安全桌面进程白名单” 最后将策略组关联给用户即可。 深信服科技 提升带宽价值 第3 章 注意事项 1、安全桌面功能需要序列号开通 2 、安全桌面文件导出审计功能，需要搭建VSP2.0 专用数据中心 3、安全桌面本地通信，勾选后为全局允许，去掉勾选，设置本地进程通讯白名单才有意义 4 、安全桌面保护资源功能，只支持32 位xp 和win7 系统 5、兼容AC4.0 的安全桌面，支持同时安装，不支持同时运