深信服SSL渠道高级认证培训06-安全桌面功能进阶培训

SSLVPN安全桌面功能培训培训内容培训目标安全桌面功能介绍1.掌握SSL安全桌面的基本原理和高级功能安全桌面高级配置1.掌握安全桌面功能的高级配置2、掌握安全桌面的注意事项SANGFORSSL安全桌面功能介绍安全桌面高级配置和注意事项深信服公司简介练练手SANGFORSSLSANGFORSSL安全桌面功能介绍SANGFORSSLVPN的安全桌面功能，能为接入SSLVPN的用户生成一个虚拟的工作环境。

在此虚拟工作环境中，用户所有的文件操作都是虚拟的，安全桌面和真实电脑桌面的进程也都是隔离的。同时可以限制用户在安全桌面内访问的网段，是否允许使用打印机和COM口等，通过这样的方式来保护通过VPN下载的服务器数据的安全性，避免数据外泄的风险。当用户离开安全桌面时，所有下载的资料以及用户在安全桌面内的所有操作将被删除。知识回顾：什么是SSL安全桌面？安全桌面保护的对象SSL安全桌面可以阻止用户通过以上途径泄漏重要数据！思考：登录SSL使用应用时，用户可以通过哪些途径泄漏数据？安全桌面基本原理1、注册表重定向除HKEY_CURRENT_USER以外的键的写操作都会被拦截，只允许读操作。而对HKEY_CURRENT_USR的所有操作都是允许，但是会被重定向至HKEY_USERS主键下子键$HKCU$，对注册表做的修改都会保存$HKCU$安全桌面中对注册表的修改都是对重定向之后的注册表的修改，退出安全桌面即会恢复。很好的保护了电脑系统和禁止用户通过注册表泄漏数据。安全桌面基本原理2、文件重定向用户在安全桌面中所产生或者所修改的文件，都是经过加密和重定向，被重定向的文件以及重定向后的路径需要保存起来。重定向后的文件，被保存到当前磁盘的$SD$目录下。在每个磁盘的根目录下，存在一个隐藏的文件夹，下面存放了对应的重定向的文件。思考：打开安全桌面时，如果插入一个U盘，能否把安全桌面里面的资料拷走？答案：在安全桌面里对U盘中文件的操作也会被重定向，脱离安全桌面之后即会恢复，所以无法通过U盘拷走资料，包括对U盘中文件的编辑修改也会恢复原状。安全桌面基本原理3、网络访问权限的控制通过ProxyIE控件进行网络控制。安全桌面启动后，proxyie.dll会注入各运行的程序中，然后根据不同的网络访问权限策略放通或丢弃相应的数据包。注：1、只能控制TCP和UDP应用，无法控制ICMP应用。2、SSL安全桌面要让网段限制生效需要安装TCP应用控件，如果使用该组策略的用户只有WEB应用资源，可以随意关联一个TCP应用来保证能安装上TCP应用控件。4、外接设备拦截例如COM口的拦截，COM口的打开需要调用NtCreateFile这个函数，先判断配置中是否允许使用COM口，若允许则向下传递请求，若不允许则返回失败。对打印机、U盘的封堵原理类似，不累赘讲述。安全桌面高级配置1、离线登录安全桌面-功能介绍功能简介：SSLM5.7之后版本支持在离线状态下（无法连接到SSL的情况下）打开安全桌面。使用场景：用户外出或在家办公无法连接SSL时，可以打开安全桌面并访问安全

桌面中的文件（安全桌面的文件在默认桌面是加密的，无法直接访问）。基本要求：离线登录安全桌面需要配合DKEY使用，DKEY里面烧入了用户信息和

解密安全桌面数据的密钥。安全桌面高级配置1、离线登录安全桌面-配置步骤1、策略组管理---安全桌面，勾选“启用离线访问功能”，设置允许离线访问的时长2、插入USB-KEY，新建用户，创建USB-KEY用户时，勾选“允许离线登录安全桌面”创建之后,点击“保存”并“配置生效”，DKEY用户才是创建完毕。安全桌面高级配置1、离线登录安全桌面-配置步骤3、如果是之前已经创建好的DKEY用户，现在需要给他开启离线登录安全桌面的功能，可以将该DKEY插入电脑，编辑该用户，在“离线访问”，点击“绑定USB-KEY”：绑定之后，该DKEY用户即被允许离线登录安全桌面：安全桌面高级配置1、离线登录安全桌面-客户端登录测试客户端电脑通过开始---所有程序---SSLVPN登录客户端，点击离线登录安全桌面：输入pin码登录：通过系统托盘，可以查看离线访问剩余时间：安全桌面高级配置1、离线登录安全桌面-注意事项1、离线访问时，需要插入V2版本DKEY，DKEY里面烧入了用户信息和解密安全

桌面数据的密钥。2、可支持同一个DKEY认证和离线登录。3、不支持第三方DKEY。4、离线访问时，只支持文件重定向、注册表重定向和桌面切换功能，不支持导出

文件。5、可离线访问的时间通过策略组限制，用户可以在系统托盘查看。6、DKEY用户在线后插DKEY可充满时长（要在登录时插入）。安全桌面高级配置2、安全桌面进程白名单-功能介绍可以通过安全桌面进程白名单功能，允许在安全桌面运行哪些进程，不勾选启用此功能则默认放通所有进程。安全桌面高级配置2、安全桌面进程白名单-配置步骤案例：安全桌面内只允许运行word程序，不允许允许其他程序。(1)通过电脑的windows任务管理器查看word程序的进程名为“WINWORD.EXE”(2)右键点击word程序查看属性，可以查看word程序的“描述”、“MD5值”等属性注：此处查看的属性，不是word快捷方式，而是实际程序，可进入word的安装目录查看。安全桌面高级配置2、安全桌面进程白名单-配置步骤(3)策略组管理---进程组列表，添加word进程，如下图：添加（1）和（2）步骤获得的word程序的进程名称和描述(4)将设置好的word进程添加到“安全桌面进程白名单”,最后将策略组关联给用户即可。安全桌面高级配置2、安全桌面文件导出-功能介绍SSL5.7版本之后安全桌面支持文件导出功能，需要配合外置数据中心使用，如果没安装外置数据中心或者外置数据中心异常，则无法实现文件导出功能。安装外置数据中心的原因是审计保存从安全桌面中导出的文件。注：SSL外置数据中心DC5.7的安装与配置请参考《SSL特殊需求配置指导培训》PPT。安全桌面注意事项1、安全桌面功能需要序列号开通2、安全桌面文件导出审计功能,需要搭建DC5.7专用数据中心3、安全桌面本地通信，勾选后为全局允许，去掉勾选，设置本地进程通讯白名

单才有意义4、SSL安全桌面从M5.7版本开始支持win764位系统，从M6.0版本开始支持

32/64位WIN8系统。5、兼容AC4.0的安全桌面，支持同时安装，不支持同时运行6、安全桌面不支持代理环境、流缓存功能7、建议使用1G以上内存电脑启用安全桌面。练练手某客户希望实现所有移动办公组的用户通过SSLVPN接入，只能在安全桌面内访问远程应用发布资源，安