SANGFOR SSL v6安全桌面功能进阶培训.ppt

培训内容 培训目标 安全桌面功能介绍 1.掌握SSL 安全桌面的基本原理和高级功能 安全桌面高级配置 1.掌握安全桌面功能的高级配置 2、掌握安全桌面的注意事项 SANGFOR SSL 安全桌面功能介绍 安全桌面高级配置和注意事项 深信服公司简介 练练手 SANGFOR SSL SANGFOR SSL 安全桌面功能介绍 SANGFOR SSL VPN的安全桌面功能，能为接入SSL VPN的用户生成一个虚拟的工作环境。 在此虚拟工作环境中，用户所有的文件操作都是虚拟的，安全桌面和真实电脑桌面的进程也都是隔离的。同时可以限制用户在安全桌面内访问的网段，是否允许使用打印机和COM口等，通过这样的方式来保护通过VPN下载的服务器数据的安全性，避免数据外泄的风险。当用户离开安全桌面时，所有下载的资料以及用户在安全桌面内的所有操作将被删除。 知识回顾：什么是SSL安全桌面？ 安全桌面保护的对象 SSL安全桌面可以阻止用户通过以上途径泄漏重要数据！ 思考：登录SSL使用应用时，用户可以通过哪些途径泄漏数据？ 安全桌面基本原理 1、注册表重定向 除HKEY_CURRENT_USER以外的键的写操作都会被拦截，只允许读操作。而对HKEY_CURRENT_USR的所有操作都是允许，但是会被重定向至HKEY_USERS主键下子键$HKCU$，对注册表做的修改都会保存$HKCU$ 安全桌面中对注册表的修改都是对重定向 之后的注册表的修改，退出安全桌面即会 恢复。很好的保护了电脑系统和禁止用户 通过注册表泄漏数据。 安全桌面基本原理 2、文件重定向 用户在安全桌面中所产生或者所修改的文件，都是经过加密和重定向，被重定向的文件以及重定向后的路径需要保存起来。重定向后的文件，被保存到当前磁盘的$SD$目录下。在每个磁盘的根目录下，存在一个隐藏的文件夹，下面存放了对应的重定向的 文件。 思考：打开安全桌面时，如果插入一 个U盘，能否把安全桌面里面的资料拷 走？ 答案： 在安全桌面里对U盘中文件的操作也会被重定向，脱离安全桌面之后即会恢复，所 以无法通过U盘拷走资料，包括对U盘中文件的编辑修改也会恢复原状。 安全桌面基本原理 3、网络访问权限的控制 通过ProxyIE控件进行网络控制。安全桌面启动后，proxyie.dll会注入各运行的程序中，然后根据不同的网络访问权限策略放通或丢弃 相应的数据包。 注： 1、只能控制TCP和UDP应用，无法控制ICMP应用。 2、SSL安全桌面要让网段限制生效需要安装TCP应用控件，如果使用该组 策略的用户只有WEB应用资源，可以随意关联一个TCP应用来保证能安 装上TCP应用控件。 4、外接设备拦截 例如COM口的拦截，COM口的打开需要调用NtCreateFile这个函数， 先判断 配置中是否允许使用COM口，若允许则向下传递请求，若不允许则返回失败。 对打印机、U盘的封堵原理类似，不累赘讲述。 安全桌面高级配置 1、离线登录安全桌面-功能介绍 功能简介：SSL M5.7之后版本支持在离线状态下（无法连接到SSL的情况下）打 开安全桌面。 使用场景：用户外出或在家办公无法连接SSL时，可以打开安全桌面并访问安全 桌面中的文件（安全桌面的文件在默认桌面是加密的，无法直接访问）。 基本要求：离线登录安全桌面需要配合DKEY使用，DKEY里面烧入了用户信息和 解密安全桌面数据的密钥。 安全桌面高级配置 1、离线登录安全桌面-配置步骤 1、策略组管理---安全桌面，勾选“启用离线访问功能”，设置允许离线访问的时长 2、插入USB-KEY，新建用户，创建USB-KEY用户时，勾选“允许离线登录安全桌面” 创建之后,点击“保存”并“配置生效”，DKEY用户才是创建完毕。 安全桌面高级配置 1、离线登录安全桌面-配置步骤 3、如果是之前已经创建好的DKEY用户，现在需要给他开启离线登录安全 桌面的功能，可以将该DKEY插入电脑，编辑该用户，在“离线访问”，点 击“绑定USB-KEY”： 绑定之后，该DKEY用户即被允许离线登录安全桌面： 安全桌面高级配置 1、离线登录安全桌面-客户端登录测试 客户端电脑通过开始---所有程序---SSLVPN登录客户端，点击离线登录安全桌面： 输入pin码登录： 通过系统托盘，可以查看离线访 问剩余时间： 安全桌面高级配置 1、离线登录安全桌面-注意事项 1、离线访问时，需要插入V2版本DKEY，DKEY里面烧入了用户信息和解密安全 桌面数据的密钥。 2、可支持同一个DKEY认证和离线登录。 3、不支持第三