Workspace终端系统安全

Workspace客户端密码加密

当用户在Workspace客户端记住密码后，我们会将用户的密码在本地加密保存，加密密钥与设备绑定，即使加密文本丢失，也无法泄露用户在本地保存的密码，确保您在客户端保存的workspace密码安全。

客户端防截屏

Workspace支持丰富协议策略，租户管理员配置开启客户端防截屏策略后，用户无法在Workspace客户端进行截屏，保护云桌面用户的数据安全。

终端外设安全

Workspace云桌面支持USB外设的端口重定向，支持按外设的厂商、款型等进行管控，防止外设泄露workspace数据和被植入木马。

接入安全

Workspace支持丰富的访问控制机制保障用户的接入安全：

• 访问控制接入
  • IP接入控制：租户管理员在控制策略中配置IP地址接入后，只允许用户使用IP地址范围内的客户端才能接入云桌面。
  • 指定网络接入：当企业同时支持专线和互联网的接入方式时，租户管理员可通过开启辅助认证配置，只允许互联网的或专线的用户接入。
• 特定终端接入

  为避免内部信息泄露，Workspace支持用户从固定的终端接入云桌面。租户管理员通过配置指定终端的MAC地址，将云桌面与指定的终端MAC地址建立绑定关系，限制用户从指定的终端接入桌面。

• 丰富的用户身份认证方式
  Workspace服务为客户提供了对桌面用户账号是否禁用、密码校验、账号有效期、账号解锁、首次登录修改及下次登录改口令等属性的管理，Workspace除了提供账号密码和第三方单点认证的主认证方式外还支持多种强安全身份认证方式：

  • 密码+MFA多因素身份认证：Workspace支持租户管理员在辅助认证页面开启华为云多因素认证，选择虚拟MFA辅助认证，用户即可使用密码和MFA认证双因素认证来实现强安全的认证登录。
  • 密码+对接企业自有认证系统多因素身份认证：支持租户管理员选择配置对接企业自有认证方式，用户通过密码+企业身份认证双因素认证来实现强安全的认证登录。

数据安全

用户使用云桌面过程中产生的桌面内容数据保存在云端桌面，数据不在终端中存储。桌面的数据安全核心在保证云端桌面内的内容数据：

• 防拍照水印安全

  Workspace支持租户管理员配置开启水印功能，租户可以自定义配置水印内容信息，在桌面显示登录用户名及时间，水印位置可固定也可随机，支持调整水印的RGB颜色和水印条数。防止用户使用摄像设备对云桌面进行拍摄。

• 云桌面文件管控安全

  为了保护用户云桌面上文件的安全，Workspace支持租户配置文件重定向策略，禁止桌面文件拷贝到用户终端本地，防止桌面文件泄露。

• 云桌面剪切板拷贝安全

  Workspace云桌面支持租户管理员配置剪切板策略，支持单向、双向控制云桌面和本地终端之间的剪切复制，防止因剪切板拷贝导致的桌面信息泄露。

• 录屏审计

  Workspace向租户管理员提供了桌面录屏审计功能，用于审计云桌面用户行为，开启录屏审计功能后，Workspace服务支持多种录屏策略，租户可在管理面查看用户在云桌面中办公的录屏便于审计。

• 云桌面主机安全防护

  Workspace服务的云桌面支持主机安全能力，主机安全HSS能在云桌面受到恶意攻击时，提供事前预防、事中防御、事后检测的全面防护，全面降低入侵风险，租户在HSS服务的界面也能随时查看桌面的防御攻击情况。

• 云桌面应用管控

  Workspace服务给云桌面用户提供了应用中心的能力，云桌面用户在桌面内的应用中心中下载并安装各类应用，租户管理员可通过应用管控能力，配置黑名单应用后，云桌面用户无法在桌面内打开黑名单内的恶意应用。

• 云应用数据跟随

  租户在NAS存储中为最终用户创建个人文件目录后，用户在使用云应用过程中，将应用产生的业务数据存储在个人目录下，用户账号登录云办公客户端即可直接访问云应用存储在NAS中的数据，NAS实现了云应用中多用户之间存储的数据隔离，防止数据泄露。

• 云桌面磁盘加密

  Workspace支持磁盘加密功能，租户在创建云桌面时，选择磁盘加密后，保证用户在使用云桌面过程中产生的内容数据的机密性。