安全--防截屏保护
Prepared by:
YuanWang(CSA)
18 May. 2022 Version 1.0
目录
一.安全—AVD防截屏概述
1.1 先决条件
1.2 如何配置防截屏保护功能
1.3 目前已知的问题和限制
一.安全—AVD防截屏概述
在中国区世纪互联Azure版本AVD已经GA半年多,为了协助更多用户快速掌握除了官方文档已有的部署信息外的技术部署细节,我基于现有的客户项目和技术实践积累,逐步发布一系列的快速上手技术指南。
这篇文章AVD快速上手系列文章中的一个部分,本部分将介绍 Azure 虚拟桌面屏幕捕获保护功能,配置成功后可防止在客户端终结点上捕获敏感信息。启用此功能后,将在屏幕截图和屏幕共享中自动阻止或隐藏远程内容。此外,远程桌面客户端将对可能正在捕获屏幕的恶意软件隐藏内容。
1.1 先决条件
屏幕捕获保护功能在会话主机级别进行配置,在客户端上强制实施。 只有支持此功能的客户端才能连接到远程会话。以下客户端当前支持屏幕捕获保护:
- 只有 Windows 桌面客户端支持整个桌面的屏幕捕获保护。
- macOS 客户端版本 10.7.0 或更新版本支持 RemoteApp 和完整桌面的屏幕捕获保护。
假设用户尝试使用不受支持的客户端连接到受保护的会话主机。在这种情况下,连接将会失败并出现错误 0x1151。
1.2 如何配置防截屏保护功能
若要配置屏幕捕获保护,需要安装可为 Azure 虚拟桌面添加规则和设置的管理模板,并且配置组策略。
下载 Azure 虚拟桌面策略模板文件(AVDGPTemplate.cab) 并提取 cab 文件和zip 存档的内容。(地址:https://aka.ms/avdgpo)
将 terminalserver-avd.admx 文件复制到 %windir%\PolicyDefinitions 文件夹。
将 en-us\terminalserver-avd.adml 文件复制到 %windir%\PolicyDefinitions\en-us 文件夹。
若要确认是否正确复制了这些文件,请打开组策略编辑器,并导航到“计算机配置”->“管理模板”->“Windows 组件”->“远程桌面服务”->“远程桌面会话主机”->“Azure 虚拟桌面”,应该会看到 Azure 虚拟桌面策略,如下所示。
接下来在组策略中打开“启用屏幕捕获保护”策略并将其设置为“已启用” 。
我在实际的测试中会发现,如果Teams开会时启用这个功能,当我共享桌面时,参会的同事是无法看到我的AVD桌面的,当然相关的限制和已知问题我都罗列在以下。
1.3 目前已知的问题和限制
- 此功能可以防止通过一组特定的公用操作系统功能和 API 捕获远程桌面窗口。但是,无法保证此功能会严格保护内容,例如,在一些人拍照的情况下。
- 客户应在禁用剪贴板、驱动器和打印机重定向的情况下结合使用该功能。禁用重定向有助于防止用户从远程会话复制捕获的屏幕内容。
- 启用该功能后,用户无法使用本地协作软件(例如 Microsoft Teams)共享远程桌面窗口。 如果使用了 Microsoft
Teams,则本地 Teams 应用以及正在运行的启用了媒体优化的 Teams 都无法共享受保护内容。
关于AVD的安全最佳实践,可以继续参考相关官方文章:
Azure虚拟桌面安全最佳做法 - Azure | Microsoft Docs
