屏幕捕获(截图)保护以及水印有助于防止在客户端终结点上捕获敏感信息。 启用屏幕捕获保护时,可在屏幕截图和屏幕共享中自动阻止或隐藏远程内容。 此外,远程桌面客户端将对可能正在捕获屏幕的恶意软件隐藏内容。在 Windows 11 版本 22H2 或更高版本中,可以在会话主机 VM 和远程客户端上启用屏幕捕获保护。 对会话主机 VM 的保护就像对远程客户端的保护一样。
一、前提条件
在会话主机级别上配置屏幕捕获保护,并在客户端上执行。 只有支持此功能的客户端才能连接到远程会话。
必须使用以下客户端之一连接到 Azure 虚拟桌面,才能使用支持屏幕捕获保护:
- Windows 桌面客户端支持完整桌面的屏幕捕获保护。
- macOS 客户端(10.7.0 或更高版本)支持 RemoteApps 和完整桌面的屏幕捕获保护。
- Windows 桌面客户端(运行 Windows 11 版本 22H2 或更高版本)支持 RemoteApps 的屏幕捕获保护。
二、配置启用屏幕捕获保护
执行以下操作,以配置屏幕捕获保护:
- 下载 Azure 虚拟桌面策略模板文件 (AVDGPTemplate.cab) 并提取 cab 文件和 zip 存档的内容。
- 将 terminalserver-avd.admx 文件复制到 %windir%\PolicyDefinitions 文件夹。
- 将 en-us\terminalserver-avd.adml 文件复制到 %windir%\PolicyDefinitions\en-us 文件夹。
- 若要确认是否正确复制了这些文件,请打开“组策略编辑器”,并转到“计算机配置”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。 你应该会看到一个或多个 Azure 虚拟桌面策略,如以下屏幕截图所示。
- 执行gupupdate /force 命令,刷新组策略
- 尝试屏幕截图
屏幕捕获之后,会发现Azure虚拟桌面区域会被黑屏替代。
- 要为客户端和服务器配置屏幕捕获,将“启用屏幕捕获保护”策略设置为“在客户端和服务器上阻止屏幕捕获”。 默认情况下,该策略将设置为“在客户端上阻止屏幕捕获”。
注意:只能在使用 Windows 11 版本 22H2 或更高版本的会话主机 VM 上使用屏幕捕获保护。
三、配置启用水印
1.打开“组策略编辑器”,并转到“计算机配置”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。
2.找到watermarking策略
3.请打开策略设置“启用水印”并将其设置为“启用”。
4.运行gpupdate /force 刷新策略
5.退出远程桌面会话,重新进入就可以发现应用了水印了
注意:
- 在会话主机上启用水印后,只有支持水印的客户端才能连接到该会话主机。 如果尝试从不受支持的客户端进行连接,则连接将失败,并且你会收到一条不明确的错误消息。
- 水印仅适用于远程桌面。 对于远程应用,不会应用水印,允许连接。
- 如果使用远程桌面连接应用 (mstsc.exe) 直接连接到会话主机(不通过 Azure 虚拟桌面),则不会应用水印,允许连接。