CSD 思科安全桌面

泰克实验室塑造

CSD
全称 Cisco Secure Desktop，即思科安全桌面技术，据说是思科花了 500w 美金从一家公司买来的，本LAB将对其特性及配置作详细介绍。
CSD 可以让 VPN 用户在一个全新的虚拟桌面中完成 WebVPN 连接。在虚拟桌面中所做的一切操作均与真实桌面环境隔离，包括文件存储、网页浏览等。虚拟桌面和真实桌面的文件是无法共享的，当用户挂断 CSD以后，虚拟桌面里的一切东西都将被自动删除，包括存储在虚拟硬盘上的文件、浏览器的 cookies 等。虚拟桌面可以有效地保护企业的信息财产安全，VPN 用户的一切操作都被限制在内网，所有的文件只能存储在公司内部。

1、按照前面的文章配置好WebVPN或SSL  VPN，本例使用SSL  VPN配置，本例中所涉及的配置都是在SSL VPN配置并测试好的情况下完成的。
SSL VPN配置输出省略。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
2、将CSD文件拷贝到路由器的disk0:，并且在路由器上启动安全桌面。
c7206# copy ftp disk0:
Address or name of remote host [202.195.30.66]?   
Source filename [sslclient-win-1.1.2.169.pkg]? securedesktop-ios-3.1.1.45-k9.pkg
Destination filename [securedesktop-ios-3.1.1.45-k9.pkg]?   
Accessing ftp://202.195.30.66/securedesktop-ios-3.1.1.45-k9.pkg...
Loading securedesktop-ios-3.1.1.45-k9.pkg !!!!!!!
[OK - 1697952/4096 bytes]

1697952 bytes copied in 76.704 secs (22136 bytes/sec)
c7206(config)# webvpn install csd disk0:/securedesktop-ios-3.1.1.45-k9.pkg
SSLVPN Package Cisco-Secure-Desktop : installed successfully
!
c7206(config)# webvpn context mywebvpn-context1   
c7206(config-webvpn-context)# csd enable
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
3、配置CSD策略。
由于CSD是收购过来的，因此命令行是配不了的，所有的CSD的策略都必须在专门WEB管理页面中完成。 登陆  https://gataway_addr/csd_admin.html可以对CSD进行策略管理，登陆用户名为admin，密码为enable密码。界面如下
CSD管理地址为 https://gataway_addr/csd_admin.html， 不能为https://gataway_addr/csd_admin
  设置 Windows  Location，Windows  Location 用于对用户进行分组。可以根据“证书”、“IP 地址”、“注册表”
来区分用户，例如：满足某段 IP 的属于一个 Location，注册表某个键值满足要求的属于一 Location 等等。

创建两个 location，其中第一个 location 以 IP 地址为 198.1.1.2 来区分某个用户，不满足该条件的用户被送入第二个 location；第二个 localtion 可以不设置任何条件限制，即其余用户都将被分到这个 location 上去。
为什么要对用户区分 location 呢？区分 localtion 以后，可以限制用户使用 WebVPN 功能，例如：某 VPN 用户即使用户名密码对了，但是 Location 不满足条件，那么在安全桌面里它也仅仅只能使用一些有限的功能。下面的配置仅对第一个 localtion 作介绍，其余的大家举一反三
设置第一个location的检测语句。
  
设置匹配该localtion的用户具备的权限，也同时可以检测用户是否安装了某个杀毒软件等等。 允许匹配该localtion的用户进行SSL VPN连接。
   
设置常规选项，例如是否允许在虚拟桌面和真实桌面切换等等.
  
设置虚拟桌面选项，例如是否允许用户运行虚拟桌面里的CMD等等.
  
自定义虚拟桌面里IE的收藏夹内容。
  
测试CSD功能
在外网用户的浏览器中输入https://198.1.1.1/group1，ASA会提示用户安装CSD，点击确认进行安装。  安装完成后，出现以下界面，点击界面上的按钮可以切换到安全桌面。
切换至安全桌面，这不是我们自己的桌面背景，在这个桌面下，用户可以进行先前所讲的WebVPN连接和SSL连接，但是他可以访问的本地资源是受CSD策略限制的。
  
如果用户退出安全桌面，CSD会将刚才用户通过VPN下载到本地的文件全部删除！ 有个图忘了截屏，在虚拟桌面里访问你的本地硬盘时，你会发现，除了C盘里有windows系统文件之外，其它盘都为空，此时你是无法将虚拟桌面里的内容和真实桌面共享的，换句话讲，公司内部的文件你只能看，不能下载到本地。  注意：有一点很值得注意，在虚拟桌面里如果允许用户进行SSL VPN连接的话，SSL的隧道分离是极不推荐打开的。为什么呢？如果你在虚拟桌面里面都可以自由的访问外网，那么公司内部的资源还能受到保护吗？这样CSD也就失去的它存在的意义了！

phil

Thanks for your information.