All Products
Search
Document Center

Elastic Desktop Service:Aturan terkait keamanan

Last Updated:Apr 09, 2026

Topik ini menjelaskan aturan terkait keamanan dalam kebijakan Elastic Desktop Service (EDS).

Latar belakang

Aturan terkait keamanan dalam kebijakan komputer cloud mencakup:

  • Kontrol logon pengguna: Kontrol Metode Logon dan daftar izin blok CIDR.

  • Keamanan tampilan: Anti-screenshot dan Watermark.

  • Kontrol clipboard: Granularitas Manajemen dan Izin Salin.

  • Keamanan data: Transfer File, Transfer File Klien Web, dan kontrol transfer kecepatan penuh.

  • Akses jaringan: Kontrol Security Group dan Kontrol Akses Nama Domain.

  • Audit perekaman layar.

  • Manajemen Image: Reset Image.

  • Snapshot kustom end user.

Kontrol logon pengguna

Kasus penggunaan

  • Aturan Logon Method Control membatasi jenis klien Alibaba Cloud Workspace yang dapat digunakan oleh end user untuk menghubungkan ke komputer cloud mereka.

    Contoh: Untuk meningkatkan keamanan informasi perusahaan, administrator menetapkan aturan agar hanya mengizinkan koneksi dari klien Windows, klien macOS.

  • Aturan CIDR Block Whitelist membatasi rentang alamat IP dari mana klien Alibaba Cloud Workspace dapat menghubungkan ke komputer cloud.

    Contoh: Untuk memperkuat keamanan, administrator menambahkan rentang alamat IP jaringan kantor ke daftar izin. Hal ini memastikan bahwa karyawan hanya dapat menghubungkan ke komputer cloud mereka dari kantor, serta memblokir akses dari lokasi lain.

Parameter

Parameter

Deskripsi

Logon method control

Membatasi jenis klien Alibaba Cloud Workspace yang dapat digunakan oleh end user. Opsi yang tersedia meliputi:

  • klien Windows

  • klien macOS

  • klien iOS

  • klien Android

  • klien Web

Semua opsi dipilih secara default. Anda dapat menghapus centang pada jenis klien sesuai kebutuhan.

Cidr block allowlist

Menentukan rentang alamat IP dari mana klien Alibaba Cloud Workspace dapat menghubungkan ke komputer cloud.

Klik Add CIDR Block. Di kotak dialog Add CIDR Block, masukkan Source CIDR Block yang diizinkan, lalu klik OK.

Rentang alamat IP harus berupa blok CIDR. Contohnya: 192.0.XX.XX/32 atau 10.0.XX.XX/8.

Keamanan tampilan

Kasus penggunaan

  • Fitur Anti-screenshot membantu mencegah kebocoran data akibat tangkapan layar atau rekaman.

    Contoh: Perusahaan desain arsitektur mengaktifkan aturan anti-screenshot untuk komputer cloud-nya guna mencegah penyalinan tidak sah gambar desain. Akibatnya, tidak ada yang dapat menggunakan alat tangkapan layar di perangkat lokal mereka untuk mengambil screenshot atau merekam layar komputer cloud.

  • Fitur Watermark digunakan untuk pencegahan kehilangan data, sekaligus sebagai sarana pencegahan dan audit.

    Contoh: Perusahaan periklanan mengaktifkan watermark pada komputer cloud-nya. Saat seorang karyawan mengambil screenshot dokumen internal, gambar tersebut akan ditimpa dengan watermark yang ditentukan administrator. Hal ini secara efektif mencegah kebocoran file internal dan menyediakan jejak audit penting jika terjadi pelanggaran data.

Penerapan

Fitur

Versi gambar minimum

Klien dan versi minimum

Anti-screenshot

N/A

klien Windows dan klien macOS V5.2

Invisible watermark intensity

1.8.0

N/A

Invisible watermark with anti-photography

1.8.0

Semua klien V6.7

Parameter

Parameter

Deskripsi

Anti-screenshot

Fitur ini membantu mencegah kebocoran data. Saat diaktifkan, end user tidak dapat menggunakan alat tangkapan layar di perangkat lokal mereka untuk mengambil screenshot atau merekam layar komputer cloud.

Catatan
  • Fitur anti-screenshot hanya didukung pada klien Windows dan klien macOS versi 5.2.0 dan yang lebih baru.

  • Dukungan fitur anti-screenshot bervariasi tergantung jenis klien Alibaba Cloud Workspace. Jika Anda mengaktifkan fitur ini, kami menyarankan agar Anda mengonfigurasi kebijakan kontrol metode logon untuk hanya mengizinkan koneksi dari klien yang didukung.

Watermark

Fitur ini digunakan untuk pencegahan kehilangan data, sekaligus sebagai sarana pencegahan dan audit.

Visible watermark

Visible watermark adalah timpaan yang terlihat di layar. Anda dapat mengonfigurasi konten dan gaya tampilannya.

  • Konten watermark (Pilih maksimal 3)

    • Username: Misalnya, testuser01.

    • ID Komputer Cloud: Misalnya, ecd-66twv7ri4nmgh****.

    • Alamat IP komputer cloud: Misalnya, 192.0.2.0.

    • Alamat IP klien: Misalnya, 192.0.2.254.

    • Waktu saat ini di komputer cloud. Misalnya, 20230101.

    • Teks kustom: Teks kustom yang Anda masukkan, seperti Internal Data.

      Catatan

      Konten kustom dapat memiliki panjang maksimal 20 karakter. Karakter yang didukung mencakup huruf kapital dan kecil, angka, karakter Tionghoa, serta karakter khusus berikut: ~!@#$%^&*()-_=+|{};:',<.?. Penggunaan baris baru atau karakter khusus lainnya dapat menyebabkan konten kustom tidak berlaku.

  • Gaya tampilan

    • Ukuran font: Rentang nilainya 10 hingga 20 px. Nilai default-nya adalah 12 px.

    • Warna font: Nilai warna RGB. Nilai default-nya adalah #FFFFFF (putih).

    • Transparansi: Nilainya harus berupa bilangan bulat antara 10 hingga 100. Nilai 0 berarti tidak transparan (opaque), sedangkan 100 berarti sepenuhnya transparan. Nilai default-nya adalah 25.

    • Kemiringan: Nilainya berkisar antara -30 hingga -10. Nilai default-nya adalah -25.

    • Kerapatan watermark: Rentang nilai untuk baris maupun kolom adalah 3 hingga 10. Nilai default untuk keduanya adalah 3.

Saat mengonfigurasi, Anda dapat melihat pratinjau real-time watermark yang terlihat di area pratinjau di bawah.

Invisible watermark

Invisible watermark tidak terlihat oleh mata telanjang. Algoritma default yang disediakan oleh Elastic Desktop Service (EDS) mengenkripsi informasi watermark berdasarkan identitas Akun Alibaba Cloud yang berbeda untuk mencegah perubahan jahat. Parameter invisible watermark meliputi:

  • Security Priority: Karena fitur invisible watermark bergantung pada versi klien dan gambar tertentu, kami menyarankan agar Anda mengaktifkan opsi ini.

    • Jika diaktifkan, end user hanya dapat menghubungkan ke komputer cloud jika klien dan gambar memenuhi persyaratan versi.

    • Jika dinonaktifkan, end user tetap dapat menghubungkan meskipun klien atau gambar tidak memenuhi persyaratan versi, tetapi invisible watermark tidak akan berlaku.

  • Invisible watermark intensity: Intensitas yang lebih tinggi meningkatkan granularitas tampilan desktop komputer cloud dan meningkatkan tingkat keberhasilan penguraian watermark. Sesuaikan intensitas berdasarkan kebutuhan Anda. Fitur ini memerlukan gambar versi 1.8.0 atau yang lebih baru.

  • Konten watermark (Pilih maksimal 2):

    • ID Komputer Cloud: Misalnya, ecd-66twv7ri4nmgh****.

    • Alamat IP komputer cloud: Misalnya, 192.0.2.0.

    • Alamat IP klien: Misalnya, 192.0.2.254.

    • Waktu saat ini di komputer cloud. Misalnya: 20230101.

  • Anti-photography: Fitur ini memerlukan gambar versi 1.8.0 atau yang lebih baru dan klien Alibaba Cloud Workspace versi 6.7.0 atau yang lebih baru.

Kueri log transfer

Untuk informasi tentang cara mengkueri catatan detail transfer file, lihat Lihat log transfer file.

Keamanan data

Penerapan

  • Pemetaan disk lokal

  • Kontrol clipboard:

    • Tidak ada prasyarat untuk mentransfer teks dan gambar.

    • Transfer file memerlukan klien Windows V7.3 atau yang lebih baru.

    • Kontrol detail halus memerlukan versi gambar komputer cloud 2.4 atau yang lebih baru. Jika tidak, semua operasi salin akan diblokir.

  • Transfer file klien web: Meskipun diatur ke Allow Upload/Download, kebijakan ini tidak berlaku untuk komputer cloud berbasis Linux yang menggunakan protokol HDX. Untuk mengaktifkan transfer file pada komputer cloud tersebut, Anda harus menggunakan kebijakan sistem default yang telah mengaktifkan semua fitur.

Parameter

Parameter

Deskripsi

Pemetaan disk lokal

Pemetaan disk lokal

Memetakan disk perangkat on-premises ke disk WUYING Workspace. Hal ini memungkinkan Anda mengakses data di disk lokal dari WUYING Workspace. Opsi yang tersedia meliputi:

  • Hanya baca: Anda dapat melihat dan menyalin data dari disk lokal, tetapi tidak dapat mengubahnya.

  • Nonaktif: Anda tidak dapat mengakses data di disk lokal dari WUYING Workspace.

  • Baca/Tulis: Anda dapat melihat, menyalin, dan mengubah data di disk lokal dari WUYING Workspace.

Kontrol clipboard

Granularitas manajemen

Parameter ini menentukan cakupan pengaturan izin clipboard. Opsi yang tersedia meliputi:

  • Global: Menerapkan satu izin clipboard untuk teks, teks kaya/gambar, dan file/folder.

  • Fine-grained: Menetapkan izin clipboard terpisah untuk teks, teks kaya/gambar, dan file/folder.

    Catatan

    Opsi ini tidak didukung pada komputer cloud dengan versi gambar sebelum 2.4. Pada komputer cloud tersebut, semua operasi salin akan diblokir.

Izin salin teks

Menetapkan izin clipboard berdasarkan tipe data. Opsi yang tersedia meliputi:

  • Allow Two-way Copy: Mengizinkan pemotongan, penyalinan, dan penempelan data antara komputer cloud dan perangkat lokal.

  • Deny Two-way Copy: Melarang pemotongan, penyalinan, dan penempelan data antara komputer cloud dan perangkat lokal.

  • Allow Copy from Local Device to Cloud Computer

  • Allow Copy from Cloud Computer to Local Device

Izin salin teks kaya/gambar

Izin salin file/folder

Ukuran maksimum salinan teks

Menetapkan ukuran maksimum untuk teks yang disalin. Teks yang melebihi batas ini akan dipotong.

Keamanan data

Transfer file klien web

Mengontrol apakah file dapat ditransfer antara komputer cloud dan perangkat lokal menggunakan klien Web.

Akses jaringan

Kontrol akses nama domain

Aturan kontrol akses nama domain mengizinkan atau menolak akses ke domain tertentu dari dalam komputer cloud. Misalnya, untuk mematuhi peraturan perusahaan, administrator dapat menambahkan domain yang terkait hiburan ke daftar tolak guna mencegah karyawan mengakses situs web yang tidak terkait pekerjaan selama jam kerja.

Kasus penggunaan

Secara default, akses ke semua domain diizinkan dari komputer cloud. Kontrol akses nama domain digunakan untuk mengizinkan atau menolak akses ke domain tertentu dan mendukung kontrol akses domain multi-level yang detail halus.

Contoh: Untuk domain yang tercantum dalam tabel berikut, Anda dapat mengonfigurasi aturan DNS untuk mencapai kontrol akses detail halus.

Domain

Contoh

Kebijakan akses

Deskripsi

Domain tingkat kedua

example.com

Allow

Saat komputer cloud mengakses example.com, halaman web terbuka secara normal.

Domain tingkat ketiga

writer.examplec.com

Deny

Saat komputer cloud mengakses writer.example.com, halaman web menampilkan error 404.

developer.example.com

Allow

Saat komputer cloud mengakses developer.example.com, halaman web terbuka dengan sukses.

Domain tingkat keempat

image.developer.example.com

Deny

Saat komputer cloud mengakses image.developer.example.com, halaman web menampilkan 404.

video.developer.example.com

Allow

Saat komputer cloud mengakses video.developer.example.com dan guide.developer.example.com, halaman web terbuka dengan benar.

guide.developer.example.com

Allow

Batasan

  • Batasan domain

    Untuk memastikan end user dapat menggunakan komputer cloud mereka dengan baik, domain keamanan cadangan berikut tidak tunduk pada aturan DNS. Akses ke domain-domain ini selalu diizinkan. Jika Anda menetapkan kebijakan akses untuk domain-domain ini ke Deny, aturan tersebut tidak akan berlaku.

    • *.gws.aliyun

    • *.aliyun.com

    • *.alicdn.com

    • *.aliyunpds.com

    • *.aliyuncds.com

    • *.aliyuncs.com

  • Batasan sistem operasi

    Aturan kontrol akses nama domain hanya berlaku untuk komputer cloud yang menjalankan sistem operasi Windows.

  • Batas jumlah aturan

    Anda dapat membuat hingga 300 aturan DNS.

Parameter

Di bagian Domain Name Access Control (Formerly DNS Feature), klik Add Rule. Di kotak dialog Add Rule, konfigurasikan parameter berikut dan klik OK.

Parameter

Deskripsi

Nama domain

Masukkan nama domain yang ingin Anda atur aturan DNS-nya. Anda hanya dapat menambahkan satu nama domain dalam satu waktu. Karakter wildcard * didukung.

Deskripsi

Deskripsi kustom untuk aturan DNS.

Kebijakan akses

Pilih Allow atau Reject.

Catatan
  • Jika Anda menetapkan beberapa aturan DNS dengan kebijakan akses Allow, Anda juga harus menambahkan aturan DNS dengan kebijakan akses Deny sebagai aturan fallback.

  • Saat terdapat beberapa aturan DNS, aturan yang lebih tinggi dalam daftar memiliki prioritas lebih tinggi. Anda dapat memindahkan aturan untuk menyesuaikan prioritasnya.

Kontrol security group

Security group adalah mekanisme keamanan yang mengontrol lalu lintas inbound dan outbound komputer cloud untuk meningkatkan keamanannya.

Kasus penggunaan

Aturan security group didefinisikan berdasarkan properti seperti arah, kebijakan, prioritas, tipe protokol, dan range port. Sebelum membangun komunikasi data dengan komputer cloud, sistem mengevaluasi permintaan terhadap aturan security group dalam kebijakan terkait untuk menentukan apakah akses diberikan:

  • Untuk aturan dengan kebijakan Allow, jika permintaan akses cocok dengan aturan, permintaan tersebut diizinkan.

  • Untuk aturan dengan kebijakan Deny, jika permintaan akses cocok dengan aturan, permintaan tersebut diblokir dan paket data langsung di-drop.

Anda dapat menambahkan aturan kontrol security group inbound atau outbound untuk lebih mengontrol lalu lintas komputer cloud Anda. Berikut adalah contoh konfigurasi aturan kontrol security group:

Skenario 1

Secara default, semua akses outbound dari komputer cloud diizinkan. Anda dapat menambahkan aturan outbound berikut untuk hanya mengizinkan akses ke alamat IP tertentu:

  • Aturan 1: Tolak semua akses outbound. Contoh:

    Arah

    Kebijakan

    Prioritas

    Tipe protokol

    Port Range

    Obyek otorisasi

    Outbound

    Deny

    2

    All

    -1/-1

    0.0.0.0/0

  • Aturan 2: Izinkan akses ke alamat IP tertentu. Prioritas aturan ini harus lebih tinggi daripada Aturan 1. Contoh:

    Arah

    Kebijakan

    Prioritas

    Tipe protokol

    Rentang port

    Obyek otorisasi

    Outbound

    Allow

    1

    Pilih tipe protokol yang sesuai.

    Tentukan range port yang sesuai.

    Alamat IP yang diizinkan diakses, misalnya: 192.168.1.1/32.

Skenario 2

Dalam lingkungan VPC, Anda dapat menambahkan aturan inbound untuk mengizinkan akses dari alamat IP tertentu ke komputer cloud. Contoh:

Arah

Kebijakan

Prioritas

Tipe protokol

Rentang port

Obyek otorisasi

Inbound

Allow

1

Pilih tipe protokol yang sesuai.

Tentukan range port yang sesuai.

Alamat IP yang diizinkan mengakses, misalnya: 192.168.1.1/32.

Skenario 3

Asumsikan Komputer Cloud A dikaitkan dengan Kebijakan A, dan Komputer Cloud B dikaitkan dengan Kebijakan B. Dalam lingkungan VPC, Komputer Cloud A dan Komputer Cloud B tidak dapat berkomunikasi karena semua akses inbound ditolak secara default. Anda dapat menambahkan aturan inbound berikut ke Kebijakan A dan Kebijakan B untuk mengaktifkan komunikasi jaringan di antara keduanya:

  • Di Kebijakan A, tambahkan aturan inbound untuk mengizinkan akses dari Komputer Cloud B. Contoh:

    Arah

    Kebijakan

    Prioritas

    Tipe protokol

    Rentang port

    Obyek otorisasi

    Inbound

    Allow

    1

    Pilih tipe protokol yang sesuai.

    Tentukan range port yang sesuai.

    Alamat IP Komputer Cloud B.

  • Di Kebijakan B, tambahkan aturan inbound untuk mengizinkan akses dari Komputer Cloud A. Contoh:

    Petunjuk

    Kebijakan

    Prioritas

    Tipe protokol

    Rentang port

    Obyek otorisasi

    Inbound

    Allow

    1

    Pilih tipe protokol yang sesuai.

    Tentukan range port yang sesuai.

    Alamat IP Komputer Cloud A.

Batasan

  • Batas jumlah aturan

    Anda dapat membuat hingga 200 aturan kontrol security group.

  • Batasan aturan inbound

    Secara default, komputer cloud mengizinkan semua akses outbound. Akses inbound mengikuti prinsip berikut:

    • Di internet, komputer cloud tidak mendukung akses inbound apa pun. Bahkan jika Anda menetapkan aturan security group inbound ke Allow, aturan tersebut tidak berlaku.

    • Dalam lingkungan VPC, komputer cloud menolak semua akses inbound secara default. Namun, Anda dapat menetapkan aturan security group inbound ke Allow untuk mengizinkan permintaan akses tertentu.

Parameter

Di bagian Security Group Control, klik Add Rule. Di kotak dialog Add Rule, konfigurasikan parameter berikut dan klik OK.

Parameter

Deskripsi

Arah

  • Inbound: Mengontrol apakah permintaan ke komputer cloud diizinkan.

  • Outbound: Mengontrol apakah permintaan dari komputer cloud ke aplikasi lain diizinkan.

Kebijakan

  • Allow: Mengizinkan permintaan akses.

  • Deny: Memblokir permintaan akses dan menjatuhkan paket data tanpa memberikan informasi apa pun.

Prioritas

Nilai dari 1 hingga 60, di mana nilai yang lebih kecil menunjukkan prioritas lebih tinggi. Aturan dengan prioritas lebih tinggi memiliki keutamaan.

Tipe protokol

TCP, UDP, ICMP (IPv4), dan GRE didukung.

Range port

Port yang digunakan oleh aplikasi atau protokol. Saat tipe protokol yang dipilih adalah Custom TCP atau Custom UDP, Anda dapat menetapkan port kustom. Anda dapat memasukkan port tertentu, seperti 80, atau range port, seperti 1/80. Untuk informasi lebih lanjut, lihat Common Ports.

Obyek otorisasi

Rentang alamat IPv4 dalam format CIDR.

Deskripsi

Deskripsi kustom untuk aturan.

Langkah selanjutnya

Secara default, komputer cloud menolak semua lalu lintas inbound tetapi mengizinkan semua lalu lintas outbound. Hal ini dikelola oleh aturan default yang mengizinkan semua akses outbound. Aturan outbound yang Anda tambahkan akan bertentangan dengan aturan default. Bergantung pada jaringan kantor tempat komputer cloud Anda berada, Anda mungkin perlu menyesuaikan prioritas aturan default agar aturan baru Anda berlaku.

  • Jika Anda menggunakan jaringan kantor baru (format ID: region ID+dir+10 digit), aturan default memiliki prioritas terendah, sehingga aturan yang Anda tambahkan akan langsung berlaku tanpa langkah tambahan.

  • Jika Anda menggunakan jaringan kantor yang ditingkatkan dari versi lama (format ID: region ID+dir+17 huruf dan digit), aturan default memiliki prioritas tertinggi. Anda harus menyesuaikan prioritas aturan default secara manual. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Temukan jaringan kantor tempat komputer cloud berada dan klik ID jaringan kantor-nya.

    2. Di halaman detail jaringan kantor, klik ID security group.

    3. Di halaman Security Groups, klik ID security group.

    4. Di halaman Security Group Rules, klik tab Outbound dan modifikasi prioritas aturan yang sesuai.

      Kami menyarankan agar Anda menetapkan prioritas ke 60. Hal ini memastikan bahwa aturan outbound yang Anda tambahkan secara manual akan langsung berlaku.

Snapshot kustom pengguna akhir

Snapshot kustom end user

Aturan snapshot kustom end user memungkinkan Anda mengontrol apakah end user dapat membuat titik pemulihan sendiri di klien.

Kasus penggunaan

End user dapat menggunakan titik pemulihan untuk backup dan memulihkan data di komputer cloud mereka. Misalnya, mereka dapat membuat titik pemulihan sebelum melakukan operasi berisiko tinggi seperti memodifikasi file sistem kritis.

Untuk mencegah kesalahan operasional atau pemborosan sumber daya, administrator dapat menggunakan kebijakan ini untuk mengelola pembuatan titik pemulihan kustom oleh end user.

Batasan

Fitur ini hanya tersedia saat komputer cloud ditugaskan untuk satu pengguna.

Parameter

Saat opsi End-user custom snapshots di Enabled, end user dapat membuat titik pemulihan kustom di halaman Management kartu desktop komputer cloud mereka.

Saat opsi End-user custom snapshots diatur ke Disabled, fitur titik pemulihan kustom disembunyikan dari pengguna akhir pada halaman Management.

Referensi