我所在的公司有一款付费产品,由在 Azure 上运行的 Windows 虚拟机组成。客户支付订阅费用,通过 Apache Guacamole 获得访问这些机器的凭证,并可以通过任何 Web 浏览器有效地访问它们(即,公司不控制访问来源的机器)。
虚拟机内部的网络访问受到严格控制,客户端可以访问一组预定义的资源。复制和粘贴 Guacamole 功能被禁用。此外,从虚拟机移动文件/将文件移入虚拟机由人工验证过程控制。
最近,出现了一个新的“需求”。公司希望实施数字版权管理 (DRI) 政策,我被指派寻找一种机制,在客户使用他付费的虚拟机时阻止屏幕共享。我对这个问题的研究表明,如果不在客户的机器上安装其他软件,就不可能阻止这种功能。不过,我想和你再确认一下。
例如,是否可以阻止用户在访问特定网站时使用 Zoom 共享屏幕?具体来说,不允许用户创建会议并与未经授权的人共享屏幕?
答案1
正如评论中指出的那样,如果您无法控制查看的内容,那么在查看时就不可能限制任何内容。
在访问虚拟机的情况下,如果您无权访问查看虚拟机的方法,则无法阻止任何内容。
让我们从字面意义上理解。假设您管理从客户端计算机到 VM 访问的所有内容。即便如此,您也无法阻止两个人观看同一个屏幕。
同样,如果有人设置了以下场景,就不可能限制访问:他们有一台可以访问您的 VM 的虚拟计算机,然后他们使用 VNC 之类的东西从多个位置远程访问该虚拟电脑并查看同一件事。
长话短说,总是有办法解决这个问题,但是你当然可以让它变得更困难。
如果您可以确保从客户端需要特殊软件才能访问您的虚拟机,那么您可以使用该客户端软件来控制它可以执行多少操作,例如:为其连接分配用户名/密码,如果另一个客户端的第二个用户使用相同的用户名/密码进行连接,他们会收到拒绝访问错误。
但同样,还是有办法解决这个问题的,它终有一天会变得不切实际,这是你能做的最好的事情。让人们很难不想走这条路,要么决定为你想要的任何东西付费,要么找到替代方案并放弃你的服务。