Корпоративное решение экранных водяных знаков

Мультиплатформенный Screen DLP, защита от скриншотов и судебно-значимые невидимые водяные знаки

xSecuritas Screen Watermark Enterprise — это продвинутое решение для защиты экрана и предотвращения скриншотов.
Оно встраивает видимые и невидимые водяные знаки, блокирует инструменты захвата экрана, поддерживает среды VDI и RemoteApp, а также интегрируется с Microsoft Sensitivity Labels и Active Directory.
Решение помогает организациям предотвращать утечки данных через экран в средах Windows, macOS, Linux и в гибридных сценариях работы.

Более 350 000 пользователей по всему миру уже более пяти лет доверяют xSecuritas Screen Watermark.
Решение используется банками, государственными учреждениями, оборонными организациями, телеком-операторами и глобальными корпорациями, которым необходима надежная защита данных и соответствие требованиям регуляторов.

xSecuritas прошла сертификацию ISO 27001:2022 и SOC2 Type II, что подтверждает соответствие наших мер безопасности, процессов разработки и операционной деятельности международным стандартам.
Эти сертификаты обеспечивают дополнительную уверенность для предприятий, предъявляющих строгие требования к соответствию и безопасной обработке конфиденциальной информации.

БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ
личные продукты

CODE-JSON

О водяном знаке экрана xSecuritas

xSecuritas Screen Watermark помогает организациям предотвращать утечки данных через экран за счёт блокировки скриншотов, встраивания видимых и невидимых водяных знаков и отображения динамических пользовательских метаданных. Администратор может задать условия отображения водяных знаков: всегда, только в определённых средах или только при доступе к конфиденциальным данным.

Система поддерживает более 30 типов метаданных, включая ID пользователя, IP-адрес, MAC-адрес, дату и время, имя компьютера, атрибуты Active Directory и Microsoft Sensitivity Labels (классификация данных MIP). Эти данные могут отображаться в виде текста, изображений или QR-кодов с настраиваемыми размером, прозрачностью, цветом, частотой повторения и углом наклона.

Политики создаются и управляются через удобный веб-сервер политик и могут быть связаны с Active Directory для автоматического назначения пользователям, группам или организационным единицам. Продукты xSecuritas доступны как в виде облачного сервиса, так и в полностью локальной (on-premise) установке без доступа в Интернет.

Ключевые особенности агентской программы

Динамические экранные водяные знаки

  • Отображение или скрытие водяных знаков в зависимости от:
    • среды и типа сети
    • местоположения
    • доступности по ICMP
    • локального или удалённого сеанса
    • корпоративной политики
  • Водяные знаки могут:
    • всегда отображаться
    • отображаться выборочно
    • включаться только при доступе к чувствительным данным

Расширенные метаданные водяных знаков

  • Поддержка более 30 типов метаданных для динамических водяных знаков: ID пользователя, имя компьютера, локальный и удалённый IP-адрес, MAC-адрес, дата и время
  • атрибуты Active Directory, ярлыки Microsoft Sensitivity Labels (MIP Data Classification)
  • Поддерживаются водяные знаки в виде текста, изображений и QR-кодов

Несколько режимов отображения водяных знаков

  • Водяной знак отображается на всех мониторах или только на некоторых мониторах.
  • Отображение на всех мониторах или только на выбранных
  • Водяной знак на уровне рабочего стола (глобальный)
  • Водяной знак на уровне окна (для отдельных приложений)
  • Белые/чёрные списки приложений и веб-сайтов
  • Режимы:
    • «Показывать только в указанных приложениях/на сайтах»
    • «Скрывать только в указанных приложениях/на сайтах»

Поддержка VDI / RemoteApp / виртуальных сред

  • Водяные знаки работают даже без установки агента на клиентский ПК
  • Поддержка: Microsoft Remote Desktop / RemoteApp Citrix XenDesktop / XenApp, VMware Horizon VDI & Apps, Dizzion Frame, других VDI-решений

Невидимый (скрытый) водяной знак

  • При захвате экрана в изображение автоматически встраивается невидимый зашифрованный водяной знак
  • Пользователи его не видят
  • Администраторы могут извлечь его с помощью специального инструмента
  • Обеспечивает сильные возможности цифровой экспертизы и соответствия требованиям регуляторов

Интеграция с Microsoft Sensitivity Labels (MIP)

  • Отображение или скрытие водяных знаков на основе ярлыков MIP
  • Применение политик только к определённым уровням чувствительности
  • Поддержка Office 365, SharePoint Online и OneDrive
  • Обнаружение ярлыков в режиме реального времени в Word/Excel/PowerPoint и браузерных приложениях

Водяные знаки для видеоконференций

  • Применение водяных знаков при: демонстрации экрана, демонстрации окна, расшаривании контента
  • Поддерживаемые платформы: Zoom, Microsoft Teams, Cisco WebEx
  • Предотвращает утечки экрана во время онлайн-совещаний

Водяной знак для веб-камеры (дополнительный модуль)

  • Наложение водяного знака на поток живого видео с веб-камеры
  • Отображение текста/изображения водяного знака прямо на видеопотоке
  • Водяной знак виден и у ведущего, и у участников
  • Поддерживаемые платформы: Zoom, Microsoft Teams, Cisco WebEx
  • Используются те же правила оформления и метаданных, что и для экранных водяных знаков
  • Работает во время видеоконференций

Блокировка захвата экрана

  • Блокировка стандартных инструментов ОС для скриншотов (Snipping Tool, PrintScreen и др.)
  • Блокировка сторонних программ захвата экрана
  • Предотвращение захвата конкретных окон
  • В случае успешного захвата изображение может быть сохранено на сервере или отправлено администратору по электронной почте

Управление политиками на основе среды

  • Гибкое поведение водяных знаков в зависимости от:
    • офисной или домашней сети
    • белых/чёрных списков IP-адресов
    • доступности по ICMP

Функция печатных водяных знаков (доп. модуль)

  • Автоматическое добавление видимых водяных знаков на печатные документы
  • Логирование печати: имя пользователя, название документа, количество страниц, принтер и время печати
  • Возможность запрета/разрешения печати в зависимости от принтера, процесса или типа документа
  • Возможность принудительного нанесения водяного знака или полного запрета печати

Самозащита / защита от вмешательства

  • Агента нельзя завершить через Диспетчер задач или сторонние инструменты
  • Файлы агента нельзя удалить через проводник или сторонние утилиты
  • Нельзя удалить приложение без ввода администраторского пароля
  • Автозапуск вместе с ОС, пользователь не может отключить
  • Опциональный скрытый режим (без иконки в трее)

Основные возможности сервера политик

Облачное или локальное развертывание (для локальной версии Интернет не требуется)

Создание, развертывание и управление политиками водяных знаков

Удалённое управление агентами (завершение работы, деинсталляция)

Назначение политик по отделу (AD-OU), пользователю, IP-адресу, группе AD или домену

Поддержка отложенных/расписанных политик

Предварительный просмотр водяных знаков перед развертыванием

Централизованный сбор логов и формирование отчётов

Поддержка входа через Microsoft Active Directory

Поддержка SAML-базированного Single Sign-On (SSO)

Поддержка двухфакторной аутентификации (2FA) для усиления безопасности админ-доступа

Как работает xSecuritas Screen Watermark Enterprise

Обзор архитектуры (Agent ↔ Policy Server)

  • Agent (Windows / macOS / Linux / VDI Host)
    • Определяет атрибуты устройства/пользователя (ID пользователя, имя хоста, атрибуты AD, IP/подсеть, Microsoft Sensitivity Label и т. д.)
    • Формирует наложение водяного знака, используя GPU или уровни рендеринга на уровне ОС
    • Получает актуальную политику с Policy Server по безопасной pull-модели
    • Обнаруживает события захвата экрана, печати и доступа к веб-камере
    • Шифрует и отправляет события безопасности и форензические логи на Policy Server
  • Policy Server (Cloud или On-Premise)
    • Сопоставляет политики по OU в AD, пользователю, группе, домену или IP-адресу
    • Управляет шаблонами водяных знаков, правилами метаданных и логикой, зависящей от среды
    • Отслеживает состояние Agents и поддерживает удалённый выход/удаление
    • Хранит журналы, форензические данные и аудиторские записи в централизованном хранилище

Рабочий процесс на локальном ПК или VDI-хосте

  • Пользователь устанавливает Agent (или он автоматически запускается на VDI-хосте).
  • Agent регистрируется на Policy Server и загружает назначенную политику.
  • Каждая политика содержит текст отображения, прозрачность, шаблон повторения, параметры QR/изображения, цвета, сопоставление позиционирования и правила Sensitivity Label.
  • Agent анализирует разрешение ОС, конфигурацию нескольких мониторов и масштабирование DPI, чтобы отрисовать водяной знак в оптимальных координатах.
  • Если сеть прерывается, Agent продолжает работу, используя последнюю кэшированную политику (офлайновый fail-safe-режим).
  • Действия захвата экрана (Win+Shift+S, PrtScn, Snipping Tool), задания на печать и события использования веб-камеры обнаруживаются и логируются.
  • Логи отправляются на сервер немедленно или пакетами по расписанию в зависимости от конфигурации.
  • Администраторы могут просматривать состояние водяных знаков, подключения устройств и события безопасности по каждому пользователю или машине.

Рабочий процесс для RemoteApp / XenApp / Horizon / Frame

  • Agent устанавливается только на сервер RemoteApp/XenApp, а не на ПК пользователя.
  • Когда пользователь открывает Word/Excel/браузер внутри сессии RemoteApp, наложение водяного знака отрисовывается внутри виртуального окна.
  • Водяные знаки отображаются стабильно даже в том случае, если на конечном устройстве пользователя Agent не установлен.
  • Policy Server автоматически назначает политики водяных знаков на основе домена, IP, OU или идентичности пользователя.
  • Разрешения на скриншоты оцениваются на основе серверных правил и взаимодействия с клиентом.
  • Невидимый водяной знак автоматически внедряется в захваченные изображения даже в сессиях RemoteApp.

Логика политик с учётом среды

  • Корпоративная сеть vs внешняя сеть → режим водяного знака переключается автоматически
  • Доступность ICMP/Ping используется для определения условий «офис» vs «удалённо»
  • Изменения IP/подсети запускают переназначение политик или корректировку текста/метаданных
  • Изменения в группах безопасности AD динамически обновляют соответствующие политики водяных знаков
    * Система автоматически различает Remote Desktop и локальный рабочий стол

Движок безопасности, логирования и соответствия требованиям

  • События захвата экрана, печати и использования веб-камеры шифруются локально до передачи
  • Сервер коррелирует события с учетной записью AD, ID сессии и назначенными политиками
  • Администраторы фильтруют журналы по времени, устройству, приложению, процессу и политике
  • Невидимый форензический водяной знак встраивает уникальный код корреляции в захваченные изображения
  • Даже если скриншот утечёт наружу, сервер может отследить конкретного пользователя и устройство

Высокая доступность и аварийный режим (Fail-Safe)

  • Если Agent теряет соединение с сервером, кэшированные политики остаются активными
  • Водяные знаки продолжают отображаться без прерываний
  • Как только сервер становится доступен, Agent автоматически пересинхронизируется
  • Команды удалённого удаления/завершения ставятся в очередь и выполняются после восстановления соединения

Управление через Policy Server

  • Когда администратор сохраняет политику, все Agents обновляются автоматически в соответствии с их интервалом опроса
  • Можно создавать несколько политик для отделов, групп, пользователей или диапазонов IP
  • Администраторы могут удалённо завершать или деинсталлировать Agents
  • Мониторинг в реальном времени показывает состояние подключения Agent, активные политики и информацию о версии
  • Журналы событий (скриншоты, печать, веб-камера) централизуются и доступны для поиска в Policy Server

Установка Agent, автообновление и удалённое удаление

  • Автоматические обновления Agent (Windows / macOS / Linux)
  • Корпоративное развёртывание через SCCM / MDM
  • Удалённое удаление и массовая деинсталляция

Демонстрация возможностей Screen Watermark: видеоролики

Поддерживаются различные способы отображения водяных знаков.

  • Отображение водяного знака на всем экране
  • Отображение водяного знака на рабочем столе и во всех окнах
  • Отображение водяного знака во всех окнах, кроме зарегистрированных
  • Отображение водяного знака только в зарегистрированных окнах

    При использовании RemoteApp, xenApp или Remote Desktop водяной знак отображается на всем экране без необходимости установки агентской программы.

    При показе экрана или отдельных окон другим участникам видеоконференций, таких как ZOOM, Microsoft Teams, WebEx или Skype, водяной знак может отображаться на экранах участников.

    При использовании веб-камеры вы можете отобразить на видеоэкране любой водяной знак, какой захотите.

    Водяные знаки веб-камеры могут отображаться на видеоэкране организатора и участника во время видеоконференции.

    Поддержка ZOOM, CISCO WebEx, Microsoft Teams, Skype для персональных версий

    Водяной знак, отображаемый в области видео, совпадает с водяным знаком экрана

    Невидимый водяной знак не показывается на экране, но включается в файл со снимком экрана.

    Невидимый водяной знак зашифровывается, причем для каждого заказчика применяется свой ключ шифрования.

    Компания xSecuritas предоставляет программу для расшифровки водяных знаков.

    Невидимый водяной знак невозможно раскодировать, если снимок экрана сделан фотокамерой.

    Отображение водяного знака на экране при работе из офиса и из дома.

    При использовании RemoteApp, xenApp или Remote Desktop водяной знак отображается на всем экране без необходимости установки агентской программы.

    При удаленном подключении из дома водяной знак может отображаться на домашнем компьютере, даже если на нем не установлена программа Watermark.

    Удобный интерфейс xSecuritas Screen Watermark.

    В этом видео демонстрируется установка агента xSecuritas Screen Watermark и работа с сервером политик.

    Защита от создания снимков экрана.

    Возможность запретить создание снимка всего экрана.

    Возможность запретить создание снимка экрана определенных приложений.

    Когда пользователь пытается сделать снимок экрана, исходное изображение сохраняется на сервере.

    При печати документов на них помещаются водяные знаки.

    Ведется журнал печати (сохраняется информация о пользователе, названии документа, принтере, количестве страниц и т. п.).

    Печать водяных знаков может быть отключена для определенных документов, принтеров и процессов.

    Водяные знаки могут отображаться или не отображаться в соответствии с меткой конфиденциальности Microsoft.

    Водяной знак может отображаться только на документах с указанными метками конфиденциальности.

    Показывать разные водяные знаки при работе дома и на работе

    На ПК пользователя отображаются различные водяные знаки в зависимости от среды, такой как ICMP, IP-адрес, локальное/удаленное подключение и т. д.

    Водяной знак экрана для macOS

    Вы можете показать или скрыть водяной знак в зависимости от того, запущено ли указанное приложение.

    Поддержка: macOS 10.14 или новее.

    Разрешить или заблокировать веб-камеру

    Вы можете заблокировать или разрешить использование веб-камеры с помощью указанного приложения или URL-адреса.

    Демонстрация возможностей Screen Watermark: видеоролики

    Поддерживается несколько режимов отображения водяных знаков, включая полноэкранный, по мониторам, по приложениям и по веб-сайтам.

    При использовании веб-камеры можно накладывать на видеопоток настраиваемые водяные знаки.

    Невидимый судебно-экспертный водяной знак встраивается в захваченные изображения, несмотря на то, что он не отображается на экране.

    Поведение экранного водяного знака может автоматически изменяться в зависимости от того, работает ли пользователь в офисе или дома.

    Решение включает функцию предотвращения захвата экрана, блокирующую несанкционированные попытки сделать скриншот.

    Поддерживается печатный водяной знак, позволяющий вставлять видимые водяные знаки в печатные документы.

    Видимость водяного знака может автоматически контролироваться на основе меток чувствительности Microsoft (MIP).

    Screen Watermark полностью поддерживается в macOS.

    Использование веб-камеры может быть разрешено или заблокировано в зависимости от приложений, сайтов или политик.

    Часто задаваемые вопросы о xSecuritas Enterprise Screen Watermark

    t

    Что такое xSecuritas Enterprise Screen Watermark и как эта система предотвращает утечки данных с экрана?

    xSecuritas Enterprise Screen Watermark накладывает на экран видимые и невидимые водяные знаки с метаданными и блокирует попытки создания скриншотов или съёмки камерой, предотвращая несанкционированные утечки данных с экрана в средах Windows, macOS, Linux и VDI.

    t

    Какую нагрузку на CPU создаёт Agent xSecuritas Screen Watermark?

    Даже при сложных или высокоплотных конфигурациях водяных знаков Agent xSecuritas обычно использует 0–2% CPU, обеспечивая минимальное влияние на среды Windows, macOS и Linux.

    t

    Поддерживает ли решение невидимые (форензические) водяные знаки?

    Да. xSecuritas внедряет зашифрованный невидимый водяной знак в захваченные изображения, что позволяет администраторам отследить утечки до конкретных пользователей, устройств и сессий.

    t

    Какие операционные системы поддерживаются Agent?

    Windows 7/SP1+, Windows Server 2008 R2+, macOS 10.14+ и дистрибутивы Linux с glibc 2.17+ (Ubuntu, RedHat, CentOS, Debian, Fedora, OpenSUSE, KDE и т. д.).

    t

    Работает ли xSecuritas Screen Watermark в средах VDI, RemoteApp, XenApp, Horizon или Frame?

    Да. Водяные знаки отрисовываются непосредственно внутри удалённой сессии, даже если на локальном ПК пользователя Agent не установлен.

    t

    Блокирует ли решение встроенные средства захвата экрана (PrintScreen, Snipping Tool, Win+Shift+S и т. д.) и сторонние приложения?

    Да. Agent блокирует API захвата экрана ОС и предотвращает либо логирует попытки съёмки стандартными и сторонними инструментами.

    t

    Может ли xSecuritas обнаруживать подозрительную активность, связанную с захватом экрана, и создавать журналы?

    Да. Все попытки создания скриншотов, заблокированные захваты и взаимодействия с защищённым контентом журналируются и передаются на Policy Server для анализа.

    t

    Интегрируется ли xSecuritas с Microsoft Sensitivity Labels (MIP)?

    Да. Видимость и поведение водяного знака могут динамически управляться на основе меток Microsoft Information Protection (MIP).

    t

    Можно ли отображать водяные знаки только в определённых приложениях или на определённых сайтах?

    Да. Можно настроить списки разрешённых и запрещённых (allowlists/denylists), чтобы водяные знаки отображались только в выбранных приложениях или по заданным URL.

    t

    Поддерживает ли Screen Watermark несколько мониторов и ультраширокие экраны?

    Да. Agent автоматически определяет конфигурацию мониторов, масштабирование DPI и изменения компоновки, чтобы корректно отрисовывать водяные знаки.

    t

    Какие метаданные могут отображаться в водяном знаке?

    Более 30 типов, включая ID пользователя, имя ПК, IP/MAC-адрес, атрибуты AD, дату и время, ID сессии, QR-код и метку MIP.

    t

    Продолжает ли Agent применять политики при отключении сети?

    Да. Безопасный локальный кэш гарантирует, что водяной знак остаётся активным офлайн, используя последнюю актуальную политику.

    t

    Может ли Policy Server назначать политики по отделу, группе, пользователю или диапазону IP?

    Да. Политики можно назначать по OU AD, группам AD, ID пользователя, домену, IP-адресу или пользовательским правилам сопоставления.

    t

    Поддерживает ли xSecuritas водяные знаки при печати и контроль печати?

    Да. Выходной водяной знак добавляет видимые водяные знаки при печати в зависимости от принтера, приложения, метки чувствительности или политики пользователя.

    t

    Поддерживается ли водяной знак для веб-камеры и блокировка камеры?

    Да. Водяные знаки могут накладываться на поток веб-камеры, а доступ к камере можно ограничивать по приложениям или сайтам.

    t

    Могут ли администраторы удалённо удалять или отключать Agents?

    Да. При наличии соответствующих прав администраторы могут удалённо деинсталлировать, завершать или перезапускать Agents через Policy Server.

    t

    Как продукт обнаруживает и блокирует несанкционированные средства захвата экрана?

    Agent перехватывает Win32-API, уровни DirectX и сигнатуры известных инструментов, чтобы блокировать или логировать несанкционированные попытки захвата.

    t

    Работает ли водяной знак только внутри окон RemoteApp, не затрагивая локальный рабочий стол?

    Да. Водяные знаки отрисовываются исключительно внутри окна сессии RemoteApp.

    t

    Работает ли решение без подключения к Интернету?

    Да. Локальные (On-Premise) развёртывания обеспечивают полностью офлайновый режим работы.

    t

    Могут ли внешние подрядчики или временные пользователи получать отличные политики водяных знаков?

    Да. Политики могут динамически назначаться на основе IP, группы AD, домена, типа устройства или местоположения.

    t

    Сохраняются ли события скриншотов, печати и использования камеры централизованно для аудита?

    Да. Все события безопасности отправляются на Policy Server и могут быть найдены по пользователю, устройству, времени или политике.

    t

    Поддерживает ли xSecuritas расширенную форензическую трассировку?

    Да. Невидимые водяные знаки в сочетании с корреляцией логов позволяют полностью отследить утечку изображения, даже если скриншот был передан внешним сторонам.

    t

    Можно ли планировать применение политик по расписанию или временным окнам?

    Да. Политики могут быть настроены по времени, отделам, сменам пользователей или расписаниям бронирований.

    t

    Доступен ли предпросмотр водяных знаков в реальном времени?

    Да. Администраторы могут просматривать внешний вид водяного знака в реальном времени непосредственно в Policy Server.

    t

    Поддерживает ли Agent автоматические обновления?

    Да. Agents для Windows, macOS и Linux поддерживают безопасные автоматические обновления без пароля.

    t

    Можно ли развёртывать Agent через SCCM, Intune, JAMF, GPO, PDQ или MDM-инструменты?

    Да. Поддерживаются все основные корпоративные платформы развёртывания.

    t

    Поддерживает ли Agent скрытый (stealth) режим?

    Да. Значок в области уведомлений можно скрыть, а Agent может работать в режиме защиты от вмешательства.

    t

    Как Policy Server взаимодействует с Agents?

    Agents по защищённым каналам получают с сервера актуальные политики и пакетами выгружают журналы.

    t

    Поддерживает ли решение многополитические и мультиарендные (multi-tenant) среды?

    Да. Можно создавать несколько политик и автоматически сопоставлять их организациям, отделам или группам пользователей.

    t

    Требует ли водяной знак модификации наших приложений?

    Нет. Отрисовка водяного знака работает независимо от кода приложений и не требует их изменения.

    t

    Должны ли Policy Server и сервер базы данных работать на одной машине?

    Они могут располагаться на одном сервере для небольших и средних развёртываний. Для сред с более чем 1000 пользователей рекомендуется разделить Policy Server и сервер базы данных для оптимальной производительности и масштабируемости.

    t

    Какие системы баз данных поддерживаются продуктами xSecuritas?

    Решения xSecuritas поддерживают MariaDB и Microsoft SQL Server (MS-SQL) в качестве основных СУБД для Policy Server и системы логирования; обе СУБД полностью совместимы с высокодоступными (HA) и крупномасштабными корпоративными развёртываниями.

    t

    Поддерживает ли xSecuritas высокую доступность (HA) для корпоративных сред?

    Да. И сервер баз данных (MariaDB / MS-SQL), и веб-ориентированный Policy Server могут быть полностью сконфигурированы для работы в режиме высокой доступности (HA) в критически важных средах.

    t

    Как xSecuritas обрабатывает проблемы или инциденты, сообщаемые во время эксплуатации продукта?

    Все зарегистрированные проблемы обрабатываются с наивысшим приоритетом; большинство из них анализируются и исправляются в течение 1–2 рабочих дней. Для более сложных случаев xSecuritas предоставляет ориентировочную дату решения и регулярно информирует заказчика о ходе работ до полного устранения проблемы.

    t

    Имеет ли xSecuritas сертификаты соответствия таким стандартам, как ISO и SOC2?

    Да. xSecuritas сертифицирован по стандартам ISO 27001:2022 и SOC 2 Type II.

    Поддерживаемые операционные системы

    Windows

    macOS

    Linux

    Android