企业级屏幕水印解决方案
跨平台屏幕DLP、防截屏与取证级隐形水印保护xSecuritas Screen Watermark Enterprise 是一款先进的屏幕安全与防截图解决方案,可在屏幕上嵌入可见与不可见水印、阻止各种截图工具、支持 VDI 及 RemoteApp 环境,并可与 Microsoft 敏感度标签及 Active Directory 深度集成。
该解决方案可在 Windows、macOS、Linux 及混合办公环境中有效防止基于屏幕的数据泄露。
xSecuritas Screen Watermark 已被全球 350,000+ 用户稳定使用超过五年,被广泛应用于银行、政府、国防、通信、制造业及全球大型企业,帮助组织满足数据保护与合规要求。
xSecuritas 已通过 ISO 27001:2022 与 SOC2 Type II 国际认证,确保我们的安全控制、研发流程及运营标准均符合全球认可的安全规范。这为对合规性要求严格的企业提供了额外保障。
code-json
关于 xSecuritas Screen Watermark
xSecuritas Screen Watermark 可通过阻止截图、嵌入可见与不可见水印、显示用户专属动态元数据等方式,帮助组织防止屏幕数据泄露。管理员可以设置水印何时显示:始终显示、仅在特定环境显示,或仅在访问敏感数据时显示。
系统支持 30 多种元数据:用户 ID、IP 地址、MAC 地址、日期/时间、电脑名、Active Directory 属性、Microsoft 敏感度标签(MIP 数据分类)等。 这些信息可作为文本、图片或二维码显示,并可自定义大小、透明度、颜色、重复方式与角度。
管理可通过直观的 Web 策略服务器完成,并可与 Active Directory 集成,将水印策略自动分配给用户、组或组织单位。 xSecuritas 产品可用于云端或完全离线的本地部署(无需互联网)。
代理程序的主要特点
动态屏幕水印
- 根据环境、网络类型、位置、ICMP 可达性、本地/远程会话或企业策略自动显示/隐藏水印
- 可设置为:始终显示 / 有条件显示 / 访问敏感数据时才显示
高级元数据水印
- 支持超 30 种动态元数据:用户 ID、电脑名、 本地 & 远程 IP 地址、 MAC 地址、 日期与时间
- Active Directory 属性
- Microsoft 敏感度标签(MIP 数据分类)
- 支持文本 / 图片 / 二维码水印
多种水印显示模式
- 显示在所有显示器或指定显示器
- 桌面级(水印覆盖整个桌面)
- 窗口级(按应用显示水印)
- 应用 & 网站白名单 / 黑名单
- “仅在指定应用/网站显示” 或 “仅在指定应用/网站隐藏”
VDI / RemoteApp / 虚拟环境支持
- 即使无需在客户端 PC 上安装 Agent,水印仍然有效
- 支持:Microsoft Remote Desktop/RemoteApp、Citrix XenDesktop/XenApp、VMware Horizon、Dizzion Frame 等虚拟环境
不可见(隐藏)水印
- 截图发生时自动向图片嵌入不可见加密水印
- 用户不可见
- 管理员可使用专用工具提取
- 用于取证和合规追踪
Microsoft 敏感度标签(MIP)集成
- 根据敏感度标签自动显示/隐藏水印
- 针对特定敏感级别实施策略
- 支持 Office 365、SharePoint Online、OneDrive
- Word/Excel/PowerPoint 及浏览器版实时识别标签
视频会议水印
- 在屏幕共享、窗口共享、内容共享时显示水印
- 支持 Zoom、Microsoft Teams、Cisco WebEx
- 防止线上会议中的屏幕泄露
摄像头水印(附加组件)
- 将水印直接叠加在摄像头视频画面上
- 同时显示在主讲人与参与者画面中
- 支持 Zoom / Teams / WebEx
- 与屏幕水印使用相同的样式和元数据规则
屏幕截图阻止
- 阻止操作系统截图(如:截图工具、PrintScreen 等)
- 阻止第三方截图应用
- 防止特定窗口截图
- 如尝试截图,可将图片保存到服务器或邮箱发送给管理员
环境感知策略控制
- 基于以下条件自动调整水印行为:
- 办公室 vs 家庭网络
- IP 白名单/黑名单
- ICMP 网络可达性
打印水印(附加组件)
- 对打印文档自动添加可见水印
- 记录打印日志(用户、文档名、页数、打印机 等)
- 根据文档类型/进程/打印机允许或禁止打印
- 可强制水印或禁止打印
自我保护 / 防篡改保护
- 无法通过任务管理器或第三方工具关闭 Agent
- 文件无法被删除
- 不能被用户卸载(需管理员密码)
- 随操作系统自动启动
- 可启用隐藏模式(托盘图标隐藏)
策略服务器的主要功能
云端或本地部署(本地模式无需互联网)
创建、部署与管理水印策略
可远程控制 Agent(退出、卸载)
按部门(AD-OU)、用户、IP、AD 组或域分配策略
支持预约/定时策略
支持部署前水印预览
集中日志与报告
支持 Active Directory 登录
支持 SAML 企业级单点登录 (SSO)
支持双因素认证 (2FA)
xSecuritas Screen Watermark Enterprise 的工作方式
体系结构概述(Agent ↔ Policy Server)
- Agent (Windows / macOS / Linux / VDI Host)
- 识别设备/用户属性(用户 ID、主机名、AD 属性、IP/子网、Microsoft 敏感度标签等)
- 使用 GPU 或操作系统渲染层生成水印叠加层
- 通过安全的拉取模式从 Policy Server 获取最新策略
- 检测截屏、打印和摄像头访问事件
- 加密并将安全事件与取证日志上传到 Policy Server
- Policy Server (Cloud or On-Premise)
- 根据 AD OU、用户、组、域或 IP 地址映射策略
- 管理水印模板、元数据规则和环境逻辑
- 跟踪 Agent 状态并支持远程退出/卸载
- 将日志、取证数据和审计记录存储在集中式存储中
在本地 PC 或 VDI 主机上的工作流程
- 用户安装 Agent(或在 VDI 主机上自动启动)。
- Agent 注册到 Policy Server 并下载分配的策略。
- 每个策略包含显示文本、透明度、重复模式、二维码/图像选项、颜色、位置映射以及敏感度标签规则。
- Agent 分析操作系统分辨率、多显示器布局和 DPI 缩放,并在最佳坐标位置渲染水印。
- 如果网络中断,Agent 将使用上次缓存的策略继续运行(离线保护模式)。
- 截图操作(Win+Shift+S、PrtScn、Snipping Tool)、打印任务或摄像头使用事件会被检测和记录。
- 日志会根据配置立即或按照计划批量发送到服务器。
- 管理员可以按用户或设备查看水印状态、设备连接和安全事件。
在 RemoteApp / XenApp / Horizon / Frame 中的工作流程
- Agent 仅安装在 RemoteApp/XenApp 服务器上,而不安装在用户的 PC 上。
- 当用户在 RemoteApp 会话中打开 Word/Excel/浏览器时,水印叠加会渲染在虚拟窗口中。
- 即使用户终端没有安装 Agent,水印也会一致显示。
- Policy Server 会根据域、IP、OU 或用户身份自动分配水印策略。
- 截图权限根据服务器端规则和客户端通信进行评估。
- 即使在 RemoteApp 会话中,不可见水印也会自动嵌入捕获的图像。
环境感知策略逻辑
- 公司网络 vs 外部网络 → 水印模式自动切换
- 使用 ICMP/Ping 可用性检测办公室 vs 远程环境
- IP/子网变化触发策略重新分配或文本/元数据调整
- AD 安全组更改会动态更新对应的水印策略
- 系统自动区分远程桌面与本地桌面
安全、日志与合规引擎
- 截图、打印和摄像头事件在发送前会在本地加密
- 服务器将事件与 AD 身份、会话 ID 和分配的策略进行关联
- 管理员可按时间、设备、应用、进程和策略过滤日志
- 不可见取证水印会在捕获的图像中嵌入唯一关联代码
- 即使截图被外泄,服务器也能追踪精确的用户和设备
高可用与故障保护模式
- 如果 Agent 与服务器的连接丢失,缓存策略仍保持活动
- 水印会持续显示且不会被中断
- 当服务器恢复后,Agent 会自动重新同步
- 远程卸载/退出命令会排队并在重新连接后执行
Policy Server 控制功能
- 当管理员保存策略后,所有 Agent 会根据其轮询周期自动更新
- 可为部门、组、用户或 IP 范围创建多个策略
- 管理员可以远程终止或卸载 Agent
- 实时监控显示 Agent 连接状态、活动策略和版本信息
- 截图、打印、摄像头事件日志会在 Policy Server 中集中存储并可搜索
Agent 安装、自动更新与远程移除
- 自动化 Agent 更新(Windows / macOS / Linux)
- 通过 SCCM / MDM 的企业级部署
- 远程移除与批量卸载
屏幕水印视频
支持各种类型的水印显示方法。
- 在显示器上显示水印
- 在桌面和所有窗口上显示水印
- 在所有窗口上显示水印,但注册窗口除外。
- 仅在某些注册窗口中显示水印
使用远程应用程序、xenApp 或远程桌面时,水印会显示在任何地方,无需安装屏幕水印程序。
使用 ZOOM、Microsoft Teams、WebEx 或 Skype 等视频会议工具共享全屏或特定窗口时,可以在参与者的屏幕上显示水印。
使用网络摄像头时,您可以在视频屏幕上显示任何您想要的水印。
在视频会议期间,网络摄像头水印可以显示在主机和参与者的视频屏幕上。
支持 ZOOM、CISCO WebEx, Microsoft Teams, 个人 Skype
视频区域中显示的水印与屏幕水印相同。
屏幕中隐藏着不可见的水印,捕获屏幕时包含在图像文件中。
不可见的水印是加密的,每个客户的加密密钥是不同的。
解密可以使用 xSecuritas提供的工具执行。
用相机拍摄时,无法解码隐形水印。
在办公室或家中工作时,如何显示屏幕水印。
使用远程应用程序、xenApp 或远程桌面时,水印显示在任何地方,无需安装屏幕水印程序。
如果您在家工作时使用此产品,即使水印程序未安装在员工家庭 PC 上,您也可以在家 PC 上显示水印。
使用 xSecuritas屏幕水印的简单方法
此视频解释了如何安装 xSecuritas屏幕水印代理,并以简单的方式使用策略服务器。
防止屏幕捕获功能
控制不捕获整个屏幕。
仅捕获某些程序屏幕的控件。
当用户尝试捕获时,原始图像将保存在服务器上。
打印文档时输出水印
打印时保存日志(记录用户、文档名称、打印机、页面数等)
水印可以设置为不打印特定文档、打印机和流程。
根据 Microsoft 敏感度标签,水印可能会出现也可能不会出现。
水印只能显示在具有指定敏感度标签的文档上。
在家工作与在家工作时显示不同的水印
根据 ICMP、IP 地址、本地/远程连接等环境,用户 PC 上显示不同的水印。
macOS 的屏幕水印
您可以根据指定的应用程序是否正在运行来显示或隐藏水印。
支持:macOS 10.14 或更高版本。
允许或阻止网络摄像头
您可以阻止或允许指定应用程序或 URL 使用网络摄像头。
屏幕水印视频
支持多种水印显示模式,包括全屏、按显示器、按应用程序和按网站显示。
使用摄像头时,可以将自定义水印直接叠加到视频流上。
即使屏幕上不可见,不可见取证水印也会嵌入到捕获的图像中。
屏幕水印行为可根据用户是在办公室工作还是在家工作自动变化。
该解决方案包含屏幕截图防护功能,可阻止未经授权的截屏尝试。
支持打印水印功能,可在打印的文档中插入可见水印。
水印的显示可根据 Microsoft 敏感度标签(MIP)自动控制。
macOS 完全支持屏幕水印功能。
可根据应用程序、网站或策略规则允许或阻止摄像头使用。
常见问题(FAQ)
什么是 xSecuritas Enterprise Screen Watermark,它如何防止屏幕泄密?
xSecuritas Enterprise Screen Watermark 会在屏幕上叠加可见与不可见的元数据水印,并阻止截图或摄像头拍摄,从而防止在 Windows、macOS、Linux 和 VDI 环境中出现未经授权的屏幕泄密。
xSecuritas Screen Watermark Agent 的 CPU 占用率是多少?
即使在复杂或高密度水印配置下,Agent 的 CPU 占用通常为 0–2%,对 Windows、macOS、Linux 系统影响极低。
该解决方案是否支持不可见(取证)水印?
支持,xSecuritas 会在截图中嵌入加密的不可见水印,管理员可以通过此水印追踪泄露来源的用户、设备和会话。
Agent 支持哪些操作系统?
支持 Windows 7/SP1+、Windows Server 2008 R2+、macOS 10.14+,以及使用 glibc 2.17+ 的 Linux 发行版(Ubuntu、RedHat、CentOS、Debian、Fedora、OpenSUSE、KDE 等)。
xSecuritas Screen Watermark 是否支持 VDI、RemoteApp、XenApp、Horizon 或 Frame?
支持,水印会直接在远程会话中渲染,即使用户本地设备没有安装 Agent。
是否能阻止操作系统截图工具(PrintScreen、Snipping Tool、Win+Shift+S 等)和第三方截图应用?
能,Agent 会拦截操作系统截屏 API,并阻止或记录来自系统工具或第三方工具的截屏尝试。
系统能否检测可疑的截屏行为并生成日志?
能,所有截屏尝试、被阻止的截图以及受保护内容的访问都会记录并上传到 Policy Server。
是否支持 Microsoft 敏感度标签(MIP)集成?
支持,可根据 Microsoft 信息保护(MIP)标签自动控制水印的显示与行为。
可以仅在特定应用或网站中显示水印吗?
可以,可通过允许列表与拒绝列表配置水印仅在指定应用或 URL 中显示。
屏幕水印是否支持多显示器和超宽屏?
支持,Agent 会自动检测显示器配置、DPI 缩放及布局变化以精确渲染水印。
水印中可以显示哪些元数据?
支持 30 多种类型,包括用户 ID、PC 名称、IP/MAC 地址、AD 属性、日期时间、会话 ID、二维码以及 MIP 标签。
网络断开后 Agent 是否仍会继续应用策略?
会,Agent 使用安全缓存离线运行并保持最近的策略。
Policy Server 是否可以按部门、组、用户或 IP 分配策略?
可以,可按 AD OU、AD 组、用户 ID、域、IP 地址或自定义规则分配策略。
xSecuritas 是否支持打印水印与打印控制?
支持,打印水印可根据打印机、应用、敏感度标签或用户策略插入可见打印水印。
是否支持摄像头水印和摄像头阻止?
支持,可将水印叠加到摄像头视频流上,并可按应用或网站限制摄像头访问。
管理员能否远程卸载或禁用 Agent?
可以,管理员可在 Policy Server 中远程卸载、退出或重启 Agent。
水印是否仅会显示在 RemoteApp 窗口,而不会影响本地桌面?
是的,水印会专门渲染在 RemoteApp 会话窗口中,不会覆盖用户的本地桌面。
产品如何检测并阻止未经授权的截图工具?
Agent 会拦截 Win32 API、DirectX 渲染层并识别已知工具特征以阻止或记录截屏尝试。
该解决方案是否必须依赖互联网连接?
不需要,本地化(On-Premise)部署支持完全离线运行。
外部承包商或临时用户是否可以分配不同水印策略?
可以,策略可根据 IP、AD 组、域、设备类型或位置动态应用。
截图、打印和摄像头事件是否会集中存储用于审计?
会,所有安全事件都会上传到 Policy Server,并可按用户、设备、时间或策略搜索。
是否支持深度取证追踪?
支持,不可见水印与日志关联可实现完整的泄密追踪,即使截图被外泄。
策略是否可以按计划或时间段应用?
可以,策略可根据时间、部门、用户班次或预约计划自动执行。
是否提供实时水印预览?
提供,管理员可在 Policy Server 中实时预览水印效果。
Agent 是否支持自动更新?
支持,Windows、macOS 和 Linux Agent 均支持安全、无密码的自动更新。
是否支持通过 SCCM、Intune、JAMF、GPO、PDQ 或 MDM 部署 Agent?
支持,兼容所有主流企业部署平台。
Agent 是否支持隐藏/隐身模式?
支持,可隐藏托盘图标并启用防篡改模式。
Policy Server 如何与 Agent 通信?
Agent 通过加密通信通道拉取最新策略并批量上传日志。
是否支持多策略与多租户环境?
支持,可创建多个策略并自动映射到组织、部门或用户组。
水印是否需要修改现有应用程序?
不需要,水印渲染独立于应用程序,无需对应用代码做任何更改。
Policy Server 和数据库是否必须安装在同一台服务器?
小型或中型环境可安装在同一台服务器,大于 1000 用户的部署建议将 Policy Server 与 Database Server 分离以获得最佳性能。
xSecuritas 产品支持哪些数据库?
支持 MariaDB 和 Microsoft SQL Server(MS-SQL),均可用于 Policy Server 与日志系统,并完全兼容企业级高可用部署。
xSecuritas 是否支持高可用(HA)?
支持,数据库服务器与基于 Web 的 Policy Server 均可配置为 HA 以满足关键任务环境。
xSecuritas 如何处理客户报告的问题或事件?
所有问题都会以最高优先级处理,大多数问题会在 1–2 天内分析并修复,复杂情况会提供预计解决时间并持续更新进度。
xSecuritas 是否通过 ISO 与 SOC2 企业合规认证?
是的,xSecuritas 已通过 ISO 27001:2022 与 SOC 2 Type II 认证。
支持O/S操作系统
Windows
macOS
Linux
