企业版 屏幕水印解决方案

xSecuritas 屏幕水印通过阻止截屏、嵌入可见和不可见水印以及显示动态用户特定元数据，帮助组织防止屏幕数据泄露。管理员可以选择水印的显示时机——始终显示、仅在特定环境下显示，或仅在访问敏感数据时显示。

该系统支持超过30种元数据类型，包括用户ID、IP地址、MAC地址、日期/时间、Active Directory属性以及Microsoft敏感度标签（数据分类）。这些元数据可以以文本、图像或二维码的形式显示，且可自定义大小、透明度、颜色、重复和角度。

策略可通过直观的Web策略服务器创建和管理，并可与Active Directory关联，实现对用户、组或组织单元的自动分配。xSecuritas 产品受到全球超过35万用户的信任，可提供云端和完全本地部署两种配置（本地部署无需互联网）。

• 动态屏幕水印：根据环境、网络类型、位置、ICMP可达性、远程/本地会话或公司策略显示或隐藏水印。
• 水印可以始终显示、选择性显示，或者仅在访问敏感数据时显示。

• 支持超过30种元数据类型用于动态水印。
• 用户ID、计算机名、本地及远程IP地址、MAC地址、日期和时间。
• Active Directory属性、Microsoft敏感度标签（MIP数据分类）。
• 文本、水印图片和二维码水印。

• 可在所有显示器上显示或仅在选定显示器上显示。
• 桌面级（水印全局）。
• 窗口级（按应用程序水印）。
• 应用程序和网站允许/拒绝列表（白名单/黑名单）。
• “仅在指定应用/网站显示”或“仅在指定应用/网站隐藏”。

• 即使客户端PC未安装代理，水印仍可生效。
• 支持 Microsoft Remote Desktop / RemoteApp、Citrix XenDesktop / XenApp、VMware Horizon VDI 与应用、Dizzion Frame 以及其他基于VDI的环境。

• 隐形水印会自动嵌入到捕获的图像中。
• 用户无法看到水印。
• 管理员可以使用专用工具提取水印。

• 根据MIP标签显示或隐藏水印。
• 仅对特定敏感度级别应用策略。
• 支持Office 365、SharePoint Online和OneDrive。
• 在Word、Excel、PowerPoint及基于浏览器的应用中实时检测标签。

• 可部署在云端或本地（本地部署无需互联网）。
• 创建、部署并管理水印策略。
• 控制远程代理（退出、卸载）。
• 可按部门（AD-OU）、用户、IP地址、AD组或域分配策略。
• 支持预约/定时策略。
• 在部署前预览水印。
• 集中日志记录和报表。
• 支持Microsoft Active Directory登录。
• 支持基于SAML的企业身份提供商单点登录（SSO）。
• 支持双因素认证（2FA），增强管理员级别的安全性。

• Agent (Windows / macOS / Linux / VDI Host)
  • 识别设备/用户属性（用户 ID、主机名、AD 属性、IP/子网、Microsoft 敏感度标签等）
  • 使用 GPU 或操作系统渲染层生成水印叠加层
  • 通过安全的拉取模式从 Policy Server 获取最新策略
  • 检测截屏、打印和摄像头访问事件
  • 加密并将安全事件与取证日志上传到 Policy Server
• Policy Server (Cloud or On-Premise)
  • 根据 AD OU、用户、组、域或 IP 地址映射策略
  • 管理水印模板、元数据规则和环境逻辑
  • 跟踪 Agent 状态并支持远程退出/卸载
  • 将日志、取证数据和审计记录存储在集中式存储中

• Agent 仅安装在 RemoteApp/XenApp 服务器上，而不安装在用户的 PC 上。
• 当用户在 RemoteApp 会话中打开 Word/Excel/浏览器时，水印叠加会渲染在虚拟窗口中。
• 即使用户终端没有安装 Agent，水印也会一致显示。
• Policy Server 会根据域、IP、OU 或用户身份自动分配水印策略。
• 截图权限根据服务器端规则和客户端通信进行评估。
• 即使在 RemoteApp 会话中，不可见水印也会自动嵌入捕获的图像。

• 当管理员保存策略后，所有 Agent 会根据其轮询周期自动更新
• 可为部门、组、用户或 IP 范围创建多个策略
• 管理员可以远程终止或卸载 Agent
• 实时监控显示 Agent 连接状态、活动策略和版本信息
• 截图、打印、摄像头事件日志会在 Policy Server 中集中存储并可搜索

• 自动化 Agent 更新（Windows / macOS / Linux）
• 通过 SCCM / MDM 的企业级部署
• 远程移除与批量卸载

• 水印可以显示在所有显示器上，也可以仅显示在选定的显示器上。
• 可在桌面和各个应用窗口中显示水印。
• 仅在特定应用或网站上显示水印。
• 仅在指定应用或网站上隐藏水印。
• 这些选项使组织能够实现精确的、基于环境的水印应用。

• 捕获的截图中包含隐形（水印隐藏）水印。
• 当屏幕被截取时，会自动嵌入一个隐形加密水印。
• 水印对用户不可见，但管理员可以使用专用工具提取。
• 每个客户使用不同的加密密钥以增强安全性。
• 提供强大的取证追踪功能，满足合规要求。

• 屏幕水印快速入门指南。
• 一个简单的指南，展示如何安装 xSecuritas 屏幕水印代理。
• 演示如何使用Web策略服务器配置和管理策略。
• 对首次使用的管理员非常有用。

• 打印水印与打印日志记录。
• 自动在打印文档上添加可见水印。
• 记录打印活动：用户名、文档名称、打印机、页数、时间戳。
• 管理员可根据打印机、进程或文档类型允许或阻止打印。
• 加强敏感环境下的打印安全。

• 环境感知水印（办公室 vs 家庭）。
• 水印可以根据以下条件动态变化：ICMP网络可达性、IP地址/子网、本地或远程连接。
• 帮助区分企业设备与外部设备的使用情况。
• 对混合办公环境的安全非常有用。

• 摄像头访问控制。
• 可根据应用程序、URL或策略阻止或允许摄像头使用。
• 适用于防止通过视频设备的摄像头滥用或数据泄露。
• 对受监管行业和高安全环境非常有用。

xSecuritas Enterprise Screen Watermark 会在屏幕上叠加可见与不可见的元数据水印，并阻止截图或摄像头拍摄，从而防止在 Windows、macOS、Linux 和 VDI 环境中出现未经授权的屏幕泄密。

即使在复杂或高密度水印配置下，Agent 的 CPU 占用通常为 0–2%，对 Windows、macOS、Linux 系统影响极低。

支持，xSecuritas 会在截图中嵌入加密的不可见水印，管理员可以通过此水印追踪泄露来源的用户、设备和会话。

支持 Windows 7/SP1+、Windows Server 2008 R2+、macOS 10.14+，以及使用 glibc 2.17+ 的 Linux 发行版（Ubuntu、RedHat、CentOS、Debian、Fedora、OpenSUSE、KDE 等）。

支持，水印会直接在远程会话中渲染，即使用户本地设备没有安装 Agent。

能，Agent 会拦截操作系统截屏 API，并阻止或记录来自系统工具或第三方工具的截屏尝试。

能，所有截屏尝试、被阻止的截图以及受保护内容的访问都会记录并上传到 Policy Server。

支持，可根据 Microsoft 信息保护（MIP）标签自动控制水印的显示与行为。

可以，可通过允许列表与拒绝列表配置水印仅在指定应用或 URL 中显示。

支持，Agent 会自动检测显示器配置、DPI 缩放及布局变化以精确渲染水印。

支持 30 多种类型，包括用户 ID、PC 名称、IP/MAC 地址、AD 属性、日期时间、会话 ID、二维码以及 MIP 标签。

会，Agent 使用安全缓存离线运行并保持最近的策略。

可以，可按 AD OU、AD 组、用户 ID、域、IP 地址或自定义规则分配策略。

支持，打印水印可根据打印机、应用、敏感度标签或用户策略插入可见打印水印。

支持，可将水印叠加到摄像头视频流上，并可按应用或网站限制摄像头访问。

可以，管理员可在 Policy Server 中远程卸载、退出或重启 Agent。

是的，水印会专门渲染在 RemoteApp 会话窗口中，不会覆盖用户的本地桌面。

Agent 会拦截 Win32 API、DirectX 渲染层并识别已知工具特征以阻止或记录截屏尝试。