Alguns usuários podem ter que redirecionar dispositivos USB específicos conectados localmente para que possam executar tarefas em suas áreas de trabalho remotas ou aplicativos. Por exemplo, um médico pode precisar usar um dispositivo USB Ditafone para registrar as informações médicas dos pacientes. Nesses casos, você não pode desativar o acesso a todos os dispositivos USB. Você pode usar as configurações de política de grupo para habilitar ou desabilitar o redirecionamento de USB para dispositivos específicos.

Antes de habilitar o redirecionamento de USB para dispositivos específicos, certifique-se de confiar nos dispositivos físicos que estão conectados às máquinas cliente em sua empresa. Certifique-se de que pode confiar na sua cadeia de suprimentos. Se possível, acompanhe uma cadeia de custódia para os dispositivos USB.

Além disso, eduque seus funcionários para garantir que eles não conectem dispositivos de fontes desconhecidas. Se possível, restrinja os dispositivos em seu ambiente para aqueles que aceitam apenas atualizações de firmware assinadas, são certificados pelo FIPS 140-2 Nível 3 e não oferecem suporte a nenhum tipo de firmware atualizável em campo. Esses tipos de dispositivos USB são difíceis de obter e, dependendo dos requisitos do dispositivo, podem ser impossíveis de encontrar. Essas escolhas podem não ser práticas, mas valem a pena considerá-las.

Cada dispositivo USB tem seu próprio fornecedor e ID de produto que o identifica para o computador. Ao definir as configurações da política de grupo Horizon Agent Configuration, você pode definir uma política de inclusão para tipos de dispositivos conhecidos. Com essa abordagem, você elimina o risco de permitir que dispositivos desconhecidos sejam inseridos em seu ambiente.

Por exemplo, você pode impedir que todos os dispositivos, exceto um fornecedor de dispositivo conhecido e a ID do produto, vid/pid=0123/abcd,, sejam redirecionados para a área de trabalho remota ou o aplicativo: 

ExcludeAllDevices   Enabled

IncludeVidPid       o:vid-0123_pid-abcd
Observação: Esta configuração de exemplo fornece proteção, mas um dispositivo comprometido pode relatar qualquer vid/pid, portanto, um possível ataque ainda pode ocorrer.

Por padrão, o Horizon impede que determinadas famílias de dispositivos sejam redirecionadas para a área de trabalho remota ou o aplicativo. Por exemplo, HID (dispositivos de interface humana) e teclados são impedidos de aparecer no convidado. Alguns códigos BadUSB lançados têm como alvo dispositivos de teclado USB.

Você pode impedir que famílias de dispositivos específicas sejam redirecionadas para a área de trabalho remota ou o aplicativo. Por exemplo, você pode bloquear todos os dispositivos de vídeo, áudio e armazenamento em massa: 

ExcludeDeviceFamily   o:video;audio;storage

Por outro lado, você pode criar uma lista de permissões impedindo que todos os dispositivos sejam redirecionados, mas permitindo que uma família de dispositivos específica seja usada. Por exemplo, você pode bloquear todos os dispositivos, exceto dispositivos de armazenamento: 

ExcludeAllDevices     Enabled

IncludeDeviceFamily   o:storage

Outro risco pode surgir quando um usuário remoto faz login em uma área de trabalho ou aplicativo e o infecta. Você pode impedir o acesso USB a qualquer conexão Horizon originada de fora do firewall da empresa. O dispositivo USB pode ser usado internamente, mas não externamente.

Esteja ciente de que, se você bloquear a porta TCP 32111 para desativar o acesso externo a dispositivos USB, a sincronização de fuso horário não funcionará porque a porta 32111 também é usada para sincronização de fuso horário. Para zero clientes, o tráfego USB é incorporado dentro de um canal virtual na porta UDP 4172. Como a porta 4172 é usada para o protocolo de exibição, bem como para o redirecionamento USB, você não pode bloquear a porta 4172. Se necessário, você poderá desativar o redirecionamento USB em zero clientes. Para obter detalhes, consulte a literatura do produto zero client ou entre em contato com o fornecedor zero client.

A definição de políticas para bloquear determinadas famílias de dispositivos ou dispositivos específicos pode ajudar a mitigar o risco de infecção pelo malware BadUSB. Essas políticas não reduzem todos os riscos, mas podem ser uma parte eficaz de uma estratégia de segurança geral.