Alguns usuários podem ter que redirecionar dispositivos USB específicos conectados localmente para que possam executar tarefas em suas áreas de trabalho remotas ou aplicativos. Por exemplo, um médico pode precisar usar um dispositivo USB Ditafone para registrar as informações médicas dos pacientes. Nesses casos, você não pode desativar o acesso a todos os dispositivos USB. Você pode usar as configurações de política de grupo para ativar ou desativar o redirecionamento de USB para dispositivos específicos.
Antes de ativar o redirecionamento de USB para dispositivos específicos, certifique-se de que confia nos dispositivos físicos que estão conectados às máquinas cliente em sua empresa. Certifique-se de que pode confiar na sua cadeia de suprimentos. Se possível, acompanhe uma cadeia de custódia para os dispositivos USB.
Além disso, eduque seus funcionários para garantir que eles não conectem dispositivos de fontes desconhecidas. Se possível, restrinja os dispositivos em seu ambiente para aqueles que aceitam apenas atualizações de firmware assinadas, são certificados pelo FIPS 140-2 Nível 3 e não oferecem suporte a nenhum tipo de firmware atualizável em campo. Esses tipos de dispositivos USB são difíceis de obter e, dependendo dos requisitos do dispositivo, podem ser impossíveis de encontrar. Essas escolhas podem não ser práticas, mas valem a pena considerá-las.
Cada dispositivo USB tem seu próprio fornecedor e ID de produto que o identifica para o computador. Ao definir as configurações da política de grupo Horizon Agent Configuration, você pode definir uma política de inclusão para tipos de dispositivos conhecidos. Com essa abordagem, você elimina o risco de permitir que dispositivos desconhecidos sejam inseridos em seu ambiente.
Opção | Descrição |
---|---|
ExcludeAllDevices |
Exclui todos os dispositivos do redirecionamento. |
ExcludeDeviceFamily |
Impede que famílias de dispositivos específicas sejam redirecionadas. Por exemplo, você pode bloquear todos os dispositivos de vídeo, áudio e armazenamento em massa: ExcludeDeviceFamily o:video;audio;storage |
ExcludeVidPid |
Impede que os dispositivos com IDs de produto e fornecedor especificados sejam redirecionados. O formato da configuração é:vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... `Você deve especificar o VID ou o PID com um hexadecimal. Você pode usar o caractere curinga (`*`) no lugar de dígitos individuais em um ID. Por exemplo: |
ExcludeVidPidRel |
Impede que dispositivos com ID de fornecedor, ID de produto e número de versão especificados sejam redirecionados. O formato da configuração é:vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... `Você deve especificar o VID ou o PID com um hexadecimal e especificar REL com um decimal codificado em binário. Você pode usar o caractere curinga (`*`) no lugar de dígitos individuais em um ID. Por exemplo: |
Opção | Descrição |
---|---|
IncludeAllDevices |
Todos os dispositivos são redirecionados. |
IncludeDeviceFamily |
Todas as famílias de dispositivos são redirecionadas. |
IncludeVidPid |
Os dispositivos com IDs de produto e fornecedor especificados são redirecionados. O formato da configuração é `vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... `Você deve especificar o VID ou o PID com um hexadecimal. Você pode usar o caractere curinga (`*`) no lugar de dígitos individuais em um ID. Por exemplo: |
IncludeVidPidRel |
Os dispositivos com ID de fornecedor, ID de produto e número de versão especificados são redirecionados. O formato da configuração é `vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... `Você deve especificar o VID ou o PID com um hexadecimal e especificar REL com um decimal codificado em binário. Você pode usar o caractere curinga (`*`) no lugar de dígitos individuais em um ID. Por exemplo: |
Por padrão, o Horizon 8 impede que determinadas famílias de dispositivos sejam redirecionadas para a área de trabalho remota ou o aplicativo. Por exemplo, HID (dispositivos de interface humana) e teclados são impedidos de aparecer no convidado. Alguns códigos BadUSB lançados têm como alvo dispositivos de teclado USB.
Você pode impedir o acesso USB a qualquer conexão Horizon 8 originada de fora do firewall da empresa. O dispositivo USB pode ser usado internamente, mas não externamente.
Esteja ciente de que, se você bloquear a porta TCP 32111 para desativar o acesso externo a dispositivos USB, a sincronização de fuso horário não funcionará porque a porta 32111 também é usada para sincronização de fuso horário. Para zero clientes, o tráfego USB é incorporado dentro de um canal virtual na porta UDP 4172. Como a porta 4172 é usada para o protocolo de exibição, bem como para o redirecionamento USB, você não pode bloquear a porta 4172. Se necessário, você poderá desativar o redirecionamento USB em zero clientes. Para obter detalhes, consulte a literatura do produto zero client ou entre em contato com o fornecedor zero client.
A definição de políticas para bloquear determinadas famílias de dispositivos ou dispositivos específicos pode ajudar a mitigar o risco de infecção pelo malware BadUSB. Essas políticas não reduzem todos os riscos, mas podem ser uma parte eficaz de uma estratégia de segurança geral.
Essas políticas estão incluídas no Horizon Agent arquivo de modelo ADMX de configuração (vdm_agent.admx). Para obter mais informações, consulte Recursos e GPOs da Área de Trabalho Remota Horizon.
Exemplos de filtragem de dispositivos
- Bloquear um único dispositivo:
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Observação: Esta configuração de exemplo fornece proteção, mas um dispositivo comprometido pode relatar qualquer vid/pid, portanto, um possível ataque ainda pode ocorrer. - Bloqueie todos os dispositivos com o mesmo fornecedor e ID de produto, exceto um com um número de versão específico:
ExcludeVidPid o:vid-0781_pid-5591
IncludeVidPidRel o:vid-0781_pid-5591_rel-0100
- Inclua todos os dispositivos com o mesmo fornecedor e ID de produto, exceto um com um número de versão específico:
IncludeVidPid o:vid-0781_pid-5591
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Como usar as opções de filtragem de dispositivo
- Chave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB
- Objeto de Política de Grupo
Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration