一些用户可能必须重定向特定的本地连接的 USB 设备,以便他们可以在其远程桌面或应用程序上执行任务。例如,某医生可能必须使用录音机 USB 设备录制患者的医疗信息。在这些情况下,无法禁止访问所有 USB 设备。您可以使用组策略设置启用或禁用特定设备的 USB 重定向。

对特定设备启用 USB 重定向之前,确保您信任与您企业中客户端计算机连接的物理设备。确保您信任您的供应链。如果可能,请跟踪 USB 设备的监管链。

此外,教育员工以确保他们不会从未知源连接设备。如果可能,将环境中的设备限制为仅接受已签发的固件更新、已通过 FIPS 140-2 Level 3 认证且不支持任何种类的字段可更新固件的设备。这些类型的 USB 设备供货困难,且根据您的设备要求可能无法找到。这些选择可能不实用,但它们值得考虑。

每个 USB 设备都具有其自己的供应商及用于在计算机上进行标识的产品 ID。通过配置 Horizon Agent 配置组策略设置,可以为已知的设备类型设置包含策略。通过此方法,可以消除允许将未知设备插入环境中的风险。

例如,可以防止除已知设备供应商和产品 ID vid/pid=0123/abcd 以外的所有设备重定向至远程桌面或应用程序:

ExcludeAllDevices   Enabled

IncludeVidPid       o:vid-0123_pid-abcd
注: 此示例中的配置提供了保护措施,但是受到威胁的设备可报告任何 vid/pid,因此仍可能会发生潜在攻击。

默认情况下,Horizon 会阻止特定设备系列重定向至远程桌面或应用程序。例如,阻止 HID(人机接口设备)和键盘出现在客户机中。某些已发布的 BadUSB 代码以 USB 键盘设备为目标。

您可以防止特定设备系列重定向至远程桌面或应用程序。例如,可以阻止所有视频、音频和大容量存储设备:

ExcludeDeviceFamily   o:video;audio;storage

相反,可以通过防止重定向所有设备但允许使用特定设备系列来创建白名单。例如,可以阻止除存储设备以外的所有设备:

ExcludeAllDevices     Enabled

IncludeDeviceFamily   o:storage

当远程用户登录到桌面或应用程序并使其感染时,可能会出现其他风险。您可以防止 USB 访问来自公司防火墙外部的任何 Horizon 连接。可以从内部(而非外部)使用 USB 设备。

请注意,如果您阻止 TCP 端口 32111 以禁止从外部访问 USB 设备,将无法进行时区同步,因为端口 32111 也用于时区同步。对于零客户端,USB 流量将嵌入到 UDP 端口 4172 上的虚拟通道中。由于端口 4172 用于显示协议以及 USB 重定向,因此无法阻止端口 4172。如果需要,可以在零客户端上禁用 USB 重定向。有关详细信息,请参见零客户端产品文献或联系零客户端供应商。

设置策略以阻止特定设备系列或特定设备,可帮助缓解被 BadUSB 恶意软件感染的风险。这些策略不会缓解所有风险,但它们是整体安全策略的有效组成部分。

这些策略包含在 Horizon Agent 配置 ADMX 模板文件 (vdm_agent.admx) 中。有关更多信息,请参阅《在 Horizon 中配置远程桌面功能》