一些用户可能必须重定向特定的本地连接的 USB 设备,以便他们可以在其远程桌面或应用程序上执行任务。例如,某医生可能必须使用录音机 USB 设备录制患者的医疗信息。在这些情况下,无法停用对所有 USB 设备的访问。您可以使用组策略设置为特定设备激活或停用 USB 重定向。

对特定设备激活 USB 重定向之前,确保您信任与您企业中客户端计算机连接的物理设备。确保您信任您的供应链。如果可能,请跟踪 USB 设备的监管链。

此外,教育员工以确保他们不会从未知源连接设备。如果可能,将环境中的设备限制为仅接受已签发的固件更新、已通过 FIPS 140-2 Level 3 认证且不支持任何种类的字段可更新固件的设备。这些类型的 USB 设备供货困难,且根据您的设备要求可能无法找到。这些选择可能不实用,但它们值得考虑。

每个 USB 设备都具有其自己的供应商及用于在计算机上进行标识的产品 ID。通过配置 Horizon Agent 配置组策略设置,可以为已知的设备类型设置包含策略。通过此方法,可以消除允许将未知设备插入环境中的风险。

表 1. 排除选项
选项 说明
ExcludeAllDevices 禁止任何设备进行重定向。
ExcludeDeviceFamily 禁止特定设备系列进行重定向。例如,可以阻止所有视频、音频和大容量存储设备:
ExcludeDeviceFamily   o:video;audio;storage
ExcludeVidPid 禁止具有指定供应商和产品 ID 的设备进行重定向。此设置的格式为:vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...

您必须指定十六进制的 VID 或 PID。可以使用通配符(“*”)代替 ID 中的单个数字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

ExcludeVidPidRel 禁止具有指定供应商 ID、产品 ID 和版本号的设备进行重定向。此设置的格式为:vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...

您必须指定十六进制的 VID 或 PID,并指定二进制编码十进制的 REL。可以使用通配符(“*”)代替 ID 中的单个数字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

表 2. 选项包括
选项 说明
IncludeAllDevices 将重定向所有设备。
IncludeDeviceFamily 将重定向所有设备系列。
IncludeVidPid 将重定向具有指定供应商和产品 ID 的设备。此设置的格式为“vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...

您必须指定十六进制的 VID 或 PID。可以使用通配符(“*”)代替 ID 中的单个数字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

IncludeVidPidRel 将重定向具有指定供应商 ID、产品 ID 和版本号的设备。此设置的格式为“vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...

您必须指定十六进制的 VID 或 PID,并指定二进制编码十进制的 REL。可以使用通配符(“*”)代替 ID 中的单个数字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

默认情况下,Horizon 8 会阻止特定设备系列重定向至远程桌面或应用程序。例如,阻止 HID(人机接口设备)和键盘出现在客户机中。某些已发布的 BadUSB 代码以 USB 键盘设备为目标。

您可以防止 USB 访问来自公司防火墙外部的任何 Horizon 8 连接。可以从内部(而非外部)使用 USB 设备。

请注意,如果您阻止 TCP 端口 32111 以停用对 USB 设备的外部访问,将无法进行时区同步,因为端口 32111 也用于时区同步。对于零客户端,USB 流量将嵌入到 UDP 端口 4172 上的虚拟通道中。由于端口 4172 用于显示协议以及 USB 重定向,因此无法阻止端口 4172。如果需要,可以在零客户端上停用 USB 重定向。有关详细信息,请参见零客户端产品文献或联系零客户端供应商。

设置策略以阻止特定设备系列或特定设备,可帮助缓解被 BadUSB 恶意软件感染的风险。这些策略不会缓解所有风险,但它们是整体安全策略的有效组成部分。

设备筛选示例

  • 屏蔽单个设备:
    ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
    注: 此示例中的配置提供了保护措施,但是受到威胁的设备可报告任何 vid/pid,因此仍可能会发生潜在攻击。
  • 阻止具有相同供应商和产品 ID 的所有设备,具有特定版本号的设备除外:

    ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100

  • 包含具有相同供应商和产品 ID 的所有设备,具有特定发行号的设备除外:

    IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

使用设备筛选选项

您可以通过以下方式之一使用设备筛选选项:
  • 注册表项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB

  • 组策略对象

    Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration