取消激活特定设备的 USB 重定向

一些用户可能必须重定向特定的本地连接的 USB 设备，以便他们可以在其远程桌面或应用程序上执行任务。例如，某医生可能必须使用录音机 USB 设备录制患者的医疗信息。在这些情况下，无法停用对所有 USB 设备的访问。您可以使用组策略设置为特定设备激活或停用 USB 重定向。

对特定设备激活 USB 重定向之前，确保您信任与您企业中客户端计算机连接的物理设备。确保您信任您的供应链。如果可能，请跟踪 USB 设备的监管链。

此外，教育员工以确保他们不会从未知源连接设备。如果可能，将环境中的设备限制为仅接受已签发的固件更新、已通过 FIPS 140-2 Level 3 认证且不支持任何种类的字段可更新固件的设备。这些类型的 USB 设备供货困难，且根据您的设备要求可能无法找到。这些选择可能不实用，但它们值得考虑。

每个 USB 设备都具有其自己的供应商及用于在计算机上进行标识的产品 ID。通过配置 Horizon Agent 配置组策略设置，可以为已知的设备类型设置包含策略。通过此方法，可以消除允许将未知设备插入环境中的风险。

表 1. 排除选项
选项	说明
`ExcludeAllDevices`	禁止任何设备进行重定向。
`ExcludeDeviceFamily`	禁止特定设备系列进行重定向。例如，可以阻止所有视频、音频和大容量存储设备： ExcludeDeviceFamily o:video;audio;storage
`ExcludeVidPid`	禁止具有指定供应商和产品 ID 的设备进行重定向。此设置的格式为：`vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...` 您必须指定十六进制的 VID 或 PID。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`
`ExcludeVidPidRel`	禁止具有指定供应商 ID、产品 ID 和版本号的设备进行重定向。此设置的格式为：`vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...` 您必须指定十六进制的 VID 或 PID，并指定二进制编码十进制的 REL。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`

表 2. 选项包括
选项	说明
`IncludeAllDevices`	将重定向所有设备。
`IncludeDeviceFamily`	将重定向所有设备系列。
`IncludeVidPid`	将重定向具有指定供应商和产品 ID 的设备。此设置的格式为“`vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`” 您必须指定十六进制的 VID 或 PID。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`
`IncludeVidPidRel`	将重定向具有指定供应商 ID、产品 ID 和版本号的设备。此设置的格式为“`vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`” 您必须指定十六进制的 VID 或 PID，并指定二进制编码十进制的 REL。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`

默认情况下，Horizon 8 会阻止特定设备系列重定向至远程桌面或应用程序。例如，阻止 HID（人机接口设备）和键盘出现在客户机中。某些已发布的 BadUSB 代码以 USB 键盘设备为目标。

您可以防止 USB 访问来自公司防火墙外部的任何 Horizon 8 连接。可以从内部（而非外部）使用 USB 设备。

请注意，如果您阻止 TCP 端口 32111 以停用对 USB 设备的外部访问，将无法进行时区同步，因为端口 32111 也用于时区同步。对于零客户端，USB 流量将嵌入到 UDP 端口 4172 上的虚拟通道中。由于端口 4172 用于显示协议以及 USB 重定向，因此无法阻止端口 4172。如果需要，可以在零客户端上停用 USB 重定向。有关详细信息，请参见零客户端产品文献或联系零客户端供应商。

设置策略以阻止特定设备系列或特定设备，可帮助缓解被 BadUSB 恶意软件感染的风险。这些策略不会缓解所有风险，但它们是整体安全策略的有效组成部分。

设备筛选示例

屏蔽单个设备：
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
注：此示例中的配置提供了保护措施，但是受到威胁的设备可报告任何 vid/pid，因此仍可能会发生潜在攻击。
阻止具有相同供应商和产品 ID 的所有设备，具有特定版本号的设备除外：
ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100
包含具有相同供应商和产品 ID 的所有设备，具有特定发行号的设备除外：
IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

使用设备筛选选项

您可以通过以下方式之一使用设备筛选选项：

注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB
组策略对象
Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration