一些用户可能必须重定向特定的本地连接的 USB 设备,以便他们可以在其远程桌面或应用程序上执行任务。例如,某医生可能必须使用录音机 USB 设备录制患者的医疗信息。在这些情况下,无法停用对所有 USB 设备的访问。您可以使用组策略设置为特定设备激活或停用 USB 重定向。
对特定设备激活 USB 重定向之前,确保您信任与您企业中客户端计算机连接的物理设备。确保您信任您的供应链。如果可能,请跟踪 USB 设备的监管链。
此外,教育员工以确保他们不会从未知源连接设备。如果可能,将环境中的设备限制为仅接受已签发的固件更新、已通过 FIPS 140-2 Level 3 认证且不支持任何种类的字段可更新固件的设备。这些类型的 USB 设备供货困难,且根据您的设备要求可能无法找到。这些选择可能不实用,但它们值得考虑。
每个 USB 设备都具有其自己的供应商及用于在计算机上进行标识的产品 ID。通过配置 Horizon Agent 配置组策略设置,可以为已知的设备类型设置包含策略。通过此方法,可以消除允许将未知设备插入环境中的风险。
选项 | 说明 |
---|---|
ExcludeAllDevices |
禁止任何设备进行重定向。 |
ExcludeDeviceFamily |
禁止特定设备系列进行重定向。例如,可以阻止所有视频、音频和大容量存储设备: ExcludeDeviceFamily o:video;audio;storage |
ExcludeVidPid |
禁止具有指定供应商和产品 ID 的设备进行重定向。此设置的格式为:vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... 您必须指定十六进制的 VID 或 PID。可以使用通配符(“*”)代替 ID 中的单个数字。 例如: |
ExcludeVidPidRel |
禁止具有指定供应商 ID、产品 ID 和版本号的设备进行重定向。此设置的格式为:vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... 您必须指定十六进制的 VID 或 PID,并指定二进制编码十进制的 REL。可以使用通配符(“*”)代替 ID 中的单个数字。 例如: |
选项 | 说明 |
---|---|
IncludeAllDevices |
将重定向所有设备。 |
IncludeDeviceFamily |
将重定向所有设备系列。 |
IncludeVidPid |
将重定向具有指定供应商和产品 ID 的设备。此设置的格式为“vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... ”您必须指定十六进制的 VID 或 PID。可以使用通配符(“*”)代替 ID 中的单个数字。 例如: |
IncludeVidPidRel |
将重定向具有指定供应商 ID、产品 ID 和版本号的设备。此设置的格式为“vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... ”您必须指定十六进制的 VID 或 PID,并指定二进制编码十进制的 REL。可以使用通配符(“*”)代替 ID 中的单个数字。 例如: |
默认情况下,Horizon 8 会阻止特定设备系列重定向至远程桌面或应用程序。例如,阻止 HID(人机接口设备)和键盘出现在客户机中。某些已发布的 BadUSB 代码以 USB 键盘设备为目标。
您可以防止 USB 访问来自公司防火墙外部的任何 Horizon 8 连接。可以从内部(而非外部)使用 USB 设备。
请注意,如果您阻止 TCP 端口 32111 以停用对 USB 设备的外部访问,将无法进行时区同步,因为端口 32111 也用于时区同步。对于零客户端,USB 流量将嵌入到 UDP 端口 4172 上的虚拟通道中。由于端口 4172 用于显示协议以及 USB 重定向,因此无法阻止端口 4172。如果需要,可以在零客户端上停用 USB 重定向。有关详细信息,请参见零客户端产品文献或联系零客户端供应商。
设置策略以阻止特定设备系列或特定设备,可帮助缓解被 BadUSB 恶意软件感染的风险。这些策略不会缓解所有风险,但它们是整体安全策略的有效组成部分。
设备筛选示例
- 屏蔽单个设备:
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
注: 此示例中的配置提供了保护措施,但是受到威胁的设备可报告任何 vid/pid,因此仍可能会发生潜在攻击。 - 阻止具有相同供应商和产品 ID 的所有设备,具有特定版本号的设备除外:
ExcludeVidPid o:vid-0781_pid-5591
IncludeVidPidRel o:vid-0781_pid-5591_rel-0100
- 包含具有相同供应商和产品 ID 的所有设备,具有特定发行号的设备除外:
IncludeVidPid o:vid-0781_pid-5591
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
使用设备筛选选项
- 注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB
- 组策略对象
Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration