Manche Benutzer müssen möglicherweise bestimmte lokal angeschlossene USB-Geräte umleiten, damit sie Aufgaben auf ihren Remote-Desktops oder -Anwendungen ausführen können. Beispielsweise muss ein Arzt möglicherweise mithilfe eines USB-Diktiergeräts die medizinischen Daten von Patienten aufzeichnen. In diesen Fällen können Sie nicht den Zugriff auf alle USB-Geräte deaktivieren. Mithilfe von Gruppenrichtlinieneinstellungen können Sie die USB-Umleitung für bestimmte Geräte aktivieren bzw. deaktivieren.

Bevor Sie die USB-Umleitung für bestimmte Geräte aktivieren, sollten Sie sicherstellen, dass Sie den physischen Geräten vertrauen, die an Client-Computer in Ihrem Unternehmen angeschlossen sind. Stellen Sie sicher, dass Ihre Lieferkette vertrauenswürdig ist. Verfolgen Sie möglichst eine Kontrollkette für die USB-Geräte nach.

Darüber hinaus sollten Sie Ihre Mitarbeiter schulen, um sicherzustellen, dass sie keine Geräte unbekannter Herkunft anschließen. Beschränken Sie die Geräte in Ihrer Umgebung nach Möglichkeit auf jene Geräte, die nur signierte Firmware-Updates akzeptieren, FIPS 140-2 Level 3-zertifiziert sind und keinerlei vor Ort aktualisierbare Firmware unterstützen. Die Nachverfolgung dieser USB-Gerätetypen ist schwierig und je nach Ihren Geräteanforderungen sind sie möglicherweise nicht auffindbar. Diese Optionen mögen nicht wirklich praktisch sein, sollten aber in Erwägung gezogen werden.

Jedes USB-Gerät verfügt über eine eigene Hersteller- und Produkt-ID, mit der es gegenüber dem Computer identifiziert wird. Durch Konfigurieren der Gruppenrichtlinieneinstellungen für die Horizon Agent-Konfiguration können Sie eine Richtlinie für den Einschluss bekannter Gerätetypen festlegen. Durch diese Vorgehensweise entfällt das Risiko durch unbekannte Geräte in Ihrer Umgebung.

Beispielsweise können Sie verhindern, dass alle Geräte mit Ausnahme der Geräte von einem bekannten Gerätehersteller und mit einer bestimmten Produkt-ID ( vid/pid=0123/abcd) an den Remote-Desktop oder die Remoteanwendung umgeleitet werden:

ExcludeAllDevices   Enabled

IncludeVidPid       o:vid-0123_pid-abcd
Anmerkung:

Diese Beispielkonfiguration bietet Schutz, aber ein manipuliertes Gerät kann jede VID/PID melden, weshalb auch weiterhin Angriffe möglich sind.

Horizon 7 blockiert standardmäßig die Umleitung bestimmter Gerätefamilien an den Remote-Desktop oder die Remoteanwendung. Beispielsweise wird die Anzeige von Eingabegeräten (Human Interface Devices, HIDs) und Tastaturen für den Gast blockiert. Das Ziel von veröffentlichtem BadUSB-Code sind auch USB-Tastaturgeräte.

Sie können die Umleitung bestimmter Gerätefamilien an den Remote-Desktop oder die Remoteanwendung verhindern. Beispielsweise können Sie alle Video-, Audio- und Massenspeichergeräte blockieren:

ExcludeDeviceFamily   o:video;audio;storage

Umgekehrt können Sie eine Whitelist erstellen, indem Sie die Umleitung aller Geräte verhindern, aber die Verwendung einer bestimmten Gerätefamilie zulassen. Beispielsweise können Sie alle Geräte mit Ausnahme von Speichergeräten blockieren:

ExcludeAllDevices     Enabled

IncludeDeviceFamily   o:storage

Ein weiteres mögliches Risiko ergibt sich aus der Tatsache, dass sich ein Remotebenutzer bei einem Desktop oder einer Anwendung anmeldet und diesen bzw. diese infiziert. Sie können den USB-Zugriff auf alle Horizon 7-Verbindungen verhindern, die von außerhalb der Unternehmensfirewall hergestellt werden. Das USB-Gerät kann intern, aber nicht extern verwendet werden.

Beachten Sie: Wenn Sie TCP-Port 32111 blockieren, um den externen Zugriff auf USB-Geräte zu deaktivieren, funktioniert die Zeitzonensynchronisierung nicht, weil der Port 32111 auch für die Zeitzonensynchronisierung verwendet wird. Für Zero-Clients ist der USB-Datenverkehr in einen virtuellen Kanal auf UDP-Port 4172 eingebettet. Da Port 4172 für das Anzeigeprotokoll sowie für die USB-Umleitung verwendet wird, können Sie Port 4172 nicht blockieren. Bei Bedarf können Sie die USB-Umleitung auf Zero-Clients deaktivieren. Weitere Informationen hierzu erhalten Sie in der Begleitdokumentation zum Zero-Client oder vom Hersteller des Zero-Clients.

Die Festlegung von Richtlinien zum Blockieren bestimmter Gerätefamilien oder bestimmter Geräte kann das Risiko einer Infizierung mit BadUSB-Malware reduzieren. Durch diese Richtlinien kann das Risiko nicht vollständig eliminiert werden, aber sie stellen eine wirkungsvolle Komponente einer Gesamtstrategie für die Sicherheit dar.