Manche Benutzer müssen möglicherweise bestimmte lokal angeschlossene USB-Geräte umleiten, damit sie Aufgaben auf ihren Remote-Desktops oder -Anwendungen ausführen können. Beispielsweise muss ein Arzt möglicherweise mithilfe eines USB-Diktiergeräts die medizinischen Daten von Patienten aufzeichnen. In diesen Fällen können Sie nicht den Zugriff auf alle USB-Geräte deaktivieren. Mithilfe von Gruppenrichtlinieneinstellungen können Sie die USB-Umleitung für bestimmte Geräte aktivieren bzw. deaktivieren.

Bevor Sie die USB-Umleitung für bestimmte Geräte aktivieren, sollten Sie sicherstellen, dass Sie den physischen Geräten vertrauen, die an Client-Computer in Ihrem Unternehmen angeschlossen sind. Stellen Sie sicher, dass Ihre Lieferkette vertrauenswürdig ist. Verfolgen Sie möglichst eine Kontrollkette für die USB-Geräte nach.

Darüber hinaus sollten Sie Ihre Mitarbeiter schulen, um sicherzustellen, dass sie keine Geräte unbekannter Herkunft anschließen. Beschränken Sie die Geräte in Ihrer Umgebung nach Möglichkeit auf jene Geräte, die nur signierte Firmware-Updates akzeptieren, FIPS 140-2 Level 3-zertifiziert sind und keinerlei vor Ort aktualisierbare Firmware unterstützen. Die Nachverfolgung dieser USB-Gerätetypen ist schwierig und je nach Ihren Geräteanforderungen sind sie möglicherweise nicht auffindbar. Diese Optionen mögen nicht wirklich praktisch sein, sollten aber in Erwägung gezogen werden.

Jedes USB-Gerät verfügt über eine eigene Hersteller- und Produkt-ID, mit der es gegenüber dem Computer identifiziert wird. Durch Konfigurieren der Gruppenrichtlinieneinstellungen für die Horizon Agent-Konfiguration können Sie eine Richtlinie für den Einschluss bekannter Gerätetypen festlegen. Durch diese Vorgehensweise entfällt das Risiko durch unbekannte Geräte in Ihrer Umgebung.

Tabelle 1. Optionen ausschließen
Option Beschreibung
ExcludeAllDevices Schließt alle Geräte von der Umleitung aus.
ExcludeDeviceFamily Verhindert die Umleitung bestimmter Gerätefamilien. Beispielsweise können Sie alle Video-, Audio- und Massenspeichergeräte blockieren:
ExcludeDeviceFamily   o:video;audio;storage
ExcludeVidPid Verhindert, dass Geräte mit einer angegebenen Anbieter- oder Produkt-IDs umgeleitet werden. Das Format der Einstellung ist: vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...

Sie müssen die VID oder PID mit einem Hexadezimal-Zeichen angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden.

Beispiel: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

ExcludeVidPidRel Verhindert, dass Geräte mit der angegebenen Anbieter-ID, Produkt-ID und Versionsnummer umgeleitet werden. Das Format der Einstellung ist: vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...

Sie müssen die VID oder PID mit einem hexadezimalen und REL mit einer binärcodierten Dezimalzahl angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden.

Beispiel: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

Tabelle 2. Optionen einbeziehen
Option Beschreibung
IncludeAllDevices Alle Geräte werden umgeleitet.
IncludeDeviceFamily Alle Gerätefamilien werden umgeleitet.
IncludeVidPid Geräte mit angegebenen Anbieter- und Produkt-IDs werden umgeleitet. Das Format der Einstellung ist: vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...

Sie müssen die VID oder PID mit einem Hexadezimal-Zeichen angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden.

Beispiel: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

IncludeVidPidRel Geräte mit der angegebenen Anbieter-ID, Produkt-ID und Versionsnummer werden umgeleitet. Das Format der Einstellung ist: vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...

Sie müssen die VID oder PID mit einem hexadezimalen und REL mit einer binärcodierten Dezimalzahl angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden.

Beispiel: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

Horizon blockiert standardmäßig die Umleitung bestimmter Gerätefamilien an den Remote-Desktop oder die Remoteanwendung. Beispielsweise wird die Anzeige von Eingabegeräten (Human Interface Devices, HIDs) und Tastaturen für den Gast blockiert. Das Ziel von veröffentlichtem BadUSB-Code sind auch USB-Tastaturgeräte.

Sie können den USB-Zugriff auf alle Horizon-Verbindungen verhindern, die von außerhalb der Unternehmensfirewall hergestellt werden. Das USB-Gerät kann intern, aber nicht extern verwendet werden.

Beachten Sie: Wenn Sie TCP-Port 32111 blockieren, um den externen Zugriff auf USB-Geräte zu deaktivieren, funktioniert die Zeitzonensynchronisierung nicht, weil der Port 32111 auch für die Zeitzonensynchronisierung verwendet wird. Für Zero-Clients ist der USB-Datenverkehr in einen virtuellen Kanal auf UDP-Port 4172 eingebettet. Da Port 4172 für das Anzeigeprotokoll sowie für die USB-Umleitung verwendet wird, können Sie Port 4172 nicht blockieren. Bei Bedarf können Sie die USB-Umleitung auf Zero-Clients deaktivieren. Weitere Informationen hierzu erhalten Sie in der Begleitdokumentation zum Zero-Client oder vom Hersteller des Zero-Clients.

Die Festlegung von Richtlinien zum Blockieren bestimmter Gerätefamilien oder bestimmter Geräte kann das Risiko einer Infizierung mit BadUSB-Malware reduzieren. Durch diese Richtlinien kann das Risiko nicht vollständig eliminiert werden, aber sie stellen eine wirkungsvolle Komponente einer Gesamtstrategie für die Sicherheit dar.

Gerätefilterbeispiele

  • Ein einzelnes Gerät sperren:
    ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
    Hinweis: Diese Beispielkonfiguration bietet Schutz, aber ein manipuliertes Gerät kann jede VID/PID melden, weshalb auch weiterhin Angriffe möglich sind.
  • Sperren Sie alle Geräte mit derselben Anbieter- und Produkt-ID, mit Ausnahme eines Geräts mit einer bestimmten Versionsnummer:

    ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100

  • Schließen Sie alle Geräte mit derselben Anbieter- und Produkt-ID ein, mit Ausnahme eines Geräts mit einer bestimmten Versionsnummer:

    IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

Verwenden von Gerätefilteroptionen

Sie können die Gerätefilteroptionen auf eine der folgenden Arten verwenden:
  • Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB

  • Gruppenrichtlinienobjekt

    Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration