Manche Benutzer müssen möglicherweise bestimmte lokal angeschlossene USB-Geräte umleiten, damit sie Aufgaben auf ihren Remote-Desktops oder -Anwendungen ausführen können. Beispielsweise muss ein Arzt möglicherweise mithilfe eines USB-Diktiergeräts die medizinischen Daten von Patienten aufzeichnen. In diesen Fällen können Sie den Zugriff auf alle USB-Geräte nicht deaktivieren. Sie können Gruppenrichtlinieneinstellungen verwenden, um die USB-Umleitung für bestimmte Geräte zu aktivieren oder zu deaktivieren.
Bevor Sie die USB-Umleitung für bestimmte Geräte aktivieren, sollten Sie sicherstellen, dass Sie den physischen Geräten vertrauen, die an Clientcomputer in Ihrem Unternehmen angeschlossen sind. Stellen Sie sicher, dass Ihre Lieferkette vertrauenswürdig ist. Verfolgen Sie möglichst eine Kontrollkette für die USB-Geräte nach.
Darüber hinaus sollten Sie Ihre Mitarbeiter schulen, um sicherzustellen, dass sie keine Geräte unbekannter Herkunft anschließen. Beschränken Sie die Geräte in Ihrer Umgebung nach Möglichkeit auf jene Geräte, die nur signierte Firmware-Updates akzeptieren, FIPS 140-2 Level 3-zertifiziert sind und keinerlei vor Ort aktualisierbare Firmware unterstützen. Die Nachverfolgung dieser USB-Gerätetypen ist schwierig und je nach Ihren Geräteanforderungen sind sie möglicherweise nicht auffindbar. Diese Optionen mögen nicht wirklich praktisch sein, sollten aber in Erwägung gezogen werden.
Jedes USB-Gerät verfügt über eine eigene Hersteller- und Produkt-ID, mit der es gegenüber dem Computer identifiziert wird. Durch Konfigurieren der Gruppenrichtlinieneinstellungen für die Horizon Agent-Konfiguration können Sie eine Richtlinie für den Einschluss bekannter Gerätetypen festlegen. Durch diese Vorgehensweise entfällt das Risiko durch unbekannte Geräte in Ihrer Umgebung.
Option | Beschreibung |
---|---|
ExcludeAllDevices |
Schließt alle Geräte von der Umleitung aus. |
ExcludeDeviceFamily |
Verhindert die Umleitung bestimmter Gerätefamilien. Beispielsweise können Sie alle Video-, Audio- und Massenspeichergeräte blockieren: ExcludeDeviceFamily o:video;audio;storage |
ExcludeVidPid |
Verhindert, dass Geräte mit einer angegebenen Anbieter- oder Produkt-IDs umgeleitet werden. Das Format der Einstellung ist: vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... Sie müssen die VID oder PID mit einem Hexadezimal-Zeichen angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden. Beispiel: |
ExcludeVidPidRel |
Verhindert, dass Geräte mit der angegebenen Anbieter-ID, Produkt-ID und Versionsnummer umgeleitet werden. Das Format der Einstellung ist: vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... Sie müssen die VID oder PID mit einem hexadezimalen und REL mit einer binärcodierten Dezimalzahl angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden. Beispiel: |
Option | Beschreibung |
---|---|
IncludeAllDevices |
Alle Geräte werden umgeleitet. |
IncludeDeviceFamily |
Alle Gerätefamilien werden umgeleitet. |
IncludeVidPid |
Geräte mit angegebenen Anbieter- und Produkt-IDs werden umgeleitet. Das Format der Einstellung ist: vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... Sie müssen die VID oder PID mit einem Hexadezimal-Zeichen angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden. Beispiel: |
IncludeVidPidRel |
Geräte mit der angegebenen Anbieter-ID, Produkt-ID und Versionsnummer werden umgeleitet. Das Format der Einstellung ist: vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... Sie müssen die VID oder PID mit einem hexadezimalen und REL mit einer binärcodierten Dezimalzahl angeben. Sie können das Platzhalterzeichen (`*`) anstelle einzelner Ziffern in einer ID verwenden. Beispiel: |
Horizon 8 blockiert standardmäßig die Umleitung bestimmter Gerätefamilien an den Remote-Desktop oder die Remoteanwendung. Beispielsweise wird die Anzeige von Eingabegeräten (Human Interface Devices, HIDs) und Tastaturen für den Gast blockiert. Das Ziel von veröffentlichtem BadUSB-Code sind auch USB-Tastaturgeräte.
Sie können den USB-Zugriff auf alle Horizon 8-Verbindungen verhindern, die von außerhalb der Unternehmensfirewall hergestellt werden. Das USB-Gerät kann intern, aber nicht extern verwendet werden.
Beachten Sie: Wenn Sie TCP-Port 32111 blockieren, um den externen Zugriff auf USB-Geräte zu deaktivieren, funktioniert die Zeitzonensynchronisierung nicht, weil der Port 32111 auch für die Zeitzonensynchronisierung verwendet wird. Für Zero-Clients ist der USB-Datenverkehr in einen virtuellen Kanal auf UDP-Port 4172 eingebettet. Da Port 4172 für das Anzeigeprotokoll sowie für die USB-Umleitung verwendet wird, können Sie Port 4172 nicht blockieren. Bei Bedarf können Sie die USB-Umleitung auf Zero-Clients deaktivieren. Weitere Informationen hierzu erhalten Sie in der Begleitdokumentation zum Zero-Client oder vom Hersteller des Zero-Clients.
Die Festlegung von Richtlinien zum Blockieren bestimmter Gerätefamilien oder bestimmter Geräte kann das Risiko einer Infizierung mit BadUSB-Malware reduzieren. Durch diese Richtlinien kann das Risiko nicht vollständig eliminiert werden, aber sie stellen eine wirkungsvolle Komponente einer Gesamtstrategie für die Sicherheit dar.
Diese Richtlinien sind in der ADMX-Vorlagendatei zur Konfiguration von Horizon Agent (vdm_agent.admx) enthalten. Weitere Informationen finden Sie unter Horizon-Remote-Desktopfunktionen und GPOs.
Gerätefilterbeispiele
- Ein einzelnes Gerät sperren:
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Hinweis: Diese Beispielkonfiguration bietet Schutz, aber ein manipuliertes Gerät kann jede VID/PID melden, weshalb auch weiterhin Angriffe möglich sind. - Sperren Sie alle Geräte mit derselben Anbieter- und Produkt-ID, mit Ausnahme eines Geräts mit einer bestimmten Versionsnummer:
ExcludeVidPid o:vid-0781_pid-5591
IncludeVidPidRel o:vid-0781_pid-5591_rel-0100
- Schließen Sie alle Geräte mit derselben Anbieter- und Produkt-ID ein, mit Ausnahme eines Geräts mit einer bestimmten Versionsnummer:
IncludeVidPid o:vid-0781_pid-5591
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Verwenden von Gerätefilteroptionen
- Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB
- Gruppenrichtlinienobjekt
Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration