Es posible que algunos usuarios tengan que redireccionar dispositivos USB específicos conectados de forma local para poder realizar tareas en las aplicaciones o escritorios remotos. Por ejemplo, un médico puede usar un dictáfono USB para grabar la información médica de los pacientes. En estos casos, no puede deshabilitar el acceso a todos los dispositivos USB. Puede usar la configuración de la directiva de grupo si desea habilitar o deshabilitar el redireccionamiento USB de dispositivos específicos.

Antes de habilitar el redireccionamiento USB para dispositivos específicos, compruebe que confíe en los dispositivos físicos que están conectados a los equipos clientes de su empresa. Asegúrese también de que confíe en la cadena de suministros. Si es posible, realice un seguimiento de una cadena de custodia de los dispositivos USB.

Además, forme a sus empleados para asegurarse de que no se conecten a dispositivos de origen desconocido. Si es posible, restrinja los dispositivos de su entorno a aquellos que solo aceptan actualizaciones de firmware firmadas, que tienen una certificación de Nivel 3 de FIPS 140-2 y que no admiten ningún tipo de firmware de campos actualizables. Es complicado ubicar el origen de este tipo de dispositivos USB y, según los requisitos del dispositivo, puede que no los encuentre. Es posible que estas opciones no sean prácticas, pero merece la pena tenerlas en cuenta.

Cada dispositivo USB tiene sus propios ID de proveedor y de producto que lo identifica en el equipo. Al establecer las opciones de la directiva de grupo de la configuración de Horizon Agent, puede establecer una directiva de inclusión para los tipos de dispositivos conocidos. Con este enfoque, elimina el riesgo de permitir que se introduzcan dispositivos desconocidos en el entorno.

Por ejemplo, puede prohibir el redireccionamiento de todos los dispositivos a la aplicación o el escritorio remotos, excepto los ID de producto y de proveedor de un dispositivo conocido, vid/pid=0123/abcd: 

ExcludeAllDevices   Enabled

IncludeVidPid       o:vid-0123_pid-abcd
Nota: Aunque esta configuración de ejemplo proporciona protección, pero un dispositivo en peligro puede informar sobre cualquier vid/pid, por lo que es posible que aún se produzca un ataque.

De forma predeterminada, Horizon bloquea el redireccionamiento de algunas familias de dispositivos a la aplicación o el escritorio remotos. Por ejemplo, se bloquean los dispositivos de interfaz de usuario (HID) y los teclados para que no aparezcan en el invitado. Algunos códigos BadUSB publicados pueden dirigirse a teclados USB.

Puede prohibir el redireccionamiento de algunas familias de dispositivos específicas a la aplicación o el escritorio remotos. Por ejemplo, puede bloquear todos los dispositivos de almacenamiento masivo, de audio y de vídeo: 

ExcludeDeviceFamily   o:video;audio;storage

También puede crear una lista de permitidos si prohíbe que se redireccionen todos los dispositivos, pero permite que se utilice una familia de dispositivos específica. Por ejemplo, puede bloquear todos los dispositivos excepto los de almacenamiento: 

ExcludeAllDevices     Enabled

IncludeDeviceFamily   o:storage

Puede producirse otro riesgo si un usuario remoto inicia sesión en una aplicación o un escritorio y lo infecta. Puede prohibir el acceso USB a las conexiones de Horizon que se inicien fuera del firewall corporativo. El dispositivo USB se puede usar de forma interna, pero no de forma externa.

Tenga en cuenta que si bloquea el puerto TCP 32111 para deshabilitar el acceso externo de los dispositivos USB, la sincronización de la zona horaria no funcionará, ya que este puerto también se usa para dicha sincronización. Para clientes cero, el tráfico USB está incrustado en un canal virtual en el puerto UDP 4172. Dado que el puerto 4172 se utiliza para el protocolo de visualización y para el redireccionamiento USB, no puede bloquearlo. Si es necesario, puede deshabilitar el redireccionamiento USB de los clientes cero. Para obtener más información, consulte la documentación del producto del cliente cero o póngase en contacto con el proveedor de dicho cliente.

Si configura las directivas para que bloqueen ciertas familias de dispositivos o dispositivos específicos, puede ayudar a disminuir el riesgo de infección por parte un malware BadUSB. Estas directivas no disminuyen todos los riesgos, pero pueden ser eficaces dentro de la estrategia de seguridad general.