Es posible que algunos usuarios tengan que redireccionar dispositivos USB específicos conectados de forma local para poder realizar tareas en las aplicaciones o escritorios remotos. Por ejemplo, un médico puede usar un dictáfono USB para grabar la información médica de los pacientes. En estos casos, no puede deshabilitar el acceso a todos los dispositivos USB. Puede usar la configuración de la directiva de grupo si desea habilitar o deshabilitar el redireccionamiento USB de dispositivos específicos.
Antes de habilitar el redireccionamiento USB para dispositivos específicos, compruebe que confíe en los dispositivos físicos que están conectados a los equipos clientes de su empresa. Asegúrese también de que confíe en la cadena de suministros. Si es posible, realice un seguimiento de una cadena de custodia de los dispositivos USB.
Además, forme a sus empleados para asegurarse de que no se conecten a dispositivos de origen desconocido. Si es posible, restrinja los dispositivos de su entorno a aquellos que solo aceptan actualizaciones de firmware firmadas, que tienen una certificación de Nivel 3 de FIPS 140-2 y que no admiten ningún tipo de firmware de campos actualizables. Es complicado ubicar el origen de este tipo de dispositivos USB y, según los requisitos del dispositivo, puede que no los encuentre. Es posible que estas opciones no sean prácticas, pero merece la pena tenerlas en cuenta.
Cada dispositivo USB tiene sus propios ID de proveedor y de producto que lo identifica en el equipo. Al establecer las opciones de la directiva de grupo de la configuración de Horizon Agent, puede establecer una directiva de inclusión para los tipos de dispositivos conocidos. Con este enfoque, elimina el riesgo de permitir que se introduzcan dispositivos desconocidos en el entorno.
Opción | Descripción |
---|---|
ExcludeAllDevices |
Excluye el redireccionamiento de todos los dispositivos. |
ExcludeDeviceFamily |
Evita que se redireccionen familias de dispositivos específicas. Por ejemplo, puede bloquear todos los dispositivos de almacenamiento masivo, de audio y de vídeo: ExcludeDeviceFamily o:video;audio;storage |
ExcludeVidPid |
Evita el redireccionamiento de dispositivos con los ID de producto y de proveedor específicos. El formato de la configuración es:vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... `Debe especificar el VID o PID con un formato hexadecimal. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID. Por ejemplo: |
ExcludeVidPidRel |
Evita que se redirijan los dispositivos con el identificador de proveedor, el identificador de producto y el número de versión especificados. El formato de la configuración es:vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... `Debe especificar el VID o PID con un formato hexadecimal y el REL con un formato decimal codificado binario. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID. Por ejemplo: |
Opción | Descripción |
---|---|
IncludeAllDevices |
Se redireccionan todos los dispositivos. |
IncludeDeviceFamily |
Se redireccionan todas las familias de dispositivos. |
IncludeVidPid |
Se redirigen los dispositivos con identificadores de producto y de proveedor específicos. El formato de este ajuste es `vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... `Debe especificar el VID o PID con un formato hexadecimal. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID. Por ejemplo: |
IncludeVidPidRel |
Se redireccionan los dispositivos con el identificador de proveedor, el identificador de producto y el número de versión especificados. El formato de este ajuste es `vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... `Debe especificar el VID o PID con un formato hexadecimal y el REL con un formato decimal codificado binario. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID. Por ejemplo: |
De forma predeterminada, Horizon bloquea el redireccionamiento de algunas familias de dispositivos a la aplicación o el escritorio remotos. Por ejemplo, se bloquean los dispositivos de interfaz de usuario (HID) y los teclados para que no aparezcan en el invitado. Algunos códigos BadUSB publicados pueden dirigirse a teclados USB.
Puede prohibir el acceso USB a las conexiones de Horizon que se inicien fuera del firewall corporativo. El dispositivo USB se puede usar de forma interna, pero no de forma externa.
Tenga en cuenta que si bloquea el puerto TCP 32111 para deshabilitar el acceso externo de los dispositivos USB, la sincronización de la zona horaria no funcionará, ya que este puerto también se usa para dicha sincronización. Para clientes cero, el tráfico USB está incrustado en un canal virtual en el puerto UDP 4172. Dado que el puerto 4172 se utiliza para el protocolo de visualización y para el redireccionamiento USB, no puede bloquearlo. Si es necesario, puede deshabilitar el redireccionamiento USB de los clientes cero. Para obtener más información, consulte la documentación del producto del cliente cero o póngase en contacto con el proveedor de dicho cliente.
Si configura las directivas para que bloqueen ciertas familias de dispositivos o dispositivos específicos, puede ayudar a disminuir el riesgo de infección por parte un malware BadUSB. Estas directivas no disminuyen todos los riesgos, pero pueden ser eficaces dentro de la estrategia de seguridad general.
Ejemplos de filtrado de dispositivos
- Bloquear un solo dispositivo:
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Nota: Aunque esta configuración de ejemplo proporciona protección, pero un dispositivo en peligro puede informar sobre cualquier vid/pid, por lo que es posible que aún se produzca un ataque. - Bloquee todos los dispositivos con el mismo identificador de proveedor y producto, excepto uno con un número de versión específico:
ExcludeVidPid o:vid-0781_pid-5591
IncludeVidPidRel o:vid-0781_pid-5591_rel-0100
- Incluya todos los dispositivos con el mismo identificador de proveedor y producto, excepto uno con un número de versión específico:
IncludeVidPid o:vid-0781_pid-5591
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Cómo utilizar las opciones de filtrado de dispositivos
- Clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB
- Objeto de directiva de grupo
Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration