Es posible que algunos usuarios tengan que redireccionar dispositivos USB específicos conectados de forma local para poder realizar tareas en las aplicaciones o escritorios remotos. Por ejemplo, un médico puede usar un dictáfono USB para grabar la información médica de los pacientes. En estos casos, no se puede desactivar el acceso a todos los dispositivos USB. Puede usar la configuración de la directiva de grupo si desea activar o desactivar el redireccionamiento USB de dispositivos específicos.

Antes de activar el redireccionamiento USB para dispositivos específicos, compruebe que confíe en los dispositivos físicos que están conectados a los equipos clientes de su empresa. Asegúrese también de que confíe en la cadena de suministros. Si es posible, realice un seguimiento de una cadena de custodia de los dispositivos USB.

Además, forme a sus empleados para asegurarse de que no se conecten a dispositivos de origen desconocido. Si es posible, restrinja los dispositivos de su entorno a aquellos que solo aceptan actualizaciones de firmware firmadas, que tienen una certificación de Nivel 3 de FIPS 140-2 y que no admiten ningún tipo de firmware de campos actualizables. Es complicado ubicar el origen de este tipo de dispositivos USB y, según los requisitos del dispositivo, puede que no los encuentre. Es posible que estas opciones no sean prácticas, pero merece la pena tenerlas en cuenta.

Cada dispositivo USB tiene sus propios ID de proveedor y de producto que lo identifica en el equipo. Al establecer las opciones de la directiva de grupo de la configuración de Horizon Agent, puede establecer una directiva de inclusión para los tipos de dispositivos conocidos. Con este enfoque, elimina el riesgo de permitir que se introduzcan dispositivos desconocidos en el entorno.

Tabla 1. Opciones de exclusión
Opción Descripción
ExcludeAllDevices Excluye el redireccionamiento de todos los dispositivos.
ExcludeDeviceFamily Evita que se redireccionen familias de dispositivos específicas. Por ejemplo, puede bloquear todos los dispositivos de almacenamiento masivo, de audio y de vídeo:
ExcludeDeviceFamily   o:video;audio;storage
ExcludeVidPid Evita el redireccionamiento de dispositivos con los ID de producto y de proveedor específicos. El formato de la configuración es:vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`

Debe especificar el VID o PID con un formato hexadecimal. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID.

Por ejemplo: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

ExcludeVidPidRel Evita que se redirijan los dispositivos con el identificador de proveedor, el identificador de producto y el número de versión especificados. El formato de la configuración es:vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`

Debe especificar el VID o PID con un formato hexadecimal y el REL con un formato decimal codificado binario. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID.

Por ejemplo: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

Tabla 2. Opciones de inclusión
Opción Descripción
IncludeAllDevices Se redireccionan todos los dispositivos.
IncludeDeviceFamily Se redireccionan todas las familias de dispositivos.
IncludeVidPid Se redirigen los dispositivos con identificadores de producto y de proveedor específicos. El formato de este ajuste es `vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`

Debe especificar el VID o PID con un formato hexadecimal. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID.

Por ejemplo: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

IncludeVidPidRel Se redireccionan los dispositivos con el identificador de proveedor, el identificador de producto y el número de versión especificados. El formato de este ajuste es `vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`

Debe especificar el VID o PID con un formato hexadecimal y el REL con un formato decimal codificado binario. Puede utilizar el carácter comodín (`*`) en lugar de dígitos individuales en un ID.

Por ejemplo: vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

De forma predeterminada, Horizon 8 bloquea el redireccionamiento de algunas familias de dispositivos a la aplicación o el escritorio remotos. Por ejemplo, se bloquean los dispositivos de interfaz de usuario (HID) y los teclados para que no aparezcan en el invitado. Algunos códigos BadUSB publicados pueden dirigirse a teclados USB.

Puede prohibir el acceso USB a las conexiones de Horizon 8 que se inicien fuera del firewall corporativo. El dispositivo USB se puede usar de forma interna, pero no de forma externa.

Tenga en cuenta que si bloquea el puerto TCP 32111 para desactivar el acceso externo de los dispositivos USB, la sincronización de la zona horaria no funcionará, ya que este puerto también se usa para dicha sincronización. Para clientes cero, el tráfico USB está incrustado en un canal virtual en el puerto UDP 4172. Dado que el puerto 4172 se utiliza para el protocolo de visualización y para el redireccionamiento USB, no puede bloquearlo. Si es necesario, puede desactivar el redireccionamiento USB de los clientes cero. Para obtener más información, consulte la documentación del producto del cliente cero o póngase en contacto con el proveedor de dicho cliente.

Si configura las directivas para que bloqueen ciertas familias de dispositivos o dispositivos específicos, puede ayudar a disminuir el riesgo de infección por parte un malware BadUSB. Estas directivas no disminuyen todos los riesgos, pero pueden ser eficaces dentro de la estrategia de seguridad general.

Estas directivas se incluyen en el archivo de plantilla ADMX de la configuración de Horizon Agent (vdm_agent.admx). Si desea obtener más información, consulte Funciones de escritorios remotos y GPO de Horizon.

Ejemplos de filtrado de dispositivos

  • Bloquear un solo dispositivo:
    ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
    Nota: Aunque esta configuración de ejemplo proporciona protección, pero un dispositivo en peligro puede informar sobre cualquier vid/pid, por lo que es posible que aún se produzca un ataque.
  • Bloquee todos los dispositivos con el mismo identificador de proveedor y producto, excepto uno con un número de versión específico:

    ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100

  • Incluya todos los dispositivos con el mismo identificador de proveedor y producto, excepto uno con un número de versión específico:

    IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

Cómo utilizar las opciones de filtrado de dispositivos

Puede utilizar las opciones de filtrado de dispositivos de una de las siguientes formas:
  • Clave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB

  • Objeto de directiva de grupo

    Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration