Certains utilisateurs peuvent devoir rediriger des périphériques USB localement connectés afin de pouvoir effectuer des tâches sur leurs applications ou postes de travail distants. Par exemple, un médecin peut devoir utiliser un périphérique dictaphone USB pour enregistrer des informations médicales dans le dossier d'un patient. Dans ce cas, vous ne pouvez pas désactiver l'accès à tous les périphériques USB. Vous pouvez utiliser les paramètres de stratégie de groupe pour activer ou désactiver la redirection USB pour des périphériques spécifiques.
Avant d'activer la redirection USB pour des périphériques spécifiques, assurez-vous que vous approuvez les périphériques physiques connectés à des machines clientes dans votre entreprise. Assurez-vous de pouvoir approuver votre chaîne d'approvisionnement. Si possible, assurez le suivi d'une chaîne de sécurité pour les périphériques USB.
En outre, formez vos employés pour vous assurer qu'ils ne connectent pas des périphériques provenant de sources inconnues. Si possible, restreignez les périphériques de votre environnement à ceux qui acceptent uniquement des mises à jour de microprogramme signées, bénéficient d'une certification FIPS 140-2 Niveau 3 et ne prennent pas en charge tout type de microprogramme autorisant la mise à jour sur site. Ces types de périphériques USB peuvent poser des problèmes d'approvisionnement et, selon la configuration requise de vos périphériques, peuvent s'avérer impossibles à trouver. Ces choix peuvent être difficiles à mettre en œuvre dans la pratique, mais ils méritent d'être envisagés.
Chaque périphérique USB a son propre fournisseur et ID de produit qui l'identifie sur l'ordinateur. En configurant les paramètres de la stratégie de groupe Configuration d'Horizon Agent, vous pouvez définir une stratégie d'inclusion de ces types de périphériques connus. Avec cette approche, vous éliminez le risque d'autoriser l'insertion de périphériques inconnus dans votre environnement.
Option | Description |
---|---|
ExcludeAllDevices |
Exclut tous les périphériques de la redirection. |
ExcludeDeviceFamily |
Empêche la redirection de familles de périphériques spécifiques. Par exemple, vous pouvez bloquer tous les périphériques vidéo, audio et de stockage de masse : ExcludeDeviceFamily o:video;audio;storage |
ExcludeVidPid |
Empêche la redirection des périphériques portant des ID de fournisseur et de produit spécifiés. Le format du paramètre est vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... Vous devez spécifier le VID ou le PID avec une valeur hexadécimale. Vous pouvez utiliser le caractère générique (« * ») à la place de chiffres individuels dans un ID. Par exemple : |
ExcludeVidPidRel |
Empêche la redirection des périphériques portant un ID de fournisseur, un ID de produit et un numéro de version spécifiés. Le format du paramètre est vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... Vous devez indiquer le VID ou le PID avec une valeur hexadécimale et le numéro REL avec un décimal codé binaire. Vous pouvez utiliser le caractère générique (« * ») à la place de chiffres individuels dans un ID. Par exemple : |
Option | Description |
---|---|
IncludeAllDevices |
Tous les périphériques sont redirigés. |
IncludeDeviceFamily |
Toutes les familles de périphériques sont redirigées. |
IncludeVidPid |
Les périphériques portant des ID de fournisseur et de produit spécifiés sont redirigés. Le format du paramètre est « vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... »Vous devez spécifier le VID ou le PID avec une valeur hexadécimale. Vous pouvez utiliser le caractère générique (« * ») à la place de chiffres individuels dans un ID. Par exemple : |
IncludeVidPidRel |
Les périphériques portant l'ID de fournisseur, l'ID de produit et le numéro de version spécifiés sont redirigés. Le format du paramètre est « vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... »Vous devez indiquer le VID ou le PID avec une valeur hexadécimale et le numéro REL avec un décimal codé binaire. Vous pouvez utiliser le caractère générique (« * ») à la place de chiffres individuels dans un ID. Par exemple : |
Par défaut, Horizon 8 interdit la redirection de certaines familles de périphériques vers l'application ou le poste de travail distant. Par exemple, les périphériques d'interface utilisateur et les claviers sont interdits d'affichage dans l'invité. Certains codes BadUSB récemment publiés ciblent les claviers USB.
Vous pouvez empêcher l'accès USB à toute connexion Horizon 8 provenant de l'extérieur du pare-feu de l'entreprise. Le périphérique USB peut être utilisé en interne, mais pas en externe.
Sachez que si vous bloquez le port TCP 32111 pour désactiver l'accès externe aux périphériques USB, la synchronisation de fuseau horaire ne fonctionnera pas, car le port 32111 est également utilisé pour la synchronisation de fuseau horaire. Pour les clients zéro, le trafic USB est intégré dans un canal virtuel sur le port UDP 4172. Comme le port 4172 est utilisé pour le protocole d'affichage ainsi que pour la redirection USB, vous ne pouvez pas bloquer le port 4172. Si nécessaire, vous pouvez désactiver la redirection USB sur les clients zéro. Pour plus d'informations, reportez-vous à la documentation du produit client zéro et contactez son fournisseur.
La définition de stratégies pour bloquer certaines familles de périphériques ou des périphériques spécifiques peut contribuer à réduire les risques d'infection avec le logiciel malveillant BadUSB. Ces stratégies ne réduisent pas tous les risques, mais peuvent s'inscrire dans une stratégie de sécurité globale.
Ces stratégies sont incluses dans le fichier de modèle d'administration ADMX pour la configuration d'Horizon Agent (vdm_agent.admx). Pour plus d'informations, reportez-vous à la section Fonctionnalités et GPO des postes de travail distants Horizon.
Exemples de filtrage des périphériques
- Bloquer un seul périphérique :
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Note : Cet exemple de configuration fournit une protection, mais comme un périphérique compromis peut communiquer n'importe quel vid/pid, une attaque peut toujours éventuellement se produire. - Bloquez tous les périphériques portant le même ID de fournisseur et de produit, sauf un ayant un numéro de version spécifique :
ExcludeVidPid o:vid-0781_pid-5591
IncludeVidPidRel o:vid-0781_pid-5591_rel-0100
- Incluez tous les périphériques portant le même ID de fournisseur et de produit, sauf un ayant un numéro de version spécifique :
IncludeVidPid o:vid-0781_pid-5591
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
Utilisation des options de filtrage des périphériques
- Clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB
- Objet de stratégie de groupe
Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration