ユーザーの中には、ローカル側で接続された特定の USB デバイスをリダイレクトして、リモート デスクトップまたはアプリケーションでそれらのデバイスがタスクを実行できるようにする必要のあるユーザーもいます。たとえば、医師は Dictaphone USB デバイスを使用して、患者の医療情報を記録しなければならない場合があります。このような場合、すべての USB デバイスへのアクセスを無効にすることはできません。グループ ポリシー設定を使用して、特定のデバイスに対して USB リダイレクトを有効または無効にすることができます。

特定のデバイスに対して USB リダイレクトを有効にする前に、会社内のクライアント マシンに接続される物理デバイスを信用できることを確認してください。サプライ チェーンを信用できることを確認します。可能であれば、USB デバイスの加工および流通過程の管理体制を追跡します。

また、従業員に不明な発行元からのデバイスを接続しないように周知します。可能な場合は、環境内のデバイスを署名付きファームウェア更新のみ、つまり FIPS 140-2 レベル 3 認定のもののみに限定し、現場で更新可能なすべての種類のファームウェアをサポートしないようにします。このようなタイプの USB デバイスは発行元を特定するのが困難であり、デバイスの要件によっては検出不可能である可能性があります。このような選択肢は実用的ではないかもしれませんが、検討する価値はあります。

各 USB デバイスにはコンピュータにそれ自体を認識させるためのベンダー ID と製品 ID が付けられています。Horizon Agent 構成のグループ ポリシー設定を構成することで、既知のデバイス タイプを含めるポリシーを設定できます。この手法により、不明なデバイスが環境内で使用されるリスクをなくすことができます。

表 1. 除外オプション
オプション 説明
ExcludeAllDevices リダイレクト対象からすべてのデバイスを除外します。
ExcludeDeviceFamily 特定のデバイス ファミリがリダイレクトされないようにします。たとえば、すべてのビデオ、オーディオ、および大規模ストレージ デバイスをブロックできます。
ExcludeDeviceFamily   o:video;audio;storage
ExcludeVidPid 指定したベンダーと製品 ID のデバイスがリダイレクトされないようにします。設定の形式は vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... です。

VID または PID は 16 進数で指定する必要があります。ID の各桁にワイルドカード文字 (*) を使用できます。

例:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

ExcludeVidPidRel 指定したベンダー ID、製品 ID、リリース番号のデバイスがリダイレクトされないようにします。設定の形式は vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... です。

VID または PID は 16 進数で指定し、REL はバイナリ コードの 10 進数で指定する必要があります。ID の各桁にワイルドカード文字 (*) を使用できます。

例:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

表 2. 対象オプション
オプション 説明
IncludeAllDevices すべてのデバイスがリダイレクトされます。
IncludeDeviceFamily すべてのデバイス ファミリがリダイレクトされます。
IncludeVidPid 指定したベンダーと製品 ID のデバイスがリダイレクトされます。設定の形式は vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]... です。

VID または PID は 16 進数で指定する必要があります。ID の各桁にワイルドカード文字 (*) を使用できます。

例:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

IncludeVidPidRel 指定したベンダー ID、製品 ID、リリース番号のデバイスがリダイレクトされます。設定の形式は vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]... です。

VID または PID は 16 進数で指定し、REL はバイナリ コードの 10 進数で指定する必要があります。ID の各桁にワイルドカード文字 (*) を使用できます。

例:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

デフォルトで、Horizon 8 は特定のデバイス ファミリがリモート デスクトップまたはアプリケーションにリダイレクトされるのをブロックします。たとえば、HID(ヒューマン インターフェイス デバイス)やキーボードなどはゲスト内への表示がブロックされます。出回っている一部の BadUSB コードは USB キーボード デバイスをターゲットにしています。

会社のファイアウォールの外側から行われたすべての Horizon 8 接続への USB アクセスを回避できます。USB デバイスは内的には使用できますが、外的には使用できなくなります。

TCP ポート 32111 をブロックして USB デバイスへの外部アクセスを無効にすると、タイムゾーン同期が動作しなくなります。これは、タイムゾーン同期でもポート 32111 が使用されているためです。ゼロ クライアントの場合、USB トラフィックは UDP ポート 4172 の仮想チャネル内に組み込まれます。ポート 4172 は USB リダイレクトの他にディスプレイ プロトコルにも使用されるため、ポート 4172 をブロックすることはできません。必要な場合は、ゼロ クライアントに対して USB リダイレクトを無効に設定できます。詳細については、ゼロ クライアント製品パンフレットを参照するか、ゼロ クライアント ベンダーにお問い合わせください。

特定のデバイス ファミリまたは特定のデバイスをブロックするポリシーを設定すると、BadUSB マルウェアによって感染させられるリスクを軽減できる可能性があります。これらのポリシーによってすべてのリスクが軽減されるわけではありませんが、全体的なセキュリティ戦略の一部として有効に機能する可能性があります。

これらのポリシーは、Horizon Agent の構成 ADMX テンプレート ファイル (vdm_agent.admx) に含まれています。詳細については、『Horizon リモート デスクトップの機能と GPO』を参照してください。

デバイス フィルタリングの例

  • 単一のデバイスをブロックする:
    ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
    注: この例の構成では保護することはできますが、感染したデバイスによって何らかの vid/pid が報告される可能性があるため、攻撃の可能性は依然としてあります。
  • 特定のリリース番号を持つデバイスを除外し、同じベンダーと製品 ID を持つすべてのデバイスをブロックする:

    ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100

  • 特定のリリース番号を持つデバイスを除外し、同じベンダーと製品 ID を持つすべてのデバイスを追加する:

    IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

デバイス フィルタリング オプションの使用

デバイス フィルタリング オプションは、次のいずれかの方法で使用できます。
  • レジストリ キー:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB

  • グループ ポリシー オブジェクト

    Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration