일부 사용자는 원격 데스크톱 또는 애플리케이션에서 작업을 수행할 수 있도록 로컬로 연결된 특정 USB 디바이스를 리디렉션해야 할 수 있습니다. 예를 들어 의사는 Dictaphone USB 디바이스를 사용하여 환자의 의료 정보를 기록해야 할 수 있습니다. 이러한 경우 모든 USB 디바이스에 대한 액세스를 사용하지 않도록 설정할 수 없습니다. 그룹 정책 설정을 사용하여 특정 디바이스에 대한 USB 리디렉션을 사용하거나 사용하지 않도록 설정할 수 있습니다.
특정 디바이스에 대한 USB 리디렉션을 사용하도록 설정하기 전에 엔터프라이즈 내 클라이언트 시스템에 연결된 물리적 디바이스를 신뢰해야 합니다. 공급망을 신뢰할 수 있는지 확인합니다. 가능하면 USB 디바이스에 대한 관리망을 기록합니다.
또한 알 수 없는 소스의 디바이스를 연결하지 않도록 직원을 교육합니다. 가능하면 환경의 디바이스를 서명된 펌웨어 업데이트만 수락하고 FIPS 140-2 Level 3 인증을 획득했으며 다른 종류의 필드 업데이트 가능 펌웨어를 지원하지 않는 디바이스로 제한합니다. 이러한 유형의 USB 디바이스는 소스를 찾기 어려우며 디바이스 요구 사항에 따라 소스를 찾는 것이 불가능할 수 있습니다. 이러한 옵션은 유용하지 않을 수 있지만 고려할만한 가치가 있습니다.
각 USB 디바이스에는 컴퓨터에 대해 식별하는 고유한 벤더 및 제품 ID가 있습니다. Horizon Agent 구성 그룹 정책 설정을 구성하여 알려진 디바이스 유형에 대한 포함 정책을 설정할 수 있습니다. 이러한 접근 방식을 통해 알 수 없는 디바이스가 사용자 환경에 침투하도록 허용하는 위험을 없앨 수 있습니다.
예를 들어 알려진 디바이스 벤더 및 제품 ID, vid/pid=0123/abcd를 제외한 모든 디바이스가 원격 데스크톱 또는 애플리케이션으로 리디렉션되는 것을 방지할 수 있습니다.
ExcludeAllDevices Enabled IncludeVidPid o:vid-0123_pid-abcd
기본적으로 Horizon는 특정 디바이스 제품군이 원격 데스크톱 또는 애플리케이션으로 리디렉션되는 것을 차단합니다. 예를 들어 HID(휴먼 인터페이스 디바이스) 및 키보드는 게스트에 나타나지 않도록 차단됩니다. 일부 릴리스된 BadUSB 코드는 USB 키보드 디바이스를 대상으로 합니다.
특정 디바이스 제품군이 원격 데스크톱 또는 애플리케이션으로 리디렉션되는 것을 방지할 수 있습니다. 예를 들어 모든 비디오, 오디오 및 대용량 스토리지 디바이스를 차단할 수 있습니다.
ExcludeDeviceFamily o:video;audio;storage
반대로 모든 디바이스가 리디렉션되는 것을 방지하지만 특정 디바이스 제품군이 사용되는 것을 허용함으로써 허용 목록을 생성할 수 있습니다. 예를 들어 스토리지 디바이스를 제외한 모든 디바이스를 차단할 수 있습니다.
ExcludeAllDevices Enabled IncludeDeviceFamily o:storage
원격 사용자가 데스크톱 또는 애플리케이션에 로그인하여 감염시키는 경우 다른 위험이 발생할 수 있습니다. 회사 방화벽 외부에서 비롯되는 모든 Horizon 연결에 대한 USB 액세스를 방지할 수 있습니다. USB 디바이스는 외부적으로 사용되지 않고 내부적으로 사용될 수 있습니다.
포트 32111은 시간대 동기화에도 사용되므로 TCP 포트 32111을 차단하여 USB 디바이스에 대한 외부 액세스를 사용 중지하면 시간대 동기화가 작동하지 않습니다. 제로 클라이언트의 경우 USB 트래픽이 UDP 포트 4172를 통해 가상 채널 내에 포함됩니다. 포트 4172가 디스플레이 프로토콜과 USB 리디렉션에 사용되므로 포트 4172를 차단할 수 없습니다. 필요한 경우 제로 클라이언트에서 USB 리디렉션을 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 제로 클라이언트 제품 설명서를 참조하거나 제로 클라이언트 벤더에 문의하십시오.
특정 디바이스 제품군이나 특정 디바이스를 차단하도록 정책을 설정하면 BadUSB 악성 소프트웨어로 감염되는 위험을 줄일 수 있습니다. 이러한 정책은 모든 위험을 줄이지는 않지만 전체 보안 전략의 유효한 부분이 될 수 있습니다.