一些使用者可能需要重新導向特定的本機連線 USB 裝置，才能在遠端桌面平台或應用程式上執行工作。例如，醫師可能需要使用錄音機 USB 裝置來記錄患者的醫療資訊。在這些情況下，則無法停用對所有 USB 裝置的存取權限。您可以使用群組原則設定，針對特定裝置啟用或停用 USB 重新導向。

針對特定裝置啟用 USB 重新導向之前，請確保您信任已連線到企業中的用戶端機器的實體裝置。確保您可以信任供應鏈。如果可能，請追蹤 USB 裝置的保管鏈結。

此外，教導員工，以確保他們不會從未知來源連線裝置。如果可能，將環境中的裝置限制為僅接受已簽署的韌體更新、經過 FIPS 140-2 層級 3 認證以及不支援任何欄位可更新類型的韌體。這些類型的 USB 裝置來源難以找到，甚至可能找不到 (視裝置需求而定)。這些選項可能不切實際，但值得考慮。

每個 USB 裝置都有自己的廠商和產品識別碼，可供電腦進行識別。透過設定 Horizon Agent 組態群組原則設定，您可以針對未知裝置類型設定包含原則。透過此方法，可避免將未知裝置插入您環境所帶來的風險。

例如，您可以防止所有裝置 (除了已知裝置廠商和產品識別碼 vid/pid=0123/abcd) 重新導向至遠端桌面平台或應用程式：

ExcludeAllDevices   Enabled

IncludeVidPid       o:vid-0123_pid-abcd

依預設，Horizon 7 會封鎖某些裝置系列，使其無法重新導向至遠端桌面平台或應用程式。例如，HID (人機介面裝置) 和鍵盤將被封鎖，無法顯示在客體中。一些已發佈的 BadUSB 程式碼將 USB 鍵盤裝置做為目標。

您可以防止特定的裝置系列重新導向至遠端桌面平台或應用程式。例如，可以封鎖所有視訊、音訊和大量儲存裝置：

ExcludeDeviceFamily   o:video;audio;storage

反之，可以建立一個白名單，阻止所有裝置重新導向，但允許使用特定的裝置系列。例如，可以封鎖儲存裝置以外的所有裝置：

ExcludeAllDevices     Enabled

IncludeDeviceFamily   o:storage

如果遠端使用者登入桌面平台或應用程式並對其產生影響，則可能會出現其他風險。您可以阻止 USB 存取來自公司防火牆外部的任何 Horizon 7 連線。USB 裝置可供內部使用，但無法對外使用。

請注意，如果您封鎖 TCP 連接埠 32111 以停用對 USB 裝置的外部存取，時區同步化將無法運作，因為連接埠 32111 也用於時區同步化。對於零用戶端，USB 流量將內嵌於 UDP 連接埠 4172 上的虛擬通道中。由於連接埠 4172 用於顯示通訊協定以及 USB 重新導向，因此，您無法封鎖連接埠 4172。如果需要，您可以在零用戶端上停用 USB 重新導向。如需詳細資料，請參閱零用戶端產品文宣或連絡零用戶端廠商。

設定原則以封鎖某些裝置系列或特定裝置，有助於降低受到 BadUSB 惡意程式碼之影響的風險。這些原則並不能降低所有風險，但有利於整體安全性策略。