一些使用者可能需要重新導向特定的本機連線 USB 裝置,才能在遠端桌面平台或應用程式上執行工作。例如,醫師可能需要使用錄音機 USB 裝置來記錄患者的醫療資訊。在這些情況下,則無法停用對所有 USB 裝置的存取權限。您可以使用群組原則設定,針對特定裝置啟用或停用 USB 重新導向。

針對特定裝置啟用 USB 重新導向之前,請確保您信任已連線到企業中的用戶端機器的實體裝置。確保您可以信任供應鏈。如果可能,請追蹤 USB 裝置的保管鏈結。

此外,教導員工,以確保他們不會從未知來源連線裝置。如果可能,將環境中的裝置限制為僅接受已簽署的韌體更新、經過 FIPS 140-2 層級 3 認證以及不支援任何欄位可更新類型的韌體。這些類型的 USB 裝置來源難以找到,甚至可能找不到 (視裝置需求而定)。這些選項可能不切實際,但值得考慮。

每個 USB 裝置都有自己的廠商和產品識別碼,可供電腦進行識別。透過設定 Horizon Agent 組態群組原則設定,您可以針對未知裝置類型設定包含原則。透過此方法,可避免將未知裝置插入您環境所帶來的風險。

例如,您可以防止所有裝置 (除了已知裝置廠商和產品識別碼 vid/pid=0123/abcd) 重新導向至遠端桌面平台或應用程式:

ExcludeAllDevices   Enabled

IncludeVidPid       o:vid-0123_pid-abcd
備註︰

此範例組態會提供保護,但受到影響的裝置可能會報告任何 vid/pid,因此,仍可能會發生攻擊。

依預設,Horizon 7 會封鎖某些裝置系列,使其無法重新導向至遠端桌面平台或應用程式。例如,HID (人機介面裝置) 和鍵盤將被封鎖,無法顯示在客體中。一些已發佈的 BadUSB 程式碼將 USB 鍵盤裝置做為目標。

您可以防止特定的裝置系列重新導向至遠端桌面平台或應用程式。例如,可以封鎖所有視訊、音訊和大量儲存裝置:

ExcludeDeviceFamily   o:video;audio;storage

反之,可以建立一個白名單,阻止所有裝置重新導向,但允許使用特定的裝置系列。例如,可以封鎖儲存裝置以外的所有裝置:

ExcludeAllDevices     Enabled

IncludeDeviceFamily   o:storage

如果遠端使用者登入桌面平台或應用程式並對其產生影響,則可能會出現其他風險。您可以阻止 USB 存取來自公司防火牆外部的任何 Horizon 7 連線。USB 裝置可供內部使用,但無法對外使用。

請注意,如果您封鎖 TCP 連接埠 32111 以停用對 USB 裝置的外部存取,時區同步化將無法運作,因為連接埠 32111 也用於時區同步化。對於零用戶端,USB 流量將內嵌於 UDP 連接埠 4172 上的虛擬通道中。由於連接埠 4172 用於顯示通訊協定以及 USB 重新導向,因此,您無法封鎖連接埠 4172。如果需要,您可以在零用戶端上停用 USB 重新導向。如需詳細資料,請參閱零用戶端產品文宣或連絡零用戶端廠商。

設定原則以封鎖某些裝置系列或特定裝置,有助於降低受到 BadUSB 惡意程式碼之影響的風險。這些原則並不能降低所有風險,但有利於整體安全性策略。