一些使用者可能需要重新導向特定的本機連線 USB 裝置,才能在遠端桌面平台或應用程式上執行工作。例如,醫師可能需要使用錄音機 USB 裝置來記錄患者的醫療資訊。在這些情況下,則無法停用對所有 USB 裝置的存取權限。您可以使用群組原則設定,針對特定裝置啟用或停用 USB 重新導向。

針對特定裝置啟用 USB 重新導向之前,請確保您信任已連線到企業中的用戶端機器的實體裝置。確保您可以信任供應鏈。如果可能,請追蹤 USB 裝置的保管鏈結。

此外,教導員工,以確保他們不會從未知來源連線裝置。如果可能,將環境中的裝置限制為僅接受已簽署的韌體更新、經過 FIPS 140-2 層級 3 認證以及不支援任何欄位可更新類型的韌體。這些類型的 USB 裝置來源難以找到,甚至可能找不到 (視裝置需求而定)。這些選項可能不切實際,但值得考慮。

每個 USB 裝置都有自己的廠商和產品識別碼,可供電腦進行識別。透過設定 Horizon Agent 組態群組原則設定,您可以針對未知裝置類型設定包含原則。透過此方法,可避免將未知裝置插入您環境所帶來的風險。

例如,您可以防止所有裝置 (除了已知裝置廠商和產品識別碼 vid/pid=0123/abcd) 重新導向至遠端桌面平台或應用程式:

ExcludeAllDevices   Enabled

IncludeVidPid       o:vid-0123_pid-abcd
備註: 此範例組態會提供保護,但受到影響的裝置可能會報告任何 vid/pid,因此,仍可能會發生攻擊。

依預設,Horizon 會封鎖某些裝置系列,使其無法重新導向至遠端桌面平台或應用程式。例如,HID (人機介面裝置) 和鍵盤將被封鎖,無法顯示在客體中。一些已發佈的 BadUSB 程式碼將 USB 鍵盤裝置做為目標。

您可以防止特定的裝置系列重新導向至遠端桌面平台或應用程式。例如,可以封鎖所有視訊、音訊和大量儲存裝置:

ExcludeDeviceFamily   o:video;audio;storage

反之,可以建立一個白名單,阻止所有裝置重新導向,但允許使用特定的裝置系列。例如,可以封鎖儲存裝置以外的所有裝置:

ExcludeAllDevices     Enabled

IncludeDeviceFamily   o:storage

如果遠端使用者登入桌面平台或應用程式並對其產生影響,則可能會出現其他風險。您可以阻止 USB 存取來自公司防火牆外部的任何 Horizon 連線。USB 裝置可供內部使用,但無法對外使用。

請注意,如果您封鎖 TCP 連接埠 32111 以停用對 USB 裝置的外部存取,時區同步化將無法運作,因為連接埠 32111 也用於時區同步化。對於零用戶端,USB 流量將內嵌於 UDP 連接埠 4172 上的虛擬通道中。由於連接埠 4172 用於顯示通訊協定以及 USB 重新導向,因此,您無法封鎖連接埠 4172。如果需要,您可以在零用戶端上停用 USB 重新導向。如需詳細資料,請參閱零用戶端產品文宣或連絡零用戶端廠商。

設定原則以封鎖某些裝置系列或特定裝置,有助於降低受到 BadUSB 惡意程式碼之影響的風險。這些原則並不能降低所有風險,但有利於整體安全性策略。

這些原則包含在 Horizon Agent 組態 ADMX 範本檔 (vdm_agent.admx) 中。如需詳細資訊,請參閱《在 Horizon 中設定遠端桌面平台功能》