一些使用者可能需要重新導向特定的本機連線 USB 裝置,才能在遠端桌面平台或應用程式上執行工作。例如,醫師可能需要使用錄音機 USB 裝置來記錄患者的醫療資訊。在這些情況下,則無法停用對所有 USB 裝置的存取權限。您可以使用群組原則設定,針對特定裝置啟用或停用 USB 重新導向。

針對特定裝置啟用 USB 重新導向之前,請確保您信任已連線到企業中的用戶端機器的實體裝置。確保您可以信任供應鏈。如果可能,請追蹤 USB 裝置的保管鏈結。

此外,教導員工,以確保他們不會從未知來源連線裝置。如果可能,將環境中的裝置限制為僅接受已簽署的韌體更新、經過 FIPS 140-2 層級 3 認證以及不支援任何欄位可更新類型的韌體。這些類型的 USB 裝置來源難以找到,甚至可能找不到 (視裝置需求而定)。這些選項可能不切實際,但值得考慮。

每個 USB 裝置都有自己的廠商和產品識別碼,可供電腦進行識別。透過設定 Horizon Agent 組態群組原則設定,您可以針對未知裝置類型設定包含原則。透過此方法,可避免將未知裝置插入您環境所帶來的風險。

表 1. 排除選項
選項 說明
ExcludeAllDevices 排除所有裝置,避免重新導向。
ExcludeDeviceFamily 阻止特定裝置系列進行重新導向。例如,可以封鎖所有視訊、音訊和大量儲存裝置: 
ExcludeDeviceFamily   o:video;audio;storage
ExcludeVidPid 阻止具有指定廠商和產品識別碼的裝置進行重新導向。設定的格式為:vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`

您必須指定十六進位的 VID 或 PID。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100
ExcludeVidPidRel 阻止具有指定廠商識別碼、產品識別碼和版本號碼的裝置進行重新導向。設定的格式為:vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`

您必須指定十六進位的 VID 或 PID,並指定二進位編碼十進位的 REL。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100
表 2. 選項包括
選項 說明
IncludeAllDevices 重新導向所有裝置。
IncludeDeviceFamily 重新導向所有裝置系列。
IncludeVidPid 重新導向具有指定廠商和產品識別碼的裝置。此設定的格式為 `vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`

您必須指定十六進位的 VID 或 PID。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100
IncludeVidPidRel 重新導向具有指定廠商識別碼、產品識別碼和版本號碼的裝置。此設定的格式為 `vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`

您必須指定十六進位的 VID 或 PID,並指定二進位編碼十進位的 REL。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

依預設,Horizon 8 會封鎖某些裝置系列,使其無法重新導向至遠端桌面平台或應用程式。例如,HID (人機介面裝置) 和鍵盤將被封鎖,無法顯示在客體中。一些已發佈的 BadUSB 程式碼將 USB 鍵盤裝置做為目標。

您可以阻止 USB 存取來自公司防火牆外部的任何 Horizon 8 連線。USB 裝置可供內部使用,但無法對外使用。

請注意,如果您封鎖 TCP 連接埠 32111 以停用對 USB 裝置的外部存取,時區同步化將無法運作,因為連接埠 32111 也用於時區同步化。對於零用戶端,USB 流量將內嵌於 UDP 連接埠 4172 上的虛擬通道中。由於連接埠 4172 用於顯示通訊協定以及 USB 重新導向,因此,您無法封鎖連接埠 4172。如果需要,您可以在零用戶端上停用 USB 重新導向。如需詳細資料,請參閱零用戶端產品文宣或連絡零用戶端廠商。

設定原則以封鎖某些裝置系列或特定裝置,有助於降低受到 BadUSB 惡意程式碼之影響的風險。這些原則並不能降低所有風險,但有利於整體安全性策略。

這些原則包含在 Horizon Agent 組態 ADMX 範本檔 (vdm_agent.admx) 中。如需詳細資訊,請參閱《Horizon 遠端桌面平台功能和 GPO》

裝置篩選範例

  • 封鎖單一裝置:
    ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
    備註: 此範例組態會提供保護,但受到影響的裝置可能會報告任何 vid/pid,因此,仍可能會發生攻擊。
  • 封鎖具有相同廠商和產品識別碼的所有裝置,但具有特定版本號碼的裝置除外:

    ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100

  • 包含具有相同廠商和產品識別碼的所有裝置,但具有特定版本號碼的裝置除外:

    IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

使用裝置篩選選項

您可以透過以下方式之一,使用裝置篩選選項:
  • 登錄機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB

  • 群組原則物件

    Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration