一些使用者可能需要重新導向特定的本機連線 USB 裝置,才能在遠端桌面平台或應用程式上執行工作。例如,醫師可能需要使用錄音機 USB 裝置來記錄患者的醫療資訊。在這些情況下,則無法停用對所有 USB 裝置的存取權限。您可以使用群組原則設定,針對特定裝置啟用或停用 USB 重新導向。

針對特定裝置啟用 USB 重新導向之前,請確保您信任已連線到企業中的用戶端機器的實體裝置。確保您可以信任供應鏈。如果可能,請追蹤 USB 裝置的保管鏈結。

此外,教導員工,以確保他們不會從未知來源連線裝置。如果可能,將環境中的裝置限制為僅接受已簽署的韌體更新、經過 FIPS 140-2 層級 3 認證以及不支援任何欄位可更新類型的韌體。這些類型的 USB 裝置來源難以找到,甚至可能找不到 (視裝置需求而定)。這些選項可能不切實際,但值得考慮。

每個 USB 裝置都有自己的廠商和產品識別碼,可供電腦進行識別。透過設定 Horizon Agent 組態群組原則設定,您可以針對未知裝置類型設定包含原則。透過此方法,可避免將未知裝置插入您環境所帶來的風險。

表 1. 排除選項
選項 說明
ExcludeAllDevices 排除所有裝置,避免重新導向。
ExcludeDeviceFamily 阻止特定裝置系列進行重新導向。例如,可以封鎖所有視訊、音訊和大量儲存裝置: 
ExcludeDeviceFamily   o:video;audio;storage
ExcludeVidPid 阻止具有指定廠商和產品識別碼的裝置進行重新導向。設定的格式為:vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`

您必須指定十六進位的 VID 或 PID。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100
ExcludeVidPidRel 阻止具有指定廠商識別碼、產品識別碼和版本號碼的裝置進行重新導向。設定的格式為:vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`

您必須指定十六進位的 VID 或 PID,並指定二進位編碼十進位的 REL。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100
表 2. 選項包括
選項 說明
IncludeAllDevices 重新導向所有裝置。
IncludeDeviceFamily 重新導向所有裝置系列。
IncludeVidPid 重新導向具有指定廠商和產品識別碼的裝置。此設定的格式為 `vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`

您必須指定十六進位的 VID 或 PID。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100
IncludeVidPidRel 重新導向具有指定廠商識別碼、產品識別碼和版本號碼的裝置。此設定的格式為 `vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`

您必須指定十六進位的 VID 或 PID,並指定二進位編碼十進位的 REL。您可以在識別碼中使用萬用字元 (`*`) 以取代個別數字。

例如:vid-0781_pid-****_rel-0100;vid-7081_pid-5591_rel-0100

依預設,Horizon 8 會封鎖某些裝置系列,使其無法重新導向至遠端桌面平台或應用程式。例如,HID (人機介面裝置) 和鍵盤將被封鎖,無法顯示在客體中。一些已發佈的 BadUSB 程式碼將 USB 鍵盤裝置做為目標。

您可以阻止 USB 存取來自公司防火牆外部的任何 Horizon 8 連線。USB 裝置可供內部使用,但無法對外使用。

請注意,如果您封鎖 TCP 連接埠 32111 以停用對 USB 裝置的外部存取,時區同步化將無法運作,因為連接埠 32111 也用於時區同步化。對於零用戶端,USB 流量將內嵌於 UDP 連接埠 4172 上的虛擬通道中。由於連接埠 4172 用於顯示通訊協定以及 USB 重新導向,因此,您無法封鎖連接埠 4172。如果需要,您可以在零用戶端上停用 USB 重新導向。如需詳細資料,請參閱零用戶端產品文宣或連絡零用戶端廠商。

設定原則以封鎖某些裝置系列或特定裝置,有助於降低受到 BadUSB 惡意程式碼之影響的風險。這些原則並不能降低所有風險,但有利於整體安全性策略。

裝置篩選範例

  • 封鎖單一裝置:
    ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
    備註: 此範例組態會提供保護,但受到影響的裝置可能會報告任何 vid/pid,因此,仍可能會發生攻擊。
  • 封鎖具有相同廠商和產品識別碼的所有裝置,但具有特定版本號碼的裝置除外:

    ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100

  • 包含具有相同廠商和產品識別碼的所有裝置,但具有特定版本號碼的裝置除外:

    IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

使用裝置篩選選項

您可以透過以下方式之一,使用裝置篩選選項:
  • 登錄機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB

  • 群組原則物件

    Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration