XenApp and XenDesktop

Considérations USB et lecteur client

La technologie HDX offre une prise en charge optimisée pour la plupart des périphériques USB populaires, Parmi lesquelles :

  • Moniteurs
  • Souris
  • Claviers
  • Téléphones VoIP
  • Casques
  • Webcams
  • Scanners
  • Appareils photo
  • Imprimantes
  • Lecteurs
  • Lecteurs de cartes à puce
  • Tablettes graphiques
  • Dispositifs de signature

La prise en charge optimisée offre une meilleure expérience utilisateur avec de meilleures performances et une bande passante plus efficace via un réseau étendu. La prise en charge optimisée est généralement la meilleure option, notamment dans les environnements à latence élevée ou avec des exigences de sécurité strictes.

La technologie HDX offre la redirection USB générique pour les périphériques spécialisés dont la prise en charge n’est pas optimisée ou n’est pas adaptée, par exemple :

  • Le périphérique USB est doté d’autres fonctionnalités avancées ne faisant pas partie de la prise en charge optimisée, telles qu’une souris ou une webcam avec des boutons supplémentaires.
  • Les utilisateurs ont besoin de fonctionnalités qui ne font pas partie de la prise en charge optimisée, telles que la gravure d’un CD.
  • Le périphérique USB est un périphérique spécialisé, tel qu’un équipement de test et de mesure ou un contrôleur industriel.
  • Une application requiert un accès direct au périphérique USB.
  • Un seul pilote Windows est disponible pour le périphérique USB. Par exemple, un lecteur de carte à puce peut ne pas avoir de pilote pour Citrix Receiver pour Android.
  • La version de Citrix Receiver n’offre pas de prise en charge optimisée pour ce type de périphérique USB.

Avec la redirection USB générique :

  • Il n’est pas nécessaire pour les utilisateurs d’installer des pilotes de périphériques sur la machine utilisateur.
  • Les pilotes clients USB sont installés sur la machine VDA.

Remarque

  • La redirection USB générique peut être utilisée conjointement avec la prise en charge optimisée. Si vous activez la redirection USB générique, configurez les paramètres de stratégie des périphériques USB Citrix pour la redirection USB générique et la prise en charge optimisée afin d’éviter un comportement incohérent et inattendu.
  • Le paramètre de stratégie Citrix Règles d’optimisation de périphérique USB client est un paramètre spécifique pour la redirection USB générique, pour un type de périphérique USB spécifique. Il ne s’applique pas à la prise en charge optimisée comme indiqué ici.
  • Redirection de périphérique Plug and Play USB client est une fonctionnalité liée qui fournit une prise en charge optimisée pour les périphériques tels que les appareils photo et les lecteurs multimédia qui utilisent le protocole PTP ou MTP. La redirection Plug and Play USB client ne fait pas partie de la redirection USB générique. Pour obtenir la liste des versions de VDA prises en charge, consultez Paramètres de stratégie par défaut.

Considérations sur les performances pour les périphériques USB

Avec la redirection USB générique, pour certains types de périphériques USB, la latence et la bande passante réseau peuvent affecter l’expérience utilisateur et le fonctionnement du périphérique USB. Par exemple, les périphériques soumis à des contraintes de temps risquent de ne pas fonctionner correctement avec des liens à faible bande passante et latence élevée. Utilisez la prise en charge optimisée autant que possible.

Certains périphériques USB requièrent une bande passante élevée pour être utilisables, par exemple une souris 3D (utilisée avec des applications 3D qui requièrent également une bande passante élevée en général). Vous pouvez éviter les problèmes de performances à l’aide de stratégies Citrix. Pour de plus amples informations, consultez la section Paramètres de stratégie de bande passante pour la redirection de périphérique USB client et Paramètres de stratégie Connexions Multi-Stream.

Considérations sur la sécurité pour les périphériques USB

Certains périphériques USB sont sécurisés par nature, par exemple, les lecteurs de carte à puce, les lecteurs d’empreintes digitales et les dispositifs de signature numérique. D’autres périphériques USB tels que les périphériques de stockage USB peuvent être utilisés pour transmettre des données qui peuvent être confidentielles.

Les périphériques USB sont souvent utilisés pour distribuer des logiciels malveillants. La configuration de Citrix Receiver, XenApp et XenDesktop peut réduire, mais pas éliminer, le risque lié à ces périphériques USB, que vous utilisiez la redirection USB générique ou la prise en charge optimisée.

Important

Pour les périphériques et les données sensibles, sécurisez toujours la connexion HDX à l’aide de TLS ou d’IPSec.

Activez uniquement la prise en charge pour les périphériques USB dont vous avez besoin. Configurez à la fois la redirection USB générique et la prise en charge optimisée pour répondre à ce besoin.

Fournissez des instructions aux utilisateurs pour qu’ils utilisent les périphériques USB en toute sécurité : utiliser uniquement des périphériques USB qui ont été obtenus auprès d’une source de confiance ; ne pas laisser les périphériques USB sans surveillance dans des environnements publics, un lecteur flash dans un cybercafé par exemple ; expliquer les risques liés à l’utilisation d’un périphérique USB sur plusieurs ordinateurs.

Compatibilité avec la redirection USB générique

La redirection USB générique est prise en charge pour les périphériques USB 2.0 et versions antérieures. La redirection USB générique est également prise en charge pour les périphériques USB 3.0 connectés à un port USB 2.0 ou USB 3.0. La redirection USB générique ne prend pas en charge les fonctionnalités USB introduites dans USB 3.0, telles que la vitesse.

Ces types de Citrix Receiver prennent en charge la redirection USB générique :

Pour les versions de Citrix Receiver, reportez-vous au tableau des fonctionnalités de Citrix Receiver.

Si vous utilisez des versions antérieures de Citrix Receiver, reportez-vous à la documentation relative à Citrix Receiver afin de vérifier que la redirection USB générique est prise en charge. Reportez-vous à la documentation de Citrix Receiver pour connaître les restrictions sur les types de périphériques USB qui sont pris en charge.

La redirection USB générique est prise en charge pour les sessions de bureau à compter de VDA pour OS de bureau version 7.6 jusqu’à la version actuelle.

La redirection USB générique est prise en charge pour les sessions de bureau à compter de VDA pour OS de serveur version 7.6 jusqu’à la version actuelle, avec les restrictions suivantes :

  • Le VDA doit exécuter Windows Server 2012 R2 ou Windows Server 2016.
  • Les pilotes de périphérique USB doivent être entièrement compatibles avec Remote Desktop Session Host (RDSH) pour Windows 2012 R2, y compris la prise en charge complète de la virtualisation.

Certains types de périphériques USB ne sont pas pris en charge pour la redirection USB générique, car il n’est pas nécessaire de les rediriger :

  • Modems USB.
  • Cartes réseau USB.
  • Concentrateurs USB. Les périphériques USB connectés à des concentrateurs USB sont gérés individuellement.
  • Ports COM virtuels USB. Utilisez la redirection du port COM, plutôt que la redirection USB générique.

Pour de plus amples informations sur les périphériques USB qui ont été testés avec la redirection USB générique, veuillez consulter l’article CTX123569. Certains périphériques USB ne fonctionnent pas correctement avec la redirection USB générique.

Configurer la redirection USB générique

Vous pouvez contrôler les types de périphériques USB qui utilisent la redirection USB générique. Ce paramètre peut être configuré séparément :

  • Sur le VDA, à l’aide des paramètres de stratégie Citrix. Pour de plus amples informations, consultez la section Redirection des lecteurs clients et de machines utilisateur et Paramètres de stratégie Périphériques USB dans la section Référence des paramètres de stratégie
  • Dans Citrix Receiver, à l’aide de mécanismes liés à Citrix Receiver. À titre d’exemple, Citrix Receiver pour Windows est configuré avec des paramètres de registre qui peuvent être contrôlés par un modèle d’administration. Par défaut, la redirection USB est autorisée pour certaines classes de périphériques USB et refusée pour d’autres ; pour de plus amples informations, consultez la section Configuration de la prise en charge USB dans la documentation Citrix Receiver pour Windows.

Cette configuration séparée fournit une plus grande flexibilité. Par exemple :

  • Si deux organisations ou services distincts sont responsables de Citrix Receiver et du VDA, elles peuvent appliquer le contrôle séparément. Cela s’applique lorsqu’un utilisateur d’une organisation accède à une application située dans une autre organisation.
  • Si des périphériques USB doivent être autorisés pour certains utilisateurs ou uniquement pour les utilisateurs se connectant via un réseau local (plutôt qu’avec NetScaler Gateway), cette configuration peut être contrôlée par des paramètres de stratégie Citrix.

Activer la redirection USB générique

Pour activer la redirection USB générique, configurez les paramètres de stratégie Citrix et Citrix Receiver.

Dans les paramètres de stratégie Citrix :

  1. Ajoutez Redirection de périphérique USB client à une stratégie et définissez sa valeur sur Autorisé.

    image localisée

  2. (Facultatif). Pour mettre à jour la liste des périphériques USB disponibles pour la redirection, ajoutez le paramètre Règles de redirection de périphérique USB client à une stratégie et spécifiez les règles de stratégie USB.

    Dans Citrix Receiver :

  3. Activez la prise en charge USB lorsque vous installez Citrix Receiver sur les machines utilisateur. Vous pouvez effectuer cette opération à l’aide d’un modèle d’administration ou dans Citrix Receiver pour Windows > Préférences > Connexions.

image localisée

Si vous avez spécifié des règles de stratégie USB pour le VDA à l’étape précédente, spécifiez les mêmes règles de stratégie pour Citrix Receiver.

pour les clients légers, consultez le fabricant pour obtenir des détails sur la prise en charge USB et sur la configuration requise.

Configuration des types de périphériques USB disponibles pour la redirection USB générique

Les périphériques USB sont automatiquement redirigés lorsque la prise en charge USB est activée et que les paramètres de préférences de l’utilisateur USB sont définis pour la connexion automatique aux périphériques USB. Les périphériques USB sont également automatiquement redirigés lorsqu’ils se trouvent en mode Desktop Appliance et que la barre de connexion est absente.

Les utilisateurs peuvent rediriger explicitement les périphériques qui ne sont pas automatiquement redirigés en les sélectionnant dans la liste des périphériques USB. Les utilisateurs peuvent obtenir plus d’aide sur la marche à suivre dans l’article Citrix Receiver pour Windows, Afficher vos périphériques dans Desktop Viewer.

image localisée

Pour utiliser la redirection USB générique plutôt que la prise en charge optimisée, vous pouvez :

  • Dans Citrix Receiver, sélectionnez manuellement le périphérique USB qui devra utiliser la redirection USB générique et choisissez Basculer en mode générique dans l’onglet Périphériques de la boîte de dialogue Préférences.
  • Sélectionnez automatiquement le périphérique USB qui devra utiliser la redirection USB générique en configurant la redirection automatique pour le type de périphérique USB (par exemple, AutoRedirectStorage=1), et définissez les paramètres de préférences de l’utilisateur sur la connexion automatique aux périphériques USB. Pour plus d’informations, veuillez consulter l’article CTX123015.

Remarque :

configurez la redirection USB générique pour une utilisation avec une webcam uniquement si la webcam n’est pas compatible avec la redirection multimédia HDX.

Pour empêcher les périphériques USB d’être répertoriés ou redirigés, vous pouvez spécifier des règles de périphérique pour Citrix Receiver et le VDA.

Pour la redirection USB générique, vous devez connaître au moins la classe et la sous-classe du périphérique USB. Tous les périphériques USB n’utilisent pas nécessairement une classe et une sous-classe de périphérique USB logiques. Par exemple :

  • Les stylets utilisent la classe de périphérique de la souris.
  • Les lecteurs de carte à puce peuvent utiliser la classe de périphérique définie par le fournisseur ou HID.

Pour un contrôle plus précis, vous aurez également besoin de connaître l’ID du fournisseur, l’ID du produit et l’ID de version. Vous pouvez obtenir ces informations auprès du fabricant du périphérique.

Important

Les périphériques USB malveillants peuvent présenter des caractéristiques de périphérique USB qui ne correspondent pas à l’utilisation prévue. Les règles de périphérique ne permettent pas d’empêcher ce comportement.

Vous pouvez contrôler les périphériques USB disponibles pour la redirection USB générique en spécifiant des règles de redirection de périphérique USB pour Citrix Receiver et le VDA qui remplaceront les règles de stratégie USB par défaut.

Pour le VDA :

  • Modifiez les règles de remplacement de l’administrateur pour les machines avec OS de serveur à l’aide de règles de stratégie de groupe. La console de gestion des stratégies de groupe est incluse sur le support d’installation :
    • Pour x64 : dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
    • Pour x86 : dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi

Sur Citrix Receiver pour Windows :

  • Modifiez le registre de la machine utilisateur. Un modèle administratif (fichier ADM) est inclus dans le support d’installation pour vous permettre d’effectuer des modifications sur la machine utilisateur via une stratégie de groupe Active Directory : dvd root \os\lang\Support\Configuration\icaclient_usb.adm.

Avertissement

Toute utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller le système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de l’Éditeur du Registre. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.

Les règles par défaut du produit sont stockées dans HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules. ne modifiez pas les règles par défaut du produit. Au lieu de cela, utilisez-les pour créer des règles de remplacement de l’administrateur comme expliqué ci-dessous. Les règles de remplacement d’objets de stratégie de groupe de substitution sont évaluées avant les règles par défaut du produit.

Les règles de remplacement de l’administrateur sont stockées dans HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Les règles de stratégies GPO sont au format {Allow:|Deny:} et sont suivies d’un ensemble d’expressions tag=value (balise=valeur) séparées par des espaces.

Les balises suivantes sont prises en charge :

Balise Description
VID ID fournisseur du descripteur de périphérique
PID ID de produit du descripteur de périphérique
REL ID de version du descripteur de périphérique
Classe Classe du descripteur de périphérique ou d’un descripteur d’interface ; veuillez consulter le site Web USB sur https://www.usb.org/ pour les codes de classe USB disponibles
Sous-classe Sous-classe du descripteur de périphérique ou d’un descripteur d’interface
Prot Protocole à partir du descripteur de périphérique ou d’un descripteur d’interface

Lors de la création de nouvelles règles de stratégies, tenez compte de ce qui suit.

  • Les règles ne sont pas sensibles à la casse.
  • Les règles peuvent éventuellement comporter un commentaire, introduit par #, à la fin. Aucun délimiteur n’est requis et le commentaire est ignoré en cas de correspondance.
  • Les espaces vides et les lignes de commentaires pures sont ignorés.
  • L’espace est utilisé comme séparateur, mais il ne peut pas apparaître au milieu d’un nombre ou d’un identificateur. Par exemple, Deny: Class = 08 SubClass=05 est une règle valide, mais Deny: Class=0 Sub Class=05 ne l’est pas.
  • Les balises doivent utiliser l’opérateur de correspondance =. Par exemple, VID=1230.
  • Chaque règle doit commencer sur une nouvelle ligne ou faire partie d’une liste séparée par des points-virgules.

Remarque

si vous utilisez le fichier modèle ADM, vous devez créer des règles sur une seule ligne sous forme de liste séparée par des points-virgules.

Exemples :

  • Cet exemple illustre une règle de stratégie USB définie par l’administrateur pour des identificateurs de fabricant et de produit :

     Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse
                    Deny: VID=046D # Deny all Logitech products
     <!--NeedCopy-->
    
  • Cet exemple illustre une règle de stratégie USB définie par l’administrateur pour une classe, une sous-classe et un protocole définis :

      Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices
              Allow: Class=EF SubClass=01 # Allow Sync devices
              Allow: Class=EF # Allow all USB-Miscellaneous devices
     <!--NeedCopy-->
    

Utiliser et supprimer des périphériques USB

Les utilisateurs peuvent se connecter un périphérique USB avant ou après le démarrage d’une session virtuelle.

Lors de l’utilisation de Citrix Receiver pour Windows, ce qui suit s’applique :

  • Les périphériques connectés après démarrage d’une session apparaissent immédiatement dans le menu USB de Desktop Viewer.
  • Si un périphérique USB n’est pas correctement redirigé, vous pouvez essayer de résoudre le problème en attendant que la session virtuelle ait démarré avant de connecter le périphérique.
  • Pour éviter la perte de données, utilisez l’icône « Retirer le périphérique en toute sécurité » Windows avant de supprimer le périphérique USB.

Contrôles de sécurité pour les périphériques de stockage de masse USB

Une prise en charge optimisée est fournie pour les périphériques de stockage de masse USB. Elle fait partie du mappage des lecteurs clients XenApp et XenDesktop. Les lecteurs de la machine utilisateur sont automatiquement mappés vers les lettres de lecteur sur le bureau virtuel lorsque les utilisateurs ouvrent une session. Les lecteurs sont affichés sous la forme de dossiers partagés associés à des lettres de lecteur mappé. Pour configurer le mappage des lecteurs clients, utilisez le paramètre Lecteurs amovibles clients de la section Paramètres de stratégie de la redirection de fichier des Paramètres de stratégie ICA.

Avec les périphériques de stockage de masse USB, vous pouvez utiliser le mappage de lecteurs clients ou la redirection USB générique, ou les deux ; il vous suffit de les configurer dans les stratégies Citrix. Les principales différences sont les suivantes :

Fonctionnalité Mappage des lecteurs clients Redirection USB générique
Activée par défaut Oui Non
Accès en lecture seule configurable Oui Non
Accès chiffré au périphérique Oui, si le cryptage est déverrouillé avant l’accès au périphérique Non
Le périphérique peut être retiré en toute sécurité au cours d’une session Non Oui, étant donné que les utilisateurs suivent les recommandations du système d’exploitation pour un retrait en toute sécurité.

Si la redirection USB générique et les stratégies de mappage de lecteurs clients sont activées, alors lorsqu’un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il sera redirigé à l’aide du mappage de lecteur client. Lorsque la redirection USB générique et les stratégies de mappage de lecteurs clients sont activées et qu’un périphérique est configuré pour une redirection automatique (voir https://support.citrix.com/article/CTX123015) et un périphérique de stockage de masse est inséré avant ou après le démarrage d’une session, il sera redirigé à l’aide d’USB générique.

Remarque

La redirection USB est prise en charge sur les connexions de bande passante faible, par exemple de 50 Kbps ; toutefois, la copie de fichiers volumineux ne fonctionnera pas.

Contrôler l’accès aux fichiers avec le mappage de lecteurs clients

Vous pouvez contrôler si les utilisateurs peuvent copier des fichiers à partir de leurs environnements virtuels vers leurs machines utilisateur. Par défaut, les fichiers et dossiers sur les lecteurs clients mappés sont disponibles en mode de lecture/écriture au sein de la session.

Pour empêcher les utilisateurs d’ajouter ou de modifier des fichiers et dossiers sur les lecteurs clients mappés, activez le paramètre de stratégie Accès en lecture unique sur le lecteur client. Lorsque vous ajoutez ce paramètre à une stratégie, vérifiez que le paramètre Redirection de lecteur client est défini sur Autorisé et est également ajouté à la stratégie.