Citrix Virtual Apps and Desktops

Consideraciones sobre unidades del cliente y redirección de USB genérico

La tecnología HDX ofrece optimización con los dispositivos USB más comunes. La optimización ofrece una experiencia de usuario mejorada, con mejor rendimiento y eficiencia del ancho de banda en una conexión por red WAN. La optimización suele ser la mejor opción, sobre todo en entornos de alta latencia o cuando se requiera confidencialidad.

La tecnología HDX ofrece la redirección de USB genérico para dispositivos específicos sin optimización o cuando esta no es adecuada; por ejemplo:

  • El dispositivo USB tiene otras funciones avanzadas que no forman parte de la optimización, como mouse o cámaras web con botones adicionales.
  • Los usuarios necesitan funciones que no forman parte de la optimización.
  • Los dispositivos USB es un dispositivo especializado, como un equipo de pruebas o mediciones, o bien un automatismo industrial.
  • Una aplicación requiere acceso directo al dispositivo como dispositivo USB.
  • El dispositivo USB solo tiene disponible un controlador Windows. Por ejemplo, un lector de tarjetas inteligentes puede no tener disponible un controlador para la aplicación Citrix Workspace para Android.
  • La versión de la aplicación Citrix Workspace no ofrece ninguna optimización para este tipo de dispositivo USB.

Con la redirección de USB genérico:

  • Los usuarios no necesitan instalar controladores de dispositivos en el dispositivo de usuario.
  • Los controladores de cliente de USB se instalan en la máquina del VDA.

Importante:

  • La redirección de USB genérico puede utilizarse junto con la optimización. Si habilita la redirección USB genérica, configure las directivas de dispositivos USB de Citrix tanto para la redirección USB genérica como para la funcionalidad optimizada.
  • La configuración de directiva Reglas de optimización de dispositivos USB del cliente de Citrix es una configuración específica para la redirección USB genérica, para un determinado de dispositivo USB. No se aplica a la optimización que se describe aquí.
  • Al hacer de intermediario de una sesión mediante el software de Citrix con una máquina virtual de Azure, Citrix proporciona el máximo soporte para la redirección USB a la máquina virtual de Azure. Ofrecemos soporte para la solución de problemas del software de Citrix, pero no para la máquina virtual de Azure subyacente.

Consideraciones de rendimiento para dispositivos USB

Con la redirección de USB genérico, para algunos tipos de dispositivos USB, la latencia de red y el ancho de banda pueden afectar a la experiencia de usuario y al funcionamiento del dispositivo USB. Por ejemplo, es posible que los dispositivos que tengan en cuenta el tiempo no funcionen correctamente en conexiones con enlaces de alta latencia y poco ancho de banda. En su lugar, se usa la optimización, si es posible.

Algunos dispositivos USB requieren mucho ancho de banda para poderse usar, por ejemplo, un mouse 3D (se usa con aplicaciones 3D que también suelen requerir una gran cantidad de ancho de banda). Si no se puede aumentar el ancho de banda, es posible que pueda mitigar el problema ajustando el uso del ancho de banda de otros componentes mediante las configuraciones de directiva de ancho de banda. Para obtener más información, consulte Configuraciones de directiva de Ancho de banda para la redirección de dispositivos USB del cliente y Configuraciones de directiva de Conexiones de multisecuencia.

Consideraciones de seguridad para dispositivos USB

Algunos dispositivos USB implican el uso de información confidencial por naturaleza; por ejemplo, los lectores de tarjetas inteligentes, los lectores de huellas digitales y los paneles táctiles de firma electrónica. Otros dispositivos USB, como los dispositivos de almacenamiento USB, se pueden usar para la transmisión de datos confidenciales.

Los dispositivos USB se utilizan con frecuencia para distribuir software malicioso (malware). Configurar la aplicación Citrix Workspace y Citrix Virtual Apps and Desktops puede reducir (pero no eliminar) el riesgo proveniente de esos dispositivos USB. Esta situación se aplica cuando se utiliza la optimización o la redirección de USB genérico.

Importante:

En caso de dispositivos y datos confidenciales, proteja siempre la conexión HDX mediante TLS o IPsec.

Habilite solo los dispositivos USB que necesite. Configure la redirección de USB genérico y la optimización para ello.

Proporcione instrucciones a los usuarios para el uso seguro de dispositivos USB:

  • Usar solo dispositivos USB que se hayan obtenido de una fuente fiable.
  • No dejar los dispositivos USB desatendidos en entornos abiertos (por ejemplo, una unidad flash en un cibercafé).
  • Explique los riesgos de usar un dispositivo USB en más de un equipo.

Compatibilidad con la redirección de USB genérico

La redirección de USB genérico se admite en dispositivos USB 2.0 y versiones anteriores. También se admite la redirección de USB genérico en dispositivos USB 3.0 conectados a puertos USB 2.0 o USB 3.0. En cambio, la redirección de USB genérico no admite las funciones de USB introducidas en USB 3.0 tales como la velocidad extra.

Estas aplicaciones Citrix Workspace admiten la redirección de USB genérico:

Para ver las versiones de la aplicación Citrix Workspace, consulte Tabla de funciones de la aplicación Citrix Workspace.

Si usa versiones anteriores de la aplicación Citrix Workspace, consulte la documentación de la aplicación Citrix Workspace para ver si se admite la redirección de USB genérico. Consulte la documentación de la aplicación Citrix Workspace para ver las limitaciones de los tipos de dispositivos USB que se admiten.

La redirección de USB genérico se admite en sesiones de escritorio a partir de la versión 7.6 del VDA para SO de sesión única hasta la versión actual.

La redirección de USB genérico se admite en sesiones de escritorio a partir de la versión 7.6 del VDA para SO multisesión hasta la versión actual con las siguientes restricciones:

  • El VDA debe estar ejecutándose en Windows Server 2012 R2 o Windows Server 2016.
  • Los controladores del dispositivo USB deben ser compatibles con el host de sesión de Escritorio remoto (RDSH) para el SO del VDA (Windows 2012 R2), incluida la virtualización al completo.

A continuación, se ofrecen algunos tipos de dispositivos USB que no se admiten para la redirección de USB genérico porque no sería útil redirigirlos:

  • Módems USB.
  • Adaptadores de red USB.
  • Concentradores USB. Los dispositivos USB conectados a los concentradores USB se administran de forma individual.
  • Puertos USB COM virtuales. Use la redirección de puertos COM en lugar de la redirección de USB genérico.

Para obtener información acerca de los dispositivos USB que se han probado con la redirección de USB genérico, consulte Citrix Ready Marketplace. Algunos dispositivos USB no funcionan correctamente con la redirección de USB genérico.

Configurar la redirección de USB genérico

Puede decidir los tipos de dispositivos USB que usarán la redirección de USB genérico y configurar cada uno por separado.

  • En el VDA, mediante configuraciones de directivas de Citrix. Para obtener más información, consulte Redirección de dispositivos del cliente y dispositivos del usuario y Configuraciones de directiva de Dispositivos USB en la Referencia para configuraciones de directivas.
  • En la aplicación Citrix Workspace, mediante los mecanismos que dependen de la aplicación Citrix Workspace. Por ejemplo, una plantilla administrativa controla los parámetros de Registro que configuran la aplicación Citrix Workspace para Windows. De manera predeterminada, se permite la redirección USB para ciertas clases de dispositivos USB, y se rechaza para otras. Para obtener más información, consulte Configurar en la documentación de la aplicación Citrix Workspace para Windows.

Esta configuración independiente tiene la ventaja de ofrecer flexibilidad. Por ejemplo:

  • Si dos departamentos o empresas diferentes se encargan de la aplicación Citrix Workspace y del VDA, pueden aplicar medidas de control por separado. Esta configuración se aplica cuando un usuario, ubicado en una empresa, acceda a una aplicación ubicada en otra empresa.
  • Las configuraciones de directivas de Citrix sirven para controlar si se permiten dispositivos USB a ciertos usuarios o solo a aquellos usuarios que se conecten por medio de una red de área local (en lugar de hacerlo con Citrix Gateway).

Habilitar la redirección de USB genérico

Para habilitar la redirección de USB genérico y no requerir una redirección manual por parte del usuario, defina las configuraciones de directivas Citrix y las preferencias de conexión de la aplicación Citrix Workspace.

En configuraciones de directiva de Citrix:

  1. Agregue Redirección de dispositivos USB del cliente a una directiva y establezca su valor en Permitida.

    Imagen de redirección de dispositivos USB del cliente

  2. (Optativo.) Para actualizar la lista de dispositivos USB disponibles para la redirección, agregue la configuración Reglas de redirección de dispositivos USB del cliente a una directiva y especifique las reglas de la directiva USB.

    En la aplicación Citrix Workspace:

  3. Especifique que los dispositivos se conecten automáticamente, sin redirección manual. Puede hacerlo mediante una plantilla administrativa, o bien en la aplicación Citrix Workspace para Windows > Preferencias > Conexiones.

    Imagen de Conexiones

Si especificó reglas de directiva USB para el VDA en el paso anterior, especifique las mismas reglas de directiva para la aplicación Citrix Workspace.

Para los clientes ligeros, consulte al fabricante para obtener detalles sobre la compatibilidad con USB y cualquier configuración requerida.

Configurar los tipos de dispositivos USB disponibles para la redirección de USB genérico

Los dispositivos USB se redirigen automáticamente cuando la compatibilidad con USB está habilitada y la configuración de las preferencias de usuario para USB está definida para conectar automáticamente los dispositivos USB. Los dispositivos USB también se redirigen automáticamente cuando la barra de conexión no está presente.

Los usuarios pueden redirigir explícitamente dispositivos que no se redirigen automáticamente. Para ello, deberán seleccionarlos en la lista de dispositivos USB. Para obtener más información, consulte el artículo Mostrar los dispositivos en Desktop Viewer en la ayuda de la aplicación Citrix Workspace para Windows.

Imagen de dispositivos

Para usar la redirección de USB genérico en lugar de la optimización, puede:

  • En la aplicación Citrix Workspace, seleccione manualmente el dispositivo USB con que se va a usar la redirección de USB genérico, elija Cambiar a genérico en la ficha “Dispositivos” del cuadro de diálogo “Preferencias”.
  • Seleccione automáticamente el dispositivo USB con que se va a usar la redirección de USB genérico. Para ello, configure la redirección automática para el tipo de dispositivo USB (por ejemplo, AutoRedirectStorage=1) y establezca las preferencias de usuario para USB en la conexión automática de los dispositivos USB. Para obtener más información, consulte Configure automatic redirection of USB devices.

Nota:

Configure la redirección de USB genérico para cámara web solo si esta no resulta compatible con la redirección multimedia HDX.

Para evitar que los dispositivos USB se redirijan o se enumeren, puede especificar reglas de dispositivo para la aplicación Citrix Workspace y el VDA.

Para la redirección de USB genérico, debe conocer al menos la clase y la subclase del dispositivo USB. No todos los dispositivos USB utilizan una clase y una subclase obvias. Por ejemplo:

  • Las llaves de memoria o datos utilizan la clase de dispositivo del mouse.
  • Los lectores de tarjeta inteligente pueden usar la clase de dispositivo HID o la que defina el proveedor.

Para un control más preciso, necesitará saber el ID de proveedor, el ID de producto y el ID de versión. Puede obtener esa información del proveedor del dispositivo.

Importante:

Los dispositivos USB dañinos pueden presentar funciones de dispositivo USB que no coincidan con el uso previsto para ellos. Las reglas de dispositivos no se han diseñado para evitar este comportamiento.

Puede definir qué dispositivos USB están disponibles para la redirección de USB genérico especificando reglas de redirección de dispositivos USB tanto para el VDA como para la aplicación Citrix Workspace. De esta manera, se anularán las reglas predeterminadas de la directiva USB.

Para el VDA:

  • Modifique las reglas de invalidación del administrador para las máquinas con sistema operativo multisesión mediante las reglas de directiva de grupo. La Consola de administración de directivas de grupo se incluye en los medios de instalación:
    • Para x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
    • Para x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi

En la aplicación Citrix Workspace para Windows:

  • Modifique el Registro en el dispositivo del usuario. En los medios de instalación, se incluye una plantilla administrativa (archivo ADM) que permite cambiar el dispositivo cliente mediante la Directiva de grupo de Active Directory: dvd root \os\lang\Support\Configuration\icaclient_usb.adm.

Advertencia:

Si se modifica el Registro de forma incorrecta, pueden producirse problemas graves que obliguen a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Las reglas predeterminadas del producto se almacenan en HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules. No modifique las reglas predeterminadas del producto. En su lugar, úselas como una guía para la creación de reglas de suplantación del administrador, según se explica a continuación en este artículo. Las suplantaciones del objeto de directiva de grupo (GPO) se evalúan antes que las reglas predeterminadas del producto.

Las reglas de suplantación del administrador se almacenan en HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Las reglas de directivas de GPO toman el formato {Allow:||Deny:} seguidas de un conjunto de expresiones etiqueta=valor separadas por un espacio en blanco.

Se admiten las siguientes etiquetas:

Etiqueta Descripción
VID Identificador del proveedor tomado del descriptor del dispositivo
PID Identificador del producto tomado del descriptor del dispositivo
REL Identificador de la versión tomado del descriptor del dispositivo
Class Clase tomada del descriptor del dispositivo o de un descriptor de interfaz; consulte el sitio web de USB http://www.usb.org/ para ver los códigos de clase USB disponibles.
SubClass Subclase, tomada del descriptor del dispositivo o de un descriptor de la interfaz
Prot Protocolo tomado del descriptor del dispositivo o de un descriptor de la interfaz

Al crear reglas de directivas, tenga en cuenta lo siguiente:

  • Las reglas no distinguen entre mayúsculas y minúsculas.
  • Las reglas pueden tener un comentario optativo al final que se introduce #. No es obligatorio utilizar un delimitador y el comentario se ignora para la comparación.
  • Se ignoran las líneas en blanco y las que son exclusivamente de comentario.
  • El espacio en blanco se usa como separador pero no puede aparecer en el medio de un número o de un identificador. Por ejemplo: Deny: Class = 08 SubClass=05 es una regla válida, pero Deny: Class=0 Sub Class=05 no lo es.
  • Las etiquetas deben utilizar el operador de coincidencia =. Por ejemplo: VID=1230.
  • Cada regla debe comenzar en una línea nueva o formar parte de una lista de reglas, separadas por punto y coma.

Nota:

Si utiliza el archivo de plantilla ADM, debe crear reglas en una única línea, como una lista separada por punto y coma.

Ejemplos:

  • Este ejemplo muestra una regla de directiva de USB definida por un administrador para identificadores de producto y proveedor:

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • Este ejemplo muestra una regla de directiva de USB definida por un administrador para una clase, una subclase y un protocolo definidos:

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

Usar y quitar dispositivos USB

Los usuarios pueden conectar un dispositivo USB antes o después de iniciar una sesión virtual.

Cuando se usa la aplicación Citrix Workspace para Windows, ocurre lo siguiente:

  • Los dispositivos que se conectan después haber iniciado la sesión aparecen inmediatamente en el menú USB de Desktop Viewer.
  • Si un dispositivo USB no se redirige correctamente, puede intentar resolver el problema esperando para conectar el dispositivo hasta después de que la sesión virtual se haya iniciado.
  • Para evitar la pérdida de datos, use el icono de “Extracción segura” de Windows antes de quitar el dispositivo USB.

Controles de seguridad para dispositivos de almacenamiento USB

Se ofrece optimización para dispositivos de almacenamiento USB Esta funcionalidad forma parte de la asignación de unidades del cliente que ofrecen Citrix Virtual Apps and Desktops. En el momento en que los usuarios inician sesión, las unidades del dispositivo del usuario se asignan automáticamente a las letras de las unidades del escritorio virtual. Las unidades se muestran como carpetas compartidas que tienen letras de unidades asignadas. Para configurar la asignación de unidades del cliente, use la configuración Unidades extraíbles del cliente. Esta configuración se encuentra en la sección Configuraciones de directiva de Redirección de archivos en la configuración de la directiva ICA.

Con dispositivos de almacenamiento USB, puede utilizar la asignación de unidades del cliente, la redirección de USB genérico o ambas. Contrólelas mediante directivas de Citrix. Las principales diferencias son:

Función Asignación de unidades del cliente Redirección de USB genérico
Habilitada de forma predeterminada No
Configuración para acceso de solo lectura No
Acceso a dispositivo cifrado Sí, si el cifrado se desbloquea antes de acceder al dispositivo
Dispositivos BitLocker To Go No No
Dispositivo que eliminar con seguridad durante una sesión No Sí, si se siguen las recomendaciones del sistema operativo para quitar con seguridad el dispositivo

Si la directiva de redirección de USB genérico y la directiva de asignación de unidades del cliente están ambas habilitadas y se inserta un dispositivo de almacenamiento masivo antes o después de iniciar una sesión, el dispositivo se redirige mediante la asignación de unidades del cliente. Cuando la directiva de redirección de USB genérico y la directiva de asignación de unidades del cliente están ambas habilitadas y se configura un dispositivo para la redirección automática, y se introduce un dispositivo de almacenamiento masivo antes o después de iniciar una sesión, el dispositivo se redirige mediante la redirección de USB genérico. Para obtener más información, consulte el artículo CTX123015 de Knowledge Center.

Nota:

Se admite la redirección USB en conexiones de poco ancho de banda: por ejemplo, conexiones de 50 kbps. Sin embargo, no se admite copiar archivos de gran tamaño.

Controlar el acceso a archivos con la asignación de unidades del cliente

Puede controlar si los usuarios pueden copiar archivos desde sus entornos virtuales a sus dispositivos de usuario. De manera predeterminada, los archivos y carpetas de las unidades asignadas del cliente están disponibles en modo de lectura/escritura dentro de la sesión.

Si quiere impedir que los usuarios agreguen o modifiquen archivos y carpetas de los dispositivos de cliente asignados, habilite la configuración de directiva Acceso de lectura solamente a unidades del cliente. Al agregar esta configuración a una directiva, compruebe que la configuración “Redirección de unidades del cliente” está establecida en Permitida y también se ha agregado a la directiva.