Redirecionamento USB genérico e considerações sobre unidades de cliente
A tecnologia HDX™ oferece suporte otimizado para a maioria dos dispositivos USB populares. O suporte otimizado proporciona uma experiência de usuário aprimorada com melhor desempenho e eficiência de largura de banda em uma WAN. O suporte otimizado geralmente é a melhor opção, especialmente em ambientes com alta latência ou sensíveis à segurança.
A tecnologia HDX oferece redirecionamento USB genérico para dispositivos especializados que não possuem suporte otimizado ou onde ele é inadequado, por exemplo:
- O dispositivo USB possui recursos mais avançados que não fazem parte do suporte otimizado, como um mouse ou webcam com mais botões.
- Os usuários precisam de funções que não fazem parte do suporte otimizado.
- O dispositivo USB é um dispositivo especializado, como equipamento de teste e medição ou um controlador industrial.
- Um aplicativo requer acesso direto ao dispositivo como um dispositivo USB.
- O dispositivo USB tem apenas um driver do Windows disponível. Por exemplo, um leitor de cartão inteligente pode não ter um driver disponível para o aplicativo Citrix Workspace™ para Android.
- A versão do aplicativo Citrix Workspace não oferece suporte otimizado para este tipo de dispositivo USB.
Com o redirecionamento USB genérico:
- Os usuários não precisam instalar drivers de dispositivo no dispositivo do usuário.
- Os drivers de cliente USB são instalados na máquina VDA.
Importante:
- O redirecionamento USB genérico pode ser usado em conjunto com o suporte otimizado. Se você habilitar o redirecionamento USB genérico, configure as configurações de política de dispositivos USB do Citrix para redirecionamento USB genérico e suporte otimizado.
- A configuração de política do Citrix em Regras de otimização de dispositivo USB do cliente é uma configuração específica para redirecionamento USB genérico, para um dispositivo USB específico. Ela não se aplica ao suporte otimizado conforme descrito aqui.
- Ao intermediar uma sessão usando o software Citrix® para uma Máquina Virtual do Azure, o Citrix oferece suporte de melhor esforço para o redirecionamento USB para a Máquina Virtual do Azure. Oferecemos suporte para corrigir um problema de software do Citrix, mas não oferecemos suporte à Máquina Virtual do Azure subjacente.
- Dispositivos de CD/DVD com recursos de gravação de disco podem ser redirecionados, mas os recursos de gravação desses dispositivos não podem ser usados. Isso se deve aos limites de buffer de uma sessão.
Considerações de desempenho para dispositivos USB
A latência da rede e a largura de banda podem afetar a experiência do usuário e a operação do dispositivo USB ao usar o redirecionamento USB genérico para alguns tipos de dispositivos USB. Por exemplo, dispositivos sensíveis ao tempo podem não operar corretamente em links de alta latência e baixa largura de banda. Use o suporte otimizado em vez disso, sempre que possível.
Alguns dispositivos USB exigem alta largura de banda para serem utilizáveis, por exemplo, um mouse 3D (usado com aplicativos 3D que também geralmente exigem alta largura de banda). Se a largura de banda não puder ser aumentada, você poderá mitigar o problema ajustando o uso da largura de banda de outros componentes usando as configurações de política de largura de banda. Para obter mais informações, consulte Configurações de política de largura de banda para redirecionamento de dispositivo USB do cliente e Configurações de política de conexão multi-stream.
Considerações de segurança para dispositivos USB
Alguns dispositivos USB são sensíveis à segurança por natureza, por exemplo, leitores de cartão inteligente, leitores de impressão digital e mesas digitalizadoras de assinatura. Outros dispositivos USB, como dispositivos de armazenamento USB, podem ser usados para transmitir dados que podem ser sensíveis.
Dispositivos USB são frequentemente usados para distribuir malware. A configuração do aplicativo Citrix Workspace e do Citrix Virtual Apps and Desktops™ pode reduzir, mas não eliminar, o risco desses dispositivos USB. Essa situação se aplica independentemente de o redirecionamento USB genérico ou o suporte otimizado ser usado.
Importante:
- Para dispositivos e dados sensíveis à segurança, sempre proteja a conexão HDX usando TLS ou IPsec.
- Habilite o suporte apenas para os dispositivos USB de que você precisa. Configure o redirecionamento USB genérico e o suporte otimizado para atender a essa necessidade.
- Forneça orientação aos usuários para o uso seguro de dispositivos USB:
- Use apenas dispositivos USB obtidos de uma fonte confiável.
- Não deixe dispositivos USB sem supervisão em ambientes abertos — por exemplo, um pen drive em um cibercafé.
- Explique os riscos de usar um dispositivo USB em mais de um computador.
Compatibilidade com redirecionamento USB genérico
O redirecionamento USB genérico é compatível com dispositivos USB 2.0 e anteriores. O redirecionamento USB genérico também é compatível com dispositivos USB 3.0 conectados a uma porta USB 2.0 ou USB 3.0. O redirecionamento USB genérico não oferece suporte a recursos USB introduzidos no USB 3.0, como supervelocidade.
Estes aplicativos Citrix Workspace oferecem suporte ao redirecionamento USB genérico:
- Aplicativo Citrix Workspace para Windows, consulte Configurar a entrega de aplicativos.
- Aplicativo Citrix Workspace para Mac, consulte Aplicativo Citrix Workspace para Mac.
- Aplicativo Citrix Workspace para Linux, consulte Otimizar.
- Aplicativo Citrix Workspace para Chrome OS, consulte Aplicativo Citrix Workspace para Chrome.
Para as versões do aplicativo Citrix Workspace, consulte a matriz de recursos do aplicativo Citrix Workspace.
Se você estiver usando versões anteriores do aplicativo Citrix Workspace, consulte a documentação do aplicativo Citrix Workspace para confirmar se o redirecionamento USB genérico é compatível. Consulte a documentação do aplicativo Citrix Workspace para quaisquer restrições sobre os tipos de dispositivos USB compatíveis.
O redirecionamento USB genérico é compatível com sessões de desktop do VDA para OS de sessão única, da versão 7.6 até a atual.
O redirecionamento USB genérico é compatível com sessões de desktop do VDA para OS de várias sessões, da versão 7.6 até a atual, com estas restrições:
- O VDA deve estar executando o Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 ou Windows Server 2022.
- Os drivers de dispositivo USB devem ser totalmente compatíveis com o Host da Sessão da Área de Trabalho Remota (RDSH) para o SO do VDA (Windows 2012 R2), incluindo suporte total à virtualização.
Alguns tipos de dispositivos USB não são compatíveis com o redirecionamento USB genérico porque não seria útil redirecioná-los:
- Modems USB.
- Adaptadores de rede USB.
- Hubs USB. Os dispositivos USB conectados a hubs USB são tratados individualmente.
- Portas COM virtuais USB. Use o redirecionamento de porta COM em vez do redirecionamento USB genérico.
Para obter informações sobre dispositivos USB que foram testados com redirecionamento USB genérico, consulte o Citrix Ready Marketplace. Alguns dispositivos USB não operam corretamente com o redirecionamento USB genérico.
Configurar o redirecionamento USB genérico
Você pode controlar e configurar separadamente quais tipos de dispositivos USB usam o redirecionamento USB genérico:
- No VDA, usando as configurações de política do Citrix. Para obter mais informações, consulte Redirecionamento de unidades de cliente e dispositivos de usuário e Configurações de política de dispositivos USB na referência de configurações de política.
- No aplicativo Citrix Workspace, usando mecanismos dependentes do aplicativo Citrix Workspace. Por exemplo, um Modelo Administrativo controla as configurações de registro que configuram o aplicativo Citrix Workspace para Windows. Por padrão, o redirecionamento USB é permitido para certas classes de dispositivos USB e negado para outras. Para obter mais informações, consulte Configurar na documentação do aplicativo Citrix Workspace para Windows.
Essa configuração separada oferece flexibilidade. Por exemplo:
- Se duas organizações ou departamentos diferentes forem responsáveis pelo aplicativo Citrix Workspace e pelo VDA, eles poderão impor o controle separadamente. Essa configuração se aplica quando um usuário em uma organização acessa um aplicativo em outra organização.
- As configurações de política do Citrix podem controlar dispositivos USB que são permitidos apenas para certos usuários ou para usuários que se conectam apenas por uma LAN (em vez de usar o Citrix Gateway).
Habilitar o redirecionamento USB genérico
Para habilitar o redirecionamento USB genérico e não exigir redirecionamento manual pelo usuário, configure as configurações de política do Citrix e as preferências de conexão do aplicativo Citrix Workspace.
Nas configurações de política do Citrix:
-
Adicione o redirecionamento de dispositivo USB do cliente a uma política e defina seu valor como Permitido.
-
(Opcional) Para atualizar a lista de dispositivos USB disponíveis para redirecionamento, adicione a configuração Regras de redirecionamento de dispositivo USB do cliente a uma política e especifique as regras de política USB.
No aplicativo Citrix Workspace:
-
Especifique que os dispositivos sejam conectados automaticamente sem redirecionamento manual. Você pode fazer isso usando um modelo administrativo ou no aplicativo Citrix Workspace para Windows > Preferências > Conexões.
Se você especificou regras de política USB para o VDA na etapa anterior, especifique essas mesmas regras de política para o aplicativo Citrix Workspace.
Para thin clients, consulte o fabricante para obter detalhes sobre o suporte USB e qualquer configuração necessária.
Configurando os tipos de dispositivos USB disponíveis para redirecionamento USB genérico
Os dispositivos USB são redirecionados automaticamente quando o suporte USB está habilitado e as configurações de preferência do usuário USB estão definidas para conectar dispositivos USB automaticamente. Os dispositivos USB também são redirecionados automaticamente quando a barra de conexão não está presente.
Os usuários podem redirecionar explicitamente os dispositivos que não são redirecionados automaticamente, selecionando os dispositivos na lista de dispositivos USB. Para obter mais informações, consulte o artigo de ajuda do usuário do aplicativo Citrix Workspace para Windows, Exibir seus dispositivos no Desktop Viewer.
Para usar o redirecionamento USB genérico em vez do suporte otimizado, você pode:
- No aplicativo Citrix Workspace, selecione manualmente o dispositivo USB para usar o redirecionamento USB genérico, escolha Alternar para genérico na guia Dispositivos da caixa de diálogo Preferências.
- Selecione automaticamente o dispositivo USB para usar o redirecionamento USB genérico, configurando o redirecionamento automático para o tipo de dispositivo USB (por exemplo, AutoRedirectStorage=1) e defina as configurações de preferência do usuário USB para conectar dispositivos USB automaticamente. Para obter mais informações, consulte Configurar o redirecionamento automático de dispositivos USB.
Nota:
Configure o redirecionamento USB genérico para uso com uma webcam apenas se a webcam for considerada incompatível com o redirecionamento multimídia HDX.
Para evitar que os dispositivos USB sejam listados ou redirecionados, você pode especificar regras de dispositivo para o aplicativo Citrix Workspace e o VDA.
Para o redirecionamento USB genérico, você precisa saber pelo menos a classe e a subclasse do dispositivo USB. Nem todos os dispositivos USB usam sua classe e subclasse de dispositivo USB óbvias. Por exemplo:
- Canetas usam a classe de dispositivo mouse.
- Leitores de cartão inteligente podem usar a classe de dispositivo definida pelo fornecedor ou HID.
Para um controle mais preciso, você precisa saber o ID do Fornecedor, o ID do Produto e o ID da Versão. Você pode obter essas informações do fornecedor do dispositivo.
Importante:
Dispositivos USB maliciosos podem apresentar características de dispositivo USB que não correspondem ao seu uso pretendido. As regras de dispositivo não se destinam a impedir esse comportamento.
Você controla os dispositivos USB disponíveis para redirecionamento USB genérico especificando regras de redirecionamento de dispositivo USB para o VDA e o aplicativo Citrix Workspace, para substituir as regras de política USB padrão.
Para o VDA:
- Edite as regras de substituição do administrador para as máquinas OS de várias sessões por meio de regras de política de grupo. O Console de Gerenciamento de Política de Grupo está incluído na mídia de instalação:
- Para x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- Para x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
No aplicativo Citrix Workspace para Windows:
- Edite o registro do dispositivo do usuário. Um modelo administrativo (arquivo ADM) está incluído na mídia de instalação para que você possa alterar o dispositivo do usuário por meio da Política de Grupo do Active Directory:
- dvd root \os\lang\Support\Configuration\icaclient_usb.adm
Aviso:
A edição incorreta do registro pode causar problemas sérios que podem exigir a reinstalação do seu sistema operacional. O Citrix não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua própria conta e risco. Certifique-se de fazer backup do registro antes de editá-lo.
As regras padrão do produto são armazenadas em HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules. Não edite essas regras padrão do produto. Em vez disso, use-as como um guia para criar regras de substituição do administrador, o que é explicado mais adiante neste artigo. As substituições de GPO são avaliadas antes das regras padrão do produto.
As regras de substituição do administrador são armazenadas em HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. As regras de política de GPO seguem o formato {Allow:|Deny:} seguido por um conjunto de expressões tag=value separadas por espaço em branco.
As seguintes tags são compatíveis:
| Tag | Descrição |
|---|---|
| VID | ID do Fornecedor do descritor do dispositivo |
| PID | ID do Produto do descritor do dispositivo |
| REL | ID da Versão do descritor do dispositivo |
| Class | Classe do descritor do dispositivo ou de um descritor de interface; consulte o site USB em http://www.usb.org/ para obter os Códigos de Classe USB disponíveis |
| SubClass | Subclasse do descritor do dispositivo ou de um descritor de interface |
| Prot | Protocolo do descritor do dispositivo ou de um descritor de interface |
Ao criar regras de política, observe o seguinte:
- As regras não diferenciam maiúsculas de minúsculas.
- As regras podem ter um comentário opcional no final, introduzido por
#. Um delimitador não é necessário, e o comentário é ignorado para fins de correspondência. - Linhas em branco e linhas de comentário puras são ignoradas.
- O espaço em branco é usado como separador, mas não pode aparecer no meio de um número ou identificador. Por exemplo, Deny: Class = 08 SubClass=05 é uma regra válida, mas Deny: Class=0 Sub Class=05 não é.
- As tags devem usar o operador de correspondência =. Por exemplo, VID=1230.
- Cada regra deve começar em uma nova linha ou fazer parte de uma lista separada por ponto e vírgula.
Nota:
Se você estiver usando o arquivo de modelo ADM, deverá criar regras em uma única linha, como uma lista separada por ponto e vírgula.
Exemplos:
-
O exemplo a seguir mostra uma regra de política USB definida pelo administrador para identificadores de fornecedor e produto:
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products <!--NeedCopy--> -
O exemplo a seguir mostra uma regra de política USB definida pelo administrador para uma classe, subclasse e protocolo definidos:
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices <!--NeedCopy-->
Usar e remover dispositivos USB
Os usuários podem conectar um dispositivo USB antes ou depois de iniciar uma sessão virtual.
Ao usar o aplicativo Citrix Workspace para Windows, o seguinte se aplica:
- Os dispositivos conectados após o início de uma sessão aparecem imediatamente no menu USB do Desktop Viewer.
- Se um dispositivo USB não estiver redirecionando corretamente, você pode tentar resolver o problema esperando para conectar o dispositivo até depois que a sessão virtual for iniciada.
- Para evitar perda de dados, use o ícone “Remover Hardware com Segurança” do Windows antes de remover o dispositivo USB.
Controles de segurança para dispositivos de armazenamento em massa USB
O suporte otimizado é fornecido para dispositivos de armazenamento em massa USB. Esse suporte faz parte do mapeamento de unidade de cliente do Citrix Virtual Apps and Desktops. As unidades no dispositivo do usuário são mapeadas automaticamente para letras de unidade na área de trabalho virtual quando os usuários fazem logon. As unidades são exibidas como pastas compartilhadas que possuem letras de unidade mapeadas. Para configurar o mapeamento de unidade de cliente, use a configuração Unidades removíveis do cliente. Essa configuração está na seção Configurações de política de redirecionamento de arquivo das configurações de política ICA.
Com dispositivos de armazenamento em massa USB, você pode usar o mapeamento de unidade de cliente ou o redirecionamento USB genérico, ou ambos. Controle-os usando políticas do Citrix. As principais diferenças são:
| Recurso | Mapeamento de unidade de cliente | Redirecionamento USB genérico |
|---|---|---|
| Habilitado por padrão | Sim | Não |
| Acesso somente leitura configurável | Sim | Não |
| Acesso a dispositivo criptografado | Sim, se a criptografia for desbloqueada antes que o dispositivo seja acessado | Sim |
| Dispositivos BitLocker To Go | Não | Não |
| Seguro para excluir dispositivo durante uma sessão | Não | Sim, desde que os usuários sigam as recomendações do sistema operacional para remoção segura |
Se as políticas de redirecionamento USB genérico e de mapeamento de unidade de cliente estiverem habilitadas e um dispositivo de armazenamento em massa for inserido antes ou depois do início de uma sessão, ele será redirecionado usando o mapeamento de unidade de cliente. Quando as políticas de redirecionamento USB genérico e de mapeamento de unidade de cliente estiverem habilitadas e um dispositivo for configurado para redirecionamento automático e um dispositivo de armazenamento em massa for inserido antes ou depois do início de uma sessão, ele será redirecionado usando o redirecionamento USB genérico. Para obter mais informações, consulte o artigo da Central de Conhecimento CTX123015.
Nota:
O redirecionamento USB é compatível com conexões de menor largura de banda, por exemplo, 50 Kbps. No entanto, a cópia de arquivos grandes não funciona.
Neste artigo
- Considerações de desempenho para dispositivos USB
- Considerações de segurança para dispositivos USB
- Compatibilidade com redirecionamento USB genérico
- Configurar o redirecionamento USB genérico
- Habilitar o redirecionamento USB genérico
- Configurando os tipos de dispositivos USB disponíveis para redirecionamento USB genérico
- Usar e remover dispositivos USB
- Controles de segurança para dispositivos de armazenamento em massa USB