Citrix Virtual Apps and Desktops

Considerações genéricas de redirecionamento USB e unidade de cliente

A tecnologia HDX fornece suporte otimizado para a maioria dos dispositivos USB mais difundidos. O suporte otimizado oferece uma experiência de usuário aprimorada com melhor desempenho e eficiência de largura de banda em uma WAN. O suporte otimizado geralmente é a melhor opção, especialmente em ambientes de alta latência ou sensíveis à segurança.

A tecnologia HDX fornece redirecionamento USB genérico para dispositivos especiais que não têm suporte otimizado ou quando este é inadequado.

  • O dispositivo USB tem recursos mais avançados que não fazem parte do suporte otimizado, como um mouse ou webcam com mais botões.
  • Os usuários precisam de funções que não fazem parte do suporte otimizado.
  • O dispositivo USB é um dispositivo especializado, como equipamentos de teste e medição ou um controlador industrial.
  • Um aplicativo requer acesso direto ao dispositivo como um dispositivo USB.
  • O dispositivo USB tem apenas um driver do Windows disponível. Por exemplo, um leitor de smart card pode não ter um driver disponível para o aplicativo Citrix Workspace para Android.
  • A versão do aplicativo Citrix Workspace não fornece suporte otimizado para esse tipo de dispositivo USB.

Com redirecionamento USB genérico:

  • Os usuários não precisam instalar drivers de dispositivo no dispositivo do usuário.
  • Os drivers de cliente USB são instalados na máquina VDA.

Importante

  • O redirecionamento USB genérico pode ser usado em conjunto com suporte otimizado. Se você habilitar o redirecionamento USB genérico, configure as Configurações de política de dispositivos USB Citrix para o redirecionamento USB genérico e suporte otimizado.
  • A configuração de política Citrix nas Regras de otimização do dispositivo USB do cliente é uma configuração específica para o redirecionamento USB genérico, para um dispositivo USB específico. Não se aplica ao suporte otimizado conforme descrito aqui.

Considerações de desempenho para dispositivos USB

A latência e a largura de banda da rede podem afetar a experiência do usuário e a operação do dispositivo USB ao usar o redirecionamento USB genérico para alguns tipos de dispositivos USB. Por exemplo, dispositivos sensíveis ao tempo podem não funcionar corretamente com links de baixa largura de banda de alta latência. Use suporte otimizado sempre que possível.

Alguns dispositivos USB exigem alta largura de banda para que possam ser usados, por exemplo, um mouse 3D (usado com aplicativos 3D que normalmente também exigem alta largura de banda). Se a largura de banda não puder ser aumentada, você pode ser capaz de mitigar o problema ajustando o uso da largura de banda de outros componentes usando as configurações da política de largura de banda. Para obter mais informações, consulte as Configurações da política de largura de banda, para o redirecionamento de dispositivo USB do cliente, e Configurações de políticas de conexões multi-stream.

Considerações de segurança para dispositivos USB

Alguns dispositivos USB são sensíveis à segurança por natureza, por exemplo, leitores de cartões inteligentes, leitores de impressões digitais e mesas gráficas para assinatura. Outros dispositivos USB, como dispositivos de armazenamento USB, podem ser usados para transmitir dados que podem ser sensíveis.

Dispositivos USB são usados frequentemente para distribuir malware. A configuração do aplicativo Citrix Workspace e do Citrix Virtual Apps and Desktops pode reduzir, mas não eliminar, os riscos desses dispositivos USB. Esta situação se aplica se for usado o redirecionamento USB genérico ou suporte otimizado.

Importante

Para dispositivos e dados sensíveis à segurança, sempre proteja a conexão HDX usando TLS ou IPsec.

Ative apenas o suporte para os dispositivos USB de que você precisa. Configure o redirecionamento USB genérico e o suporte otimizado para atender a essa necessidade.

Forneça orientação aos usuários para uso seguro de dispositivos USB:

  • Use apenas dispositivos USB obtidos a partir de uma fonte confiável.
  • Não deixe dispositivos USB desacompanhados em ambientes abertos - por exemplo, uma unidade flash em um internet café.
  • Explique os riscos de usar um dispositivo USB em mais de um computador.

Compatibilidade com redirecionamento USB genérico

O redirecionamento USB genérico é suportado para dispositivos USB 2.0 e anteriores. O redirecionamento USB genérico também é suportado para dispositivos USB 3.0 conectados a uma porta USB 2.0 ou USB 3.0. O redirecionamento USB genérico não suporta recursos USB introduzidos no USB 3.0, como super velocidade.

Esses aplicativos do Citrix Workspace oferecem suporte ao redirecionamento USB genérico:

Para ver as versões do aplicativo Citrix Workspace, consulte a Matriz de recursos do aplicativo Citrix Workspace.

Se você estiver usando versões anteriores do aplicativo Citrix Workspace, consulte a documentação do aplicativo Citrix Workspace para confirmar que o redirecionamento USB genérico tem suporte. Consulte a documentação do aplicativo Citrix Workspace para saber sobre as restrições aos tipos de dispositivos USB compatíveis.

O redirecionamento USB genérico é suportado para sessões de desktop do VDA para o sistema operacional de sessão única versão 7.6 até a atual.

O redirecionamento USB genérico tem suporte para sessões de desktop do VDA para a versão 7.6 do SO multissessão até a atual, com estas restrições:

  • O VDA deve estar executando o Windows Server 2012 R2 ou o Windows Server 2016.
  • Os drivers de dispositivo USB devem ser totalmente compatíveis com o RDSH (Remote Desktop Session Host) para o sistema operacional VDA (Windows 2012 R2), incluindo suporte total à virtualização.

Alguns tipos de dispositivos USB não têm suporte para redirecionamento USB genérico porque não seria útil redirecioná-los:

  • Modems USB.
  • Adaptadores de rede USB.
  • Hubs USB Os dispositivos USB conectados a hubs USB são manipulados individualmente.
  • Portas USB COM virtuais. Use o redirecionamento da porta COM em vez de redirecionamento USB genérico.

Para obter informações sobre dispositivos USB que foram testados com redirecionamento USB genérico, consulte Citrix Ready Marketplace. Alguns dispositivos USB não funcionam corretamente com o redirecionamento USB genérico.

Configurar o redirecionamento USB genérico

Você pode controlar e configurar separadamente quais tipos de dispositivos USB usam o redirecionamento USB genérico:

  • No VDA, usando as configurações de política Citrix. Para obter mais informações, consulte Redirecionamento de unidades de cliente e dispositivos de usuário e Configurações de política de dispositivos USB na referência de configurações de políticas
  • No aplicativo Citrix Workspace, usando mecanismos dependentes de aplicativos do Citrix Workspace. Por exemplo, um Modelo Administrativo controla as configurações do registro que configuram o aplicativo Citrix Workspace para Windows. Por padrão, o redirecionamento USB é permitido para certas classes de dispositivos USB e negado para outros. Para obter mais informações, consulte Configure na documentação do aplicativo Citrix Workspace para Windows.

Esta configuração separada fornece flexibilidade. Por exemplo:

  • Se duas organizações ou departamentos diferentes forem responsáveis pelo aplicativo Citrix Workspace e pelo VDA, elas poderão impor o controle separadamente. Essa configuração se aplica quando um usuário em uma organização acessa um aplicativo em outra organização.
  • As configurações de política do Citrix podem controlar dispositivos USB permitidos apenas para determinados usuários ou para usuários que se conectam somente por uma LAN (em vez de usar o Citrix Gateway).

Enable generic USB redirection

Para habilitar o redirecionamento USB genérico e não exigir o redirecionamento manual pelo usuário, faça as configurações de política Citrix e as preferências de conexões do aplicativo Citrix Workspace.

Nas configurações da política Citrix:

  1. Adicione Client USB device redirection a uma política e defina seu valor como Allowed.

    Imagem de Client USB device redirection

  2. (Opcional) Para atualizar a lista de dispositivos USB disponíveis para redirecionamento, adicione a configuração Client USB device redirection rules a uma política e especifique as regras de política USB.

    No aplicativo Citrix Workspace

  3. Especifique se os dispositivos são conectados automaticamente sem redirecionamento manual. Você pode fazer isso usando um modelo administrativo ou no aplicativo Citrix Workspace para Windows > Preferences > Connections.

    Imagem de conexões

Se você especificou as regras de política USB para o VDA na etapa anterior, especifique as mesmas regras de política para o aplicativo Citrix Workspace.

Para clientes finos, consulte o fabricante para obter detalhes sobre o suporte USB e a configuração necessária.

Configuração dos tipos de dispositivos USB disponíveis para redirecionamento USB genérico

Os dispositivos USB são redirecionados automaticamente quando o suporte USB está ativado e as configurações de preferência do usuário USB são definidas para conectar dispositivos USB automaticamente. Os dispositivos USB também são redirecionados automaticamente quando a barra de conexão não está presente.

Os usuários podem redirecionar explicitamente dispositivos que não são redirecionados automaticamente selecionando os dispositivos na lista de dispositivos USB. Para obter mais informações, consulte o artigo da ajuda do usuário do aplicativo Citrix Workspace para Windows Exibir seus dispositivos no Desktop Viewer.

Imagem de Devices

Para usar o redirecionamento USB genérico em vez de suporte otimizado, você pode:

  • No aplicativo Citrix Workspace, selecione manualmente o dispositivo USB para usar o redirecionamento USB genérico, escolha Switch to generic na guia Devices da caixa de diálogo Preferences.
  • Selecione automaticamente o dispositivo USB para usar o redirecionamento USB genérico, configurando o redirecionamento automático para o tipo de dispositivo USB (por exemplo, AutoRedirectStorage=1) e defina as configurações de preferência do usuário USB para conectar automaticamente dispositivos USB. Para obter mais informações, consulte Configurar o redirecionamento automático de dispositivos USB.

Nota:

Apenas configure o redirecionamento USB genérico para uso com uma webcam se a webcam for considerada incompatível com o redirecionamento multimídia de HDX.

Para evitar que dispositivos USB sejam listados ou redirecionados, você pode especificar regras de dispositivo para o aplicativo Citrix Workspace e para o VDA.

Para redirecionamento USB genérico, você precisa saber pelo menos a classe de dispositivo USB e a subclasse. Nem todos os dispositivos USB usam sua classe de dispositivo USB e subclasse óbvias. Por exemplo:

  • As canetas usam a classe dispositivo mouse.
  • Os leitores de cartões inteligentes podem usar a classe de dispositivo definido pelo fornecedor ou HID.

Para um controle mais preciso, você precisa saber o ID do fornecedor, o ID do produto e o ID da versão. Você pode obter essas informações do fornecedor do dispositivo.

Importante

Dispositivos USB maliciosos podem apresentar características do dispositivo USB que não correspondem ao uso pretendido. As regras do dispositivo não se destinam a impedir esse comportamento.

Você controla os dispositivos USB disponíveis para redirecionamento USB genérico especificando regras de redirecionamento de dispositivos USB para o aplicativo VDA e Citrix Workspace, para substituir as regras de política USB padrão.

Serviço Citrix Virtual Apps and Desktops:

  • Na maioria dos casos, baixe Citrix Group Policy Management Console MSI (CitrixGroupPolicyManagement_x64.msi) e instale-o em seu sistema Active Directory, e então gerencie as políticas de grupo do AD. (Não instale o MSI em um VDA.)

  • Para o aplicativo Citrix Workspace para Windows, edite o registro do dispositivo do usuário. Um modelo administrativo (arquivo ADM) está incluído na mídia de instalação para que você possa alterar o dispositivo do usuário através da política de grupo do Active Directory:dvd root \os\lang\Support\Configuration\icaclient_usb.adm

Citrix Virtual Apps and Desktops local:

  • Para o VDA, edite as regras de substituição do administrador para os computadores do SO multissessão por meio de regras de política de grupo. O console de gerenciamento de política de grupo está incluído na mídia de instalação:
    • x64: dvd root \os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi
    • x86: dvd root \os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
  • Para o aplicativo Citrix Workspace para Windows, edite o registro do dispositivo do usuário. Um modelo administrativo (arquivo ADM) está incluído na mídia de instalação para que você possa alterar o dispositivo do usuário através da política de grupo do Active Directory:dvd root \os\lang\Support\Configuration\icaclient_usb.adm

Aviso:

Editar o registro incorretamente pode causar sérios problemas que podem exigir que você reinstale seu sistema operacional. A Citrix não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Tenha o cuidado de fazer backup do registro antes de editá-lo.

As regras padrão do produto são armazenadas em HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB. Não edite estas regras padrão do produto. Em vez disso, use-os como um guia para criar regras de substituição de administrador, o que é explicado mais adiante neste artigo. As substituições de GPO são avaliadas antes das regras padrão do produto.

As regras de substituição do administrador são armazenadas em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. As regras de política de GPO assumem o formato {Allow:|Deny:} seguido por um conjunto de expressões tag=value separadas por espaço em branco.

As seguintes marcas têm suporte:

Marca Descrição
VID ID do fornecedor do descritor de dispositivo
PID ID do produto do descritor do dispositivo
REL Liberar ID do descritor de dispositivo
Class Classe do descritor de dispositivo ou de um descritor de interface; consulte o site USB em http://www.usb.org/ para códigos de classe USB disponíveis
SubClass Subclasse do descritor de dispositivo ou de um descritor de interface
Prot Protocolo do descritor de dispositivo ou de um descritor de interface

Ao criar regras de política, observe o seguinte:

  • As regras não diferenciam maiúsculas e minúsculas.
  • As regras podem ter um comentário opcional no final, introduzido por #. Não é obrigatório usa delimitador, e o comentário é ignorado para fins de correspondência.
  • As linhas em branco ou puramente de comentários são ignoradas.
  • O espaço em branco é usado como separador, mas não pode aparecer no meio de um número ou identificador. Por exemplo, Deny: Class = 08 SubClass=05 é uma regra válida, mas Deny: Class=0 Sub Class=05 não é.
  • As marcas devem usar o operador correspondente =. Por exemplo, VID=1230.
  • Cada regra deve começar em uma nova linha ou fazer parte de uma lista separada por ponto e vírgula.

Nota:

Se você estiver usando o arquivo de modelo ADM, deverá criar regras em uma única linha, como uma lista separada por ponto e vírgula.

Exemplos:

  • O exemplo a seguir mostra uma regra de política USB definida pelo administrador para identificadores de fornecedor e produto:

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • O exemplo a seguir mostra uma regra de política USB definida pelo administrador para uma classe, subclasse e protocolo definidos:

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

Usar e remover dispositivos USB

Os usuários podem conectar um dispositivo USB antes ou depois de iniciar uma sessão virtual.

Ao usar o aplicativo Citrix Workspace para Windows, o seguinte se aplica:

  • Os dispositivos conectados após o início de uma sessão aparecem imediatamente no menu USB do Desktop Viewer.
  • Se um dispositivo USB não estiver redirecionando corretamente, você pode tentar resolver o problema aguardando para conectar o dispositivo até que a sessão virtual seja iniciada.
  • Para evitar a perda de dados, use o ícone “Remover hardware com segurança” do Windows antes de remover o dispositivo USB.

Controles de segurança para dispositivos de armazenamento em massa USB

É fornecido suporte otimizado para dispositivos de armazenamento em massa USB. Esse suporte faz parte do mapeamento da unidade cliente Citrix Virtual Apps and Desktops. As unidades no dispositivo do usuário são mapeadas automaticamente para letras de unidades na área de trabalho virtual quando os usuários fazem logon. As unidades são exibidas como pastas compartilhadas que têm letras de unidade mapeadas. Para configurar o mapeamento da unidade cliente, use a configuração Client removable drives. Essa configuração está na seção Configurações da política de redirecionamento de arquivos das configurações de política ICA.

Com dispositivos USB de armazenamento em massa, você pode usar o mapeamento de unidade cliente ou o redirecionamento USB genérico, ou ambos, controlados pelas políticas da Citrix. Controle-os usando as políticas Citrix. As principais diferenças são:

Recurso Mapeamento da unidade cliente Redirecionamento USB genérico
Ativado por padrão Sim Não
Acesso somente leitura configurável Sim Não
Acesso a dispositivo criptografado Sim, se a criptografia for desbloqueada antes de o dispositivo ser acessado Sim
Dispositivos BitLocker To Go Não Não
Exclusão segura do dispositivo durante uma sessão Não Sim, desde que os usuários sigam as recomendações do sistema operacional para remoção segura

Se o redirecionamento USB genérico e as políticas de mapeamento da unidade cliente estiverem ativados e um dispositivo de armazenamento em massa for inserido antes ou depois que uma sessão seja iniciada, ele será redirecionado por meio do mapeamento da unidade cliente. Quando o redirecionamento USB genérico e as políticas de mapeamento da unidade cliente estão ativadas e um dispositivo é configurado para redirecionamento automático e um dispositivo de armazenamento em massa é inserido antes ou depois que uma sessão seja iniciada, ele é redirecionado por meio do redirecionamento USB genérico. Para obter mais informações, consulte o artigo do Knowledge Center CTX123015.

Nota:

O redirecionamento USB tem suporte em conexões de largura de banda mais baixa, por exemplo, 50 Kbps. No entanto, copiar arquivos grandes não funciona.

Controle o acesso a arquivos com mapeamento da unidade do cliente

Você pode controlar se os usuários podem copiar arquivos de seus ambientes virtuais para seus dispositivos de usuário. Por padrão, os arquivos e pastas em unidades de cliente mapeadas estão disponíveis no modo de leitura/gravação a partir da sessão.

Para impedir que os usuários adicionem ou alterem arquivos e pastas em dispositivos cliente mapeados, ative a configuração de política Read-only client drive access. Ao adicionar essa configuração a uma política, verifique se a configuração de redirecionamento da unidade cliente está definida como Allowed e também adicionada à política.