通用 USB 重定向和客户端驱动器注意事项
HDX™ 技术为大多数常用 USB 设备提供优化支持。优化支持可提供更好的性能和 WAN 带宽效率,从而改善用户体验。优化支持通常是最佳选择,尤其是在高延迟或安全敏感的环境中。
HDX 技术为没有优化支持或不适合优化支持的专用设备提供通用 USB 重定向,例如:
- USB 设备具有不属于优化支持的更高级功能,例如具有更多按钮的鼠标或网络摄像头。
- 用户需要不在优化支持范围内的功能。
- USB 设备是专用设备,例如测试和测量设备或工业控制器。
- 应用程序需要以 USB 设备的形式直接访问该设备。
- USB 设备仅提供 Windows 驱动程序。例如,智能卡读卡器可能没有适用于 Android 版 Citrix Workspace™ 应用程序的驱动程序。
- Citrix Workspace 应用程序的版本不为此类 USB 设备提供任何优化支持。
使用通用 USB 重定向:
- 用户无需在用户设备上安装设备驱动程序。
- USB 客户端驱动程序安装在 VDA 计算机上。
重要:
- 通用 USB 重定向可以与优化支持结合使用。如果启用通用 USB 重定向,请为通用 USB 重定向和优化支持配置 Citrix USB 设备策略设置。
- 客户端 USB 设备优化规则 中的 Citrix 策略设置是针对特定 USB 设备的通用 USB 重定向的特定设置。它不适用于此处所述的优化支持。
USB 设备的性能注意事项
对于某些类型的 USB 设备,在使用通用 USB 重定向时,网络延迟和带宽会影响用户体验和 USB 设备操作。例如,对时序敏感的设备可能无法在高延迟、低带宽链路上正常运行。在可能的情况下,请改用优化支持。
某些 USB 设备需要高带宽才能使用,例如 3D 鼠标(与通常也需要高带宽的 3D 应用程序一起使用)。如果无法增加带宽,您可以通过使用带宽策略设置调整其他组件的带宽使用情况来缓解此问题。有关详细信息,请参阅客户端 USB 设备重定向的带宽策略设置和多流连接策略设置。
USB 设备的安全性注意事项
某些 USB 设备本质上对安全性敏感,例如智能卡读卡器、指纹识别器和签名板。其他 USB 设备(例如 USB 存储设备)可用于传输可能敏感的数据。
重要:
请勿将通用 USB 重定向用于智能卡读卡器。此功能默认情况下对智能卡读卡器禁用,如果启用则不受支持。
USB 设备通常用于分发恶意软件。Citrix Workspace 应用程序和 Citrix Virtual Apps and Desktops™ 的配置可以降低但不能消除这些 USB 设备带来的风险。无论使用通用 USB 重定向还是优化支持,此情况都适用。
重要:
对于安全敏感的设备和数据,请始终使用 TLS 或 IPsec 保护 HDX 连接。
仅启用您需要的 USB 设备支持。配置通用 USB 重定向和优化支持以满足此需求。
为用户提供安全使用 USB 设备的指导:
- 仅使用从可信来源获取的 USB 设备。
- 请勿将 USB 设备无人看管地留在开放环境中,例如,将闪存驱动器留在网吧中。
- 解释在多台计算机上使用 USB 设备的风险。
与通用 USB 重定向的兼容性
通用 USB 重定向支持 USB 2.0 及更早版本的设备。通用 USB 重定向还支持连接到 USB 2.0 或 USB 3.0 端口的 USB 3.0 设备。通用 USB 重定向不支持 USB 3.0 中引入的 USB 功能,例如超高速。
以下 Citrix Workspace 应用程序支持通用 USB 重定向:
- 适用于 Windows 的 Citrix Workspace 应用程序,请参阅配置应用程序交付。
- 适用于 Mac 的 思杰工作区应用程序,请参阅适用于 Mac 的 思杰工作区应用程序。
- 适用于 Linux 的 思杰工作区应用程序,请参阅优化。
- 适用于 Chrome 操作系统 的 思杰工作区 应用程序,请参阅适用于 Chrome 的 思杰工作区 应用程序。
有关 思杰工作区 应用程序版本,请参阅思杰工作区 应用程序功能矩阵。
如果您使用的是早期版本的 Citrix Workspace 应用程序,请参阅 Citrix Workspace 应用程序文档以确认是否支持通用 USB 重定向。有关支持的 USB 设备类型的任何限制,请参阅 Citrix Workspace 应用程序文档。
通用 USB 重定向支持从 VDA for Single-session OS 7.6 版到当前版本的桌面会话。
通用 USB 重定向支持从 VDA for Multi-session OS 7.6 版到当前版本的桌面会话,但存在以下限制:
- The VDA must be running Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, or Windows Server 2022.
- USB 设备驱动程序必须与 VDA 操作系统 (Windows 2012 R2) 的远程桌面会话主机 (RDSH) 完全兼容,包括完全虚拟化支持。
某些类型的 USB 设备不支持通用 USB 重定向,因为重定向它们没有用处:
- USB 调制解调器。
- USB 网卡。
- USB 集线器。连接到 USB 集线器的 USB 设备将单独处理。
- USB 虚拟 COM 端口。请使用 COM 端口重定向,而不是通用 USB 重定向。
有关已通过通用 USB 重定向测试的 USB 设备的信息,请参阅 Citrix Ready Marketplace。某些 USB 设备无法通过通用 USB 重定向正常运行。
配置通用 USB 重定向
您可以控制并单独配置哪些类型的 USB 设备使用通用 USB 重定向:
- 在 VDA 上,使用 Citrix 策略设置。有关详细信息,请参阅《策略设置参考》中的 客户端驱动器和用户设备重定向 和 USB 设备策略设置。
- 在 Citrix Workspace 应用程序中,使用 Citrix Workspace 应用程序相关的机制。例如,管理模板控制配置适用于 Windows 的 Citrix Workspace 应用程序的注册表设置。默认情况下,某些类别的 USB 设备允许 USB 重定向,而其他类别则被拒绝。有关详细信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序文档中的 配置。
这种单独的配置提供了灵活性。例如:
- 如果两个不同的组织或部门负责 Citrix Workspace 应用程序和 VDA,他们可以单独实施控制。当一个组织中的用户访问另一个组织中的应用程序时,此配置适用。
- Citrix 策略设置可以控制仅允许特定用户或仅通过 LAN(而不是通过 Citrix Gateway)连接的用户使用的 USB 设备。
启用通用 USB 重定向
要启用通用 USB 重定向且无需用户手动重定向,请同时配置 Citrix 策略设置和 Citrix Workspace 应用程序连接首选项。
在 Citrix 策略设置中:
-
将 客户端 USB 设备重定向 添加到策略并将其值设置为 允许。
-
(可选) 要更新可用于重定向的 USB 设备列表,请将 客户端 USB 设备重定向规则 设置添加到策略并指定 USB 策略规则。
策略设置完成后,在 Citrix Workspace 应用程序中:
-
指定设备自动连接,无需手动重定向。您可以使用管理模板或在适用于 Windows > 首选项 > 连接 的 Citrix Workspace 应用程序中执行此操作。
如果您在上一步中为 VDA 指定了 USB 策略规则,请为 Citrix Workspace 应用程序指定相同的策略规则。
对于瘦客户端,请咨询制造商以了解 USB 支持的详细信息以及任何所需的配置。
配置可用于通用 USB 重定向的 USB 设备类型
启用 USB 支持后,USB 设备会自动重定向,并且 USB 用户首选项设置为自动连接 USB 设备。当连接栏不存在时,USB 设备也会自动重定向。
用户可以通过从 USB 设备列表中选择设备来显式重定向未自动重定向的设备。有关详细信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序用户帮助文章:在 Desktop Viewer 中显示您的设备。
要使用通用 USB 重定向而不是优化支持,您可以选择以下任一方式:
- 在 Citrix Workspace 应用程序中,手动选择 USB 设备以使用通用 USB 重定向,从“首选项”对话框的“设备”选项卡中选择 切换到通用。
- 自动选择 USB 设备以使用通用 USB 重定向,方法是为 USB 设备类型配置自动重定向(例如,AutoRedirectStorage=1),并将 USB 用户首选项设置为自动连接 USB 设备。有关详细信息,请参阅配置 USB 设备的自动重定向。
注意:
仅当发现网络摄像头与 HDX 多媒体重定向不兼容时,才配置通用 USB 重定向以用于网络摄像头。
为防止 USB 设备被列出或重定向,您可以为 Citrix Workspace 应用程序和 VDA 指定设备规则。
对于通用 USB 重定向,您至少需要知道 USB 设备类和子类。并非所有 USB 设备都使用其明显的 USB 设备类和子类。例如:
- 笔使用鼠标设备类。
- 智能卡读卡器可以使用供应商定义或 HID 设备类。
为了更精确的控制,您需要知道供应商 ID、产品 ID 和发布 ID。您可以从设备供应商处获取此信息。
重要提示:
恶意 USB 设备可能会呈现与其预期用途不符的 USB 设备特性。设备规则并非旨在阻止此行为。
您可以通过指定 USB 设备重定向规则来控制可用于通用 USB 重定向的 USB 设备,以覆盖默认的 USB 策略规则。
Citrix DaaS (formerly Citrix Virtual Apps and Desktops service):
-
在大多数情况下,下载 Citrix 组策略管理控制台 MSI (
CitrixGroupPolicyManagement_x64.msi) 并将其安装到您的 Active Directory 系统中,然后管理 AD 组策略。(请勿在 VDA 上安装 MSI。) -
对于适用于 Windows 的 Citrix Workspace 应用程序,请编辑用户设备注册表。安装介质中包含一个管理模板 (ADM 文件),因此您可以通过 Active Directory 组策略更改用户设备:dvd root
\os\lang\Support\Configuration\icaclient_usb.adm
本地 Citrix 虚拟应用和桌面:
- 对于 VDA,通过组策略规则编辑多会话操作系统计算机的管理员覆盖规则。安装介质中包含组策略管理控制台:
- 64位: DVD 根目录
\os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi - x86: DVD 光盘根目录
\os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
- 64位: DVD 根目录
- 对于适用于 Windows 的 Citrix Workspace 应用程序,请编辑用户设备注册表。安装介质中包含一个管理模板 (ADM 文件),以便您可以通过 Active Directory 组策略更改用户设备:DVD 根目录
\os\lang\Support\Configuration\icaclient_usb.adm
警告:
不正确地编辑注册表可能导致严重问题,甚至可能需要重新安装操作系统。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份注册表。
产品默认规则存储在 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB 中。请勿编辑这些产品默认规则。相反,请将它们用作创建管理员覆盖规则的指南,本文稍后将对此进行说明。GPO 覆盖在产品默认规则之前进行评估。
管理员覆盖规则,这些规则用于定义设备行为,存储在 Windows 注册表的以下路径中:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules。GPO 策略规则,通常通过组策略对象进行配置,采用 {Allow:|Deny:} 这种格式,并且后面紧跟着一组以空格分隔的 tag=value 表达式。
系统支持以下标记:
| 标记 | 详细信息 |
|---|---|
| VID | 设备描述符中的供应商 ID |
| PID | 设备描述符中的产品 ID |
| REL | 设备描述符中的发布 ID |
| 类 | 来自设备描述符或接口描述符的类;有关可用的 USB 类代码,请参阅 http://www.usb.org/ 上的 USB 网站 |
| 子类 | 子类信息可从设备描述符或接口描述符中获取 |
| 协议 | 协议信息可从设备描述符或接口描述符中获取 |
创建策略规则时,请注意以下事项:
- 规则不区分大小写。
- 规则末尾可以有一个可选注释,由
#引入。不需要分隔符,并且注释在匹配时会被忽略。 - 空行和纯注释行将被忽略。
- 空格用作分隔符,但不能出现在数字或标识符的中间。例如,Deny: Class = 08 SubClass=05 是一个有效规则,但 Deny: Class=0 Sub Class=05 不是。
- 标签必须使用匹配运算符 =。例如,VID=1230。
- 每条规则必须另起一行,或者作为分号分隔列表的一部分。
注意:
如果您正在使用 ADM 模板文件,您必须在单行上创建规则,作为分号分隔列表。
示例:
-
以下示例显示了管理员定义的用于供应商和产品标识符的 USB 策略规则:
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products -
以下示例显示了管理员定义的用于指定类、子类和协议的 USB 策略规则:
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices
使用和移除 USB 设备
用户可以在启动虚拟会话之前或之后连接 USB 设备。
使用适用于 Windows 的 Citrix Workspace 应用程序时,适用以下情况:
- 会话开始后连接的设备会立即显示在 Desktop Viewer 的 USB 菜单中。
- 如果 USB 设备未正确重定向,您可以尝试在虚拟会话启动后再连接设备,以解决此问题。
- 为避免数据丢失,请在移除 USB 设备之前使用 Windows 的“安全移除硬件”图标。
USB 大容量存储设备的安全控制
为 USB 大容量存储设备提供了优化支持。此支持是 Citrix Virtual Apps and Desktops 客户端驱动器映射的一部分。用户登录时,用户设备上的驱动器会自动映射到虚拟桌面上的驱动器盘符。这些驱动器显示为具有映射驱动器盘符的共享文件夹。要配置客户端驱动器映射,请使用客户端可移动驱动器设置。此设置位于 ICA 策略设置的 文件重定向策略设置 部分。
对于 USB 大容量存储设备,您可以使用客户端驱动器映射或通用 USB 重定向,或两者都使用。使用 Citrix 策略控制它们。主要区别在于:
| 功能 | 客户端驱动器映射 | 通用 USB 重定向 |
|---|---|---|
| 默认情况下已启用 | 是 | 否 |
| 可配置为只读访问 | 是 | 否 |
| 加密设备访问 | 是,前提是在访问设备之前已解锁加密 | 是 |
| 比特锁随身设备 | 否 | 否 |
| 会话期间可安全删除设备 | 否 | 是,前提是用户遵循操作系统关于安全移除的建议 |
如果同时启用了通用 USB 重定向和客户端驱动器映射策略,并且在大容量存储设备在会话启动之前或之后插入,则使用客户端驱动器映射进行重定向。当同时启用了通用 USB 重定向和客户端驱动器映射策略,并且设备配置为自动重定向,并且在大容量存储设备在会话启动之前或之后插入,则使用通用 USB 重定向进行重定向。有关详细信息,请参阅知识中心文章 CTX123015。
注意:
USB 重定向支持较低带宽连接,例如 50 Kbps。但是,复制大文件不起作用。
使用客户端驱动器映射控制文件访问
您可以控制用户是否可以将文件从其虚拟环境复制到其用户设备。默认情况下,映射的客户端驱动器上的文件和文件夹在会话中以读/写模式可用。
为防止用户在映射的客户端设备上添加或更改文件和文件夹,请启用只读客户端驱动器访问策略设置。将此设置添加到策略时,请确保客户端驱动器重定向设置设置为允许,并且也已添加到策略中。