Citrix Virtual Apps and Desktops

通用 USB 重定向和客户端驱动器注意事项

HDX 技术为最常用的 USB 设备提供了优化的支持。优化的支持可提供改进的用户体验和通过 WAN 实现的更高性能和带宽效率。通常情况下,优化的支持即是最佳选择,尤其对于存在高延迟的环境或对安全性极为敏感的环境更是如此。

HDX 技术为没有优化的支持的特殊设备或优化的支持不适用的场合提供通用 USB 重定向,例如:

  • USB 设备具有更多不属于优化的支持的高级功能,例如具有更多按钮的鼠标或网络摄像机。
  • 用户需要不属于优化的支持的功能。
  • USB 设备属于专业化设备,诸如测试和测量设备或工业控制器。
  • 某个应用程序需要直接访问该设备作为一个 USB 设备。
  • 该 USB 设备仅具有一个可用的 Windows 驱动程序。例如,某个智能卡读卡器可能没有可用于适用于 Android 的 Citrix Workspace 应用程序的驱动程序。
  • 该版本的 Citrix Workspace 应用程序没有为这种类型的 USB 设备提供任何优化的支持。

利用通用 USB 重定向:

  • 用户不需要在其设备上安装设备驱动程序。
  • USB 客户端驱动程序安装在 VDA 计算机上。

重要:

  • 通用 USB 重定向可以与优化的支持一起使用。如果启用了通用 USB 重定向,请同时针对通用 USB 重定向和优化的支持配置 Citrix USB 设备策略设置
  • 客户端 USB 设备优化规则中的 Citrix 策略设置是针对通用 USB 重定向的特定设置,适用于某种特定的 USB 设备。而不适用于此处所述的优化的支持。

USB 设备的性能注意事项

使用通用 USB 重定向时,对于某些类型的 USB 设备而言,网络延迟和带宽会影响用户体验和 USB 设备操作。例如,对时间极为敏感的设备可能无法在高延迟低带宽的链路上正常工作。可能的情况下可转而使用优化的支持。

某些 USB 设备需要高带宽才能使用,例如,3D 鼠标(与通常也需要使用高带宽的 3D 应用程序一起使用)。如果无法增加带宽,您也许能够通过使用带宽策略设置来调整其他组件的带宽使用情况,从而缓解该问题。有关详细信息,请参阅客户端 USB 设备重定向的带宽策略设置多流连接策略设置

USB 设备的安全注意事项

某些 USB 设备本质上属于安全敏感型设备,例如智能卡读卡器、指纹读取器和电子签名板。诸如 USB 存储设备等其他 USB 设备可能会用于传输敏感的数据。

USB 设备经常用于散布恶意软件。Citrix Workspace 应用程序和 Citrix Virtual Apps and Desktops 的配置可减少这些 USB 设备所带来的风险,但不会彻底消除风险。无论是否使用通用 USB 重定向或优化的支持,这种情况均适用。

重要:

对于安全敏感型设备和数据,请始终使用 TLS 或 IPsec 来保护 HDX 连接。

仅对您需要的 USB 设备启用支持。同时配置通用 USB 重定向和优化的支持来满足这种需求。

向用户提供安全使用 USB 设备的指导:

  • 仅使用从可信来源获取的 USB 设备。
  • 请勿单独将 USB 设备遗留在开放式环境中,例如,网吧中的闪存驱动器。
  • 讲解在多台计算机中使用一个 USB 设备的风险。

通用 USB 重定向的兼容性

通用 USB 重定向支持 USB 2.0 及更早的设备。通用 USB 重定向还支持连接到 USB 2.0 或 USB 3.0 端口的 USB 3.0 设备。通用 USB 重定向不支持 USB 3.0 中引入的 USB 功能,诸如超高速。

以下 Citrix Workspace 应用程序支持通用 USB 重定向:

有关 Citrix Workspace 应用程序版本,请参阅 Citrix Workspace 应用程序功能列表

如果您使用的是早期版本的 Citrix Workspace 应用程序,请参阅 Citrix Workspace 应用程序文档以确认是否支持通用 USB 重定向。请参阅 Citrix Workspace 应用程序文档以了解有关受支持的 USB 设备类型的任何限制。

从适用于单会话操作系统的 VDA 7.6 版至当前版本运行的桌面会话支持通用 USB 重定向。

从适用于多会话操作系统的 VDA 7.6 版至当前版本运行的桌面会话支持通用 USB 重定向,但具有以下限制:

  • VDA 必须运行 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 或 Windows Server 2022。
  • USB 设备驱动程序必须完全兼容适用于 VDA OS (Windows 2012 R2) 的远程桌面会话主机 (RDSH),包括完整的虚拟化支持。

某些类型的 USB 设备不受通用 USB 重定向的支持,因为重定向这些设备不会有任何益处:

  • USB 调制解调器。
  • USB 网络适配器。
  • USB 集线器。连接到 USB 集线器的 USB 设备被单独处理。
  • USB 虚拟 COM 端口。使用 COM 端口重定向而非通用 USB 重定向。

有关已完成通用 USB 重定向测试的 USB 设备的信息,请参阅 Citrix Ready Marketplace。某些 USB 设备在使用通用 USB 重定向时无法正确操作。

配置通用 USB 重定向

可以控制并分别配置哪些类型的 USB 设备可以使用通用 USB 重定向:

  • 在 VDA 上,使用 Citrix 策略设置。有关详细信息,请参阅策略设置参考中的客户端驱动器和用户设备的重定向USB 设备策略设置
  • 在 Citrix Workspace 应用程序中,使用依赖于 Citrix Workspace 应用程序的机制。例如,管理模板控制用于配置适用于 Windows 的 Citrix Workspace 应用程序的注册表设置。默认情况下,会允许某些类型的 USB 设备使用 USB 重定向功能,而拒绝其他类型的 USB 设备使用。有关详细信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序文档中的配置

这种单独配置提供了灵活性。例如:

  • 如果两个不同的组织或部门负责 Citrix Workspace 应用程序和 VDA,他们可以单独执行控制。当一个组织中的用户访问另一个组织中的应用程序时,此配置适用。
  • Citrix 策略设置可以控制仅允许特定用户或某些仅通过 LAN(而不是通过 Citrix Gateway)进行连接的用户使用的 USB 设备。

启用通用 USB 重定向

要启用通用 USB 重定向,并且不需要用户手动进行重定向,请配置 Citrix 策略设置和 Citrix Workspace 应用程序连接首选项。

在 Citrix 策略设置中:

  1. 向策略中添加客户端 USB 设备重定向,并将其值设置为允许

    客户端 USB 设备重定向示意图

  2. (可选)要更新可进行重定向的 USB 设备的列表,请向策略中添加客户端 USB 设备重定向规则设置并指定 USB 策略规则。

    策略设置完成后,在 Citrix Workspace 应用程序中:

  3. 指定自动连接设备而无需手动重定向。您可以使用管理模板或在适用于 Windows 的 Citrix Workspace 应用程序 > 首选项 > 连接中完成此操作。

    连接图片

如果已在上一步中为 VDA 指定了 USB 策略规则,请为 Citrix Workspace 应用程序指定相同的策略规则。

对于瘦客户端,请向制造商咨询有关 USB 支持以及任何所需配置的详细信息。

配置适用于通用 USB 重定向的 USB 设备的类型

当已启用 USB 支持并将 USB 用户首选项设置配置为自动连接 USB 设备时,将自动重定向 USB 设备。不存在连接栏时,也会自动重定向 USB 设备。

用户可以明确地对未自动重定向的设备执行重定向操作,方法是从 USB 设备列表中选择这些设备。有关详细信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序用户帮助文章在 Desktop Viewer 中显示设备

“设备”示意图

要使用通用 USB 重定向而非优化的支持,您可以:

  • 在 Citrix Workspace 应用程序中,手动选择 USB 设备以使用通用 USB 重定向,从“首选项”对话框的“设备”选项卡中选择切换到通用
  • 通过配置 USB 设备类型的自动重定向(例如,AutoRedirectStorage=1)并将 USB 用户首选项设置设为自动连接 USB 设备,可以自动选择 USB 设备以使用通用 USB 重定向。有关详细信息,请参阅配置 USB 设备的自动重定向

注意:

仅在某个网络摄像机被发现与 HDX 多媒体重定向不兼容时,才能配置通用 USB 重定向以与该网络摄像机一同使用。

要阻止列出或重定向 USB 设备,可以为 Citrix Workspace 应用程序和 VDA 指定设备规则。

对于通用 USB 重定向,至少需要了解 USB 设备类别和子类别。并非所有的 USB 设备都会使用其明显的 USB 设备类别和子类别。例如:

  • 笔类设备使用鼠标设备类别。
  • 智能卡读卡器可以使用供应商定义的或 HID 设备类别。

要想实现更为精确的控制,您需要了解供应商 ID、产品 ID 和版本 ID。您可以从设备供应商处获取这些信息。

重要:

恶意的 USB 设备可能会呈现出某些不符合其预期用途的 USB 设备特征。设备规则并非为了防止这种行为。

通过指定 USB 设备重定向规则,可以控制用于通用 USB 重定向的 USB 设备,以覆盖默认 USB 策略规则。

Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务):

  • 在大多数情况下,将下载 Citrix 组策略管理控制台 MSI (CitrixGroupPolicyManagement_x64.msi) 并将其安装在您的 Active Directory 系统中,然后管理 AD 组策略。(请勿在 VDA 上安装 MSI。)

  • 对于适用于 Windows 的 Citrix Workspace 应用程序,请编辑用户设备注册表。安装介质中包含一个管理模板(ADM 文件),因此您可以通过 Active Directory 组策略更改用户设备:dvd root \os\lang\Support\Configuration\icaclient_usb.adm

本地 Citrix Virtual Apps and Desktops:

  • 对于 VDA,请通过组策略规则为多会话操作系统计算机编辑管理员覆盖规则。组策略管理控制台包含在安装介质上:
    • x64:dvd root \os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi
    • x86:dvd root \os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
  • 对于适用于 Windows 的 Citrix Workspace 应用程序,请编辑用户设备注册表。安装介质中包含一个管理模板(ADM 文件),因此您可以通过 Active Directory 组策略更改用户设备:dvd root \os\lang\Support\Configuration\icaclient_usb.adm

警告:

注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器需自担风险。在编辑注册表之前,请务必进行备份。

产品默认规则存储在 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB 中。请勿编辑这些产品默认规则,相反,请将其用作创建管理员覆盖规则的指南,本文后面的部分将对此进行解释说明。GPO 覆盖规则将在产品默认规则之前进行评估。

管理员覆盖规则存储在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules 中。GPO 策略规则的格式为 {Allow:|Deny:},后接一组以空格分隔的 tag=value 表达式。

支持以下标记:

标记 说明
VID 设备描述符中的供应商 ID
PID 设备描述符中的产品 ID
REL 设备描述符中的版本 ID
设备描述符或接口描述符中的类;请参阅 USB Web 站点 http://www.usb.org/ 了解可用的 USB 类代码
子类 设备描述符或接口描述符中的子类
端口 设备描述符或接口描述符中的协议

创建策略规则时,应注意以下事项:

  • 规则不区分大小写。
  • 规则末尾可以带有以 # 开头的可选注释。无需分隔符,且将忽略注释以使规则匹配。
  • 空白注释行和纯注释行会被忽略。
  • 空格用作分隔符,但不能出现在数字或标识符中间。例如,Deny: Class = 08 SubClass=05 是有效规则,Deny: Class=0 Sub Class=05 则无效。
  • 标识必须使用匹配运算符 =。例如,VID=1230。
  • 每条规则都必须另起新行,或包含在以分号分隔的列表中。

注意:

如果使用 ADM 模板文件,则必须在一行中创建规则(以分号分隔的列表)。

示例:

  • 以下示例显示了一个用于供应商和产品标识符的 USB 策略规则,由管理员定义:

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • 以下示例显示了一个用于已定义类、子类和协议的 USB 策略规则,由管理员定义:

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

使用和删除 USB 设备

用户可以在启动虚拟会话之前或之后连接 USB 设备。

使用适用于 Windows 的 Citrix Workspace 应用程序时,以下情况适用:

  • 在会话启动后连接的设备将立即显示在 Desktop Viewer 的 USB 菜单中。
  • 如果 USB 设备不能正确重定向,可等到虚拟会话启动后再连接设备,这样可以解决此问题。
  • 为避免数据丢失,请使用 Windows 的“安全删除硬件”图标来删除 USB 设备。

适合 USB 大容量存储设备的安全控制

为 USB 大容量存储设备提供了优化支持。此支持是 Citrix Virtual Apps and Desktops 客户端驱动器映射的一部分。用户登录时,用户设备上的驱动器将自动映射至虚拟桌面上的驱动器盘符。这些驱动器显示为具有映射的驱动器盘符的共享文件夹。要配置客户端驱动器映射,请使用客户端可移动驱动器设置。此设置位于 ICA 策略设置的文件重定向策略设置部分。

借助 USB 大容量存储设备,可以使用客户端驱动器映射或通用 USB 重定向,或者两者。使用 Citrix 策略对其进行控制。主要的区别为:

功能 客户端驱动器映射 通用 USB 重定向
默认已启用
可配置只读访问权限
加密的设备访问 是,如果在访问设备前解锁加密
BitLocker To Go 设备
可在会话期间安全删除设备 是,只要用户按照操作系统建议进行安全删除

如果同时启用了通用 USB 重定向和客户端驱动器映射策略,并且在会话启动之前或之后插入了大容量存储设备,则将使用客户端驱动器映射对其进行重定向。如果同时启用了通用 USB 重定向和客户端驱动器映射策略,设备配置为自动重定向,并且在会话启动之前或之后插入了大容量存储设备,则将使用通用 USB 重定向对其进行重定向。有关详细信息,请参阅知识中心文章 CTX123015

注意:

低带宽连接(例如 50 Kbps)条件下支持 USB 重定向。但是,复制大型文件不起作用。

通过客户端驱动器映射控制文件访问

您可以控制用户是否能够将文件从虚拟环境复制到用户设备。默认情况下,可在读取/写入模式下从会话内部使用映射的客户端驱动器上的文件和文件夹。

要防止用户添加或更改映射的客户端设备上的文件和文件夹,请启用只读客户端驱动器访问策略设置。将此设置添加到某个策略中时,请确保“客户端驱动器重定向”设置设为允许,并且也已添加到该策略中。