USB 和客户端设备注意事项
HDX 技术为大多数流行的 USB 设备提供了优化的支持。其中包括:
- 显示器
- 鼠标
- 键盘
- VoIP 电话
- 耳机
- 网络摄像机
- 扫描仪
- 摄像头
- 打印机
- 驱动器
- 智能卡读卡器
- 手写板
- 签名板
优化的支持可提供改进的用户体验和通过 WAN 实现的更高性能和带宽效率。通常情况下,优化的支持即是最佳选择,尤其对于存在高延迟的环境或对安全性极为敏感的环境更是如此。
HDX 技术为没有优化的支持的特殊设备或优化的支持不适用的场合提供通用 USB 重定向,例如:
- USB 设备具有其他不属于优化的支持的高级功能,诸如具有附加按钮的鼠标或网络摄像头。
- 用户需要不属于优化的支持的功能,例如刻录 CD。
- USB 设备属于专业化设备,诸如测试和测量设备或工业控制器。
- 某个应用程序需要直接访问该设备作为一个 USB 设备。
- 该 USB 设备仅具有一个可用的 Windows 驱动程序。例如,某个智能卡读卡器可能不具有适用于 Citrix Receiver for Android 的驱动程序。
- Citrix Receiver 的版本没有为这种类型的 USB 设备提供优化的支持。
利用通用 USB 重定向:
- 用户不需要在其设备上安装设备驱动程序。
- USB 客户端驱动程序安装在 VDA 计算机上。
注意
- 通用 USB 重定向可以与优化的支持一起使用。如果启用了通用 USB 重定向,请同时针对通用 USB 重定向和优化的支持配置 Citrix USB 设备策略设置,以避免出现不一致的意外行为。
- Citrix 策略设置客户端 USB 设备优化规则是针对通用 USB 重定向的特定设置,适用于某种特定的 USB 设备。而不是此处描述的优化的支持。
- 客户端 USB 即插即用设备重定向是一种相关的功能,可为诸如摄像头和媒体播放器等使用图片传输协议 (PTP) 或媒体传输协议 (MTP) 的设备提供优化的支持。客户端 USB 即插即用重定向不属于通用 USB 重定向。客户端 USB 即插即用重定向仅在服务器操作系统上可用。
USB 设备的性能注意事项
通过通用 USB 重定向,对于某些类型的 USB 设备而言,网络延迟和带宽可能会影响用户体验和 USB 设备操作。例如,对时间极为敏感的设备可能无法在高延迟低带宽的链路上正常工作。可能的情况下可转而使用优化的支持。
某些 USB 设备需要高带宽才能使用,例如,3D 鼠标(与通常也需要使用高带宽的 3D 应用程序一起使用)。通过使用 Citrix 策略,可避免出现性能问题。有关详细信息,请参阅客户端 USB 设备重定向的带宽策略设置和多流连接策略设置。
USB 设备的安全注意事项
某些 USB 设备本质上属于安全敏感型设备,例如智能卡读卡器、指纹读取器和电子签名板。诸如 USB 存储设备等其他 USB 设备可能会用于传输敏感的数据。
USB 设备经常用于散布恶意软件。Citrix Receiver、XenApp 和 XenDesktop 的配置可减少这些 USB 设备所带来的风险,但不会彻底消除风险。无论是否使用通用 USB 重定向或优化的支持,这种情况均适用。
Important
对于安全敏感型设备和数据,请始终使用 TLS 或 IPSec 来保护 HDX 连接。
仅对您需要的 USB 设备启用支持。同时配置通用 USB 重定向和优化的支持来满足这种需求。
为用户提供安全使用 USB 设备的指导:仅使用从可信来源获得的 USB 设备;不要把 USB 设备留在无人照看的开放式环境中 — 例如网吧中的闪存;对在多台计算机上使用一个 USB 设备的风险进行解读。
通用 USB 重定向的兼容性
通用 USB 重定向支持 USB 2.0 及更早的设备。通用 USB 重定向还支持连接到 USB 2.0 或 USB 3.0 端口的 USB 3.0 设备。通用 USB 重定向不支持 USB 3.0 中引入的 USB 功能,诸如超高速。
以下 Citrix Receiver 支持通用 USB 重定向:
- Citrix Receiver for Windows,请参阅配置您的 XenDesktop 环境
- Citrix Receiver for Mac,请参阅配置 Citrix Receiver for Mac
- Citrix Receiver for Linux,请参阅优化
- Citrix Receiver for Chrome OS,请参阅关于 Citrix Receiver for Chrome 2.1
对于 Citrix Receiver 的版本,请参阅 Citrix Receiver 功能表。
如果您使用的是较早的 Citrix Receiver 版本,请参阅 Citrix Receiver 文档以确认是否支持通用 USB 重定向。请参阅 Citrix Receiver 文档以了解有关受支持的 USB 设备类型的任何限制。
从 VDA for Desktop OS 7.6 版至当前版本运行的桌面会话支持通用 USB 重定向。
从 VDA for Server OS 7.6 版至当前版本运行的桌面会话支持通用 USB 重定向,但具有以下限制:
- VDA 必须运行 Windows Server 2012 R2 或 Windows Server 2016。
- 仅支持单跳场景。桌面托管应用程序会话不支持双跳通用 USB 重定向。
- USB 设备驱动程序必须完全兼容适用于 Windows 2012 R2 的远程桌面会话主机 (RDSH),包括完整的虚拟化支持。
某些类型的 USB 设备不受通用 USB 重定向的支持,因为重定向这些设备不会有任何益处:
- USB 调制解调器。
- USB 网络适配器。
- USB 集线器。连接到 USB 集线器的 USB 设备被单独处理。
- USB 虚拟 COM 端口。使用 COM 端口重定向而非通用 USB 重定向。
有关已完成通用 USB 重定向测试的 USB 设备的信息,请参阅 CTX123569。某些 USB 设备在使用通用 USB 重定向时无法正确操作。
配置通用 USB 重定向
您可以控制哪些类型的 USB 设备可以使用通用 USB 重定向。这需要单独进行配置:
- 在 VDA 上,使用 Citrix 策略设置。有关详细信息,请参阅策略设置参考中的客户端驱动器和用户设备的重定向和 USB 设备策略设置
- 在 Citrix Receiver 中,使用依赖于 Citrix Receiver 的机制。例如,Citrix Receiver for Windows 配置有可通过管理模板控制的注册表设置。默认情况下,会允许某些类型的 USB 设备使用 USB 重定向功能,但拒绝其他类型的 USB 设备使用;请参阅 Citrix Receiver for Windows 文档中的配置您的 XenDesktop 环境了解详细信息。
这种单独配置提供了灵活性。例如:
- 如果两个不同的组织或部门负责 Citrix Receiver 和 VDA,他们可以单独执行控制。当一个组织中的用户访问另一个组织中的应用程序时,可能适用于这种情况。
- 如果仅允许特定用户或某些只通过 LAN(而不是通过 NetScaler 网关)进行连接的用户使用 USB 设备,则可以通过 Citrix 策略设置来控制这种情况。
启用通用 USB 重定向
|
2. (可选)要更新可进行重定向的 USB 设备的列表,请向策略中添加客户端 USB 设备重定向规则设置并指定 USB 策略规则。
在 Citrix Receiver 中:
3. 在用户设备上安装 Citrix Receiver 时启用 USB 支持。您可以使用管理模板执行此操作,或通过 Citrix Receiver for Windows > 首选项 > 连接。
|
如果已在上一步中为 VDA 指定 USB 策略规则,请为 Citrix Receiver 指定相同的策略规则。
对于瘦客户端,请向制造商咨询有关 USB 支持以及任何所需配置的详细信息。
配置适用于通用 USB 重定向的 USB 设备的类型
当已启用 USB 支持并将 USB 用户首选项设置配置为自动连接 USB 设备时,将自动重定向 USB 设备。当在桌面设备模式下运行并且不存在连接栏时,也会自动重定向 USB 设备。
用户可以明确地对未自动重定向的设备执行重定向操作,方法是从 USB 设备列表中选择这些设备。用户可以通过参阅 Citrix Receiver for Windows 用户帮助文章在 Desktop Viewer 中显示设备获取有关如何执行此操作的更多帮助。
|
要使用通用 USB 重定向而非优化的支持,您可以:
- 在 Citrix Receiver 中,手动选择 USB 设备以使用通用 USB 重定向,从首选项对话框的设备选项卡中选择切换到通用。
- 通过配置 USB 设备类型的自动重定向(例如,AutoRedirectStorage=1)并将 USB 用户首选项设置设为自动连接 USB 设备,可以自动选择 USB 设备以使用通用 USB 重定向。有关详细信息,请参阅 CTX123015。
注意:仅在某个网络摄像头被发现与 HDX 多媒体重定向不兼容时,才能配置通用 USB 重定向以与该网络摄像头一同使用。
要阻止列出或重定向 USB 设备,可以指定 Citrix Receiver 和 VDA 的设备规则。
对于通用 USB 重定向,至少需要了解 USB 设备类别和子类别。并非所有的 USB 设备都会使用其明显的 USB 设备类别和子类别。例如:
- 笔类设备使用鼠标设备类别。
- 智能卡读卡器可能使用供应商定义的或 HID 设备类别。
要想实现更为精确的控制,也需要了解供应商 ID、产品 ID 和版本 ID。您可以从设备供应商处获取这些信息。
Important
恶意的 USB 设备可能会呈现出某些不符合其预期用途的 USB 设备特征。设备规则并非为了防止这种行为。
可以通过同时为 VDA 和 Citrix Receiver 指定 USB 设备重定向规则以覆盖默认 USB 策略规则,来控制可进行通用 USB 重定向的 USB 设备。
对于 VDA:
- 通过组策略规则为服务器操作系统计算机编辑管理员覆盖规则。组策略管理控制台包含在安装介质上:
- 对于 x64:dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- 对于 x86:dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
在 Citrix Receiver for Windows 上:
- 编辑用户设备注册表。安装介质中包含一个管理模板(ADM 文件),以便您可以通过 Active Directory 组策略更改用户设备:
dvd root \os\lang\Support\Configuration\icaclient_usb.adm
警告
注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。使用“注册表编辑器”需自担风险。在编辑注册表之前,请务必进行备份。
产品的默认规则存储在 HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules 中。请勿编辑这些产品默认规则,而应根据这些规则创建管理员覆盖规则,如下文中所述。GPO 覆盖规则将在产品默认规则之前进行评估。
管理员覆盖规则存储在 HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules 中。GPO 策略规则的格式为 {Allow:|Deny:} ,后接一组以空格分隔的 tag=value 表达式。
支持以下标记:
标记 |
说明 |
VID |
设备描述符中的供应商 ID |
PID |
设备描述符中的产品 ID |
REL |
设备描述符中的版本 ID |
类 |
设备描述符或接口描述符中的类;请参阅 USB Web 站点 http://www.usb.org/ 了解可用的 USB 类代码 |
子类 |
设备描述符或接口描述符中的子类 |
端口 |
设备描述符或接口描述符中的协议 |
创建新策略规则时,应注意以下事项:
- 规则不区分大小写。
- 规则末尾可以带有以 # 开头的可选注释。无需分隔符,且将忽略注释以使规则匹配。
- 空白注释行和纯注释行会被忽略。
- 空格用作分隔符,但不能出现在数字或标识符中间。例如,Deny: Class = 08 SubClass=05 是有效规则,Deny: Class=0 Sub Class=05 则无效。
- 标识必须使用匹配运算符 =。例如,VID=1230。
- 每条规则都必须另起新行,或包含在以分号分隔的列表中。
注意
如果使用 ADM 模板文件,则必须在一行中创建规则(以分号分隔的列表)。
示例:
- 以下示例显示了一个用于供应商和产品标识符的 USB 策略规则,由管理员定义:
Allow: VID=046D PID=C626 # 允许 Logitech SpaceNavigator 3D 鼠标 Deny: VID=046D # 拒绝所有 Logitech 产品
- 以下示例显示了一个用于已定义类、子类和协议的 USB 策略规则,由管理员定义:
Deny: Class=EF SubClass=01 Prot=01 # 拒绝 MS 可用同步设备 Allow: Class=EF SubClass=01 # 允许同步设备 Allow: Class=EF # 允许所有 USB 其他设备
使用和删除 USB 设备
用户可以在启动虚拟会话之前或之后连接 USB 设备。
- 在会话启动后连接的设备将立即显示在 Desktop Viewer 的 USB 菜单中。
- 如果 USB 设备不能正确重定向,可等到虚拟会话启动后再连接设备,这样可以解决此问题。
- 为避免数据丢失,请使用 Windows 的“安全删除硬件”图标来删除 USB 设备。
适合 USB 大容量存储设备的安全控制
为 USB 大容量存储设备提供了优化支持。这是 XenApp 和 XenDesktop 客户端驱动器映射的一部分。用户登录时,用户设备上的驱动器将自动映射至虚拟桌面上的驱动器盘符。这些驱动器显示为具有映射驱动器盘符的共享文件夹。要配置客户端驱动器映射,请使用 ICA 策略设置的文件重定向策略设置部分中的客户端可移动驱动器设置。
借助 USB 大容量存储设备,可以使用客户端驱动器映射和/或通用 USB 重定向,均由 Citrix 策略进行控制。主要的区别为:
功能 |
客户端驱动器映射 |
通用 USB 重定向 |
默认情况下启用 |
是 |
否 |
可配置只读访问权限 |
是 |
否 |
加密的设备访问 |
是,如果在访问设备前解锁加密 |
否 |
可在会话期间安全删除设备 |
否 |
是,只要用户按照操作系统建议进行安全删除 |
如果同时启用了通用 USB 重定向和客户端驱动器映射策略,并且在会话启动之前或之后插入了大容量存储设备,则将使用客户端驱动器映射对其进行重定向。如果同时启用了通用 USB 重定向和客户端驱动器映射策略,设备配置为自动重定向(请参阅 http://support.citrix.com/article/CTX123015),并且在会话启动之前或之后插入了大容量存储设备,则将使用通用 USB 重定向对其进行重定向。
注意
低带宽连接(如 50 Kbps)条件下支持 USB 重定向,但是复制大型文件不起作用。
通过客户端驱动器映射控制文件访问
您可以控制用户是否能够将文件从虚拟环境复制到用户设备。默认情况下,可在读取/写入模式下从会话内部使用映射的客户端驱动器上的文件和文件夹。
要防止用户添加或修改映射的客户端设备上的文件和文件夹,请启用只读客户端驱动器访问策略设置。将此设置添加到策略中时,请确保客户端驱动器重定向设置为允许并且也已添加到策略。