通用USB重定向和客户端驱动器注意事项
HDX技术提供优化的支持大多数流行的USB设备。优化的支持提供了改进的用户体验,在广域网上具有更好的性能和带宽效率。优化支持通常是最佳选择,特别是在高延迟或安全敏感的环境中。
HDX技术提供通用USB重定向对于没有优化支持或不适合支持的特殊设备,例如:
- USB设备有更高级的功能,这不是优化支持的一部分,比如鼠标或网络摄像头有更多的按钮。
- 用户需要的功能不是优化支持的一部分。
- USB设备是一种专门的设备,如测试和测量设备或工业控制器。
- 应用程序需要直接访问设备作为USB设备。
- USB设备只有Windows驱动程序可用。例如,智能卡阅读器可能没有用于Android的Citrix Workspace应用程序的驱动程序。
- Citrix Workspace应用程序的版本没有为这种类型的USB设备提供任何优化支持。
通用USB重定向:
- 用户不需要在用户设备上安装设备驱动程序。
- VDA机器上安装了USB客户端驱动程序。
重要的是:
- 通用USB重定向可以与优化的支持一起使用。开启通用USB重定向时,需要配置CitrixUSB设备策略设置通用USB重定向和优化支持。
- Citrix的策略设置客户端USB设备优化规则是通用USB重定向的特定设置,用于特定的USB设备。它不适用于这里所描述的优化支持。
- 当使用Citrix软件将会话代理到Azure虚拟机时,Citrix提供了对USB重定向到Azure虚拟机的最佳支持。我们支持修复Citrix的软件问题,但不支持底层的Azure虚拟机。
- 具有光盘刻录功能的CD/DVD设备可以被重定向,但不能使用这些设备的刻录功能。这是由于会话的缓冲区限制。
USB设备的性能考虑
当对某些类型的USB设备使用通用USB重定向时,网络延迟和带宽会影响用户体验和USB设备操作。例如,对时间敏感的设备可能无法在高延迟低带宽链路上正确操作。在可能的情况下使用优化的支持。
有些USB设备需要高带宽才能使用,例如3D鼠标(用于3D应用程序,通常也需要高带宽)。如果不能增加带宽,则可以通过使用带宽策略设置调优其他组件的带宽使用情况来缓解这个问题。有关更多信息,请参见带宽策略设置为“客户端USB设备重定向”多流连接策略设置.
USB设备的安全注意事项
有些USB设备本质上是安全敏感的,例如智能卡阅读器、指纹阅读器和签名垫。其他USB设备,如USB存储设备,可用于传输可能敏感的数据。
USB设备经常被用来传播恶意软件。配置Citrix工作区应用程序和Citrix虚拟应用程序和桌面可以减少,但不能消除来自这些USB设备的风险。无论使用通用USB重定向还是优化支持,这种情况都适用。
重要的是:
对于安全敏感的设备和数据,请始终使用其中之一保护HDX连接TLS或IPsec。
只启用对所需USB设备的支持。配置通用USB重定向和优化支持,以满足这一需求。
指导用户安全使用USB设备:
- 只能使用从可靠来源获得的USB设备。
- 不要把USB设备放在无人看管的开放环境中——例如,在网吧里的u盘。
- 解释在多台电脑上使用USB设备的风险。
兼容通用USB重定向
通用USB重定向支持USB 2.0和更早的设备。通用USB重定向还支持连接到USB 2.0或USB 3.0端口的USB 3.0设备。通用USB重定向不支持USB 3.0中引入的USB特性,如超级速度。
这些Citrix Workspace应用程序支持通用USB重定向:
- Citrix工作空间应用程序的Windows,见配置应用程序交付.
- Mac版Citrix Workspace应用Citrix Mac工作空间应用.
- Citrix工作区的Linux应用程序,见优化.
- Citrix Workspace Chrome OS应用,见Citrix Workspace Chrome应用.
有关Citrix Workspace应用程序版本,请参阅Citrix Workspace应用程序特征矩阵.
如果您使用的是Citrix Workspace应用程序的较早版本,请参阅Citrix Workspace应用程序文档以确认支持通用USB重定向。有关支持的USB设备类型的任何限制,请参阅Citrix Workspace应用程序文档。
通用USB重定向支持从VDA单会话操作系统版本7.6到当前的桌面会话。
通用USB重定向支持从VDA多会话操作系统版本7.6到当前的桌面会话,有以下限制:
- VDA的操作系统必须为Windows Server 2012 R2或Windows Server 2016。
- USB设备驱动程序必须完全兼容VDA操作系统(Windows 2012 R2)的rsh (Remote Desktop Session Host),包括完全虚拟化支持。
某些类型的USB设备不支持通用USB重定向,因为重定向它们是没有用的:
- USB调制解调器。
- USB网络适配器。
- USB集线器。连接到USB集线器的USB设备单独处理。
- USB虚拟COM端口。使用COM端口重定向而不是通用的USB重定向。
有关已使用通用USB重定向测试过的USB设备的信息,请参见Citrix准备好市场.有些USB设备不能正确使用通用USB重定向。
配置通用USB重定向
您可以控制,并单独配置,哪些类型的USB设备使用通用USB重定向:
- 在VDA上,使用Citrix策略设置。有关更多信息,请参见客户端驱动器和用户设备的重定向而且USB设备策略设置在策略设置引用中
- 在Citrix Workspace应用中,使用Citrix Workspace应用依赖的机制。例如,管理模板控制注册表设置,为Windows配置Citrix Workspace应用程序。默认情况下,某些类型的USB设备允许重定向,其他类型的USB设备不允许重定向。有关更多信息,请参见配置在Citrix Workspace应用程序的Windows文档中。
这种单独的配置提供了灵活性。例如:
- 如果两个不同的组织或部门负责Citrix Workspace app和VDA,他们可以分别实施控制。当一个组织中的用户访问另一个组织中的应用程序时,需要配置此配置。
- Citrix策略设置可以控制仅允许某些用户或仅允许通过LAN连接的用户(而不是通过使用Citrix Gateway)的USB设备。
启用通用USB重定向
要启用通用USB重定向,而不需要用户手动重定向,请同时配置Citrix策略设置和Citrix工作区应用程序连接首选项。
在Citrix策略设置中:
添加客户端USB设备重定向,并将其值设置为允许.
(可选)当需要更新可重定向的USB设备列表时,可添加客户端USB设备重定向规则设置USB策略,并指定USB策略规则。
在Citrix Workspace应用中:
指定设备自动连接,不需要手动重定向。您可以使用管理模板或Citrix工作区应用程序的Windows >首选项>连接。
如果您在上一步中为VDA指定了USB策略规则,那么请为Citrix Workspace应用程序指定相同的策略规则。
对于瘦客户机,请向制造商咨询有关USB支持和任何所需配置的详细信息。
配置通用USB重定向可使用的USB设备类型
当启用USB支持并设置USB用户优先级为自动连接USB设备时,USB设备会自动重定向。当连接栏不存在时,USB设备也会自动重定向。
用户可以通过从USB设备列表中选择设备,显式重定向未自动重定向的设备。有关更多信息,请参阅Citrix Workspace应用程序Windows用户帮助文章,在桌面查看器中显示您的设备.
要使用通用USB重定向而不是优化的支持,您可以:
- 在Citrix Workspace app中,手动选择USB设备使用通用USB重定向,选择切换到普通从首选项对话框的设备选项卡。
- 自动选择使用通用USB重定向的USB设备,通过配置USB设备类型的自动重定向(如AutoRedirectStorage=1),并设置USB用户首选项设置,自动连接USB设备。有关更多信息,请参见配置USB设备自动重定向.
注意:
如果发现摄像头与HDX多媒体重定向不兼容,则只配置通用USB重定向与摄像头一起使用。
为了防止USB设备被列出或重定向,您可以为Citrix Workspace应用程序和VDA指定设备规则。
对于通用的USB重定向,您至少需要知道USB设备类和子类。并不是所有的USB设备都使用它们明显的USB设备类和子类。例如:
- 钢笔使用鼠标设备类。
- 智能卡阅读器可以使用厂商定义的或HID设备类。
要进行更精确的控制,您需要知道Vendor ID、Product ID和Release ID。您可以从设备供应商那里获得这些信息。
重要的是:
恶意USB设备可能会呈现与其预期用途不匹配的USB设备特征。设备规则不是为了防止这种行为。
通过为VDA和Citrix Workspace应用程序指定USB设备重定向规则,可以控制可用于通用USB重定向的USB设备,以覆盖默认的USB策略规则。
的共识:
- 通过组策略规则编辑多会话操作系统计算机的管理员覆盖规则。组策略管理控制台包含在安装媒体中:
- 针对x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
在Citrix Windows Workspace应用中:
- 编辑用户设备注册表。管理模板(ADM文件)包含在安装介质中,因此您可以通过Active Directory组策略更改用户设备:dvd root \os\lang\Support\Configuration\icaclient_usb.adm
警告:
不正确地编辑注册表可能会导致严重的问题,可能需要重新安装操作系统。Citrix不能保证由于注册表编辑器的错误使用而引起的问题能够得到解决。使用注册表编辑器的风险自负。在编辑注册表之前,请务必备份注册表。
产品默认规则存储在HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\ devicerrules中。不要编辑这些产品默认规则。相反,可以将它们用作创建管理员覆盖规则的指南,这将在本文后面进行解释。GPO覆盖在产品默认规则之前进行评估。
管理员覆盖规则存储在HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\ devicerrules中。GPO策略规则采用这种格式{允许:|否认:}接着是一套标签=值用空格分隔的表达式。
支持以下标签:
| 标签 | 描述 |
|---|---|
| 从视频 | 来自设备描述符的供应商ID |
| PID | 来自设备描述符的产品ID |
| REL | 从设备描述符中释放ID |
| 类 | 类从设备描述符或接口描述符;参见USB网站http://www.usb.org/参阅可用的USB类别代码 |
| 子类 | 设备描述符或接口描述符的子类 |
| 普罗特 | 来自设备描述符或接口描述符的协议 |
创建策略规则时需要注意以下几点:
- 规则是不区分大小写的。
- 规则可以在末尾有一个可选的注释,由
#.分隔符是不需要的,为了匹配,注释会被忽略。 - 空白和纯注释行被忽略。
- 空格用作分隔符,但不能出现在数字或标识符的中间。例如,Deny: Class= 08 SubClass=05是一条有效的规则,而Deny: Class=0 SubClass=05则不是。
- 标记必须使用匹配的操作符=。例如,VID = 1230。
- 每个规则必须从新的一行开始,或者成为分号分隔的列表的一部分。
注意:
如果使用ADM模板文件,则必须在一行中创建规则,作为分号分隔的列表。
例子:
下面的例子展示了一个管理员为供应商和产品标识符定义的USB策略规则:
允许:VID=046D PID=C626 #允许罗技spacenavator 3D鼠标拒绝:VID=046D #拒绝所有罗技产品下面的例子展示了一个管理员为定义的类、子类和协议定义的USB策略规则:
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF #允许所有USB-Miscellaneous设备
使用和移除USB设备
用户可以在开始虚拟会话之前或之后连接USB设备。
当使用Citrix Workspace应用程序在Windows,以下应用:
- 会话开始后连接的设备立即出现在桌面查看器的USB菜单中。
- 如果USB设备不能正确重定向,您可以尝试通过等待连接设备,直到虚拟会话启动后来解决这个问题。
- 为避免数据丢失,请在移除USB设备之前使用Windows“安全移除硬件”图标。
USB海量存储设备的安全控制
优化支持USB海量存储设备。该支持是Citrix Virtual Apps和desktop客户端驱动器映射的一部分。用户登录时,用户设备上的盘符会自动映射到虚拟桌面的盘符。驱动器显示为已映射驱动器号的共享文件夹。配置客户端驱动器映射时,请使用客户端可移动驱动器设置。这个设置在文件重定向策略设置部分的ICA策略设置。
对于USB海量存储设备,您可以使用客户端驱动器映射或通用USB重定向,或两者都使用。使用Citrix策略控制它们。主要的区别是:
| 功能 | 客户端驱动器映射 | 通用USB重定向 |
|---|---|---|
| 默认启用 | 是的 | 没有 |
| 只读访问配置 | 是的 | 没有 |
| 加密设备访问 | 是,如果在访问设备之前解锁了加密 | 是的 |
| BitLocker To Go设备 | 没有 | 没有 |
| 在会话期间安全删除设备 | 没有 | 是的,只要用户遵循操作系统的安全删除建议 |
如果开启了通用USB重定向和客户端驱动器映射策略,且在会话开始前后插入了大容量存储设备,则通过客户端驱动器映射对大容量存储设备进行重定向。当同时启用USB通用重定向和客户端驱动器映射策略,且配置了自动重定向设备,且在会话开始前或开始后插入了大容量存储设备时,使用USB通用重定向。有关更多信息,请参见知识中心的文章CTX123015.
注意:
USB重定向支持较低带宽连接,例如50kbps。但是,复制大文件不起作用。
使用客户端驱动器映射控制文件访问
可以控制用户是否可以将文件从虚拟环境复制到用户设备。默认情况下,映射客户端驱动器上的文件和文件夹从会话内以读/写模式可用。
为防止用户在映射的客户端设备上添加或更改文件和文件夹,请启用只读客户端驱动器访问策略设置。将此设置添加到策略时,请确保“客户端驱动器重定向设置”设置为允许也被添加到策略中。