通用USB重定向和客户端驱动器注意事项
HDX技术提供优化的支持最流行的USB设备。优化的支持在广域网上提供了更好的性能和带宽效率的用户体验。优化的支持通常是最好的选择,特别是在高延迟或安全敏感的环境中。
HDX技术提供通用USB重定向对于没有优化支持或不合适的专业设备,例如:
- USB设备具有更高级的功能,不属于优化支持,例如具有更多按钮的鼠标或网络摄像头。
- 用户需要的功能不是优化支持的一部分。
- USB设备是一种专用设备,如测试测量设备或工业控制器。
- 应用程序需要直接访问作为USB设备的设备。
- USB设备仅提供Windows驱动程序。例如,智能读卡器可能没有可用于Android的Citrix Workspace应用程序的驱动程序。
- Citrix Workspace应用程序的版本不提供对这种USB设备的任何优化支持。
通用USB重定向:
- 用户无需在用户设备上安装设备驱动程序。
- VDA机器上已安装USB客户端驱动程序。
重要的:
- Generic USB重定向可以与优化的支持一起使用。如果启用通用USB重定向,请配置CitrixUSB设备策略设置对于通用USB重定向和优化支持。
- Citrix策略设置客户端USB设备优化规则是针对特定USB设备的通用USB重定向的特定设置。它不适用于这里描述的优化支持。
USB设备的性能考虑
对于某些类型的USB设备,使用通用USB重定向时,网络延迟和带宽会影响用户体验和USB设备操作。例如,对时间敏感的设备可能无法在高延迟、低带宽的链路上正确运行。尽可能使用优化的支持。
一些USB设备需要高带宽才能使用,例如3D鼠标(用于通常也需要高带宽的3D应用程序)。如果不能增加带宽,则可以通过使用带宽策略设置调优其他组件的带宽使用来缓解这个问题。有关更多信息,请参见带宽策略设置对于客户端USB设备重定向,以及多流连接策略设置.
USB设备的安全考虑
一些USB设备是自然安全敏感的,例如智能读卡器,指纹读卡器和签名垫。其他USB存储设备(如USB存储设备)可用于传输可能敏感的数据。
USB设备经常被用来传播恶意软件。配置Citrix工作区应用程序和Citrix虚拟应用程序和桌面可以减少,但不能消除这些USB设备的风险。这种情况适用于通用USB重定向或优化支持。
重要的:
对于安全敏感的设备和数据,总是使用其中之一来保护HDX连接TLS或IPsec。
只支持您需要的USB设备。配置通用USB重定向和优化支持,以满足这一需求。
为用户提供安全使用USB设备的指导:
- 只能使用从可靠来源获取的USB设备。
- 在开放环境中,不要让USB设备无人看管——例如,网吧中的优盘。
- 解释在多台电脑上使用USB设备的风险。
与通用USB重定向兼容性
通用USB重定向支持usb2.0和更早的设备。通用USB重定向也支持连接到USB 2.0或USB 3.0端口的USB 3.0设备。通用USB重定向不支持usb3.0中引入的USB功能,如超高速。
这些Citrix Workspace应用程序支持通用USB重定向:
- Citrix Works适用于Windows,请参阅配置应用程序交付.
- Citrix工作区应用程序的Mac,见Citrix Workspace app for Mac.
- Citrix Workspace app for Linux,参见优化.
- Citrix Workspace app for Chrome OS,参见Citrix Workspace应用程序用于Chrome.
有关Citrix Workspace应用程序版本,请参见Citrix Workspace应用程序功能矩阵.
如果您使用的是早期版本的Citrix Workspace应用程序,请参阅Citrix Workspace应用程序文档以确认支持通用USB重定向。有关支持的USB设备类型的任何限制,请参阅Citrix Workspace应用程序文档。
VDA的桌面会话支持Generic USB重定向,用于单会话OS版本7.6通过当前。
通用USB重定向支持桌面会话从VDA多会话OS版本7.6通过当前,有这些限制:
- VDA必须运行Windows Server 2012 R2或Windows Server 2016。
- USB设备驱动程序必须与VDA OS(Windows 2012 R2)的远程桌面会话主机(RDSH)完全兼容,包括完整的虚拟化支持。
泛型USB重定向不支持某些类型的USB设备,因为重定向它们不会有用:
- USB调制解调器。
- USB网络适配器。
- USB集线器。连接到USB集线器的USB设备是单独处理的。
- USB虚拟COM端口。使用COM端口重定向而不是通用的USB重定向。
有关已使用通用USB重定向测试的USB设备的信息,请参见Citrix准备好市场.有些USB设备在通用USB重定向时不能正常运行。
配置Generic USB重定向
您可以控制和单独配置哪种类型的USB设备使用Generic USB重定向:
- 在VDA中,使用Citrix策略设置。有关更多信息,请参见客户端驱动器和用户设备的重定向和USB设备策略设置在策略设置引用中
- 在Citrix Workspace应用程序中,使用Citrix Workspace应用程序相关机制。例如,管理模板控制为Windows配置Citrix Workspace应用程序的注册表设置。默认情况下,允许USB重定向到某些类别USB设备并拒绝其他类。有关更多信息,请参见配置在Citrix工作区应用程序的Windows文档。
这种单独的配置提供了灵活性。例如:
- 如果两个不同的组织或部门负责Citrix工作区应用程序和VDA,他们可以分别实施控制。该配置适用于一个组织的用户访问另一个组织的应用。
- Citrix策略设置可以控制仅适用于某些用户的USB设备,也可以控制仅在LAN上(而不是使用Citrix网关)的用户。
启用通用USB重定向
要启用通用USB重定向,而不需要用户手动重定向,请同时配置Citrix策略设置和Citrix工作区应用程序连接首选项。
在Citrix策略设置:
添加客户端USB设备重定向策略并将其值设置为允许.
(可选)要更新可用于重定向的USB设备列表,请添加客户端USB设备重定向规则设置USB策略,并指定USB策略规则。
在Citrix工作区应用程序:
指定设备在没有手动重定向的情况下自动连接。您可以使用管理模板或Citrix Workspace应用程序执行此操作Windows > Preferences > Connections.
如果在上一步中为VDA指定了USB策略规则,请为Citrix Workspace应用程序指定相同的策略规则。
对于瘦客户机,请咨询制造商了解USB支持和任何所需配置的详细信息。
配置通用USB重定向可用的USB设备类型
启用USB支持后,USB设备会自动重定向,USB用户偏好设置为自动连接USB设备。当连接栏不存在时,USB设备也会自动重定向。
用户可以通过从USB设备列表中选择设备,显式地重定向没有自动重定向的设备。更多信息,Citrix工作区应用程序的Windows用户帮助文章,在桌面查看器中显示设备.
要使用通用USB重定向而不是优化的支持,您可以:
- 在Citrix Workspace app中,手动选择要使用通用USB重定向的USB设备,选择切换到普通从“首选项”对话框的“设备”选项卡中。
- 通过配置USB设备类型的自动重定向(例如AutoRedirectStorage=1),并设置USB用户偏好设置自动连接USB设备,自动选择使用通用USB重定向的USB设备。有关更多信息,请参见配置USB设备自动重定向.
笔记:
如果发现网络摄像头与HDX多媒体重定向不兼容,则仅配置Generic USB重定向以与网络摄像头一起使用。
为防止从未列出或重定向的USB设备,可以为Citrix Workspace应用程序和VDA指定设备规则。
对于通用USB重定向,您至少需要知道USB设备类和子类。并不是所有的USB设备都使用它们明显的USB设备类和子类。例如:
- 钢笔使用鼠标设备类。
- 智能卡读卡器可以使用厂商定义的或HID设备类。
为了进行更精确的控制,您需要知道Vendor ID、Product ID和Release ID。您可以从设备供应商那里获得这些信息。
重要的:
恶意USB设备可能会呈现与预期用途不匹配的USB设备特征。设备规则并不打算阻止这种行为。
您可以通过为VDA和Citrix Workspace app指定USB设备重定向规则来控制可用于通用USB重定向的USB设备,以覆盖默认的USB策略规则。
的共识:
- 通过组策略规则编辑多会话操作系统机器的管理员覆盖规则。安装媒体中包含组策略管理控制台:
- 对于X64:DVD根\ OS \ lang \ x64 \ citrix policy \ citrixgrouppolicymanagement_x64.msi
- x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
在Citrix Workspace应用程序for Windows:
- 编辑用户设备注册表。安装介质中包含一个管理模板(ADM文件),因此您可以通过Active Directory组策略更改用户设备
警告:
不正确地编辑注册表可能会导致严重的问题,可能需要重新安装操作系统。Citrix不能保证由于不正确使用注册表编辑器而导致的问题能够得到解决。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份注册表。
产品默认规则存储在HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB中。不要编辑这些产品默认规则。相反,可以将它们作为创建管理员覆盖规则的指南,本文稍后将对此进行解释。在产品默认规则之前评估GPO覆盖。
管理员覆盖规则存储在“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\ devicerrules”文件中。GPO策略规则采用这种格式{允许:|否认:}其次是一套标签=值白色空间分隔的表达式。
支持以下标签:
| 标签 | 描述 |
|---|---|
| 从视频 | 设备描述符中的供应商ID |
| PID | 设备描述符的产品ID |
| REL | 从设备描述符释放ID |
| 班级 | 从设备描述符或接口描述符获取类;请参阅USB的网站http://www.usb.org/USB类代码 |
| 子类 | 从设备描述符或接口描述符派生的子类 |
| 普罗特 | 来自设备描述符或接口描述符的协议 |
创建策略规则时,请注意以下内容:
- 规则不区分大小写。
- 规则可以在末尾有一个可选的注释,由
#.分隔符不是必需的,为了进行匹配,注释将被忽略。 - 忽略空白和纯粹的注释行。
- 空格用作分隔符,但不能出现在数字或标识符的中间。例如:Deny: Class= 08 SubClass=05是一个有效的规则,但Deny: Class=0 SubClass=05不是。
- 标签必须使用匹配的运算符=。例如,VID = 1230。
- 每个规则必须从新行开始或形成分号分隔列表的一部分。
笔记:
如果您使用的是ADM模板文件,则必须在单行上创建规则,作为分号分隔列表。
例子:
以下示例显示了供应商和产品标识符的管理员定义的USB策略规则:
允许:VID = 046D PID = C626#允许Logitech Spacenavigator 3D鼠标拒绝:VID = 046D#拒绝所有罗技产品下面的示例显示了针对已定义的类、子类和协议的管理员定义的USB策略规则:
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices
使用和移除USB设备
用户可以在启动虚拟会话之前或之后连接USB设备。
当使用Citrix工作区应用程序的Windows,以下应用程序:
- 会话开始后连接的设备立即出现在桌面查看器的USB菜单中。
- 如果USB设备没有正确的重定向,您可以尝试通过等待连接设备直到虚拟会话开始后来解决这个问题。
- 为了避免数据丢失,在移除USB设备之前,请使用Windows的“安全移除硬件”图标。
USB大容量存储设备的安全控制
优化支持USB大容量存储设备。这种支持是Citrix虚拟应用程序和桌面客户端驱动器映射的一部分。当用户登录时,用户设备上的驱动器会自动映射到虚拟桌面中的驱动器号。驱动器显示为已映射驱动器号的共享文件夹。要配置客户端驱动器映射,请使用客户端可拆卸驱动器设置。这个设置是在文件重定向策略设置ICA策略设置的一部分。
使用USB大容量存储设备,您可以使用客户端驱动器映射或通用USB重定向,或两者都使用。使用Citrix策略控制它们。主要的区别是:
| 特征 | 客户端驱动器映射 | 通用USB重定向 |
|---|---|---|
| 默认启用 | 是的 | 不 |
| 只读访问配置 | 是的 | 不 |
| 加密设备访问权限 | 是的,如果在访问设备之前解锁加密 | 是的 |
| BitLocker To Go设备 | 不 | 不 |
| 在会话期间安全删除设备 | 不 | 是的,前提是用户按照操作系统建议安全删除 |
如果启用了通用USB重定向和客户端驱动器映射策略并且在会话之前或之后插入大容量存储设备,则使用客户端驱动器映射重定向它。启用通用USB重定向和客户端驱动器映射策略并配置为自动重定向和会话开始之前或之后插入大容量存储设备时,使用Generic USB重定向重定向。有关更多信息,请参阅知识中心文章CTX123015.
笔记:
USB重定向支持较低的带宽连接,例如50 kbps。但是,复制大文件不起作用。
使用客户端驱动器映射控制文件访问
您可以控制用户是否可以将文件从其虚拟环境复制到其用户设备。默认情况下,映射客户端驱动器上的文件和文件夹可在会话中从读/写模式下使用。
为防止用户在映射的客户端设备上添加或更改文件和文件夹,请启用只读客户端驱动器访问策略设置。将此设置添加到策略时,请确保将客户端驱动器重定向设置设置为允许并加入到政策中。