在Citirx或VMware VDI环境掌控USB设备.docx

在Citirx或VMware VDI环境掌控USB 设备2011-12-12 09:47陈中华TechTarget中国 我要评论(0)字号：T | T 收藏 众所周知，桌面虚拟化最大的优势就是保证企业数据的安全。所有的数据都保存在统一的数据中 心内，客户端上所看到的只不过是图像而已。除了将本地的数据移到数据中心中，我们还能够控 制什么呢？众所周知，桌面虚拟化最大的优势就是保证企业数据的安全。所有的数据都保存在统一的数据中 心内，客户端上所看到的只不过是图像而已。除了将本地的数据移到数据中心中，我们还能够控 制什么呢?是的，USB设备的管控，这几乎是所有信息安全领域都要谈到的话题，下面我们就来 说一下虚拟桌面环境中USB设备是如何进行管理的。USB设备的ID 通常情况下，企业中会有很多的要求，并不是单单禁用USB存储这么简单。很多企业会设置一些 白名单来允许一些特定的USB设备进行使用。这就需要IT管理员将允许的USB设备跟禁止的USB 设备区分开来，区分的方法有很多，但都是根据USB设备的一些ID来识别的，最常用的是：PID： USB产品的识别码，由生产厂商定义，不同的产品有不同的PID，通常跟VID 一起使用。VID： USB设备的供应商ID，如Scandisk等，每个厂商都有单独的VID，可以到USB组织的网站 进行查询。例如我的西数移动硬盘的VID为0x1058Class： USB设备类型代码，是用来定义USB设备的功能的。例如08代表大容量存储，07代表打 印机，另外在每一个类型下面还有子类型(SubClass)，协议(Protocol)，更加细致的标明USB 设备的功能。具体代码可以到USB组织的网站进行查询。如何查找USB设备的ID?知道了这些USB设备的ID，在实际的应用环境中，还需要将它们找出来。查找USB设备ID的方 法有很多，这里只简单介绍一种比较容易的方法。首先需要下载免费工具USBDeview，只有不到100K的大小。打开这个工具，会显示本机所有USB 端口的连接情况，其中绿色图标的表示已经连接的USB设备(如图1)。双击图标，就会显示当前 USB设备的ID信息。图1显示的是我的移动硬盘的信息。这样你就可以按照需要查看USB设备 的信息。D*weeH4fc会PyH . EJ号fW*止尸3电 PMjflWm Ri*_#gQMPsrt.PCi»SJiuta_>5OfMP6rt!_«OW3>k*.MI&4PCfl-_BjWJ M-A_*WCWH-db>H«4 初 WJW03H佥 _«OOW< f =-rtdHW 44?*Ppr_#WM H.J.1W&1 喔 h«VM£Hwj4Nt 钢=5®Ui4uhMBi冲nh IBB mm日丑二 UStfejiDevxtUUb FlnJi 侦dn斯WD Eimrti M3rLKSEcmppcriiCk， Gtninc HnhEkA 1W Srvuf皿督 USfl-frtpX DnVi1 HTCUMS WTC Antkwi： t»< HtTC ArKkrnd- ?hc* ievtce Ndme:Devici? Typ<：SMr Tn UnplugUSH Hub:SerlJlHvmbrr:U56 心tXEEcrlpUDn:Wil MV 腿日叱 n 5 睥口 DevWeMifi? SltiigcCanncciisd：Yr»Wshlml：mW ILcvierNnbH3yJMI41I94bi393JJhJrLaiPlugAinpfeiOpiri iOjiRigyiD；USI9 ClkLL：USB RdIocdI:Cpmpuir Wgme：Paaduci Nnmc：Device Mig；M3HDUUSBSIOHUSElK I OH.SVS心*5«0| Ml fAUSH VrrtJnh：DrNtrYe-iilfin:(J JEDI.I ?5-14IASSriirTTMTAir FlEAriitivEl：IQJ?UKB EubOlh&lh：neIWb PMCrterled Date:Vlub/P*r1:Vendor 部 peEPHr£-rilld PiEfhSeiMioe Ut&c/lpilon:t>rvlDe Class:VkikHTc Rraaliiai：lAiiliriLe H):UB Mn-：1, 51(11, USEftlD TffS图1： USB设备ID的信息Citirx XenDesktop如何对USB设备进行管理在Citrix XenDesktop环境中，对USB设备的管理是通过Citrix的策略来进行的，Citrix策略 可以在AD的组策略中进行设置（需要安装Citrix组策略安装包），也可以在XenDesktop的Citrix Desktop Studio中进行设置。USB策略的设置主要在用户策略中，首先需要将客户端USB设备重定向选项设置为开启状态，然 后在“客户端USB设备重定向策略”中设置相应的策略，策略的设置非常简单，类似于防火墙中 策略的设置，每条策略依次执行，一直到遇到符合条件的策略，无论是允许或者禁止。对于策略 的语法在界面中有很详细的说明，可以通过USB设备的PID/VID/Class/SubClass/Protocol进行 策略的设置。具体界面如图2。图2： Citrix XenDesktop客户端USB设备重定向策略设置像防火墙策略一样，通常最后一条是禁止所有的设备。这就是通常所说的白名单过滤。策略设置 好之后，还需要将组策略应用到相应用户所在的OU。VMware View如何对USB设备进行管理在VMware View环境中，对USB设备的管理的颗粒度相对粗一些，其主要有三种方式进行管理。1. 在View Manager中进行管理，这里的管理只限于打开或者关闭客户端USB设备的重定向，首 先可以设置整个View的USB设备重定向策略，如果不同的虚拟机池有不同的需求，可以在虚拟 机池中单独再设置USB设备重定向策略，你可以选择继承，或者单独进行设置，另外还可以设置 个别用户的排除，使单独的用户可以独立于整个虚拟机池中的其他用户。设置界面如图3。4 M VMware View Admin ishator-i 3 -i «- na - w 3r-J * *' J - - LX L - -SmiimkeBxl S««Blgn|：CJPrblfrni 5m0 10(frr£n. HhWi/ & j ?9 a Q.3 az房3等 uierf GrwiMt Inueifitarv* HanrtaHng r皿1匚血VlH£ckE Pdioes.N#fn«iMijlirmedia redirectionAJgftemdBie nrodeiKJIdMfPQsJfp m心mAJlN -副FiWK#51CT£OIHGlabal Policies图3. VMware View中USB策略的设置2. 在组策略中进行控制：VMware View除了通过View Manager进行管理以外，还开发了很多组 策略的模板，供IT管理员进一步的管理，所有的组策略模板位于VMware View Connection Server 上目录Program FilesVMwareVMware ViewServerextrasGroupPolicyFiles 中，可以看到 模板涵盖了从客户端到服务器的多个方面，非常细致。所做的只要将这些模板导入到组策略中， 管理员就可以通过组策略进行管理了。USB策略的设置主要集中在计算机策略上，策略可以针对USB设备的PID/VID/Class等进行过滤， 但其应用的范围只限于Teradici Zero Client，应用范围相对局限一些，通过这些策略的设置 可以实现白名单，黑名单的功能，但最多设置10条策略。设置界面如图4。图4. VMware View USB设备组策略设置界面3. 在虚拟桌面或者客户端上进行控制：对于一般的VMware View客户端，如何对USB设备重定向 进一步的管理呢，最后一种方法就是通过修改客户端或者虚拟桌面中的注册表来进行设置。客户端注册表的修改：在装有View Client的Windows客户端上，在注册表位置HKLMSoftwareVMware, Inc.VMware VDMUSB(64 位：HKLMSoftwareWow6432nodeVMware, Inc. VMware VDMUSB)添加注册表键 ClassFilters，类型为 “Multi-String Value”，键值为“-”可以阻止所有的USB设备重定向。这相当于Citrix XenDesktop策略中的Deny：。另外如 果需要设置白名单，可以添加注册表键"AllowHardwareIDs ”，类型为“Multi-String Value”， 键值根据USB设备的PID和VID，具体设置可以参照VMware网站介绍。虚拟桌面注册表的修改：在装有View Agent的Windows虚拟桌面上，在上述的注册表位置添加 名为“HardwareIDFilters”的注册表键，类型为“Multi-String Value”，键值为USB设备的 VID/PID，同样可以阻止相应类型的USB设备，不过遗憾的是这只能实现黑名单的功能。虽然在客户端进行USB设备重定向过滤的设置，但是这样的管理显然增加了 IT管理员的工作量， 而且显然不适合BYOD(带自己的电脑工作)的场景。它只能应用在一些个别的应用场景中。VMware View和Citrix XenDesktop对USB设备重定向的管理各有不同的方式，也可以实现不同 的功能，不过采用哪种方案还是取决于最终用户的需求。仔细了解一下你的环境和需求，然后再 决定选择哪一种解决方案吧。