XenApp and XenDesktop

Consideraciones sobre unidades del cliente y USB

La tecnología HDX ofrece optimización con los dispositivos USB más comunes. Esto incluye:

  • Monitores
  • Mouse
  • Teclados
  • Teléfonos VoIP
  • Auriculares con micro
  • Cámaras web
  • Escáneres
  • Cámaras
  • Impresoras
  • Unidades
  • Lectores de tarjetas inteligentes
  • Tabletas de dibujo
  • Paneles táctiles de firma electrónica

La optimización ofrece una experiencia de usuario mejorada, con mejor rendimiento y eficiencia del ancho de banda en una conexión por red WAN. La optimización suele ser la mejor opción, sobre todo en entornos de alta latencia o cuando se requiera confidencialidad.

La tecnología HDX ofrece la redirección de USB genérico para dispositivos específicos sin optimización o cuando esta no es adecuada; por ejemplo:

  • El dispositivo USB tiene otras funciones avanzadas que no forman parte de la optimización, como mouse o cámaras web con botones adicionales.
  • Los usuarios necesitan funciones que no forman parte de la optimización, como grabar un CD.
  • Los dispositivos USB es un dispositivo especializado, como un equipo de pruebas o mediciones, o bien un automatismo industrial.
  • Una aplicación requiere acceso directo al dispositivo como dispositivo USB.
  • El dispositivo USB solo tiene disponible un controlador Windows. Por ejemplo, un lector de tarjetas inteligentes puede no tener disponible un controlador para Citrix Receiver para Android.
  • La versión de Citrix Receiver no ofrece optimización para este tipo de dispositivo USB.

Con la redirección de USB genérico:

  • Los usuarios no necesitan instalar controladores de dispositivos en el dispositivo de usuario.
  • Los controladores de cliente de USB se instalan en la máquina del VDA.

Nota

  • La redirección de USB genérico puede utilizarse junto con la optimización. Si habilita la redirección de USB genérico, configure las directivas de dispositivos USB de Citrix tanto para la redirección de USB genérico como para el respaldo optimizado si quiere evitar comportamientos inesperados e incoherentes.
  • La configuración de directiva Reglas de optimización de dispositivos USB del cliente de Citrix es una configuración específica para la redirección de USB genérico, para un determinado dispositivo USB. No es la optimización que se describe aquí.
  • Redirección de dispositivos USB Plug and Play del cliente es una característica relacionada que ofrece respaldo optimizado para dispositivos tales como cámaras y reproductores de medios que usan el protocolo de transferencia de imágenes (PTP) o el protocolo de transferencia multimedia (MTP). La redirección USB Plug and Play del cliente no forma parte de la redirección de USB genérico. Para obtener la lista de versiones de VDA compatibles, consulte Configuraciones predeterminadas de directivas.

Consideraciones de rendimiento para dispositivos USB

Con la redirección de USB genérico, para algunos tipos de dispositivos USB, la latencia de red y el ancho de banda pueden afectar a la experiencia de usuario y al funcionamiento del dispositivo USB. Por ejemplo, es posible que los dispositivos que tengan en cuenta el tiempo no funcionen correctamente en conexiones con enlaces de alta latencia y poco ancho de banda. En su lugar, se usa la optimización, si es posible.

Algunos dispositivos USB requieren mucho ancho de banda para poderse usar como, por ejemplo, un mouse 3D (se usa con aplicaciones 3D que también suelen requerir una gran cantidad de ancho de banda). Puede evitar problemas de rendimiento con directivas de Citrix. Para obtener más información, consulte Configuraciones de directiva de Ancho de banda para la redirección de dispositivos USB del cliente y Configuraciones de directiva de Conexiones de multisecuencia.

Consideraciones de seguridad para dispositivos USB

Algunos dispositivos USB implican el uso de información confidencial por naturaleza; por ejemplo, los lectores de tarjetas inteligentes, los lectores de huellas digitales y los paneles táctiles de firma electrónica. Otros dispositivos USB, como los dispositivos de almacenamiento USB, se pueden usar para la transmisión de datos que pueden ser confidenciales.

Los dispositivos USB se utilizan con frecuencia para distribuir software malicioso (malware). Configurar Citrix Receiver, XenApp y XenDesktop puede reducir (pero no eliminar) el riesgo proveniente de esos dispositivos USB. Esto se aplica cuando se utiliza la optimización o la redirección de USB genérico.

Importante

En caso de dispositivos y datos confidenciales, proteja siempre la conexión HDX mediante TLS o IPSec.

Habilite solo los dispositivos USB que necesite. Configure la redirección de USB genérico y la optimización para ello.

Ofrezca instrucciones a los usuarios para un uso seguro de los dispositivos USB: usar solo los dispositivos USB que se hayan obtenido de una fuente de confianza; no perder de vista los dispositivos USB en entornos de libre acceso (por ejemplo, una unidad flash en una cafetería con WiFi). Asimismo, explique los riesgos de utilizar un dispositivo USB en más de un equipo.

Compatibilidad con la redirección de USB genérico

La redirección de USB genérico se admite en dispositivos USB 2.0 y versiones anteriores. También se admite la redirección de USB genérico en dispositivos USB 3.0 conectados a puertos USB 2.0 o USB 3.0. En cambio, la redirección de USB genérico no admite las funciones de USB introducidas en USB 3.0 tales como la velocidad extra.

Estos Citrix Receiver admiten la redirección de USB genérico:

Para ver las versiones de Citrix Receiver, consulte Matriz de funciones de Citrix Receiver.

Si usa versiones anteriores de Citrix Receiver, consulte la documentación de Citrix Receiver para ver si se admite la redirección de USB genérico. Consulte la documentación de Citrix Receiver para ver las limitaciones de los tipos de dispositivos USB que se admiten.

La redirección de USB genérico se admite en sesiones de escritorio a partir de la versión 7.6 del VDA para SO de escritorio hasta la versión actual.

La redirección de USB genérico se admite en sesiones de escritorio a partir de la versión 7.6 del VDA para SO de servidor hasta la versión actual con las siguientes restricciones:

  • El VDA debe estar ejecutándose en Windows Server 2012 R2 o Windows Server 2016.
  • Los controladores del dispositivo USB deben ser compatibles con el host de sesión de Escritorio remoto (RDSH) para Windows 2012 R2, incluido el respaldo completo a la virtualización.

A continuación, se ofrecen algunos tipos de dispositivos USB que no se admiten para la redirección de USB genérico porque no sería útil redirigirlos:

  • Módems USB.
  • Adaptadores de red USB.
  • Concentradores USB. Los dispositivos USB conectados a los concentradores USB se administran de forma individual.
  • Puertos USB COM virtuales. Use la redirección de puertos COM en lugar de la redirección de USB genérico.

Para obtener información acerca de los dispositivos USB que se han probado con la redirección de USB genérico, consulte CTX123569. Algunos dispositivos USB no funcionan correctamente con la redirección de USB genérico.

Configurar la redirección de USB genérico

Puede decidir los tipos de dispositivos USB que usarán la redirección de USB genérico. Se puede configurar de forma independiente:

  • En el VDA, mediante configuraciones de directivas de Citrix. Para obtener más información, consulte Redirección de dispositivos del cliente y dispositivos del usuario y Configuraciones de directiva de Dispositivos USB en la Referencia para configuraciones de directivas.
  • En Citrix Receiver, mediante los mecanismos que dependen de Citrix Receiver. Por ejemplo, Citrix Receiver para Windows se configura con parámetros de Registro que pueden gestionarse desde una plantilla administrativa. De forma predeterminada, la redirección de USB se permite para ciertas clases de dispositivos USB y se rechaza para otras; para obtener más información, consulte Configurar la compatibilidad con USB en la documentación de Citrix Receiver para Windows para obtener más información.

Esta configuración independiente tiene la ventaja de ofrecer flexibilidad. Por ejemplo:

  • Si dos departamentos o empresas diferentes se encargan de Citrix Receiver y del VDA, pueden aplicar medidas de control por separado. Estas se aplicarían cuando un usuario, ubicado en una empresa, accediera a una aplicación ubicada en otra empresa.
  • Si solo se permiten dispositivos USB a ciertos usuarios o solo a aquellos usuarios que se conecten por medio de una red de área local (en lugar de hacerlo con NetScaler Gateway), se puede controlar con las configuraciones de directivas de Citrix.

Habilitar la redirección de USB genérico

Para habilitar la redirección de USB genérico, configure Citrix Receiver y las configuraciones de directiva de Citrix.

En configuraciones de directiva de Citrix:

  1. Agregue Redirección de dispositivos USB del cliente a una directiva y establezca su valor en Permitida.

    Imagen localizada

  2. (Optativo.) Para actualizar la lista de dispositivos USB disponibles para la redirección, agregue la configuración Reglas de redirección de dispositivos USB del cliente a una directiva y especifique las reglas de la directiva USB.

    En Citrix Receiver:

  3. Habilite el uso de USB cuando instale Citrix Receiver en los dispositivos de usuario. Puede hacerlo mediante una plantilla administrativa, o bien en Citrix Receiver para Windows > Preferencias > Conexiones.

Imagen localizada

Si especificó reglas de directiva de USB para el agente VDA en el paso anterior, especifique las mismas reglas de directiva para Citrix Receiver.

Para los clientes ligeros, consulte al fabricante para obtener detalles sobre la compatibilidad con USB y cualquier configuración requerida.

Configurar los tipos de dispositivos USB disponibles para la redirección de USB genérico

Los dispositivos USB se redirigen automáticamente cuando el respaldo de USB está habilitado y la configuración de las preferencias de usuario para USB está definida para conectar automáticamente los dispositivos USB. Los dispositivos USB también se redirigen automáticamente cuando se trabaja en modo Desktop Appliance y la barra de conexión no está presente.

Los usuarios pueden redirigir explícitamente dispositivos que no se redirigen automáticamente. Para ello, deberán seleccionarlos en la lista de dispositivos USB. Los usuarios pueden obtener más ayuda sobre la forma de hacerlo en el artículo de Citrix Receiver para Windows Cómo mostrar los dispositivos en Desktop Viewer.

Imagen localizada

Para usar la redirección de USB genérico en lugar de la optimización, puede:

  • En Citrix Receiver, seleccione manualmente el dispositivo USB con que se va a usar la redirección de USB genérico, elija Cambiar a genérico en la ficha “Dispositivos” del cuadro de diálogo “Preferencias”.
  • Seleccione automáticamente el dispositivo USB con que se va a usar la redirección de USB genérico. Para ello, configure la redirección automática para el tipo de dispositivo USB (por ejemplo, AutoRedirectStorage=1) y establezca las preferencias de usuario para USB en la conexión automática de los dispositivos USB. Para obtener más información, consulte CTX123015.

Nota:

Configure la redirección de USB genérico para cámara web solo si esta no resulta compatible con la redirección multimedia HDX.

Para evitar que los dispositivos USB se redirijan o se enumeren, puede especificar reglas de dispositivo para Citrix Receiver y el VDA.

Para la redirección de USB genérico, debe conocer al menos la clase y la subclase del dispositivo USB. No todos los dispositivos USB utilizan una clase y una subclase obvias. Por ejemplo:

  • Las llaves de memoria o datos utilizan la clase de dispositivo del mouse.
  • Los lectores de tarjeta inteligente pueden usar la clase de dispositivo HID o la que defina el proveedor.

Para un control más preciso, también necesitará saber el ID de proveedor, el ID de producto y el ID de versión. Puede obtener esa información del proveedor del dispositivo.

Importante

Los dispositivos USB dañinos pueden presentar funciones de dispositivo USB que no coincidan con el uso previsto para ellos. Las reglas de dispositivos no se han diseñado para evitar este comportamiento.

Puede definir qué dispositivos USB están disponibles para la redirección de USB genérico especificando reglas de redirección de dispositivos USB tanto para VDA como para Citrix Receiver. De esta manera, se anularán las reglas predeterminadas de la directiva de USB.

Para el VDA:

  • Modifique las reglas de invalidación del administrador para las máquinas con sistema operativo de servidor mediante las reglas de directiva de grupo. La Consola de administración de directivas de grupo se incluye en los medios de instalación:
    • Para x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
    • Para x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi

En Citrix Receiver para Windows:

  • Modifique el Registro en el dispositivo del usuario. En los medios de instalación, se incluye una plantilla administrativa (archivo ADM) que permite cambiar el dispositivo cliente mediante la Directiva de grupo de Active Directory: dvd root \os\lang\Support\Configuration\icaclient_usb.adm.

Advertencia

Si se modifica el Registro de forma incorrecta, pueden producirse problemas graves que obliguen a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

Las reglas predeterminadas del producto se almacenan en HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules. No modifique las reglas predeterminadas del producto. En su lugar, úselas como una guía para la creación de reglas de suplantación del administrador, según se explica a continuación. Las suplantaciones del objeto de directiva de grupo (GPO) se evalúan antes que las reglas predeterminadas del producto.

Las reglas de suplantación del administrador se almacenan en HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. Las reglas de directivas de GPO toman el formato {Allow:|Deny:} seguidas de un conjunto de expresiones etiqueta=valor separadas por un espacio en blanco.

Se admiten las siguientes etiquetas:

Etiqueta Descripción
VID Identificador del proveedor tomado del descriptor del dispositivo
PID Identificador del producto tomado del descriptor del dispositivo
REL Identificador de la versión tomado del descriptor del dispositivo
Class Clase tomada del descriptor del dispositivo o de un descriptor de interfaz; consulte el sitio web de USB https://www.usb.org/ para ver los códigos de clase USB disponibles.
SubClass Subclase, tomada del descriptor del dispositivo o de un descriptor de la interfaz
Prot Protocolo tomado del descriptor del dispositivo o de un descriptor de la interfaz

Al crear nuevas reglas de directivas, tenga en cuenta lo siguiente:

  • Las reglas no distinguen entre mayúsculas y minúsculas.
  • Las reglas pueden tener un comentario optativo al final que se introduce con el signo #. No es obligatorio utilizar un delimitador y el comentario se ignora para la comparación.
  • Se ignoran las líneas en blanco y las que son exclusivamente de comentario.
  • El espacio en blanco se usa como separador pero no puede aparecer en el medio de un número o de un identificador. Por ejemplo: Deny: Class = 08 SubClass=05 es una regla válida, pero Deny: Class=0 Sub Class=05 no lo es.
  • Las etiquetas deben utilizar el operador de coincidencia =. Por ejemplo: VID=1230.
  • Cada regla debe comenzar en una línea nueva o formar parte de una lista de reglas, separadas por punto y coma.

Nota

Si utiliza el archivo de plantilla ADM, debe crear reglas en una única línea, como una lista separada por punto y coma.

Ejemplos:

  • Este ejemplo muestra una regla de directiva de USB definida por un administrador para identificadores de producto y proveedor:

     Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse
                    Deny: VID=046D # Deny all Logitech products
     <!--NeedCopy-->
    
  • Este ejemplo muestra una regla de directiva USB definida por un administrador para una clase, una subclase y un protocolo definidos:

      Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices
              Allow: Class=EF SubClass=01 # Allow Sync devices
              Allow: Class=EF # Allow all USB-Miscellaneous devices
     <!--NeedCopy-->
    

Usar y quitar dispositivos USB

Los usuarios pueden conectar un dispositivo USB antes o después de iniciar una sesión virtual.

Cuando se usa Citrix Receiver para Windows, ocurre lo siguiente:

  • Los dispositivos conectados después haber iniciado la sesión aparecen inmediatamente en el menú USB de Desktop Viewer.
  • Si un dispositivo USB no se redirige correctamente, puede intentar resolver el problema esperando para conectar el dispositivo hasta después de que la sesión virtual se haya iniciado.
  • Para evitar la pérdida de datos, use el icono de “Extracción segura” de Windows antes de quitar el dispositivo USB.

Controles de seguridad para dispositivos de almacenamiento USB

Se ofrece optimización para dispositivos de almacenamiento USB que forma parte la asignación de unidades del cliente de XenApp y XenDesktop. En el momento en que los usuarios inician sesión, las unidades del dispositivo del usuario se asignan automáticamente a las letras de las unidades del escritorio virtual. Las unidades se muestran como carpetas compartidas con letras de unidades asignadas. Para configurar la asignación de unidades del cliente, utilice la configuración Unidades extraíbles del cliente en la sección Configuraciones de directiva de Redirección de archivos de las configuraciones de directivas ICA.

Con dispositivos de almacenamiento USB, puede utilizar la asignación de unidades del cliente, la redirección de USB genérico o ambos, controlados mediante directivas de Citrix. Las principales diferencias son:

Función Asignación de unidades del cliente Redirección de USB genérico
Habilitada de forma predeterminada No
Configuración para acceso de solo lectura No
Acceso a dispositivo cifrado Sí, si el cifrado se desbloquea antes de acceder al dispositivo No
Dispositivo para quitar con seguridad durante una sesión No Sí, si se siguen las recomendaciones del sistema operativo para quitar con seguridad el dispositivo

Si la directiva de USB genérico y la directiva de asignación de unidades del cliente están ambas habilitadas y se inserta un dispositivo de almacenamiento antes o después de iniciar una sesión, el dispositivo se redirigirá mediante la asignación de unidades del cliente. Cuando la directiva de redirección de USB genérico y la directiva de asignación de unidades del cliente están ambas habilitadas y se configura un dispositivo para la redirección automática (consulte https://support.citrix.com/article/CTX123015), y se introduce un dispositivo de almacenamiento masivo antes o después de iniciar una sesión, el dispositivo se redirige mediante la redirección de USB genérico.

Nota

Se respalda la redirección USB en conexiones de poco ancho de banda: por ejemplo, conexiones de 50 kbps. Sin embargo, no funcionará copiar archivos de gran tamaño.

Controlar el acceso a archivos con la asignación de unidades del cliente

Puede controlar si los usuarios pueden copiar archivos desde sus entornos virtuales a sus dispositivos de usuario. De manera predeterminada, los archivos y carpetas de las unidades asignadas del cliente están disponibles en modo de lectura/escritura dentro de la sesión.

Si quiere impedir que los usuarios agreguen o modifiquen archivos y carpetas de los dispositivos de cliente asignados, habilite la configuración de directiva Acceso de lectura solamente a unidades del cliente. Al agregar esta configuración a una directiva, compruebe que la configuración Redirección de unidades del cliente está establecida en Permitida y también se ha agregado a la directiva.