通用 USB 重定向和客户端驱动器注意事项
HDX™ 技术为大多数常用 USB 设备提供优化支持。优化支持通过在 WAN 上提供更好的性能和带宽效率来改善用户体验。优化支持通常是最佳选择,尤其是在高延迟或安全敏感的环境中。
HDX 技术为没有优化支持或不适合的专用设备提供通用 USB 重定向,例如:
- USB 设备具有优化支持中不包含的更高级功能,例如具有更多按钮的鼠标或网络摄像头。
- 用户需要优化支持中不包含的功能。
- USB 设备是专用设备,例如测试和测量设备或工业控制器。
- 应用程序需要作为 USB 设备直接访问该设备。
- USB 设备只有 Windows 驱动程序可用。例如,智能卡读卡器可能没有适用于 Citrix Workspace™ app for Android 的驱动程序。
- Citrix Workspace 应用程序的版本不为此类 USB 设备提供任何优化支持。
通过通用 USB 重定向:
- 用户无需在用户设备上安装设备驱动程序。
- USB 客户端驱动程序安装在 VDA 计算机上。
重要:
- 通用 USB 重定向可以与优化支持结合使用。如果启用通用 USB 重定向,请为通用 USB 重定向和优化支持配置 Citrix USB 设备策略设置。
- 客户端 USB 设备优化规则 中的 Citrix 策略设置是针对特定 USB 设备的通用 USB 重定向的特定设置。它不适用于此处所述的优化支持。
USB 设备的性能注意事项
当对某些类型的 USB 设备使用通用 USB 重定向时,网络延迟和带宽会影响用户体验和 USB 设备操作。例如,对时序敏感的设备可能无法在高延迟低带宽链路上正常运行。在可能的情况下,请改用优化支持。
某些 USB 设备需要高带宽才能使用,例如 3D 鼠标(与通常也需要高带宽的 3D 应用程序一起使用)。如果无法增加带宽,您可以通过使用带宽策略设置调整其他组件的带宽使用来缓解此问题。有关详细信息,请参阅客户端 USB 设备重定向的带宽策略设置和多流连接策略设置。
USB 设备的安全性注意事项
某些 USB 设备本质上对安全性敏感,例如智能卡读卡器、指纹识别器和签名板。其他 USB 设备(例如 USB 存储设备)可用于传输可能敏感的数据。
USB 设备通常用于分发恶意软件。Citrix Workspace 应用程序和 Citrix Virtual Apps and Desktops™ 的配置可以降低但不能消除这些 USB 设备带来的风险。无论使用通用 USB 重定向还是优化支持,此情况都适用。
重要:
对于对安全性敏感的设备和数据,请始终保护 HDX 连接,请参阅客户端与 VDA 之间的通信。
仅启用所需 USB 设备的支持。配置通用 USB 重定向和优化支持以满足此需求。
向用户提供安全使用 USB 设备的指导:
- 仅使用从可信来源获得的 USB 设备。
- 请勿将 USB 设备(例如网吧中的闪存驱动器)无人看管地留在开放环境中。
- 解释在多台计算机上使用 USB 设备的风险。
与通用 USB 重定向的兼容性
通用 USB 重定向支持 USB 2.0 及更早版本的设备。通用 USB 重定向还支持连接到 USB 2.0 或 USB 3.0 端口的 USB 3.0 设备。通用 USB 重定向不支持 USB 3.0 中引入的 USB 功能,例如超高速。
以下 Citrix Workspace 应用程序支持通用 USB 重定向:
- 适用于 Windows 的 Citrix Workspace 应用程序,请参阅 配置应用程序交付。
- 适用于苹果电脑的 Citrix Workspace 应用程序,请参阅 适用于苹果电脑的 Citrix Workspace 应用程序。
- 适用于 Linux 系统的 Citrix Workspace 应用程序,请参阅 优化。
- 适用于 Chrome 操作系统 的 Citrix Workspace 应用程序,有关详细信息,请参阅 适用于 Chrome 的 Citrix Workspace 应用程序。
有关 Citrix Workspace 应用程序的各个版本,请参阅 (/zh-cn/citrix-workspace-app/citrix-workspace-app-feature-matrix.html) 中的 [Citrix Workspace 应用程序功能矩阵]。
如果您使用的是早期版本的 Citrix Workspace 应用程序,请参阅 Citrix Workspace 应用程序文档以确认是否支持通用 USB 重定向。有关支持的 USB 设备类型的任何限制,请参阅 Citrix Workspace 应用程序文档。
从 VDA for Single-session OS 7.6 版到当前版本,桌面会话支持通用 USB 重定向。
从 VDA for Multi-session OS 7.6 版到当前版本,桌面会话支持通用 USB 重定向,但存在以下限制:
- VDA 必须运行以下操作系统之一:Windows 服务器 2012 R2、Windows 服务器 2016、Windows 服务器 2019 或 Windows 服务器 2022。
- USB 设备驱动程序必须与 VDA 操作系统 (Windows 2012 R2) 的远程桌面会话主机 (RDSH) 完全兼容,包括完全虚拟化支持。
某些类型的 USB 设备不支持通用 USB 重定向,因为重定向它们没有用处:
- USB 调制解调器。
- USB 网卡。
- USB 集线器。连接到 USB 集线器的 USB 设备将单独处理。
- USB 虚拟 COM 端口。请使用 COM 端口重定向而不是通用 USB 重定向。
有关已通过通用 USB 重定向测试的 USB 设备的信息,请参阅 Citrix Ready Marketplace。某些 USB 设备无法通过通用 USB 重定向正常运行。
配置通用 USB 重定向
您可以控制并单独配置哪些类型的 USB 设备使用通用 USB 重定向:
- 在 VDA 上,使用 Citrix 策略设置。有关详细信息,请参阅 客户端驱动器和用户设备重定向 和 USB 设备策略设置 中的策略设置参考
- 在 Citrix Workspace 应用程序中,使用依赖于 Citrix Workspace 应用程序的机制。例如,管理模板控制配置适用于 Windows 的 Citrix Workspace 应用程序的注册表设置。默认情况下,某些类别的 USB 设备允许 USB 重定向,而其他类别则不允许。有关详细信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序文档中的 Configure。
这种单独的配置提供了灵活性。例如:
- 如果两个不同的组织或部门负责 Citrix Workspace 应用程序和 VDA,他们可以单独实施控制。当一个组织中的用户访问另一个组织中的应用程序时,此配置适用。
- Citrix 策略设置可以控制仅允许特定用户或仅通过 LAN(而不是通过 Citrix Gateway)连接的用户使用的 USB 设备。
启用通用 USB 重定向
要启用通用 USB 重定向且无需用户手动重定向,请同时配置 Citrix 策略设置和 Citrix Workspace 应用程序连接首选项。
在 Citrix 策略设置中:
-
将 客户端 USB 设备重定向 添加到策略,并将其值设置为 允许。
-
(可选)要更新可用于重定向的 USB 设备列表,请将 Client USB device redirection rules 设置添加到策略并指定 USB 策略规则。
策略设置完成后,在 Citrix Workspace 应用程序中:
-
指定设备自动连接,无需手动重定向。您可以使用管理模板或在 Windows > 首选项 > 连接的 Citrix Workspace 应用程序中执行此操作。
如果您在上一步中为 VDA 指定了 USB 策略规则,请为 Citrix Workspace 应用程序指定相同的策略规则。
对于瘦客户端,请咨询制造商以获取 USB 支持的详细信息和任何所需的配置。
配置可用于通用 USB 重定向的 USB 设备类型
当启用 USB 支持并将 USB 用户首选项设置为自动连接 USB 设备时,USB 设备会自动重定向。当连接栏不存在时,USB 设备也会自动重定向。
用户可以通过从 USB 设备列表中选择设备来显式重定向未自动重定向的设备。有关更多信息,请参阅 Citrix Workspace 应用程序 for Windows 用户帮助文章:在 Desktop Viewer 中显示您的设备。
要使用通用 USB 重定向而不是优化支持,您可以选择以下任一方式:
- 在 Citrix Workspace 应用程序中,手动选择要使用通用 USB 重定向的 USB 设备,从“首选项”对话框的“设备”选项卡中选择切换到通用。
- 通过为 USB 设备类型配置自动重定向(例如,AutoRedirectStorage=1)并设置 USB 用户首选项以自动连接 USB 设备,自动选择要使用通用 USB 重定向的 USB 设备。有关更多信息,请参阅配置 USB 设备的自动重定向。
注意:
仅当网络摄像头被发现与 HDX 多媒体重定向不兼容时,才配置通用 USB 重定向以与网络摄像头一起使用。
要阻止 USB 设备被列出或重定向,您可以为 Citrix Workspace 应用程序和 VDA 指定设备规则。
对于通用 USB 重定向,您至少需要知道 USB 设备类和子类。并非所有 USB 设备都使用其明显的 USB 设备类和子类。例如:
- 笔使用鼠标设备类。
- 智能卡读卡器可以使用供应商定义或 HID 设备类。
为了更精确的控制,您需要知道供应商 ID、产品 ID 和发布 ID。您可以从设备供应商处获取此信息。
重要提示:
恶意 USB 设备可能会呈现与其预期用途不符的 USB 设备特性。设备规则并非旨在阻止此行为。
您可以通过指定 USB 设备重定向规则来控制可用于通用 USB 重定向的 USB 设备,以覆盖默认的 USB 策略规则。
Citrix DaaS(以前称为 Citrix 虚拟应用和桌面服务):
-
在大多数情况下,下载 Citrix 组策略管理控制台 MSI (
CitrixGroupPolicyManagement_x64.msi) 并将其安装在您的 Active Directory 系统中,然后管理 AD 组策略。(请勿在 VDA 上安装 MSI。) -
对于适用于 Windows 的 Citrix Workspace 应用程序,请编辑用户设备注册表。安装介质中包含一个管理模板 (ADM 文件),因此您可以通过 Active Directory 组策略更改用户设备:dvd root
\os\lang\Support\Configuration\icaclient_usb.adm
本地部署的 Citrix 虚拟应用和桌面:
- 对于 VDA,通过组策略规则编辑多会话操作系统计算机的管理员覆盖规则。安装介质中包含组策略管理控制台:
- x64 架构:DVD 根目录
\os\lang\x64\Citrix Policy\CitrixGroupPolicyManagement_x64.msi - x86: 光盘根目录
\os\lang\x86\Citrix Policy\CitrixGroupPolicyManagement_x86.msi
- x64 架构:DVD 根目录
- 对于适用于 Windows 的 Citrix Workspace 应用程序,请编辑用户设备注册表。安装介质中包含一个管理模板 (ADM 文件),因此您可以通过 Active Directory 组策略更改用户设备:dvd root
\os\lang\Support\Configuration\icaclient_usb.adm
警告:
不正确地编辑注册表可能会导致严重问题,甚至可能需要重新安装操作系统。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份。
产品默认规则存储在 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\GenericUSB 中。请勿编辑这些产品默认规则。相反,请将它们用作创建管理员覆盖规则的指南,本文稍后将对此进行说明。GPO 覆盖在产品默认规则之前进行评估。
The administrator override rules are stored in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. GPO policy rules take the format {Allow:|Deny:} followed by a set of tag=value expressions separated by white space.
以下标签均受支持:
| 标记 | 功能描述 |
|---|---|
| VID | 设备描述符中的供应商 ID |
| PID | 设备描述符中的产品 ID |
| REL | 设备描述符中的发布 ID |
| 类 | 来自设备描述符或接口描述符的类;有关可用的 USB 类代码,请参阅 http://www.usb.org/ 处的 USB 网站。 |
| 子类 | 子类信息来源于设备描述符或接口描述符。 |
| 协议 | 协议信息来源于设备描述符或接口描述符。 |
创建策略规则时,请注意以下事项:
- 规则不区分大小写。
- 规则末尾可以有一个可选注释,由
#引入。不需要分隔符,并且注释在匹配时将被忽略。 - 空行和纯注释行将被忽略。
- 空格用作分隔符,但不能出现在数字或标识符的中间。例如,Deny: Class = 08 SubClass=05 是一个有效规则,但 Deny: Class=0 Sub Class=05 不是。
- 标签必须使用匹配运算符 =。例如,VID=1230。
- 每条规则必须另起一行,或者作为分号分隔列表的一部分。
注意:
- 从 Citrix Virtual Apps and Desktops 2212 版开始,某些 USB 设备已禁用通用 USB 重定向功能。您必须使用其各自的供应商 ID (VID) 和产品 ID (PID) 显式添加这些设备。
- 如果您使用的是 ADM 模板文件,则必须在单行上创建规则,作为分号分隔列表。
示例:
-
以下示例显示了管理员定义的用于供应商和产品标识符的 USB 策略规则:
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products -
以下示例显示了管理员定义的用于指定类、子类和协议的 USB 策略规则:
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices
使用和移除 USB 设备
用户可以在启动虚拟会话之前或之后连接 USB 设备。
使用适用于 Windows 的 Citrix Workspace 应用程序时,适用以下情况:
- 会话开始后连接的设备会立即显示在 Desktop Viewer 的 USB 菜单中。
- 如果 USB 设备未正确重定向,您可以尝试等到虚拟会话启动后再连接设备来解决此问题。
- 为避免数据丢失,请在移除 USB 设备之前使用 Windows 的“安全移除硬件”图标。
USB 大容量存储设备的安全控制
为 USB 大容量存储设备提供了优化支持。此支持是 Citrix Virtual Apps and Desktops 客户端驱动器映射的一部分。用户登录时,用户设备上的驱动器会自动映射到虚拟桌面上的驱动器盘符。这些驱动器显示为具有映射驱动器盘符的共享文件夹。要配置客户端驱动器映射,请使用客户端可移动驱动器设置。此设置位于 ICA 策略设置的文件重定向策略设置部分中。
对于 USB 大容量存储设备,您可以使用客户端驱动器映射或通用 USB 重定向,或两者都使用。使用 Citrix 策略对其进行控制。主要区别在于:
| 功能 | 客户端驱动器映射 | 通用 USB 重定向 |
|---|---|---|
| 默认情况下是启用的 | 是 | 否 |
| 可以配置只读访问权限 | 是 | 否 |
| 加密设备访问 | 是的,如果设备在被访问之前已解锁加密 | 是 |
| 比特锁随身版设备 | 否 | 否 |
| 会话期间可安全删除设备 | 否 | 是的,前提是用户遵循操作系统关于安全移除的建议。 |
如果同时启用了通用 USB 重定向和客户端驱动器映射策略,并且在大容量存储设备在会话启动之前或之后插入,则会使用客户端驱动器映射进行重定向。当同时启用了通用 USB 重定向和客户端驱动器映射策略,并且设备配置为自动重定向,并且大容量存储设备在会话启动之前或之后插入时,则会使用通用 USB 重定向进行重定向。有关详细信息,请参阅知识中心文章 CTX123015。
注意:
USB 重定向支持较低带宽连接,例如 50 Kbps。但是,复制大文件不起作用。