USB 和客户端驱动器注意事项
HDX™ 技术针对大多数常用 USB 设备提供优化支持。这包括:
- 显示器
- 鼠标
- 键盘设备
- VoIP 电话机
- 耳机
- 网络摄像头
- 扫描仪
- 摄像头
- 打印机
- 驱动器
- 智能卡读卡器
- 数字绘图板
- 电子签名板
优化支持通过广域网提供更好的性能和带宽效率,从而改善用户体验。优化支持通常是最佳选择,尤其是在高延迟或安全敏感的环境中。
HDX 技术为没有优化支持或不适合使用优化支持的专用设备提供通用 USB 重定向,例如:
- USB 设备具有不属于优化支持的其他高级功能,例如带附加按钮的鼠标或网络摄像头。
- 用户需要不属于优化支持的功能,例如刻录 CD。
- USB 设备是专用设备,例如测试和测量设备或工业控制器。
- 应用程序需要以 USB 设备的形式直接访问该设备。
- USB 设备仅提供 Windows 驱动程序。例如,智能卡读卡器可能没有适用于 Citrix Receiver™ for Android 的驱动程序。
- Citrix Receiver 版本不支持此类型的 USB 设备优化。
使用通用 USB 重定向时:
- 用户无需在用户设备上安装设备驱动程序。
- USB 客户端驱动程序安装在 VDA 计算机上。
注意
- 通用 USB 重定向可以与优化支持结合使用。如果启用通用 USB 重定向,请为通用 USB 重定向和优化支持配置 Citrix USB 设备策略设置,以避免出现不一致和意外的行为。
- Citrix 策略设置 客户端 USB 设备优化规则 是针对特定 USB 设备的通用 USB 重定向的特定设置。它不是此处所述的优化支持。
- 客户端 USB 即插即用设备重定向 是一项相关功能,可为使用图片传输协议 (PTP) 或媒体传输协议 (MTP) 的设备(例如照相机和媒体播放器)提供优化支持。客户端 USB 即插即用重定向不属于通用 USB 重定向。有关支持的 VDA 版本的列表,请参阅 默认策略设置。
USB 设备的性能注意事项
对于某些类型的 USB 设备,通过通用 USB 重定向,网络延迟和带宽可能会影响用户体验和 USB 设备操作。例如,对时序敏感的设备可能无法在高延迟低带宽链接上正常运行。在可能的情况下,请改用优化支持。
某些 USB 设备需要高带宽才能使用,例如 3D 鼠标(与通常也需要高带宽的 3D 应用程序一起使用)。您可以使用 Citrix 策略避免性能问题。有关详细信息,请参阅客户端 USB 设备重定向的带宽策略设置和多流连接策略设置。
USB 设备的安全性注意事项
某些 USB 设备本质上是安全敏感的,例如智能卡读卡器、指纹识别器和签名板。其他 USB 设备(例如 USB 存储设备)可用于传输可能敏感的数据。
USB 设备通常用于分发恶意软件。Citrix Receiver、XenApp 和 XenDesktop® 的配置可以降低但不能消除这些 USB 设备带来的风险。无论使用通用 USB 重定向还是优化支持,此规则均适用。
重要
对于安全敏感设备和数据,请始终使用 TLS 或 IPSec 保护 HDX 连接。
仅启用您需要的 USB 设备支持。配置通用 USB 重定向和优化支持以满足此需求。
为用户提供安全使用 USB 设备的指导:仅使用从可信来源获取的 USB 设备;不要将 USB 设备无人看管地留在开放环境中,例如网吧中的闪存驱动器;解释在多台计算机上使用 USB 设备的风险。
与通用 USB 重定向的兼容性
通用 USB 重定向支持 USB 2.0 及更早版本的设备。通用 USB 重定向还支持连接到 USB 2.0 或 USB 3.0 端口的 USB 3.0 设备。通用 USB 重定向不支持 USB 3.0 中引入的 USB 功能,例如超高速。
以下 Citrix 接收器支持通用 USB 重定向:
- 适用于 Windows 的 Citrix 接收器,请参阅配置 USB 支持
- 适用于 Mac 的 Citrix 接收器,请参阅 配置适用于 Mac 的 Citrix 接收器
- 针对 Linux 设备的 Citrix Receiver,有关详细信息,请参阅 优化
- 适用于 Chrome OS 的 Citrix 接收器,请参阅 新增功能
有关 Citrix 接收器版本,请参阅 Citrix Receiver 功能矩阵。
如果您使用的是早期版本的 Citrix Receiver,请参阅 Citrix Receiver 文档以确认是否支持通用 USB 重定向。有关支持的 USB 设备类型的任何限制,请参阅 Citrix Receiver 文档。
通用 USB 重定向支持从 VDA for Desktop OS 7.6 版到当前版本的桌面会话。
通用 USB 重定向支持从 VDA for Server OS 7.6 版到当前版本的桌面会话,但存在以下限制:
- 虚拟投递代理 (VDA) 必须运行以下两种操作系统版本之一:Windows Server 2012 R2 或 Windows Server 2016。
- USB 设备驱动程序必须与适用于 Windows 2012 R2 的远程桌面会话主机 (RDSH) 完全兼容,包括完全虚拟化支持。
某些类型的 USB 设备不支持通用 USB 重定向,因为重定向它们没有用处:
- USB 调制解调器。
- USB 网卡。
- USB 集线器。连接到 USB 集线器的 USB 设备将单独处理。
- USB 虚拟 COM 端口。请使用 COM 端口重定向而不是通用 USB 重定向。
有关已通过通用 USB 重定向测试的 USB 设备的信息,请参阅 CTX123569。某些 USB 设备无法通过通用 USB 重定向正常运行。
配置通用 USB 重定向
您可以控制哪些类型的 USB 设备使用通用 USB 重定向。这可以单独配置:
- 在 VDA 上,使用 Citrix 策略设置。有关详细信息,请参阅策略设置参考中的客户端驱动器和用户设备重定向和USB 设备策略设置。
- 在 Citrix Receiver 中,使用依赖于 Citrix Receiver 的机制。例如,Citrix Receiver for Windows 配置了可以通过管理模板控制的注册表设置。默认情况下,某些类别的 USB 设备允许 USB 重定向,而其他类别则被拒绝;有关详细信息,请参阅 Citrix Receiver for Windows 文档中的配置 USB 支持。
这种单独的配置提供了灵活性。例如:
- 如果两个不同的组织或部门分别负责 Citrix Receiver 和 VDA,他们可以单独实施控制。这适用于一个组织中的用户访问另一个组织中的应用程序的情况。
- 如果 USB 设备只应允许特定用户使用,或者只允许通过 LAN 连接(而不是通过 NetScaler® Gateway)的用户使用,则可以使用 Citrix® 策略设置进行控制。
启用通用 USB 重定向
要启用通用 USB 重定向,请同时配置 Citrix 策略设置和 Citrix Receiver。
在 Citrix 策略设置中:
-
将客户端 USB 设备重定向添加到策略,并将其值设置为允许。
-
(可选)要更新可用于重定向的 USB 设备列表,请将客户端 USB 设备重定向规则设置添加到策略并指定 USB 策略规则。
在 思杰接收器 中:
-
在用户设备上安装 Citrix Receiver 时启用 USB 支持。您可以使用管理模板或在 Citrix Receiver for Windows > 首选项 > 连接中执行此操作。
如果您在上一步中为 VDA 指定了 USB 策略规则,请为 Citrix Receiver 指定相同的策略规则。
对于瘦客户端,请咨询制造商以了解 USB 支持的详细信息以及任何所需的配置。
配置可用于通用 USB 重定向的 USB 设备类型
当启用 USB 支持并将 USB 用户首选项设置为自动连接 USB 设备时,USB 设备会自动重定向。当在桌面设备模式下运行且连接栏不存在时,USB 设备也会自动重定向。
用户可以通过从 USB 设备列表中选择设备来显式重定向未自动重定向的设备。用户可以在 Citrix Receiver for Windows 用户帮助文章《在 Desktop Viewer 中显示您的设备》中获取有关如何执行此操作的更多帮助。
要使用通用 USB 重定向而不是优化支持,您可以选择以下两种方式。
- 在 Citrix Receiver 中,手动选择要使用通用 USB 重定向的 USB 设备,从“首选项”对话框的“设备”选项卡中选择“切换到通用”。
- 通过配置 USB 设备类型的自动重定向(例如,AutoRedirectStorage=1)并设置 USB 用户首选项以自动连接 USB 设备,自动选择要使用通用 USB 重定向的 USB 设备。有关详细信息,请参阅 CTX123015。
注意:
仅当发现网络摄像头与 HDX 多媒体重定向不兼容时,才配置通用 USB 重定向以用于网络摄像头。
为防止 USB 设备被列出或重定向,您可以为 Citrix Receiver 和 VDA 指定设备规则。
对于通用 USB 重定向,您至少需要知道 USB 设备类和子类。并非所有 USB 设备都使用其明显的 USB 设备类和子类。例如:
- 笔使用鼠标设备类。
- 智能卡读卡器可以使用供应商定义或 HID 设备类。
为了更精确的控制,您还需要知道供应商 ID、产品 ID 和发布 ID。您可以从设备供应商处获取此信息。
重要
恶意 USB 设备可能会呈现与其预期用途不符的 USB 设备特征。设备规则无意阻止此行为。
您可以通过为 VDA 和 Citrix Receiver 指定 USB 设备重定向规则来控制可用于通用 USB 重定向的 USB 设备,以覆盖默认的 USB 策略规则。
对于 VDA:
- 通过组策略规则编辑服务器操作系统计算机的管理员覆盖规则。组策略管理控制台包含在安装介质中:
- For x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
- For x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi
在适用于 Windows 的 Citrix 接收器中:
- 编辑用户设备注册表。安装介质中包含一个管理模板 (ADM 文件),以便您可以通过 Active Directory 组策略更改用户设备: DVD 根目录 \os\lang\Support\Configuration\icaclient_usb.adm
警告
不正确地编辑注册表可能会导致严重问题,可能需要您重新安装操作系统。Citrix 无法保证可以解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份注册表。
产品默认规则存储在 HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules 中。请勿编辑这些产品默认规则。相反,请将它们用作创建管理员覆盖规则的指南,如下所述。GPO 覆盖在产品默认规则之前进行评估。
The administrator override rules are stored in HKLM\SOFTWARE\Policies\Citrix\PortICA\GenericUSB\DeviceRules. GPO policy rules take the format {Allow:|Deny:} followed by a set of tag=value expressions separated by white space.
支持以下类型的标签:
| 标签 | 描述 |
|---|---|
| VID | 设备描述符中的供应商 ID |
| PID | 设备描述符中的产品 ID |
| REL | 设备描述符中的发布 ID |
| 类 | 设备描述符或接口描述符中的类;有关可用的 USB 类代码,请参阅 https://www.usb.org/ 上的 USB 网站 |
| 子类 | 子类,其信息可从设备描述符或接口描述符中获取 |
| 协议 | 协议,其信息可从设备描述符或接口描述符中获取 |
创建新策略规则时,请注意以下事项:
- 规则不区分大小写。
- 规则末尾可以有一个可选注释,由 # 引入。不需要分隔符,并且注释在匹配时将被忽略。
- 空行和纯注释行将被忽略。
- 空格用作分隔符,但不能出现在数字或标识符的中间。例如,Deny: Class = 08 SubClass=05 是有效规则,但 Deny: Class=0 Sub Class=05 不是。
- 标记必须使用匹配运算符 =。例如,VID=1230。
- 每条规则必须另起一行,或者作为分号分隔列表的一部分。
注意
如果您使用的是 ADM 模板文件,则必须在单行上创建规则,作为分号分隔列表。
示例:
-
以下示例显示了管理员定义的用于供应商和产品标识符的 USB 策略规则:
Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products <!--NeedCopy--> -
以下示例显示了管理员定义的用于指定类、子类和协议的 USB 策略规则:
Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices <!--NeedCopy-->
使用和移除 USB 设备
用户可以在启动虚拟会话之前或之后连接 USB 设备。
使用适用于 Windows 的 Citrix Receiver 客户端时,适用以下情况:
- 会话启动后连接的设备会立即显示在 Desktop Viewer 的 USB 菜单中。
- 如果 USB 设备未正确重定向,您可以尝试在虚拟会话启动后再连接设备来解决此问题。
- 为避免数据丢失,请在移除 USB 设备之前使用 Windows 的“安全删除硬件”图标。
USB 大容量存储设备的安全控制
为 USB 大容量存储设备提供了优化支持。这是 XenApp 和 XenDesktop 客户端驱动器映射的一部分。用户登录时,用户设备上的驱动器会自动映射到虚拟桌面上的驱动器盘符。这些驱动器显示为带有映射驱动器盘符的共享文件夹。要配置客户端驱动器映射,请使用 ICA 策略设置的 (/zh-cn/xenapp-and-xendesktop/7-15-ltsr/policies/reference/ica-policy-settings/file-redirection-policy-settings.html) 部分中的客户端可移动驱动器设置。
对于 USB 大容量存储设备,您可以使用客户端驱动器映射或通用 USB 重定向,或两者都使用,具体由 Citrix 策略控制。主要区别如下:
| 功能 | 客户端驱动器映射 | 通用 USB 重定向 |
|---|---|---|
| 默认情况下启用 | 是 | 否 |
| 可以配置只读访问权限 | 是 | 否 |
| 加密设备访问 | 是,如果设备在访问前已解锁加密 | 否 |
| 在会话期间安全移除设备 | 否 | 是,前提是用户遵循操作系统的安全移除建议 |
如果同时启用了通用 USB 重定向和客户端驱动器映射策略,并且在会话开始之前或之后插入了海量存储设备,它将使用客户端驱动器映射进行重定向。当同时启用了通用 USB 重定向和客户端驱动器映射策略,并且设备已配置为自动重定向(请参阅 https://support.citrix.com/article/CTX123015),并且在会话开始之前或之后插入了海量存储设备时,它将使用通用 USB 重定向进行重定向。
注意
USB 重定向支持通过较低带宽连接(例如 50 Kbps),但是复制大文件将不起作用。
使用客户端驱动器映射控制文件访问
您可以控制用户是否可以将其文件从虚拟环境复制到用户设备。默认情况下,映射的客户端驱动器上的文件和文件夹在会话中以读/写模式可用。
为防止用户在映射的客户端设备上添加或修改文件和文件夹,请启用只读客户端驱动器访问策略设置。将此设置添加到策略时,请确保客户端驱动器重定向设置已设置为允许,并且也已添加到策略中。