眾所周知，桌面虛擬化最大的優(yōu)勢就是保證企業(yè)數(shù)據(jù)的安全。所有的數(shù)據(jù)都保存在統(tǒng)一的數(shù)據(jù)中心內(nèi)，客戶端上所看到的只不過是圖像而已。除了將本地的數(shù)據(jù)移到數(shù)據(jù)中心中，我們還能夠控制什么呢？是的，USB設(shè)備的管控，這幾乎是所有信息安全領(lǐng)域都要談到的話題，下面我們就來說一下虛擬桌面環(huán)境中USB設(shè)備是如何進(jìn)行管理的。

 USB設(shè)備的ID

通常情況下，企業(yè)中會有很多的要求，并不是單單禁用USB存儲這么簡單。很多企業(yè)會設(shè)置一些白名單來允許一些特定的USB設(shè)備進(jìn)行使用。這就需要IT管理員將允許的USB設(shè)備跟禁止的USB設(shè)備區(qū)分開來，區(qū)分的方法有很多，但都是根據(jù)USB設(shè)備的一些ID來識別的，最常用的是：

PID：USB產(chǎn)品的識別碼，由生產(chǎn)廠商定義，不同的產(chǎn)品有不同的PID，通常跟VID一起使用。

VID：USB設(shè)備的供應(yīng)商ID，如Scandisk等，每個(gè)廠商都有單獨(dú)的VID，可以到USB組織的網(wǎng)站進(jìn)行查詢。例如我的西數(shù)移動硬盤的VID為0x1058

Class：USB設(shè)備類型代碼，是用來定義USB設(shè)備的功能的。例如08代表大容量存儲，07代表打印機(jī)，另外在每一個(gè)類型下面還有子類型（SubClass），協(xié)議（Protocol），更加細(xì)致的標(biāo)明USB設(shè)備的功能。具體代碼可以到USB組織的網(wǎng)站進(jìn)行查詢。

如何查找USB設(shè)備的ID？

知道了這些USB設(shè)備的ID，在實(shí)際的應(yīng)用環(huán)境中，還需要將它們找出來。查找USB設(shè)備ID的方法有很多，這里只簡單介紹一種比較容易的方法。

首先需要下載免費(fèi)工具USBDeview，只有不到100K的大小。打開這個(gè)工具，會顯示本機(jī)所有USB端口的連接情況，其中綠色圖標(biāo)的表示已經(jīng)連接的USB設(shè)備（如圖1）。雙擊圖標(biāo)，就會顯示當(dāng)前USB設(shè)備的ID信息。圖1顯示的是我的移動硬盤的信息。這樣你就可以按照需要查看USB設(shè)備的信息。

　　圖1：USB設(shè)備ID的信息

　　Citirx XenDesktop如何對USB設(shè)備進(jìn)行管理

在Citrix XenDesktop環(huán)境中，對USB設(shè)備的管理是通過Citrix的策略來進(jìn)行的，Citrix策略可以在AD的組策略中進(jìn)行設(shè)置（需要安裝Citrix組策略安裝包），也可以在XenDesktop的Citrix Desktop Studio中進(jìn)行設(shè)置。

USB策略的設(shè)置主要在用戶策略中，首先需要將客戶端USB設(shè)備重定向選項(xiàng)設(shè)置為開啟狀態(tài)，然后在“客戶端USB設(shè)備重定向策略”中設(shè)置相應(yīng)的策略，策略的設(shè)置非常簡單，類似于防火墻中策略的設(shè)置，每條策略依次執(zhí)行，一直到遇到符合條件的策略，無論是允許或者禁止。對于策略的語法在界面中有很詳細(xì)的說明，可以通過USB設(shè)備的PID/VID/Class/SubClass/Protocol進(jìn)行策略的設(shè)置。具體界面如圖2。

　　圖2： Citrix XenDesktop 客戶端USB設(shè)備重定向策略設(shè)置

像防火墻策略一樣，通常最后一條是禁止所有的設(shè)備。這就是通常所說的白名單過濾。策略設(shè)置好之后，還需要將組策略應(yīng)用到相應(yīng)用戶所在的OU。

VMware View如何對USB設(shè)備進(jìn)行管理

在VMware View環(huán)境中，對USB設(shè)備的管理的顆粒度相對粗一些，其主要有三種方式進(jìn)行管理。

1.在View Manager中進(jìn)行管理，這里的管理只限于打開或者關(guān)閉客戶端USB設(shè)備的重定向，首先可以設(shè)置整個(gè)View的USB設(shè)備重定向策略，如果不同的虛擬機(jī)池有不同的需求，可以在虛擬機(jī)池中單獨(dú)再設(shè)置USB設(shè)備重定向策略，你可以選擇繼承，或者單獨(dú)進(jìn)行設(shè)置，另外還可以設(shè)置個(gè)別用戶的排除，使單獨(dú)的用戶可以獨(dú)立于整個(gè)虛擬機(jī)池中的其他用戶。設(shè)置界面如圖3。

　　圖3. VMware View中USB策略的設(shè)置

2.在組策略中進(jìn)行控制：VMware View除了通過View Manager進(jìn)行管理以外，還開發(fā)了很多組策略的模板，供IT管理員進(jìn)一步的管理，所有的組策略模板位于VMware View Connection Server上目錄\Program Files\VMware\VMware View\Server\extras\GroupPolicyFiles中，可以看到模板涵蓋了從客戶端到服務(wù)器的多個(gè)方面，非常細(xì)致。所做的只要將這些模板導(dǎo)入到組策略中，管理員就可以通過組策略進(jìn)行管理了。
USB策略的設(shè)置主要集中在計(jì)算機(jī)策略上，策略可以針對USB設(shè)備的PID/VID/Class等進(jìn)行過濾，但其應(yīng)用的范圍只限于Teradici Zero Client，應(yīng)用范圍相對局限一些，通過這些策略的設(shè)置可以實(shí)現(xiàn)白名單，黑名單的功能，但最多設(shè)置10條策略。設(shè)置界面如圖4。

　　圖4. VMware View USB設(shè)備組策略設(shè)置界面

3.在虛擬桌面或者客戶端上進(jìn)行控制：對于一般的VMware  View客戶端，如何對USB設(shè)備重定向進(jìn)一步的管理呢，最后一種方法就是通過修改客戶端或者虛擬桌面中的注冊表來進(jìn)行設(shè)置。

客戶端注冊表的修改：在裝有View Client的Windows客戶端上，在注冊表位置HKLM\Software\VMware, Inc.\VMware VDM\USB（64位：HKLM\Software\Wow6432node\VMware, Inc.\ VMware VDM\USB）添加注冊表鍵ClassFilters，類型為“Multi-String Value”，鍵值為“-”可以阻止所有的USB設(shè)備重定向。這相當(dāng)于Citrix XenDesktop策略中的Deny：。另外如果需要設(shè)置白名單，可以添加注冊表鍵“AllowHardwareIDs”，類型為“Multi-String Value”，鍵值根據(jù)USB設(shè)備的PID和VID，具體設(shè)置可以參照VMware網(wǎng)站介紹。

虛擬桌面注冊表的修改：在裝有View Agent的Windows虛擬桌面上，在上述的注冊表位置添加名為“HardwareIDFilters”的注冊表鍵，類型為“Multi-String Value”，鍵值為USB設(shè)備的VID/PID，同樣可以阻止相應(yīng)類型的USB設(shè)備，不過遺憾的是這只能實(shí)現(xiàn)黑名單的功能。

雖然在客戶端進(jìn)行USB設(shè)備重定向過濾的設(shè)置，但是這樣的管理顯然增加了IT管理員的工作量，而且顯然不適合BYOD（帶自己的電腦工作）的場景。它只能應(yīng)用在一些個(gè)別的應(yīng)用場景中。

VMware View和Citrix XenDesktop對USB設(shè)備重定向的管理各有不同的方式，也可以實(shí)現(xiàn)不同的功能，不過采用哪種方案還是取決于最終用戶的需求。仔細(xì)了解一下你的環(huán)境和需求，然后再決定選擇哪一種解決方案吧。