标准化实施指南 | 白皮书 | Citrix
PoC标准化实施指南
用户策略管理(UPM)之
常见外设和安全策略
版本:Draft
www.citrix.com.cn
基本概念
Profile管理
https://www.carlstalhood.com/citrix-profile-management/
Citrix使用具有单独逻辑通道的ICA协议进行连接。因此除了直接把通用USB通道进行映射之外,还提供更加具有针对性优化的不同映射逻辑通道。这些通道能够通过策略进行开关和QoS控制。
从逻辑上而言,外设首先连接到终端设备上,例如瘦客户机,然后被系统识别,传递给Citrix Workspace app(Receiver),根据设备的类型和对应策略,使用对应的远程协议中的逻辑通道进行传输。数据中心的虚拟桌面或者虚拟应用服务器通过重定向的通用USB通道或者ICA协议虚拟通道将设备链接到虚拟机系统,进行驱动和使用。
因此,可以把重定向的外设粗略分为两类:通用USB重定向设备、HDX优化模式设备和其他设备。不同设备的映射方式可以简单参考上图。
而对于USB设备,需要具备如下概念:
VID,PID,Class,SubClass,Prot
| Tag | Description |
| VID | Vendor ID from the device descriptor |
| PID | Product ID from the device descriptor |
| Class | Class from either the device descriptor or an interface descriptor; |
| SubClass | Subclass from either the device descriptor or an interface descriptor |
| Prot | Protocol from either the device descriptor or an interface descriptor |
这些属性在进行通用USB设备重定向时需要使用,可以通过设备管理器中,右键设备查看属性的详细页面进行查看。
USB磁盘映射
对于USB磁盘映射,有两种方式,默认使用HDX优化模式,USB磁盘上的数据会以优化模式实现更好的传输性能。当然,也可以切换到通用USB设备映射模式。这个模式通常为了解决大于4GB的文件传输和USB磁盘使用加密信息的问题,例如某些加密USB磁盘在使用时会检查USB设备上的加密信息,而该信息必须通过USB总线通信完成。
要进行USB磁盘映射,可以参考如下步骤。
| 步骤 | 操作 |
| 1 | 启用可移动驱动器重定向策略
默认情况下,该策略是允许客户端访问可移动驱动器的。用户连接到VDA时,会提示是否允许访问客户端本地的驱动器,是只读还是可写。 首先,打开“Citrix Studio”,在左边控制台树,点击“策略”。在右边点击“创建策略”,创建一条新的策略。  要启用USB磁盘重定向,需要首先启用“客户端驱动器重定向”策略。该策略是USB磁盘,也就是移动驱动器的依存策略。只有允许该策略,才能够允许移动驱动器重定向策略。  点击“选择”链接,确认允许客户端驱动器重定向。  接下来需要配置客户端移动驱动器重定向。  点击“选择”链接,编辑设置。  系统默认允许客户端移动驱动器重定向,检查确认即可。 为了让终端用户每次登录时自动连接客户端移动驱动器,可以配置“自动连接客户端驱动器”策略。  默认为允许,检查配置。和客户端驱动器重定向策略一样,该策略除了移动驱动器之外,也对客户端软盘驱动器、客户端光驱、客户端硬盘、客户端移动磁盘、客户端网络盘生效。  |
| 2 | 指定策略应用对象。
除了类似AD活动目录组策略,Citrix的策略在支持组织单元(OU)为应用对象之外,还支持很多其他类型的用户和计算机对象区分。  |
| 3 | 如果想实现数据单向传输(数据只允许上传不允许下载),可开启如下策略:
找到“只读客户端驱动器访问模式”,该策略默认为禁用,我们需要设置为启用。点击选择,编辑设置  应用了该策略的对象,可以实现数据只能上传不能下载。  |
| 特殊USB驱动器重定向。
如前所述,有时需要把USB磁盘映射成一个USB设备,以实现特殊的目的。这时可以选择设置“客户端USB设备优化规则”
这里以特定U盘为例,使得连接时使用通用USB设备方式重定向该U盘。 |
USB外设映射
前文介绍了USB映射有两种方式,通用USB设备和具有单独逻辑通道的USB设备。除了USB磁盘,在“基本概念”一节我们介绍过还有很多其他使用USB接口和总线,但是能够使用ICA特定逻辑通道重定向的设备,例如摄像头、扫描仪(TWAIN)、智能卡、打印机、USB声卡等等,因此,对于这些设备通常使用对应的ICA通道策略进行配置:
而对于非单独逻辑通道设备,往往需要使用通用USB设备重定向。使用通用USB设备重定向时,如果设备类型未能自动映射,则需要进行手动配置USB重定向策略。
| 序号 | 步骤 |
| 1 | 获取设备的VID、PID等信息。
按照“基本概念”一章描述,在接入USB设备的PC或终端上,查看设备管理器中对应的设备属性,记录其VID、PID等信息。 获取USB设备的驱动程序,确认USB设备在PC或终端上能够正常使用。 |
| 2 | 为了启用通用USB设备的重定向,需要配置“USB设备”策略。
 为了重定向USB设备,首先需要配置允许“客户端USB设备重定向”  如果是摄像头等即插即用设备,可启用“客户端USB即插即用设备重定向”。 如前一章介绍,可以使用“客户端USB设备优化规则”策略,设置USB设备是否使用设备优化规则。 |
| 3 | 出于设备类型考虑,有些设备默认是不进行重定向的。同理,也有一些设备我们需要禁止通过ICA协议映射到虚拟桌面或虚拟应用,因此,可以对重定向规则进行配置,指定允许和禁止的USB设备。
默认的允许禁止策略为: DENY: class=09 # Hub devices DENY: class=03 subclass=01 # HID Boot device (keyboards and mice) DENY: class=0b # Smartcard DENY: class=e0 # Wireless Controllers DENY: class=02 # Communications and CDC Control DENY: class=0a # CDC Data ALLOW: # Ultimate fallback: allow everything else 策略逐条进行比对匹配,要禁用所有USB设备,可使用未附带任何其他标记的”DENY:”。 1、可使用策略配置规则:  点击“添加”,填入类似以下内容: Allow: VID=XXXX PID=XXXX # XXXX是ID,这里写注释 2、也可直接修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\<userID>\User\VCPolicies 修改注册表可能导致系统异常,同时也不如组策略灵活  |
| 4 | 配置Receiver端USB允许禁止规则
可修改Receiver端注册表来调整USB允许禁止策略 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\ICA Client\GenericUSB\DeviceRules 或 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\GenericUSB\DeviceRules  按照前节格式,编辑注册表键值即可。 |
| 5 | 如果未启用优化规则策略,特定设备重定向可能需要将其切换到通用模式。
对于很多USB Key类外设,其VID/PID往往显示为HID设备,默认是不会进行重定向的,需要启用USB重定向允许策略,强制其进行重定向。  USB Key如果被识别为智能卡,但又不想按照默认智能卡方式进行映射,除了使用通用USB重定向策略之外,还需禁止智能卡的自动系统挂钩。修改如下注册表项: 32-bit and 64-bit systems: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\Smart Card Hook 64-bit systems: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\CtxHook\AppInit_Dlls\Smart Card Hook |
| 6 | 设备自动重定向
用户可以自行勾选自动映射选项  Receiver端的配置可以使用icaclient_usb.adm(.ADMX/.ADML)组策略模板。如果客户端支持组策略,可以使用模板配置自动映射策略  如果设备使用虚拟通道,可以修改注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\ICA Client\GenericUSB\Devices 或 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\GenericUSB\Devices 直接制定特定类型的设备进行重定向  |
| 7. | 如果想实现数据单向传输(数据只允许上传不允许下载),可开启如下策略:
找到“只读客户端驱动器访问模式”,该策略默认为禁用,我们需要设置为启用。点击选择,编辑设置  应用了该策略的对象,可以实现数据只能上传不能下载。  |
复制/粘贴剪贴板策略设置
用户连接Citrix桌面后,可以调用本地的剪贴板,快速完成文本内容的复制粘贴。
要进行剪贴板映射,可以参考如下步骤。
| 步骤 | 操作 |
| 1 | 启用剪贴板重定向策略
默认情况下,该策略是允许客户端使用剪贴板的。用户连接到VDA时,可在本地客户端和虚拟桌面之间互相剪贴文本内容。 首先,打开“Citrix Studio”,在左边控制台树,点击“策略”。在右边点击“创建策略”,创建一条新的策略。找到“客户端剪贴板重定向”,点击“选择”链接,编辑设置。  点击“选择”链接,编辑设置。  系统默认允许剪贴板重定向,检查确认即可。 |
| 3 | 如果想实现数据单向传输(数据只能从本地剪切至虚拟桌面),在开启剪贴板重定向基础上,还需要开启“限制客户端剪贴板写入”策略:
找到“限制客户端剪贴板写入”,该策略默认为禁用,我们需要设置为启用 点击选择,编辑设置  设置为启用  应用了该策略的对象,可以实现剪贴板内容只能上传不能下载。 |