众所周知，桌面虚拟化最大的优势就是保证企业数据的安全。所有的数据都保存在统一的数据中心内，客户端上所看到的只不过是图像而已。除了将本地的数据移到数据中心中，我们还能够控制什么呢？是的，USB设备的管控，这几乎是所有信息安全领域都要谈到的话题，下面我们就来说一下虚拟桌面环境中USB设备是如何进行管理的。

　　USB设备的ID

通常情况下，企业中会有很多的要求，并不是单单禁用USB存储这么简单。很多企业会设置一些白名单来允许一些特定的USB设备进行使用。这就需要IT管理员将允许的USB设备跟禁止的USB设备区分开来，区分的方法有很多，但都是根据USB设备的一些ID来识别的，最常用的是：

PID：USB产品的识别码，由生产厂商定义，不同的产品有不同的PID，通常跟VID一起使用。

VID：USB设备的供应商ID，如Scandisk等，每个厂商都有单独的VID，可以到USB组织的网站进行查询。例如我的西数移动硬盘的VID为0x1058

　　　Class：USB设备类型代码，是用来定义USB设备的功能的。例如08代表大容量存储，07代表打印机，另外在每一个类型下面还有子类型（SubClass），协议（Protocol），更加细致的标明USB设备的功能。具体代码可以到USB组织的网站进行查询。

　　如何查找USB设备的ID？

　　知道了这些USB设备的ID，在实际的应用环境中，还需要将它们找出来。查找USB设备ID的方法有很多，这里只简单介绍一种比较容易的方法。

　　首先需要下载免费工具USBDeview，只有不到100K的大小。打开这个工具，会显示本机所有USB端口的连接情况，其中绿色图标的表示已经连接的USB设备（如图1）。双击图标，就会显示当前USB设备的ID信息。图1显示的是我的移动硬盘的信息。这样你就可以按照需要查看USB设备的信息。

　　图1：USB设备ID的信息

　　Citirx XenDesktop如何对USB设备进行管理

　　在Citrix XenDesktop环境中，对USB设备的管理是通过Citrix的策略来进行的，Citrix策略可以在AD的组策略中进行设置（需要安装Citrix组策略安装包），也可以在XenDesktop的Citrix Desktop Studio中进行设置。

　　USB策略的设置主要在用户策略中，首先需要将客户端USB设备重定向选项设置为开启状态，然后在“客户端USB设备重定向策略”中设置相应的策略，策略的设置非常简单，类似于防火墙中策略的设置，每条策略依次执行，一直到遇到符合条件的策略，无论是允许或者禁止。对于策略的语法在界面中有很详细的说明，可以通过USB设备的PID/VID/Class/SubClass/Protocol进行策略的设置。具体界面如图2。

　　图2： Citrix XenDesktop 客户端USB设备重定向策略设置

　　像防火墙策略一样，通常最后一条是禁止所有的设备。这就是通常所说的白名单过滤。策略设置好之后，还需要将组策略应用到相应用户所在的OU。

　　VMware View如何对USB设备进行管理

　　在VMware View环境中，对USB设备的管理的颗粒度相对粗一些，其主要有三种方式进行管理。

　　1.在View Manager中进行管理，这里的管理只限于打开或者关闭客户端USB设备的重定向，首先可以设置整个View的USB设备重定向策略，如果不同的虚拟机池有不同的需求，可以在虚拟机池中单独再设置USB设备重定向策略，你可以选择继承，或者单独进行设置，另外还可以设置个别用户的排除，使单独的用户可以独立于整个虚拟机池中的其他用户。设置界面如图3。

　　图3. VMware View中USB策略的设置

　　2.在组策略中进行控制：VMware View除了通过View Manager进行管理以外，还开发了很多组策略的模板，供IT管理员进一步的管理，所有的组策略模板位于VMware View Connection Server上目录Program FilesVMwareVMware ViewServerextrasGroupPolicyFiles中，可以看到模板涵盖了从客户端到服务器的多个方面，非常细致。所做的只要将这些模板导入到组策略中，管理员就可以通过组策略进行管理了。
USB策略的设置主要集中在计算机策略上，策略可以针对USB设备的PID/VID/Class等进行过滤，但其应用的范围只限于Teradici Zero Client，应用范围相对局限一些，通过这些策略的设置可以实现白名单，黑名单的功能，但最多设置10条策略。设置界面如图4。

　　图4. VMware View USB设备组策略设置界面

　　3.在虚拟桌面或者客户端上进行控制：对于一般的VMware  View客户端，如何对USB设备重定向进一步的管理呢，最后一种方法就是通过修改客户端或者虚拟桌面中的注册表来进行设置。
　　客户端注册表的修改：在装有View Client的Windows客户端上，在注册表位置HKLMSoftwareVMware, Inc.VMware VDMUSB（64位：HKLMSoftwareWow6432nodeVMware, Inc. VMware VDMUSB）添加注册表键ClassFilters，类型为“Multi-String Value”，键值为“-”可以阻止所有的USB设备重定向。这相当于Citrix XenDesktop策略中的Deny：。另外如果需要设置白名单，可以添加注册表键“AllowHardwareIDs”，类型为“Multi-String Value”，键值根据USB设备的PID和VID，具体设置可以参照VMware网站介绍。

　　虚拟桌面注册表的修改：在装有View Agent的Windows虚拟桌面上，在上述的注册表位置添加名为“HardwareIDFilters”的注册表键，类型为“Multi-String Value”，键值为USB设备的VID/PID，同样可以阻止相应类型的USB设备，不过遗憾的是这只能实现黑名单的功能。

　　虽然在客户端进行USB设备重定向过滤的设置，但是这样的管理显然增加了IT管理员的工作量，而且显然不适合BYOD（带自己的电脑工作）的场景。它只能应用在一些个别的应用场景中。

　　VMware View和Citrix XenDesktop对USB设备重定向的管理各有不同的方式，也可以实现不同的功能，不过采用哪种方案还是取决于最终用户的需求。仔细了解一下你的环境和需求，然后再决定选择哪一种解决方案吧。

　　陈中华，MCSE，目前供职于某外企，全面负责公司的IT基础设施规划和建设。擅长数据中心建设，虚拟化部署，Exchange邮件系统管理，项目管理，长期致力于IT前沿技术的研究。