Blog IT

Directivas Citrix para dispositivos USB / Citrix policies for USB devices

En la entrada de hoy vamos a configurar unas directivas de Citrix para habilitar o deshabilitar dispositivos USB y vamos a profundizar en como podemos habilitar o deshabilitar dispositivos en concreto, ya sean de un tipo específico (dispositivos wifi usb, smartcards, etc…) O un pendrive en concreto.

Para ello, lo primero que vamos a hacer es abrir la consola de Citrix Studio y nos iremos a directivas,

CtxUSB1

Crear directiva,

CtxUSB2

Entre todas buscaremos las configuraciones que vamos a necesitar. La primera “Redirección de dispositivos USB del cliente”

CtxUSB3

La permitiremos. No os preocupéis si hay dispositivos que no queréis redirigir, más tarde denegaremos. (También podéis filtrar las GPOS para aplicarlas sobre ciertos usuarios, grupos, servidores… Para que generéis diferentes configuraciones, excepciones, etc…)

Aceptamos y buscamos la siguiente: “Redirección de dispositivos USB Plug and Play del cliente”

CtxUSB4

La permitimos también.

Y ahora vamos a por la que nos va a permitir más personalización: “Regla de redirección de dispositivos USB del cliente”

CtxUSB5

Aquí vamos a agregar las reglas de redirección dependiendo del tipo de dispositivo que queramos permitir o denegar.

En nuestro caso vamos a habilitar las SmartCard y los dispositivos de almacenamiento masivo. Las reglas se conforman con la siguiente nomenclatura: Tipo de permiso: Clase del dispositivo # Descripción

Ejemplo: DENY: class=0b # Smartcard (Denegamos el uso de las SmartCard)

Aquí tenéis una lista de las clases de usb definidas.

Pero también podemos permitir o denegar dispositivos en concreto. Para ello, pincharemos el dispositivo en un equipo y nos iremos al administrador de dispositivos

CtxUSB5b

Entraremos en las propiedades de nuestro dispositivo,

CtxUSB5c

Y nos iremos a la pestaña de Detalles. En el desplegable buscaremos “Id. de Hardware” para obtener el pid y el id del dispositivo en cuestión. Una vez que los tengamos, generaremos la regla para este dispositivo en nuestra directiva de Citrix de la siguiente manera: ALLOW: vid=1058 pid=1078

IMPORTANTE: Las reglas existen a nivel de servidor VDA y a nivel de equipo cliente (endpoint). Y las reglas por defecto son diferentes, siendo más restrictivas las del cliente. Un Deny prevalece ante un Allow, por lo que si queréis confirmar que os funcione una regla de allow, esta debe ser configurada tanto en los equipos cliente como en el servidor.

Ruta para verificar la configuración:

CtxUSB5d

VDA: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432node\Citrix\PortICA\GenericUSB
Endpoint: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432node\Citrix\ICA Client\GenericUSB

CtxUSB5e

*En máquinas 32-bit la localización es la misma sin WOW6432node

Podéis hacer la configuración de forma manual o con GPOS importando icaclient_usb.adm . En algunas versiones de receiver lo podéis configurar de forma manual en el propio receiver.

CtxUSB6

Ya tenemos las tres configuraciones de nuestra directiva en Citrix. Siguiente,

CtxUSB7

Ahora seleccionaremos a quien o que aplicaremos la directiva. En mi caso seleccionare un usuario o un grupo de usuarios,

CtxUSB8

Y finalizamos.

CtxUSB9

Ya tenéis vuestras directiva lista para funcionar.