Observação: (Note: )esta versão do tópico se aplica ao Horizon 8 Security versões 2111.2 e 2306 e posteriores. As configurações globais relacionadas à segurança para sessões e conexões do cliente podem ser acessadas em Configurações (Settings) > Configurações globais (Global Settings) > Configurações de segurança (Security Settings) ou em Configurações (Settings) > Configurações globais (Global Settings) > Configurações gerais (General Settings) no arquivo Horizon Console.

Tabela 1. Configurações globais relacionadas à segurança
Configuração Descrição
Alterar a senha de recuperação de dados (Change data recovery password)

A senha é necessária quando você restaura a configuração do LDAP do Horizon de um backup criptografado.

Em ambientes VMware Horizon 8:
  • Ao instalar o Connection Server, você fornece uma senha de recuperação de dados. Após a instalação, você pode alterar essa senha no console do.
  • Quando você faz backup do Servidor de Conexão, a configuração do LDAP do Horizon é exportada como dados LDIF criptografados. Para restaurar o backup criptografado com o utilitário vdmimport, você deve fornecer a senha de recuperação de dados. A senha deve conter entre 1 e 128 caracteres. Siga as práticas recomendadas da sua organização para gerar senhas seguras.
Modo de segurança de mensagens (Message security mode)

Determina o mecanismo de segurança usado quando mensagens JMS são transmitidas entre componentes VMware Horizon 8.

  • Se definido como Desativado (Disabled), o modo de segurança da mensagem será desativado.
  • Se definido como Ativado (Enabled), ocorrerá a assinatura de mensagens herdadas e a verificação de mensagens JMS. VMware Horizon 8 componentes rejeitam mensagens não assinadas. Esse modo oferece suporte a uma combinação de conexões TLS e JMS simples.
  • Se definido como Aprimorado (Enhanced), o TLS será usado para todas as conexões JMS, para criptografar todas as mensagens. O controle de acesso também é ativado para restringir os tópicos JMS para os quais os componentes VMware Horizon 8 podem enviar e receber mensagens.
  • Se definido como Misto (Mixed), o modo de segurança da mensagem é ativado, mas não é aplicado para componentes VMware Horizon 8.

A configuração padrão é Aprimorada (Enhanced) para novas instalações. Se você atualizar de uma versão anterior, a configuração usada na versão anterior será mantida.

Importante: VMware recomenda enfaticamente configurar o modo de segurança da mensagem como Aprimorado (Enhanced) depois de fazer upgrade de todas as instâncias do agente de conexão e VMware Horizon 8 desktops para esta versão. A configuração Aprimorado (Enhanced) fornece muitas melhorias de segurança importantes e atualizações do MQ (fila de mensagens).
Status de segurança aprimorada ( Enhanced Security Status) (somente leitura)

Campo somente leitura que aparece quando o Modo de segurança da mensagem (Message security mode) é alterado de Ativado (Enabled) para Aprimorado (Enhanced). Como a alteração é feita em fases, esse campo mostra o progresso nas fases:

  • Aguardar a reinicialização do barramento de mensagens (Waiting for Message Bus restart) é a primeira fase. Esse estado é exibido até que você reinicie manualmente todas as instâncias do Servidor de Conexão no pod ou o serviço do VMware Horizon Message Bus Component em todos os hosts do Servidor de Conexão no pod.
  • Aprimorado pendente (Pending Enhanced) é o próximo estado. Depois que todos os serviços do Horizon Message Bus Component forem reiniciados, o sistema começará a alterar o modo de segurança da mensagem para Aprimorado (Enhanced) em todas as áreas de trabalho.
  • Aprimorado (Enhanced) é o estado final, indicando que todos os componentes agora estão usando o modo de segurança de mensagem Aprimorado (Enhanced).
Reautenticar conexões de túnel seguro após a interrupção da rede (Reauthenticate secure tunnel connections after network interruption)

Determina se as credenciais do usuário devem ser reautenticadas após uma interrupção de rede quando Horizon Client s usam conexões de túnel seguras para VMware Horizon 8 áreas de trabalho e aplicativos.

Essa configuração oferece maior segurança. Por exemplo, se um laptop for roubado e movido para uma rede diferente, o usuário não poderá obter acesso automaticamente aos VMware Horizon 8 desktops e aplicativos porque a conexão de rede foi temporariamente interrompida.

Essa configuração é desativada por padrão.

Desconectar usuários à força (Forcibly disconnect users)

Desconecta todas as áreas de trabalho e aplicativos após o número de minutos especificado desde que o usuário efetuou login em VMware Horizon 8. Todas as áreas de trabalho e aplicativos serão desconectados ao mesmo tempo, independentemente de quando o usuário os abriu.

O padrão é 600 minutos.

Para clientes que oferecem suporte a aplicativos.

Se o usuário parar de usar o teclado e o mouse, desconecte seus aplicativos e descarte as credenciais de SSO (If the user stops using the keyboard and mouse, disconnect their applications and discard SSO credentials)

Protege as sessões do aplicativo quando não há atividade de teclado ou mouse no dispositivo cliente. Se definido como Após ... minutos (After ... minutes), VMware Horizon 8 desconectará todos os aplicativos e descartará as credenciais de SSO após o número especificado de minutos sem atividade do usuário. As sessões da área de trabalho estão desconectadas. Os usuários devem fazer login novamente para se reconectar aos aplicativos que foram desconectados ou iniciar uma nova área de trabalho ou aplicativo.

Se definido como Nunca (Never), VMware Horizon 8 nunca desconecta aplicativos ou descarta as credenciais de SSO devido à inatividade do usuário.

O padrão é Nunca (Never).

Descartar credenciais de SSO (Discard SSO credentials)

Use essa configuração para definir o descarte de credenciais de SSO em um horário fixo após o login. Depois que as credenciais de SSO forem descartadas, um usuário será solicitado a se autenticar no Windows Sistema operacional convidado ao se conectar a uma nova área de trabalho ou a uma nova sessão de aplicativo em um Farm RDS diferente. As conexões com as sessões de Área de Trabalho e Aplicativo existentes permanecerão abertas.

Se definida como Após ... minutos (After ... minutes), as credenciais de SSO serão descartadas após o número de minutos especificado desde que o usuário fez login em VMware Horizon, independentemente de qualquer atividade do usuário no dispositivo cliente. O padrão é Após 15 minutos (After 15 minutes).

Se definido como Nunca (Never), VMware Horizon armazena as credenciais de SSO até que o usuário feche o Horizon Client ou o tempo limite de Desconectar usuários à força (Forcibly disconnect users) seja atingido, o que ocorrer primeiro.

Marque uma ou ambas as caixas de seleção:
  • Aplicar a conexões de usuários internos (Apply to internal user connections) - as credenciais de SSO serão descartadas para conexões de dispositivos clientes em redes privadas.
  • Aplicar a conexões de usuários externos (Apply to external user connections) - As credenciais de SSO serão descartadas para conexões de dispositivos clientes em redes não privadas.

Por padrão, ambas as caixas de seleção estarão desmarcadas quando Descartar credenciais de SSO estiver definido como Nunca (Never). Ambas as caixas de seleção serão marcadas quando Descartar credenciais de SSO estiver definido como Após ... minutos (After ... minutes). Você deve marcar uma ou ambas as caixas de seleção para salvar suas alterações.
View Administrator tempo limite da sessão Determina por quanto tempo uma sessão do console ociosa continua antes que a sessão expire.
Importante: Definir o tempo limite da sessão do console para um número alto de minutos aumenta o risco de uso não autorizado do console. Tenha cuidado ao permitir que uma sessão ociosa persista por muito tempo.

Por padrão, o tempo limite da sessão do console é de 30 minutos. Você pode definir um tempo limite de sessão de 1 a 4.320 minutos.

Autenticação de certificado (Certificate Authentication) Use essa configuração para alterar o mapeamento de autenticação de certificado para o atributo Identidades de segurança alternativas personalizadas de um usuário no Active Directory, especificando uma opção de Controle de Mapeamento de Autenticação de Certificado. Os tipos de mapeamento baseados em nomes de usuário e endereços de e-mail são considerados fracos e devem ser atualizados com um dos tipos de mapeamento fortes. Consulte Configurar mapeamentos de certificado para autenticação baseada em certificado para obter detalhes.
Configurações de pré-busca de CRL (CRL Pre-Fetch Settings) Use essa configuração para realizar uma verificação de revogação de certificado em um certificado quando as URLs do Ponto de Distribuição da CRL (CDP) para o certificado não estiverem diretamente acessíveis ao Servidor de Conexão.
Observação: O TLS é necessário para todas as conexões de Horizon Client e de console para VMware Horizon 8. Se a implantação do VMware Horizon 8 usar balanceadores de carga ou outros servidores intermediários voltados para o cliente, você poderá descarregar o TLS para eles e, em seguida, configurar conexões não TLS em instâncias individuais do agente de conexão. Consulte "Descarregar conexões TLS com servidores intermediários" no documento Administração do Horizon 8.