安全设置包括与安全证书、登录凭据和单点登录功能相关的选项。
下表介绍了 Horizon Client 配置 ADM 模板文件中的安全设置。此表显示安全性设置是包含“计算机配置”设置和“用户配置”设置,还是仅包含“计算机配置”。对于包含两种类型的安全性设置,“用户配置”设置将覆盖等效的“计算机配置”设置。
| 设置 | 说明 |
|---|---|
| Allow command line credentials (计算机配置设置) |
确定是否可以通过 Horizon Client 命令行选项提供用户凭据。如果禁用该设置,当用户从命令行运行 Horizon Client 时,smartCardPIN 和 password 选项不可用。 默认情况下,将启用该设置。 等效的 Windows 注册表值为 AllowCmdLineCredentials。 |
| Servers Trusted For Delegation (计算机配置设置) |
指定接受用户身份和凭据信息(在用户选中了以当前用户身份登录复选框时传送)的 View 连接服务器实例。如果您未指定任何 View 连接服务器实例,所有 View 连接服务器实例都会接受该信息。 使用以下某种格式添加 View 连接服务器实例:
等效的 Windows 注册表值为 BrokersTrustedForDelegation。 |
| Certificate verification mode (计算机配置设置) |
配置 Horizon Client 执行的证书检查的级别。您可以选择其中一种模式:
配置该组策略设置后,用户可以在 Horizon Client 中查看选定的证书验证模式,但无法配置该设置。SSL 配置对话框会通知用户:管理员已锁定该设置。 未配置或禁用该设置时,Horizon Client 用户可以选择证书验证模式。 要允许 View server 检查 Horizon Client 提供的证书,客户端必须与 View 连接服务器或安全服务器主机建立 HTTPS 连接。如果将 SSL 负载分流到与 View 连接服务器或安全服务器主机建立 HTTP 连接的中间设备,则不支持证书检查。 对于 Windows 客户端来说,如果您不希望将该设置配置为组策略,您可以通过将 CertCheckMode 值名称添加到客户端计算机的以下注册表项之一来启用证书验证:
使用以下注册表项值:
如果您在 Windows 注册表项中配置了组策略设置和 CertCheckMode 设置,则组策略设置优先于注册表项值。 |
| Default value of the 'Log in as current user' checkbox (计算机和用户配置设置) |
指定 Horizon Client 连接对话框上的以当前用户身份登录复选框的默认值。 这项设置将覆盖 Horizon Client 安装期间指定的默认值。 如果用户通过命令行运行 Horizon Client 并指定了 logInAsCurrentUser 选项,则该值将覆盖该设置。 如果选中了以当前用户身份登录复选框,用户在登录客户端系统时提供的身份和凭据信息会传送到 View 连接服务器实例,最后传送到远程桌面。如果取消选择该复选框,用户必须多次输入身份和凭据信息,才能访问远程桌面。 默认情况下,将禁用该设置。 等效的 Windows 注册表值为 LogInAsCurrentUser。 |
| Display option to Log in as current user (计算机和用户配置设置) |
确定 以当前用户身份登录复选框是否显示在 Horizon Client 连接对话框上。 如果显示该复选框,用户可以选择或取消选择该复选框并覆盖其默认值。如果该复选框隐藏,用户将无法从 Horizon Client 连接对话框中覆盖其默认值。 您可以通过Default value of the 'Log in as current user' checkbox策略设置指定以当前用户身份登录复选框的默认值。 默认情况下,将启用该设置。 等效的 Windows 注册表值为 LogInAsCurrentUser_Display。 |
| Enable jump list integration (计算机配置设置) |
确定在 Windows 7 和更高版本系统的任务栏上的 Horizon Client 图标中是否显示跳转列表。使用跳转列表,用户可连接最近使用的 View 连接服务器实例和远程桌面。 共享 Horizon Client 时,您可能不希望用户查看最近使用的桌面名称。因此,您可以通过禁用该设置来禁用跳转列表。 默认情况下,将启用该设置。 等效的 Windows 注册表值为 EnableJumplist。 |
| Enable SSL encrypted framework channel (计算机和用户配置设置) |
确定是否为 View 5.0 和更低版本桌面启用 SSL。在 View 5.0 之前,未加密通过端口 TCP 32111 发送到桌面的数据。
等效的 Windows 注册表值为 EnableTicketSSLAuth。 |
| Configures SSL protocols and cryptographic algorithms (计算机和用户配置设置) |
在建立加密 SSL 连接之前,配置密码列表来限制某些加密算法和协议的使用。密码列表由以冒号分隔的一个或多个密码字符串组成。
注: 所有密码字符串均区分大小写。
这意味着,将在 Horizon Client 4.0 中启用 TLS v1.1 和 TLS v1.2。(将禁用 TLS v1.0 并移除 SSL v2.0 和 v3.0。)在 Horizon Client 3.5 中,将启用 TLS v1.0、TLS v1.1 和 TLS v1.2。(将禁用 SSL v2.0 和 v3.0。)在 Horizon Client 3.3 和 3.4 中,将启用 TLS v1.0 和 TLS v1.1。(将禁用 SSL v2.0、SSL v3.0 和 TLS v1.2。)在 Horizon Client 3.2 和更低版本中,也将启用 SSL v3.0。(将禁用 SSL v2.0 和 TLS v1.2。) 密码套件使用 128 位或 256 位 AES,移除匿名 DH 算法,然后按加密算法密钥长度的顺序排序当前密码列表。 此配置的参考链接:http://www.openssl.org/docs/apps/ciphers.html 等效的 Windows 注册表值为 SSLCipherList。 |
| Enable Single Sign-On for smart card authentication (计算机配置设置) |
确定是否为智能卡身份验证启用单点登录。启用单点登录后,Horizon Client 将加密的智能卡 PIN 存储到临时内存,然后再将其提交到 View 连接服务器。如果禁用单点登录,Horizon Client 将不显示自定义 PIN 对话框。 等效的 Windows 注册表值为 EnableSmartCardSSO。 |
| Ignore bad SSL certificate date received from the server (计算机配置设置) |
(仅限 View 4.6 和更低版本)确定是否忽略与无效的服务器证书日期关联的错误。在服务器发送过期证书时会发生这些错误。 等效的 Windows 注册表值为 IgnoreCertDateInvalid。 |
| Ignore certificate revocation problems (计算机配置设置) |
(仅限 View 4.6 和更低版本)确定是否忽略与撤销的服务器证书关联的错误。当服务器发出一个已撤消的证书以及客户端无法验证证书的撤消状态时,会出现这种错误。 默认情况下,将禁用该设置。 等效的 Windows 注册表值为 IgnoreRevocation。 |
| Ignore incorrect SSL certificate common name (host name field) (计算机配置设置) |
(仅限 View 4.6 和更低版本)确定是否忽略与错误的服务器证书公用名关联的错误。在证书上的公用名与发送该证书的服务器主机名不匹配时会发生这些错误。 等效的 Windows 注册表值为 IgnoreCertCnInvalid。 |
| Ignore incorrect usage problems (计算机配置设置) |
(仅限 View 4.6 和更低版本)确定是否忽略与服务器证书使用不当关联的错误。如果服务器发送的证书专用于某一用途,而不是用来验证发送者的身份和对服务器通信进行加密,则会发生这些错误。 等效的 Windows 注册表值为 IgnoreWrongUsage。 |
| Ignore unknown certificate authority problems (计算机配置设置) |
(仅限 View 4.6 和更低版本)确定是否忽略与未知的服务器证书的证书颁发机构 (Certificate Authority, CA) 关联的错误。如果服务器发送的证书是由不受信任的第三方证书颁发机构签发的,则会发生这些错误。 等效的 Windows 注册表值为 IgnoreUnknownCa。 |
