安全设置包括与安全证书、登录凭据和单点登录功能相关的选项。

下表介绍了 Horizon Client 配置 ADM 和 ADMX 模板文件中的安全设置。此表显示安全性设置是包含“计算机配置”设置和“用户配置”设置,还是仅包含“计算机配置”。对于包含两种类型的安全性设置,“用户配置”设置将覆盖等效的“计算机配置”设置。

表 1. Horizon Client 配置模板:安全性设置
设置 说明
Allow command line credentials

(计算机配置设置)

确定是否可以通过 Horizon Client 命令行选项提供用户凭据。如果禁用此设置,当用户从命令行运行 Horizon Client 时,smartCardPINpassword 选项不可用。

默认情况下,将启用该设置。

等效的 Windows 注册表值为 AllowCmdLineCredentials

Servers Trusted For Delegation

(计算机配置设置)

指定接受在用户选中以当前用户身份登录复选框时传送的用户身份和凭据信息的连接服务器实例。如果未指定任何连接服务器实例,则所有连接服务器实例都会接受该信息。

要添加连接服务器实例,请使用以下格式之一:

  • domain\system$
  • system$@domain.com
  • 连接服务器服务的服务主体名称 (Service Principal Name, SPN)。

等效的 Windows 注册表值为 BrokersTrustedForDelegation

Certificate verification mode

(计算机配置设置)

配置 Horizon Client 执行的证书检查的级别。您可以选择其中一种模式:
  • No Security。Horizon 不执行证书检查。
  • Warn But Allow。Horizon 提供了一个自签名证书。在这种情况下,如果证书名称与用户在 Horizon Client 中提供的连接服务器名称不匹配,这是可以接受的。

    如果发生任何其他证书错误状况,Horizon 将显示一个错误对话框,并阻止用户连接到连接服务器。

    Warn But Allow为默认值。

  • Full Security。如果出现任何类型的证书错误,则用户无法连接到连接服务器。Horizon 将向用户显示证书错误。

配置该组策略设置后,用户可以在 Horizon Client 中查看选定的证书验证模式,但无法配置该设置。SSL 配置对话框会通知用户:管理员已锁定该设置。

未配置或禁用该设置时,Horizon Client 用户可以选择证书验证模式。

要允许服务器检查 Horizon Client 提供的证书,客户端必须与连接服务器或安全服务器主机建立 HTTPS 连接。如果将 SSL 负载分流到与连接服务器或安全服务器主机建立 HTTP 连接的中间设备,则不支持证书检查。

如果您不希望将该设置配置为组策略,您还可以通过将 CertCheckMode 值名称添加到客户端计算机上的以下注册表项之一来启用证书验证。

  • 对于 32 位 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • 对于 64 位 Windows:HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

使用以下注册表项值:

  • 0 实施No Security
  • 1 实施Warn But Allow
  • 2 实施Full Security

如果您在 Windows 注册表项中配置了组策略设置和 CertCheckMode 设置,则组策略设置优先于注册表项值。

注: 在未来的版本中,可能不支持使用 Windows 注册表配置此设置。必须使用 GPO 设置。
Default value of the 'Log in as current user' checkbox

(计算机和用户配置设置)

指定 Horizon Client 连接对话框上的以当前用户身份登录复选框的默认值。

这项设置将覆盖 Horizon Client 安装期间指定的默认值。

如果用户通过命令行运行 Horizon Client 并指定了 logInAsCurrentUser 选项,则该值将覆盖此设置。

如果选中了以当前用户身份登录复选框,用户在登录到客户端系统时提供的身份和凭据信息将传送到连接服务器实例,并最终传送到远程桌面。如果取消选中该复选框,用户必须多次输入身份和凭据信息,才能访问远程桌面。

默认情况下禁用此设置。

等效的 Windows 注册表值为 LogInAsCurrentUser

Display option to Log in as current user

(计算机和用户配置设置)

确定以当前用户身份登录复选框是否显示在 Horizon Client 连接对话框上。

如果显示该复选框,用户可以选中或取消选中该复选框并覆盖其默认值。如果该复选框隐藏,用户将无法从 Horizon Client 连接对话框中覆盖其默认值。

您可以通过Default value of the 'Log in as current user' checkbox策略设置指定以当前用户身份登录复选框的默认值。

默认情况下,将启用该设置。

等效的 Windows 注册表值为 LogInAsCurrentUser_Display

Enable jump list integration

(计算机配置设置)

确定在 Windows 7 和更高版本系统的任务栏上的 Horizon Client 图标中是否显示跳转列表。通过使用跳转列表,用户可以连接到最近使用的连接服务器实例和远程桌面。

共享 Horizon Client 时,您可能不希望用户查看最近使用的桌面名称。因此,您可以通过禁用此设置来禁用跳转列表。

默认情况下,将启用该设置。

等效的 Windows 注册表值为 EnableJumplist

Enable SSL encrypted framework channel

(计算机和用户配置设置)

确定是否为 View 5.0 和更低版本桌面启用 SSL。在 View 5.0 之前,未加密通过端口 TCP 32111 发送到桌面的数据。
  • 启用:启用 SSL,但在远程桌面不支持 SSL 时允许回退到以前的未加密连接。例如,View 5.0 和更低版本桌面不支持 SSL。启用是默认设置。
  • 禁用:禁用 SSL。此设置不推荐使用,但调试时或通道未经过安全加密链路并可能由 WAN 加速器产品优化时可能很有用。
  • 强制:启用 SSL,并拒绝连接不支持 SSL 的桌面。

等效的 Windows 注册表值为 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms

(计算机和用户配置设置)

在建立加密 SSL 连接之前,配置密码列表来限制某些加密算法和协议的使用。密码列表由以冒号分隔的一个或多个密码字符串组成。
注: 密码字符串区分大小写。

默认值为 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

这意味着将启用 TLS v1、TLS v1.1 和 TLS v1.2。(将移除 SSL v2.0 和 v3.0。)

密码套件使用 128 位或 256 位 AES,移除匿名 DH 算法,然后按加密算法密钥长度的顺序排序当前密码列表。

此配置的参考链接:http://www.openssl.org/docs/apps/ciphers.html

等效的 Windows 注册表值为 SSLCipherList

Enable Single Sign-On for smart card authentication

(计算机配置设置)

确定是否为智能卡身份验证启用单点登录。如果启用了单点登录,Horizon Client 将加密的智能卡 PIN 存储到临时内存中,然后再将其提交到连接服务器。如果禁用单点登录,Horizon Client 将不显示自定义 PIN 对话框。

等效的 Windows 注册表值为 EnableSmartCardSSO

Ignore bad SSL certificate date received from the server

(计算机配置设置)

(仅限 View 4.6 和更低版本)确定是否忽略与无效的服务器证书日期关联的错误。在服务器发送过期证书时会发生这些错误。

等效的 Windows 注册表值为 IgnoreCertDateInvalid

Ignore certificate revocation problems

(计算机配置设置)

(仅限 View 4.6 和更低版本)确定是否忽略与撤销的服务器证书关联的错误。当服务器发出一个已撤消的证书以及客户端无法验证证书的撤消状态时,会出现这种错误。

默认情况下禁用此设置。

等效的 Windows 注册表值为 IgnoreRevocation

Ignore incorrect SSL certificate common name (host name field)

(计算机配置设置)

(仅限 View 4.6 和更低版本)确定是否忽略与错误的服务器证书公用名关联的错误。在证书上的公用名与发送该证书的服务器主机名不匹配时会发生这些错误。

等效的 Windows 注册表值为 IgnoreCertCnInvalid

Ignore incorrect usage problems

(计算机配置设置)

(仅限 View 4.6 和更低版本)确定是否忽略与服务器证书使用不当关联的错误。如果服务器发送的证书专用于某一用途,而不是用来验证发送者的身份和对服务器通信进行加密,则会发生这些错误。

等效的 Windows 注册表值为 IgnoreWrongUsage

Ignore unknown certificate authority problems

(计算机配置设置)

(仅限 View 4.6 和更低版本)确定是否忽略与未知的服务器证书的证书颁发机构 (Certificate Authority, CA) 关联的错误。如果服务器发送的证书是由不受信任的第三方证书颁发机构签发的,则会发生这些错误。

等效的 Windows 注册表值为 IgnoreUnknownCa