安全设置包括与安全证书、登录凭据和单点登录功能相关的选项。

下表介绍了 Horizon Client 配置 ADMX 模板文件中的安全性设置。此表显示了安全性设置是同时包含“计算机配置”设置和“用户配置”设置,还是只包含“计算机配置”设置。对于包含两种类型的安全性设置,“用户配置”设置将覆盖等效的“计算机配置”设置。这些设置位于组策略管理编辑器的 VMware Horizon Client 配置 > 安全性设置文件夹中。

表 1. Horizon Client 配置模板:安全性设置

设置

计算机

用户

说明

Allow command line credentials

X

确定是否可以通过 Horizon Client 命令行选项提供用户凭据。如果禁用此设置,当用户从命令行运行 Horizon Client 时,smartCardPINpassword 选项不可用。

默认情况下启用该设置。

等效的 Windows 注册表值为 AllowCmdLineCredentials

Servers Trusted For Delegation

X

指定当用户在 Horizon Client 菜单栏上的选项菜单中选择以当前用户身份登录时,接受所传送的用户身份和凭据信息的连接服务器实例。如果未指定任何连接服务器实例,则所有连接服务器实例都会接受该信息。

要添加连接服务器实例,请使用以下格式之一:

  • domain\system$

  • system$@domain.com

  • 连接服务器服务的服务主体名称 (Service Principal Name, SPN)。

等效的 Windows 注册表值为 BrokersTrustedForDelegation

Certificate verification mode

X

配置 Horizon Client 执行的证书检查的级别。您可以选择其中一种模式:

  • No Security。Horizon 不执行证书检查。

  • Warn But Allow。Horizon 提供了一个自签名证书。在这种情况下,如果证书名称与用户在 Horizon Client 中提供的连接服务器名称不匹配,这是可以接受的。

    如果发生任何其他证书错误状况,Horizon 将显示一个错误对话框,并阻止用户连接到连接服务器。

    Warn But Allow为默认值。

  • Full Security。如果出现任何类型的证书错误,则用户无法连接到连接服务器。Horizon 将向用户显示证书错误。

配置该组策略设置后,用户可以在 Horizon Client 中查看选定的证书验证模式,但无法配置该设置。SSL 配置对话框会通知用户:管理员已锁定该设置。

未配置或禁用该设置时,Horizon Client 用户可以选择证书验证模式。

要允许服务器检查 Horizon Client 提供的证书,客户端必须与连接服务器或安全服务器主机建立 HTTPS 连接。如果将 SSL 负载分流到与连接服务器或安全服务器主机建立 HTTP 连接的中间设备,则不支持证书检查。

如果您不希望将该设置配置为组策略,您还可以通过将 CertCheckMode 值名称添加到客户端计算机上的以下注册表项之一来启用证书验证。

  • 对于 32 位 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • 对于 64 位 Windows:HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

使用以下注册表项值:

  • 0 实施No Security

  • 1 实施Warn But Allow

  • 2 实施Full Security

如果您在 Windows 注册表项中配置了组策略设置和 CertCheckMode 设置,则组策略设置优先于注册表项值。

注:

在未来的版本中,可能不支持使用 Windows 注册表配置此设置。必须使用 GPO 设置。

Default value of the 'Log in as current user' checkbox

X

X

指定 Horizon Client 菜单栏上选项菜单中以当前用户身份登录的默认值。

这项设置将覆盖 Horizon Client 安装期间指定的默认值。

如果用户通过命令行运行 Horizon Client 并指定了 logInAsCurrentUser 选项,则该值将覆盖此设置。

如果在选项菜单中选择了以当前用户身份登录,则用户在登录到客户端系统时提供的身份和凭据信息会传送到连接服务器实例,并最终传送到远程桌面或应用程序。如果取消选择以当前用户身份登录,则用户必须多次提供身份和凭据信息,才能访问远程桌面或应用程序。

默认情况下禁用此设置。

等效的 Windows 注册表值为 LogInAsCurrentUser

Display option to Log in as current user

X

X

确定以当前用户身份登录Horizon Client 菜单栏上的选项菜单中是否可见。

如果以当前用户身份登录可见,则用户可以选择或取消选择该选项,并覆盖其默认值。如果以当前用户身份登录处于隐藏状态,则用户将无法从 Horizon Client选项菜单中覆盖其默认值。

您可以使用策略设置 Default value of the 'Log in as current user' checkbox 指定以当前用户身份登录的默认值。

默认情况下启用该设置。

等效的 Windows 注册表值为 LogInAsCurrentUser_Display

Enable jump list integration

X

确定在 Windows 7 和更高版本系统的任务栏上的 Horizon Client 图标中是否显示跳转列表。通过使用跳转列表,用户可以连接到最近使用的连接服务器实例和远程桌面。

共享 Horizon Client 时,您可能不希望用户查看最近使用的桌面名称。因此,您可以通过禁用此设置来禁用跳转列表。

默认情况下启用该设置。

等效的 Windows 注册表值为 EnableJumplist

Enable SSL encrypted framework channel

X

X

确定是否为 View 5.0 和更低版本桌面启用 SSL。在 View 5.0 之前,未加密通过端口 TCP 32111 发送到桌面的数据。

  • 启用:启用 SSL,但在远程桌面不支持 SSL 时允许回退到以前的未加密连接。例如,View 5.0 和更低版本桌面不支持 SSL。启用是默认设置。

  • 禁用:禁用 SSL。此设置不推荐使用,但调试时或通道未经过安全加密链路并可能由 WAN 加速器产品优化时可能很有用。

  • 强制:启用 SSL,并拒绝连接不支持 SSL 的桌面。

等效的 Windows 注册表值为 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms

X

X

在建立加密 SSL 连接之前,配置密码列表来限制某些加密算法和协议的使用。密码列表由以冒号分隔的一个或多个密码字符串组成。

注:

密码字符串区分大小写。

默认值为 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

这意味着将启用 TLS v1、TLS v1.1 和 TLS v1.2。(将移除 SSL v2.0 和 v3.0。)

密码套件使用 128 位或 256 位 AES,移除匿名 DH 算法,然后按加密算法密钥长度的顺序排序当前密码列表。

此配置的参考链接:http://www.openssl.org/docs/apps/ciphers.html

等效的 Windows 注册表值为 SSLCipherList

Enable Single Sign-On for smart card authentication

X

确定是否为智能卡身份验证启用单点登录。如果启用了单点登录,Horizon Client 将加密的智能卡 PIN 存储到临时内存中,然后再将其提交到连接服务器。如果禁用单点登录,Horizon Client 将不显示自定义 PIN 对话框。

等效的 Windows 注册表值为 EnableSmartCardSSO

Ignore certificate revocation problems

X

X

确定是否忽略与撤消的服务器证书关联的错误。

当服务器发送的证书已撤消或客户端无法验证证书的撤消状态时,会出现这些错误。

默认情况下禁用此设置。

Unlock remote sessions when the client machine is unlocked

X

X

确定是否启用递归解锁功能。在解锁客户端计算机后,递归解锁功能解锁所有远程会话。只有在用户使用“以当前用户身份登录”功能登录到服务器后,该功能才适用。

默认情况下启用该设置。