安全设置包括证书、登录凭据和单点登录功能的组策略。

下表介绍了 Horizon Client 配置 ADMX 模板文件中的安全性设置。此表显示了安全性设置是同时包含“计算机配置”设置和“用户配置”设置,还是只包含“计算机配置”设置。对于包含两种类型设置的安全性设置,“用户配置”设置将覆盖等效的“计算机配置”设置。

以下设置显示在组策略管理编辑器的 VMware Horizon Client 配置 > 安全性设置文件夹中。

表 1. Horizon Client 配置模板:安全性设置
设置 计算机 用户 说明
Allow command line credentials X 确定是否可以通过 Horizon Client 命令行选项提供用户凭据。如果禁用此设置,当用户从命令行运行 Horizon Client 时,smartCardPINpassword 选项不可用。

默认情况下启用该设置。

等效的 Windows 注册表值为 AllowCmdLineCredentials

Configures the SSL Proxy certificate checking behavior of the Horizon Client X 确定是否允许对通过 SSL 代理服务器为 Blast 安全网关和安全加密链路连接建立的辅助连接进行证书检查。

如果未配置此设置(默认情况),用户可以在 Horizon Client 中手动更改 SSL 代理设置。

默认情况下,Horizon Client 会阻止为 Blast 安全网关和安全加密链路连接建立 SSL 代理连接。

Servers Trusted For Delegation X

指定当用户在 Horizon Client 菜单栏上的选项菜单中选择以当前用户身份登录时,接受所传送的用户身份和凭据信息的连接服务器实例。如果未指定任何连接服务器实例,则所有连接服务器实例都会接受该信息,除非在 Horizon Console 中为连接服务器实例禁用了允许以当前用户身份登录身份验证设置。

要添加连接服务器实例,请指定连接服务器服务的服务主体名称 (Service Principal Name, SPN)。

等效的 Windows 注册表值为 BrokersTrustedForDelegation

Certificate verification mode X 配置 Horizon Client 执行的证书检查级别。您可以选择其中一种模式:
  • No Security。不进行任何证书检查。
  • Warn But Allow。如果由于服务器使用自签名证书而导致证书检查失败,用户将看到一个可以忽略的警告。对于自签名证书,证书名称不需要与用户在 Horizon Client 中输入的服务器名称匹配。

    如果发生任何其他证书错误状况,Horizon Client 将显示一个错误,并阻止用户连接到服务器。

    Warn But Allow为默认值。

  • Full Security。如果出现任何类型的证书错误,则用户无法连接到服务器。Horizon Client 将向用户显示证书错误。

配置该组策略设置后,用户可以在 Horizon Client 中查看选定的证书验证模式,但无法配置该设置。证书检查模式对话框通知用户该设置已经由管理员锁定。

如果禁用该设置,Horizon Client 用户可以选择证书检查模式。默认情况下禁用该设置。

要允许服务器选择由 Horizon Client 提供的证书,客户端必须与连接服务器或安全服务器主机建立 HTTPS 连接。如果将 TLS 负载分流到与连接服务器或安全服务器主机建立 HTTP 连接的中间设备,则不支持证书检查。

如果您不希望将该设置配置为组策略,您还可以通过将 CertCheckMode 值名称添加到客户端计算机上的以下注册表项之一来启用证书验证。

  • 对于 32 位 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • 对于 64 位 Windows:HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

使用以下注册表项值:

  • 0 实施No Security
  • 1 实施Warn But Allow
  • 2 实施Full Security

如果您在 Windows 注册表项中配置了组策略设置和 CertCheckMode 设置,则组策略设置优先于注册表项值。

注:Horizon Client 的未来版本中,可能不支持使用 Windows 注册表配置此设置,必须使用组策略设置。
Default value of the 'Log in as current user' checkbox X X

指定 Horizon Client 菜单栏上选项菜单中以当前用户身份登录的默认值。

这项设置将覆盖 Horizon Client 安装期间指定的默认值。

如果用户通过命令行运行 Horizon Client 并指定了 logInAsCurrentUser 选项,则该值将覆盖此设置。

如果在选项菜单中选择了以当前用户身份登录,则用户在登录到客户端系统时提供的身份和凭据信息会传送到连接服务器实例,并最终传送到远程桌面或已发布的应用程序。如果取消选择以当前用户身份登录,则用户必须多次提供身份和凭据信息,才能访问远程桌面或已发布的应用程序。

默认情况下禁用该设置。

等效的 Windows 注册表值为 LogInAsCurrentUser

Display option to Log in as current user X X

确定以当前用户身份登录Horizon Client 菜单栏上的选项菜单中是否可见。

如果以当前用户身份登录可见,则用户可以选择或取消选择该选项,并覆盖其默认值。如果以当前用户身份登录处于隐藏状态,则用户将无法从 Horizon Client选项菜单中覆盖其默认值。

您可以使用策略设置 Default value of the 'Log in as current user' checkbox 指定以当前用户身份登录的默认值。

默认情况下启用该设置。

等效的 Windows 注册表值为 LogInAsCurrentUser_Display

Enable jump list integration

X 确定在 Windows 7 和更高版本系统的任务栏上的 Horizon Client 图标中是否显示跳转列表。用户可以使用跳转列表连接到最近使用的服务器、远程桌面和已发布的应用程序。

共享 Horizon Client 时,您可能不希望用户查看最近使用的桌面和已发布应用程序的名称。因此,您可以通过禁用此设置来禁用跳转列表。

默认情况下启用该设置。

等效的 Windows 注册表值为 EnableJumplist

Enable SSL encrypted framework channel X X 确定是否为 View 5.0 和更低版本的远程桌面启用 TLS。在 View 5.0 之前,未加密通过端口 TCP 32111 发送到远程桌面的数据。
  • 启用:启用 TLS,但在远程桌面不支持 TLS 时允许回退到以前的未加密连接。例如,View 5.0 和更低版本的远程桌面不支持 TLS。启用是默认设置。
  • 禁用:禁用 TLS。此设置在调试时或通道未经过安全加密链路并可能由 WAN 加速器产品优化时可能很有用。
  • 强制:启用 TLS 并拒绝连接到不支持 TLS 的远程桌面。

等效的 Windows 注册表值为 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms X X 在建立加密 TLS 连接之前,配置密码列表来限制某些加密算法和协议的使用。密码列表由以冒号分隔的一个或多个密码字符串组成。密码字符串区分大小写。

默认值为 TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

该密码字符串意味着将启用 TLS v1.1 和 TLS v1.2,而禁用 SSL v.2.0、SSL v3.0 和 TLS v1.0。SSL v2.0、SSL v3.0 和 TLS v1.0 不再是批准的协议,将永久禁用这些协议。

密码套件使用 ECDHE、ECDH 和 RSA 以及 128 位或 256 位 AES。GCM 模式是首选模式。

有关更多信息,请参阅 http://www.openssl.org/docs/apps/ciphers.html

等效的 Windows 注册表值为 SSLCipherList

Enable Single Sign-On for smart card authentication X 确定是否为智能卡身份验证启用单点登录。如果启用了单点登录,Horizon Client 将加密的智能卡 PIN 存储到临时内存中,然后再将其提交到连接服务器。如果禁用单点登录,Horizon Client 将不显示自定义 PIN 对话框。

等效的 Windows 注册表值为 EnableSmartCardSSO

Ignore certificate revocation problems X X 确定是否忽略与撤消的服务器证书关联的错误。

当服务器发送的证书已撤消或客户端无法验证证书的撤消状态时,会出现这些错误。

默认情况下禁用该设置。

Unlock remote sessions when the client machine is unlocked X X 确定是否启用递归解锁功能。在解锁客户端计算机后,递归解锁功能解锁所有远程会话。只有在用户使用“以当前用户身份登录”功能登录到服务器后,该功能才适用。

默认情况下启用该设置。

以下设置显示在组策略管理编辑器的 VMware Horizon Client 配置 > 安全性设置 > NTLM 设置文件夹中。

表 2. Horizon Client 配置模板:安全性设置、NTLM 身份验证设置
设置 计算机 用户 说明
Allow NTLM Authentication X 如果启用该设置,则将允许通过以当前用户身份登录功能进行 NTLM 身份验证。如果禁用该设置,则不会对任何服务器使用 NTLM 身份验证。

如果启用该设置,您可以从允许从 Kerberos 回退到 NTLM 下拉菜单中选择

  • 如果选择,则当客户端无法检索服务器的 Kerberos 票证时,可以使用 NTLM 身份验证。
  • 如果选择,则仅允许对在始终使用 NTLM 服务器组策略设置中列出的服务器使用 NTLM 身份验证。

如果未配置此设置,则将允许对始终使用 NTLM 服务器组策略设置中列出的服务器使用 NTLM 身份验证。

要使用 NTLM 身份验证,服务器 SSL 证书必须有效,并且 Windows 策略不得限制 NTLM 的使用。

有关在连接服务器实例中配置从 Kerberos 回退到 NTLM 的信息,请参阅《VMware Horizon Console 管理指南》文档中的“使用基于 Windows 的 Horizon Client 所提供的‘以当前用户身份登录’功能”。

Always use NTLM for servers X 如果启用该设置,则以当前用户身份登录功能将始终对列出的服务器使用 NTLM 身份验证。要创建服务器列表,请单击显示,然后在列中输入服务器名称。服务器的命名格式为完全限定域名 (FQDN)。