VMware Horizon 8 的安全性相关全局设置

客户端会话和连接的安全性相关全局设置可在 Horizon Console 中的设置 > 全局设置 > 安全性设置或设置 > 全局设置 > 常规设置下访问。

表 1. 安全性相关的全局设置
设置	说明
更改数据恢复密码	从加密备份还原 Horizon LDAP 配置时需要提供此密码。在 VMware Horizon 8 环境中：安装连接服务器时，您需要提供一个数据恢复密码。安装后，可以在控制台更改此密码。备份连接服务器时，Horizon LDAP 配置将导出为加密的 LDIF 数据。要通过 vdmimport 实用程序还原加密备份，需要提供数据恢复密码。密码包含的字符必须介于 1 到 128 个之间。请遵循组织的最佳实践来生成安全密码。
消息安全模式	决定在 VMware Horizon 8 组件之间传递 JMS 消息时使用的安全机制。如果设置为已禁用，将停用消息安全模式。如果设置为已启用，将对 JMS 消息执行旧消息签名和验证。VMware Horizon 8 组件会拒绝未签名的消息。此模式支持混合使用 TLS 连接和纯 JMS 连接。如果设置为已增强，将对所有 JMS 连接使用 TLS 以加密所有消息。此外，还会激活访问控制，以限制 VMware Horizon 8 组件可以向其发送消息以及从中接收消息的 JMS 主题。如果设置为混合，将激活消息安全模式，但不会强制用于 VMware Horizon 8 组件。新安装的默认设置为已增强。如果从先前版本进行升级，则将保留在先前版本中使用的设置。重要说明： VMware 强烈建议您在将所有连接代理实例和 VMware Horizon 8 桌面升级到此版本后，将消息安全模式设置为已增强。已增强设置提供多项重要的安全性改进功能和 MQ（消息队列）更新。
增强安全状态（只读）	将消息安全模式从已启用更改为已增强时显示的只读字段。由于更改分阶段进行，此字段根据阶段显示进度：等待 Message Bus 重新启动是第一阶段。此状态将一直显示，直到您手动重新启动容器中的所有连接服务器实例或容器中所有连接服务器主机上的 VMware Horizon Message Bus 组件服务。等待增强是下一阶段。重新启动所有 Horizon Message Bus 组件服务后，系统开始将所有桌面的消息安全模式更改为已增强。已增强是最终状态，表明所有组件现在正使用已增强消息安全模式。
网络中断后对安全加密链路连接重新进行身份验证	在 Horizon Client 通过安全加密链路连接到 VMware Horizon 8 桌面和应用程序的情况下，确定在网络中断后是否必须重新对用户凭据进行身份验证。此设置可提高安全性。例如，如果笔记本电脑被盗并转移到了其他网络，用户将无法自动获取 VMware Horizon 8 桌面和应用程序的访问权限，原因是网络连接已临时中断。默认情况下停用此设置。
强制断开用户连接	自用户登录到 VMware Horizon 8 时起达到指定分钟数后，断开所有桌面和应用程序连接。无论桌面和应用程序是被用户何时打开的，都将同时断开连接。默认值是 600 分钟。
对于支持应用程序的客户端。如果用户停止使用键盘和鼠标，则将断开应用程序连接并放弃 SSO 凭据	在客户端设备上无键盘或鼠标活动时保护应用程序会话。如果设置为 …分钟之后，VMware Horizon 8 将在无用户活动达到指定的分钟数后断开所有应用程序连接并放弃 SSO 凭据。桌面会话将断开连接。用户必须重新登录以重新连接被断开的应用程序或者启动新的桌面或应用程序。如果设置为从不，VMware Horizon 8 将绝不会因用户不活动而断开应用程序连接或放弃 SSO 凭据。默认值为从不。
其他客户端。放弃 SSO 凭据	在特定时间段后放弃 SSO 凭据。此设置适用于不支持应用程序远程的客户端。如果设置为 …分钟之后，那么自用户登录到 VMware Horizon 8 时起达到指定分钟数后，用户必须重新登录以连接到桌面，而不管客户端设备上的用户活动情况如何。默认值为 15 分钟之后。
View Administrator 会话超时	确定控制台会话持续闲置多久后超时。重要说明：控制台会话超时值（以分钟为单位）设置较高会增加未授权使用该控制台的风险。允许闲置会话持续较长时间时应慎重考虑。默认情况下，控制台会话超时为 30 分钟。会话超时值的设置范围为 1 到 4320 分钟之间。

注：到 VMware Horizon 8 的所有 Horizon Client 连接和控制台连接都需要使用 TLS。如果您的 VMware Horizon 8 部署使用负载均衡器或其他面向客户端的中间服务器，可以将 TLS 负载分流到这些负载均衡器或中间服务器，然后在单个连接代理实例上配置非 TLS 连接。请参阅《Horizon 8 管理指南》文档中的“将 TLS 连接负载分流到中间服务器”。

设置	说明
更改数据恢复密码	从加密备份还原 Horizon LDAP 配置时需要提供此密码。在 VMware Horizon 8 环境中：安装连接服务器时，您需要提供一个数据恢复密码。安装后，可以在控制台更改此密码。备份连接服务器时，Horizon LDAP 配置将导出为加密的 LDIF 数据。要通过 vdmimport 实用程序还原加密备份，需要提供数据恢复密码。密码包含的字符必须介于 1 到 128 个之间。请遵循组织的最佳实践来生成安全密码。
消息安全模式	决定在 VMware Horizon 8 组件之间传递 JMS 消息时使用的安全机制。如果设置为已禁用，将停用消息安全模式。如果设置为已启用，将对 JMS 消息执行旧消息签名和验证。VMware Horizon 8 组件会拒绝未签名的消息。此模式支持混合使用 TLS 连接和纯 JMS 连接。如果设置为已增强，将对所有 JMS 连接使用 TLS 以加密所有消息。此外，还会激活访问控制，以限制 VMware Horizon 8 组件可以向其发送消息以及从中接收消息的 JMS 主题。如果设置为混合，将激活消息安全模式，但不会强制用于 VMware Horizon 8 组件。新安装的默认设置为已增强。如果从先前版本进行升级，则将保留在先前版本中使用的设置。重要说明： VMware 强烈建议您在将所有连接代理实例和 VMware Horizon 8 桌面升级到此版本后，将消息安全模式设置为已增强。已增强设置提供多项重要的安全性改进功能和 MQ（消息队列）更新。
增强安全状态（只读）	将消息安全模式从已启用更改为已增强时显示的只读字段。由于更改分阶段进行，此字段根据阶段显示进度：等待 Message Bus 重新启动是第一阶段。此状态将一直显示，直到您手动重新启动容器中的所有连接服务器实例或容器中所有连接服务器主机上的 VMware Horizon Message Bus 组件服务。等待增强是下一阶段。重新启动所有 Horizon Message Bus 组件服务后，系统开始将所有桌面的消息安全模式更改为已增强。已增强是最终状态，表明所有组件现在正使用已增强消息安全模式。
网络中断后对安全加密链路连接重新进行身份验证	在 Horizon Client 通过安全加密链路连接到 VMware Horizon 8 桌面和应用程序的情况下，确定在网络中断后是否必须重新对用户凭据进行身份验证。此设置可提高安全性。例如，如果笔记本电脑被盗并转移到了其他网络，用户将无法自动获取 VMware Horizon 8 桌面和应用程序的访问权限，原因是网络连接已临时中断。默认情况下停用此设置。
强制断开用户连接	自用户登录到 VMware Horizon 8 时起达到指定分钟数后，断开所有桌面和应用程序连接。无论桌面和应用程序是被用户何时打开的，都将同时断开连接。默认值是 600 分钟。
对于支持应用程序的客户端。如果用户停止使用键盘和鼠标，则将断开应用程序连接并放弃 SSO 凭据	在客户端设备上无键盘或鼠标活动时保护应用程序会话。如果设置为 …分钟之后，VMware Horizon 8 将在无用户活动达到指定的分钟数后断开所有应用程序连接并放弃 SSO 凭据。桌面会话将断开连接。用户必须重新登录以重新连接被断开的应用程序或者启动新的桌面或应用程序。如果设置为从不，VMware Horizon 8 将绝不会因用户不活动而断开应用程序连接或放弃 SSO 凭据。默认值为从不。
其他客户端。放弃 SSO 凭据	在特定时间段后放弃 SSO 凭据。此设置适用于不支持应用程序远程的客户端。如果设置为 …分钟之后，那么自用户登录到 VMware Horizon 8 时起达到指定分钟数后，用户必须重新登录以连接到桌面，而不管客户端设备上的用户活动情况如何。默认值为 15 分钟之后。
View Administrator 会话超时	确定控制台会话持续闲置多久后超时。重要说明：控制台会话超时值（以分钟为单位）设置较高会增加未授权使用该控制台的风险。允许闲置会话持续较长时间时应慎重考虑。默认情况下，控制台会话超时为 30 分钟。会话超时值的设置范围为 1 到 4320 分钟之间。