Sicherheitsbezogene globale Einstellungen in Horizon Administrator

Sicherheitsbezogene globale Einstellungen für Clientsitzungen und -verbindungen sind in Horizon Administrator unter View-Konfiguration > Globale Einstellungen verfügbar.

Tabelle 1. Sicherheitsbezogene globale Einstellungen
Einstellung	Beschreibung
Kennwort für die Datenwiederherstellung ändern	Das Kennwort ist erforderlich, wenn Sie die View LDAP-Konfiguration aus einem verschlüsselten Backup wiederherstellen. Wenn Sie den Verbindungsserver Version 5.1 oder höher installieren, geben Sie ein Kennwort für die Datenwiederherstellung an. Nach der Installation können Sie dieses Kennwort in Horizon Administrator ändern. Wenn Sie den Verbindungsserver sichern, wird die View LDAP-Konfiguration in Form verschlüsselter LDIF-Daten exportiert. Sie müssen das Kennwort für die Datenwiederherstellung angeben, um das verschlüsselte Backup mit dem Dienstprogramm vdmimport wiederherzustellen. Das Kennwort muss 1 bis 128 Zeichen umfassen. Befolgen Sie die empfohlenen Vorgehensweisen Ihrer Organisation für das Generieren sicherer Kennwörter.
Sicherheitsmodus für Nachrichten	Bestimmt den Sicherheitsmechanismus, der bei der Übertragung von JMS-Nachrichten zwischen Horizon 7-Komponenten verwendet wird. Wenn für diese Einstellung Deaktiviert festgelegt ist, ist der Sicherheitsmodus für Nachrichten deaktiviert. Wenn Sie Aktiviert festlegen, werden ältere JMS-Nachrichten signiert und überprüft. Nicht signierte Nachrichten werden von Horizon 7-Komponenten abgelehnt. Dieser Modus unterstützt eine Mischung aus TLS und einfachen JMS-Verbindungen. Wenn Sie Erweitert festlegen, wird TLS für alle JMS-Verbindungen zum Verschlüsseln aller Nachrichten verwendet. Die Zugriffssteuerung wird ebenfalls aktiviert, um die JMS-Themen zu beschränken, für die Horizon 7-Komponenten Nachrichten senden und empfangen können. Wenn für diese Einstellung Gemischt festgelegt ist, ist der Sicherheitsmodus für Nachrichten aktiviert, wird aber für Horizon 7-Komponenten, die älter als View Manager 3.0 sind, nicht erzwungen. Die Standardeinstellung für Neuinstallationen lautet Erweitert. Bei einem Upgrade von einer vorherigen Version wird die in der vorherigen Version verwendete Einstellung beibehalten. Wichtig: VMware empfiehlt dringend, den Sicherheitsmodus für Nachrichten auf Erweitert festzulegen, nachdem Sie das Upgrade für alle Verbindungsserver-Instanzen, Sicherheitsserver und Horizon 7-Desktops auf diese Version durchgeführt haben. Die Einstellung Erweitert bietet viele wichtige Sicherheitsverbesserungen und Aktualisierungen bei der Nachrichtenwarteschlange.
Erweiterter Sicherheitsstatus (schreibgeschützt)	Schreibgeschütztes Feld, das angezeigt wird, wenn Sicherheitsmodus für Meldungen von Aktiviert in Erweitert geändert wird. Da die Änderung phasenweise erfolgt, wird in diesem Feld der Fortschritt für die verschiedenen Phasen angezeigt: Warten auf Nachrichtenbus-Neustart ist die erste Phase. Dieser Zustand wird angezeigt, bis Sie entweder alle Verbindungsserver-Instanzen im Pod oder den VMware Horizon Message Bus-Komponenten-Dienst auf allen Verbindungsserver-Hosts im Pod manuell neu starten. Erweiterter Modus wird aktiviert ist der nächste Status. Nachdem alle Horizon Message Bus-Komponenten-Dienste neu gestartet wurden, beginnt das System damit, den Sicherheitsmodus für Nachrichten für alle Desktops und Sicherheitsserver in Erweitert zu ändern. Erweitert ist der endgültige Status und gibt an, dass alle Komponenten nun Erweitert als Sicherheitsmodus für Nachrichten verwenden.
Sichere Tunnelverbindungen nach Netzwerkunterbrechung neu authentifizieren	Legt fest, ob die Anmeldedaten nach einer Netzwerkunterbrechung neu authentifiziert werden müssen, wenn Horizon Clients sichere Tunnelverbindungen zu Horizon 7-Desktops und -Anwendungen verwenden. Diese Einstellung bietet erhöhte Sicherheit. Wenn beispielsweise ein Laptop gestohlen und in ein anderes Netzwerk bewegt wurde, kann der Benutzer nicht automatisch Zugang zu Horizon 7-Desktops und -Anwendungen erlangen, da die Netzwerkverbindung vorübergehend unterbrochen wurde. Diese Einstellung ist standardmäßig deaktiviert.
Trennung der Benutzer erzwingen	Trennt nach Ablauf der angegebenen Anzahl von Minuten seit der Anmeldung des Benutzers bei Horizon 7 alle Desktops und Anwendungen. Alle Desktops und Anwendungen werden gleichzeitig getrennt, unabhängig davon, wann der Benutzer sie geöffnet hat. Der Standardwert lautet 600 Minuten.
Für Clients, die Anwendungen unterstützen. Verbindungen zu Anwendungen trennen und SSO-Anmeldeinformationen verwerfen, sobald der Benutzer nicht mehr mit Tastatur und Maus arbeitet	Schützt Anwendungssitzungen, wenn auf dem Client-Gerät keine Tastatur- oder Mausaktivitäten stattfinden. Bei Festlegung auf Nach ... Minuten trennt Horizon 7 nach Ablauf der angegebenen Anzahl von Minuten ohne Benutzeraktivität sämtliche Anwendungssitzungen und verwirft die SSO-Anmeldeinformationen. Desktop-Sitzungen werden getrennt. Benutzer müssen sich erneut anmelden, um eine Verbindung zu den getrennten Anwendungen wiederherzustellen, oder einen neuen Desktop bzw. eine neue Anwendung starten. Bei der Einstellung Nie trennt Horizon 7 in keinem Fall Anwendungen oder verwirft SSO-Anmeldeinformationen aufgrund von Benutzerinaktivität. Die Standardeinstellung ist Nie.
Andere Clients. SSO-Anmeldeinformationen verwerfen	Verwirft die SSO-Anmeldeinformationen nach einem bestimmten Zeitraum. Diese Einstellung gilt für Clients, die die Remote-Ausführung von Anwendungen nicht unterstützen. Bei Festlegung von Nach ... Minuten müssen sich die Benutzer nach Ablauf der angegebenen Anzahl von Minuten nach der Anmeldung bei Horizon 7 erneut anmelden, um eine Verbindung zu einem Desktop herzustellen, unabhängig von den Benutzeraktivitäten auf dem Client-Gerät. Die Standardeinstellung ist Nach 15 Minuten.
IPSec für Sicherheitsserver-Kombination aktivieren	Bestimmt, ob Internet Protocol Security (IPSec) für Verbindungen zwischen Sicherheitsservern und Horizon-Verbindungsserver-Instanzen verwendet wird. Diese Einstellung muss deaktiviert sein, ehe Sie einen Sicherheitsserver im FIPS-Modus installieren, andernfalls schlägt die Kopplung fehl. Standardmäßig ist IPSec für Sicherheitsserver-Verbindungen aktiviert.
Zeitüberschreitung für View Administrator-Sitzung	Bestimmt, wie lange eine Horizon Administrator-Sitzung im Leerlauf bleibt, bevor die Sitzung abläuft. Wichtig: Wenn Sie den Zeitüberschreitungswert für die Horizon Administrator-Sitzung auf eine hohe Minutenzahl einstellen, steigt das Risiko, dass Horizon Administrator unautorisiert genutzt werden könnte. Seien Sie vorsichtig, wenn Sie zulassen, dass eine Sitzung lange Zeit im Leerlauf bleibt. Standardmäßig beträgt die Zeitüberschreitung für die Horizon Administrator-Sitzung 30 Minuten. Sie können eine Sitzungszeitüberschreitung von 1 bis 4.320 Minuten festlegen.

Weitere Informationen zu diesen Einstellungen und ihren Auswirkungen auf die Sicherheit finden Sie im Dokument Horizon 7-Verwaltung.

Hinweis: Für alle Horizon Client-Verbindungen und Horizon Administrator-Verbindungen mit Horizon 7 ist TLS erforderlich. Wenn Ihre Horizon 7-Bereitstellung Lastausgleichsmodule oder andere Zwischenserver mit Client-Verbindung verwendet, können Sie TLS darauf verlagern und dann Nicht-TLS-Verbindungen auf einzelnen Verbindungsserver-Instanzen und Sicherheitsservern konfigurieren. Weitere Informationen finden Sie unter „Auslagern von TLS-Verbindungen auf Zwischenserver“ im Dokument Horizon 7-Verwaltung.