Sicherheitsbezogene Einstellungen werden in den Abschnitten „Security“ (Sicherheit) und „Scripting Definitions“ (Skriptdefinitionen) der ADMX-Vorlagendateien für Horizon Client bereitgestellt. Der Name der ADMX-Vorlagendatei lautet vdm_client.admx. Falls nicht anders angegeben, enthalten die Einstellungen nur eine Einstellung „Computerkonfiguration“. Wenn eine Benutzerkonfigurationseinstellung verfügbar ist und Sie einen Wert dafür definieren, setzt diese die äquivalente Einstellung für die Computerkonfiguration außer Kraft.

In der folgenden Tabelle werden die Einstellungen im Abschnitt „Security“ (Sicherheit) der ADMX-Vorlagendateien beschrieben.

Tabelle 1. Horizon Client-Konfigurationsvorlage: Sicherheitseinstellungen

Einstellung

Beschreibung

Allow command line credentials

(Einstellung für die Computerkonfiguration)

Legt fest, ob Benutzeranmeldedaten mit Horizon Client-Befehlszeilenoptionen bereitgestellt werden können. Wenn diese Einstellung deaktiviert ist, stehen die Optionen smartCardPIN und password nicht zur Verfügung, wenn Benutzer Horizon Client über die Befehlszeile ausführen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet AllowCmdLineCredentials.

Servers Trusted For Delegation

(Einstellung für die Computerkonfiguration)

Gibt die Verbindungsserver-Instanzen an, die die Benutzeridentitäts- und Anmeldedaten akzeptieren, die bei Aktivierung des Kontrollkästchens Als aktueller Benutzer anmelden übergeben werden. Wenn Sie keine Verbindungsserver-Instanzen angeben, akzeptieren alle Verbindungsserver-Instanzen diese Informationen.

Verwenden Sie zum Hinzufügen einer Verbindungsserver-Instanz eines der folgenden Formate:

  • domain\system$

  • system$@domain.com

  • Service Principal Name (SPN) des Verbindungsserver-Dienstes

Der entsprechende Wert in der Windows-Registrierung lautet BrokersTrustedForDelegation.

Certificate verification mode

(Einstellung für die Computerkonfiguration)

Konfiguriert die Ebene der Zertifikatsprüfung, die durch Horizon Client durchgeführt wird. Es stehen folgende Modi zur Auswahl:

  • No Security. Keine Zertifikatsprüfung.

  • Warn But Allow. Es wird eine Warnung eingeblendet, wenn der Verbindungsserver-Host ein selbstsigniertes Zertifikat anzeigt. Der Benutzer kann jedoch weiterhin mit dem Verbindungsserver eine Verbindung herstellen. Der Zertifikatsname muss nicht mit dem durch den Benutzer in Horizon Client angegebenen Verbindungsserver-Namen übereinstimmen. Wenn andere Zertifikatfehlerbedingungen vorliegen, wird ein Fehlerdialogfeld angezeigt, und es wird verhindert, dass der Benutzer eine Verbindung zum Verbindungsserver herstellt. Warn But Allow ist der Standardwert.

  • Full Security. Wenn ein beliebiger Zertifikatfehler auftritt, kann der Benutzer keine Verbindung mit dem Verbindungsserver herstellen. Es werden Zertifikatfehler angezeigt.

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, können die Benutzer den ausgewählten Modus für die Zertifikatsprüfung in Horizon Client anzeigen, ihn aber nicht konfigurieren. Das Dialogfeld für die SSL-Konfiguration informiert die Benutzer darüber, dass der Administrator die Einstellung gesperrt hat.

Wenn diese Einstellung nicht konfiguriert oder deaktiviert wurde, können Horizon Client-Benutzer einen Zertifikatsprüfungsmodus auswählen.

Wenn Sie die Zertifikatsüberprüfungseinstellung nicht als Gruppenrichtlinie konfigurieren möchten, können Sie die Zertifikatsüberprüfung auch aktivieren, indem Sie Windows-Registrierungseinstellungen ändern.

Default value of the 'Log in as current user' checkbox

(Einstellung für die Computer- und Benutzerkonfiguration)

Gibt den Standardwert des Kontrollkästchens Als aktueller Benutzer anmelden im Dialogfeld für die Horizon Client-Verbindung an.

Diese Einstellung setzt den Standardwert außer Kraft, der während der Horizon Client-Installation angegeben wurde.

Wenn ein Benutzer Horizon Client über die Befehlszeile ausführt und die Option logInAsCurrentUser angibt, wird diese Einstellung durch den eingegebenen Wert überschrieben.

Wenn das Kontrollkästchen Als aktueller Benutzer anmelden aktiviert ist, werden die Identität und die Anmeldedaten des Benutzers, die dieser zur Anmeldung am Clientsystem verwendet, an die Verbindungsserver-Instanz und schließlich an den Remote-Desktop übergeben. Ist das Kontrollkästchen deaktiviert, müssen Benutzer Identitäts- und Anmeldeinformationen mehrere Male eingeben, bevor sie auf einen Remote-Desktop zugreifen können.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser.

Display option to Log in as current user

(Einstellung für die Computer- und Benutzerkonfiguration)

Legt fest, ob das Kontrollkästchen Als aktueller Benutzer anmelden im Dialogfeld für die Horizon Client-Verbindung angezeigt wird.

Bei Anzeige des Kontrollkästchens können Benutzer die Option aktivieren oder deaktivieren oder den zugehörigen Standardwert außer Kraft setzen. Wird das Kontrollkästchen ausgeblendet, können Benutzer den Standardwert im Dialogfeld für die Horizon Client-Verbindung nicht ändern.

Sie können den Standardwert für Als aktueller Benutzer anmelden über die Richtlinieneinstellung Default value of the 'Log in as current user' checkbox festlegen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser_Display.

Enable jump list integration

(Einstellung für die Computerkonfiguration)

Legt fest, ob eine Sprungliste im Horizon Client icon on the taskbar of Windows 7 and later systems. Über die Sprungliste können Benutzer eine Verbindung zu zuletzt verwendeten Verbindungsserver-Instanzen und Remote-Desktops herstellen.

Wenn Horizon Client gemeinsam verwendet wird, sollen Benutzer möglicherweise nicht die Namen der zuletzt verwendeten Desktops sehen. Die Sprungliste können Sie deaktivieren, indem Sie diese Einstellung deaktivieren.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet EnableJumplist.

Enable SSL encrypted framework channel

(Einstellung für die Computer- und Benutzerkonfiguration)

Legt fest, ob SSL für View 5.0 und ältere Desktops aktiviert wird. Vor View 5.0 wurden die über den Port TCP 32111 an den Desktop gesendeten Daten nicht verschlüsselt.

  • Aktivieren: Aktiviert SSL, aber ermöglicht das Zurücksetzen auf die vorherige unverschlüsselte Verbindung, falls der Remote-Desktop SSL nicht unterstützt. Beispielsweise wird SSL von View 5.0 und älteren Desktops nicht unterstützt. Enable ist die Standardeinstellung.

  • Deaktivieren: Deaktiviert SSL. Diese Einstellung wird nicht empfohlen. Sie kann aber hilfreich sein für das Debugging oder wenn der Kanal nicht getunnelt wird und deshalb möglicherweise durch ein Produkt zur WAN-Beschleunigung optimiert werden könnte.

  • Erzwingen: Aktiviert SSL und verweigert das Herstellen einer Verbindung zu Desktops ohne SSL-Unterstützung.

Der entsprechende Wert in der Windows-Registrierung lautet EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

(Einstellung für die Computer- und Benutzerkonfiguration)

Konfiguriert die Verschlüsselungsliste, um die Verwendung bestimmter kryptografischer Algorithmen und Protokolle zu beschränken, bevor Sie eine verschlüsselte SSL-Verbindung herstellen. Die Verschlüsselungsliste besteht aus einer oder mehreren Verschlüsselungszeichenfolgen, die durch Doppelpunkte voneinander getrennt werden.

Anmerkung:

Für alle Verschlüsselungszeichenfolgen wird die Groß-/Kleinschreibung berücksichtigt.

  • Der Standardwert für Horizon Client 4.2 und höher ist !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

  • Der Standardwert für Horizon Client 4.0.1 und 4.1 ist TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.

  • Der Standardwert für Horizon Client 4.0 lautet TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.

  • Der Standardwert für Horizon Client 3.5 lautet TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.

  • Die Standardeinstellung für Horizon Client 3.3 und 3.4 lautet TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.

  • Der Wert für Horizon Client 3.2 und niedriger lautet SSLv3:TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.

Demnach sind in Horizon Client 4.0.1 und 4.1 TLS v1.0, TLS v1.1 und TLS v1.2 aktiviert. (SSL v2.0 und v3.0 wurden entfernt.) Sie können TLS v1.0 deaktivieren, sofern die TLS v1.0-Kompatibilität mit dem Server nicht erforderlich ist. In Horizon Client 4.0 sind TLS v1.1 und TLS v1.2 aktiviert. (TLS v1.0 ist deaktiviert. SSL v2.0 und v3.0 wurden entfernt.) In Horizon Client 3.5 sind TLS v1.0, TLS v1.1 und TLS v1.2 aktiviert. (SSL v2.0 und v3.0 sind deaktiviert.) In Horizon Client 3.3 und 3.4 sind TLS v1.0 und TLS v1.1 aktiviert. (SSL v2.0 und v3.0 sowie TLS v1.2 sind deaktiviert.) In Horizon Client 3.2 und niedriger ist SSL v3.0 ebenfalls aktiviert. (SSL v2.0 und TLS v1.2 sind deaktiviert.)

Verschlüsselungssammlungen verwenden 128- oder 256-Bit-AES, entfernen anonyme DH-Algorithmen und sortieren anschließend die aktuelle Verschlüsselungsliste nach der Schlüssellänge des Verschlüsselungsalgorithmus.

Referenz-Link für die Konfiguration: http://www.openssl.org/docs/apps/ciphers.html

Der entsprechende Wert in der Windows-Registrierung lautet SSLCipherList.

Wenn Sie diese Einstellung nicht als Gruppenrichtlinie konfigurieren möchten, können Sie sie auch aktivieren, indem Sie den Wertnamen SSLCipherList zu einem der folgenden Registrierungsschlüssel auf dem Clientcomputer hinzufügen:

  • Für 32-Bit-Windows: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • Für 64-Bit-Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security

Enable Single Sign-On for smart card authentication

(Einstellung für die Computerkonfiguration)

Legt fest, ob für die Smartcard-Authentifizierung das Single Sign-On (SSO) aktiviert ist. Ist ein Single Sign-On aktiviert, speichert Horizon Client die verschlüsselte Smartcard-PIN im temporären Arbeitsspeicher, bevor sie an den Verbindungsserver gesendet wird. Ist SSO deaktiviert, zeigt Horizon Client kein benutzerdefiniertes PIN-Dialogfeld an.

Der entsprechende Wert in der Windows-Registrierung lautet EnableSmartCardSSO.

Ignore bad SSL certificate date received from the server

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit ungültigen Datumswerten für das Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn ein Server ein abgelaufenes Zertifikat sendet.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreCertDateInvalid.

Ignore certificate revocation problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit einem gesperrten Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn der Server ein Zertifikat sendet, das gesperrt wurde, und der Client den Sperrstatus eines Zertifikats nicht überprüfen kann.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreRevocation.

Ignore incorrect SSL certificate common name (host name field)

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit falschen allgemeinen Namen im Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn der allgemeine Name des Zertifikats nicht mit dem Hostnamen des Servers übereinstimmt, der das Zertifikat sendet.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreCertCnInvalid.

Ignore incorrect usage problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit einer falschen Verwendung des Serverzertifikats ignoriert werden. Diese Fehler treten auf, wenn das vom Server gesendete Zertifikat für einen anderen Zweck als die Überprüfung der Absenderidentität und zum Verschlüsseln der Serverkommunikation gedacht ist.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreWrongUsage.

Ignore unknown certificate authority problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob bestimmte Fehler in Zusammenhang mit einer unbekannten Zertifizierungsstelle im Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn das vom Server gesendete Zertifikat durch eine nicht vertrauenswürdige Drittanbieter-Zertifizierungsstelle signiert wurde.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreUnknownCa.

In der folgenden Tabelle werden die Einstellungen im Abschnitt „Scripting Definitions“ (Skriptdefinitionen) der ADMX-Vorlagendateien beschrieben.

Tabelle 2. Sicherheitsbezogene Einstellungen im Abschnitt „Skriptdefinitionen“

Einstellung

Beschreibung

Connect all USB devices to the desktop on launch

Legt fest, ob alle der verfügbaren USB-Geräte auf dem Clientsystem mit dem Desktop verbunden werden, wenn dieser gestartet wird.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet connectUSBOnStartup.

Connect all USB devices to the desktop when they are plugged in

Legt fest, ob USB-Geräte mit dem Desktop verbunden werden, wenn die Geräte an das Clientsystem angeschlossen werden.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet connectUSBOnInsert.

Logon Password

Legt das von Horizon Client während der Anmeldung verwendete Kennwort fest. Das Kennwort wird von Active Directory im Textformat gespeichert.

Diese Einstellung ist standardmäßig nicht definiert.

Der entsprechende Wert in der Windows-Registrierung lautet Password.

Weitere Informationen zu diesen Einstellungen und ihren Auswirkungen auf die Sicherheit finden Sie im Dokument Verwenden von VMware Horizon Client für Windows.