Zu den Sicherheitseinstellungen zählen Optionen für das Sicherheitszertifikat, für Anmeldeinformationen und für die Single Sign-On-Funktion (SSO).

In der folgenden Tabelle werden die in der ADM-Vorlagendatei für die Horizon Client-Konfiguration enthaltenen Sicherheitseinstellungen beschrieben. Diese Tabelle zeigt, ob die Konfiguration die Einstellungen „Computer Configuration (Computerkonfiguration)“ und „User Configuration (Benutzerkonfiguration)“ enthält oder nur die Einstellung „Computer Configuration (Computerkonfiguration)“. Bei den Sicherheitseinstellungen, die beide Typen einschließen, setzt die Einstellung für die Benutzerkonfiguration hierbei die äquivalente Einstellung für die Computerkonfiguration außer Kraft.

Tabelle 1. Horizon Client-Konfigurationsvorlage: Sicherheitseinstellungen
Einstellung Beschreibung
Allow command line credentials

(Einstellung für die Computerkonfiguration)

Legt fest, ob Benutzeranmeldedaten mit Horizon Client-Befehlszeilenoptionen bereitgestellt werden können. Wenn diese Einstellung deaktiviert ist, stehen die Optionen smartCardPIN und password nicht zur Verfügung, wenn Benutzer Horizon Client über die Befehlszeile ausführen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet AllowCmdLineCredentials.

Servers Trusted For Delegation

(Einstellung für die Computerkonfiguration)

Gibt die View-Verbindungsserver-Instanzen an, welche die Benutzeridentitäts- und Anmeldeinformationen akzeptieren, die bei Aktivierung des Kontrollkästchens Log in as current user (Anmelden als aktueller Benutzer) übergeben werden. Wenn Sie keine View-Verbindungsserver-Instanzen angeben, akzeptieren alle View-Verbindungsserver-Instanzen diese Informationen.

Verwenden Sie zum Hinzufügen einer View-Verbindungsserver-Instanz eines der folgenden Formate:

  • domain\system$
  • system$@domain.com
  • Service Principal Name (SPN) des View-Verbindungsserver-Dienstes

Der entsprechende Wert in der Windows-Registrierung lautet BrokersTrustedForDelegation.

Certificate verification mode

(Einstellung für die Computerkonfiguration)

Konfiguriert die Ebene der Zertifikatsprüfung, die durch Horizon Client durchgeführt wird. Es stehen folgende Modi zur Auswahl:
  • No Security. View führt keine Zertifikatsprüfung durch.
  • Warn But Allow. Wenn die folgenden Serverzertifikatprobleme auftreten, wird eine Warnung angezeigt, aber der Benutzer kann mit der Verbindungsherstellung mit View-Verbindungsserver fortfahren:
    • Von View wird ein selbstsigniertes Zertifikat bereitgestellt. In diesem Fall ist es akzeptabel, wenn der Zertifikatname nicht mit dem Namen des View-Verbindungsservers übereinstimmt, der in Horizon Client vom Benutzer angegeben wurde.
    • Ein überprüfbares Zertifikat, das in Ihrer Bereitstellung konfiguriert wurde, ist abgelaufen oder noch nicht gültig.

    Wenn andere Zertifikatfehlerbedingungen vorliegen, zeigt View ein Fehlerdialogfeld an und verhindert, dass der Benutzer eine Verbindung zum View-Verbindungsserver herstellt.

    Warn But Allow ist der Standardwert.

  • Full Security. Wenn ein beliebiger Zertifikatfehler auftritt, kann der Benutzer keine Verbindung mit View-Verbindungsserver herstellen. View zeigt dem Benutzer die Zertifikatfehler an.

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, können die Benutzer den ausgewählten Modus für die Zertifikatsprüfung in Horizon Client sehen, ihn aber nicht konfigurieren. Das Dialogfeld für die SSL-Konfiguration informiert die Benutzer darüber, dass der Administrator die Einstellung gesperrt hat.

Wenn diese Einstellung nicht konfiguriert oder deaktiviert wurde, können Horizon Client-Benutzer einen Zertifikatsprüfungsmodus auswählen.

Damit ein View Server die von Horizon Client bereitgestellten Zertifikate prüfen kann, muss der Client HTTPS-Verbindungen zum View-Verbindungsserver- oder Sicherheitsserver-Host herstellen. Die Zertifikatsüberprüfung wird nicht unterstützt, wenn Sie SSL auf ein Zwischengerät verlagern, welches HTTP-Verbindungen zum View-Verbindungsserver- oder Sicherheitsserver-Host herstellt.

Wenn Sie diese Einstellung bei Windows-Clients nicht als Gruppenrichtlinie konfigurieren möchten, können Sie die Zertifikatüberprüfung auch durch Hinzufügen des Wertnamens CertCheckMode zu folgenden Registrierungsschlüsseln auf dem Clientcomputer aktivieren:

  • Für 32-Bit-Windows: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • Für 64-Bit-Windows: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Verwenden Sie die folgenden Werte im Registrierungsschlüssel:

  • 0 implementiert No Security.
  • 1 implementiert Warn But Allow.
  • 2 implementiert Full Security.

Wenn Sie sowohl die Gruppenrichtlinieneinstellung als auch die Einstellung CertCheckMode im Windows-Registrierungsschlüssel konfigurieren, hat die Gruppenrichtlinieneinstellung Vorrang vor dem Registrierungsschlüsselwert.

Default value of the 'Log in as current user' checkbox

(Einstellung für die Computer- und Benutzerkonfiguration)

Gibt den Standardwert des Kontrollkästchens Als aktueller Benutzer anmelden im Dialogfeld für die Horizon Client-Verbindung an.

Diese Einstellung setzt den Standardwert außer Kraft, der während der Horizon Client-Installation angegeben wurde.

Wenn ein Benutzer Horizon Client über die Befehlszeile ausführt und die Option logInAsCurrentUser angibt, wird diese Einstellung durch den eingegebenen Wert überschrieben.

Wenn das Kontrollkästchen Als aktueller Benutzer anmelden aktiviert ist, werden die Identität und die Anmeldeinformationen des Benutzers, die dieser zur Anmeldung am Clientsystem verwendet, an die View-Verbindungsserverinstanz und schließlich an den Remote-Desktop übergeben. Ist das Kontrollkästchen deaktiviert, müssen Benutzer Identitäts- und Anmeldeinformationen mehrere Male eingeben, bevor sie auf einen Remote-Desktop zugreifen können.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser.

Display option to Log in as current user

(Einstellung für die Computer- und Benutzerkonfiguration)

Legt fest, ob das Kontrollkästchen Als aktueller Benutzer anmelden im Dialogfeld für die Horizon Client-Verbindung angezeigt wird.

Bei Anzeige des Kontrollkästchens können Benutzer die Option aktivieren oder deaktivieren oder den zugehörigen Standardwert außer Kraft setzen. Wird das Kontrollkästchen ausgeblendet, können Benutzer den Standardwert im Dialogfeld für die Horizon Client-Verbindung nicht ändern.

Sie können den Standardwert für Log in as current user (Anmelden als aktueller Benutzer) über die Richtlinieneinstellung Default value of the 'Log in as current user' checkbox festlegen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser_Display.

Enable jump list integration

(Einstellung für die Computerkonfiguration)

Legt fest, ob eine Sprungliste im Horizon Client icon on the taskbar of Windows 7 and later systems. Über die Sprungliste können Benutzer eine Verbindung zu zuletzt verwendeten View-Verbindungsserver-Instanzen und Remote-Desktops herstellen.

Wenn Horizon Client gemeinsam verwendet wird, sollen Benutzer möglicherweise nicht die Namen der zuletzt verwendeten Desktops sehen. Die Sprungliste können Sie deaktivieren, indem Sie diese Einstellung deaktivieren.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet EnableJumplist.

Enable SSL encrypted framework channel

(Einstellung für die Computer- und Benutzerkonfiguration)

Legt fest, ob SSL für View 5.0 und ältere Desktops aktiviert wird. Vor View 5.0 wurden die über den Port TCP 32111 an den Desktop gesendeten Daten nicht verschlüsselt.
  • Aktivieren: Aktiviert SSL, aber ermöglicht das Zurücksetzen auf die vorherige unverschlüsselte Verbindung, falls der Remote-Desktop SSL nicht unterstützt. Beispielsweise wird SSL von View 5.0 und älteren Desktops nicht unterstützt. Enable ist die Standardeinstellung.
  • Deaktivieren: Deaktiviert SSL. Diese Einstellung wird nicht empfohlen. Sie kann aber hilfreich sein für das Debugging oder wenn der Kanal nicht getunnelt wird und deshalb möglicherweise durch ein Produkt zur WAN-Beschleunigung optimiert werden könnte.
  • Erzwingen: Aktiviert SSL und verweigert das Herstellen einer Verbindung zu Desktops ohne SSL-Unterstützung.

Der entsprechende Wert in der Windows-Registrierung lautet EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

(Einstellung für die Computer- und Benutzerkonfiguration)

Konfiguriert die Verschlüsselungsliste, um die Verwendung bestimmter kryptografischer Algorithmen und Protokolle zu beschränken, bevor Sie eine verschlüsselte SSL-Verbindung herstellen. Die Verschlüsselungsliste besteht aus einer oder mehreren Verschlüsselungszeichenfolgen, die durch Doppelpunkte voneinander getrennt werden.
Hinweis: Für alle Verschlüsselungszeichenfolgen wird die Groß-/Kleinschreibung berücksichtigt.
  • Wenn diese Funktion aktiviert ist, lautet der Standardwert für Horizon Client 4.0 TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.
  • Der Standardwert für Horizon Client 3.5 lautet TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.
  • Die Standardeinstellung für Horizon Client 3.3 und 3.4 lautet TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.
  • Der Wert für Horizon Client 3.2 und niedriger lautet SSLv3:TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.

Dies bedeutet, dass in Horizon Client 4.0 TLS v1.1 und TLS v1.2 aktiviert sind. (TLS v1.0 ist deaktiviert. SSL v2.0 und v3.0 wurden entfernt.) In Horizon Client 3.5 sind TLS v1.0, TLS v1.1 und TLS v1.2 aktiviert. (SSL v2.0 und v3.0 sind deaktiviert.) In Horizon Client 3.3 und 3.4 sind TLS v1.0 und TLS v1.1 aktiviert. (SSL v2.0 und v3.0 sowie TLS v1.2 sind deaktiviert.) In Horizon Client 3.2 und niedriger ist SSL v3.0 ebenfalls aktiviert. (SSL v2.0 und TLS v1.2 sind deaktiviert.)

Verschlüsselungssammlungen verwenden 128- oder 256-Bit-AES, entfernen anonyme DH-Algorithmen und sortieren anschließend die aktuelle Verschlüsselungsliste nach der Schlüssellänge des Verschlüsselungsalgorithmus.

Referenz-Link für die Konfiguration: http://www.openssl.org/docs/apps/ciphers.html

Der entsprechende Wert in der Windows-Registrierung lautet SSLCipherList.

Enable Single Sign-On for smart card authentication

(Einstellung für die Computerkonfiguration)

Legt fest, ob für die Smartcard-Authentifizierung das Single Sign-On (SSO) aktiviert ist. Ist SSO aktiviert, speichert Horizon Client die verschlüsselte Smartcard-PIN im temporären Arbeitsspeicher, bevor sie an den View-Verbindungsserver gesendet wird. Ist SSO deaktiviert, zeigt Horizon Client kein benutzerdefiniertes PIN-Dialogfeld an.

Der entsprechende Wert in der Windows-Registrierung lautet EnableSmartCardSSO.

Ignore bad SSL certificate date received from the server

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit ungültigen Datumswerten für das Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn ein Server ein abgelaufenes Zertifikat sendet.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreCertDateInvalid.

Ignore certificate revocation problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit einem gesperrten Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn der Server ein Zertifikat sendet, das gesperrt wurde, und der Client den Sperrstatus eines Zertifikats nicht überprüfen kann.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreRevocation.

Ignore incorrect SSL certificate common name (host name field)

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit falschen allgemeinen Namen im Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn der allgemeine Name des Zertifikats nicht mit dem Hostnamen des Servers übereinstimmt, der das Zertifikat sendet.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreCertCnInvalid.

Ignore incorrect usage problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit einer falschen Verwendung des Serverzertifikats ignoriert werden. Diese Fehler treten auf, wenn das vom Server gesendete Zertifikat für einen anderen Zweck als die Überprüfung der Absenderidentität und zum Verschlüsseln der Serverkommunikation gedacht ist.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreWrongUsage.

Ignore unknown certificate authority problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob bestimmte Fehler in Zusammenhang mit einer unbekannten Zertifizierungsstelle im Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn das vom Server gesendete Zertifikat durch eine nicht vertrauenswürdige Drittanbieter-Zertifizierungsstelle signiert wurde.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreUnknownCa.