Zu den Sicherheitseinstellungen zählen Optionen für das Sicherheitszertifikat, für Anmeldeinformationen und für die Single Sign-On-Funktion (SSO).

In der folgenden Tabelle werden die in den ADM- und ADMX-Vorlagendateien für die Horizon Client-Konfiguration enthaltenen Sicherheitseinstellungen beschrieben. Diese Tabelle zeigt, ob die Konfiguration die Einstellungen „Computer Configuration (Computerkonfiguration)“ und „User Configuration (Benutzerkonfiguration)“ enthält oder nur die Einstellung „Computer Configuration (Computerkonfiguration)“. Bei den Sicherheitseinstellungen, die beide Typen einschließen, setzt die Einstellung für die Benutzerkonfiguration hierbei die äquivalente Einstellung für die Computerkonfiguration außer Kraft.

Tabelle 1. Horizon Client-Konfigurationsvorlage: Sicherheitseinstellungen
Einstellung Beschreibung
Allow command line credentials

(Einstellung für die Computerkonfiguration)

Legt fest, ob Benutzeranmeldedaten mit Horizon Client-Befehlszeilenoptionen bereitgestellt werden können. Wenn diese Einstellung deaktiviert ist, stehen die Optionen smartCardPIN und password nicht zur Verfügung, wenn Benutzer Horizon Client über die Befehlszeile ausführen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet AllowCmdLineCredentials.

Servers Trusted For Delegation

(Einstellung für die Computerkonfiguration)

Gibt die Verbindungsserver-Instanzen an, die die Benutzeridentitäts- und Anmeldedaten akzeptieren, die bei Aktivierung des Kontrollkästchens Als aktueller Benutzer anmelden übergeben werden. Wenn Sie keine Verbindungsserver-Instanzen angeben, akzeptieren alle Verbindungsserver-Instanzen diese Informationen.

Verwenden Sie zum Hinzufügen einer Verbindungsserver-Instanz eines der folgenden Formate:

  • domain\system$
  • system$@domain.com
  • Service Principal Name (SPN) des Verbindungsserver-Dienstes

Der entsprechende Wert in der Windows-Registrierung lautet BrokersTrustedForDelegation.

Certificate verification mode

(Einstellung für die Computerkonfiguration)

Konfiguriert die Ebene der Zertifikatsprüfung, die durch Horizon Client durchgeführt wird. Es stehen folgende Modi zur Auswahl:
  • No Security. Horizon führt keine Zertifikatsprüfung durch.
  • Warn But Allow. Von Horizon wird ein selbstsigniertes Zertifikat bereitgestellt. In diesem Fall ist es akzeptabel, wenn der Zertifikatname nicht mit dem Namen des Verbindungsservers übereinstimmt, der in Horizon Client vom Benutzer angegeben wurde.

    Wenn andere Zertifikatfehlerbedingungen vorliegen, zeigt Horizon ein Fehlerdialogfeld an und verhindert, dass der Benutzer eine Verbindung mit dem Verbindungsserver herstellt.

    Warn But Allow ist der Standardwert.

  • Full Security. Wenn ein beliebiger Zertifikatfehler auftritt, kann der Benutzer keine Verbindung mit dem Verbindungsserver herstellen. Horizon zeigt dem Benutzer die Zertifikatfehler an.

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, können die Benutzer den ausgewählten Modus für die Zertifikatsprüfung in Horizon Client sehen, ihn aber nicht konfigurieren. Das Dialogfeld für die SSL-Konfiguration informiert die Benutzer darüber, dass der Administrator die Einstellung gesperrt hat.

Wenn diese Einstellung nicht konfiguriert oder deaktiviert wurde, können Horizon Client-Benutzer einen Zertifikatsprüfungsmodus auswählen.

Damit ein Server die von Horizon Client bereitgestellten Zertifikate prüfen kann, muss der Client HTTPS-Verbindungen zum Verbindungsserver- oder Sicherheitsserver-Host herstellen. Die Zertifikatsprüfung wird nicht unterstützt, wenn Sie SSL auf ein Zwischengerät verlagern, das HTTP-Verbindungen zum Verbindungsserver- oder Sicherheitsserver-Host herstellt.

Wenn Sie diese Einstellung nicht als Gruppenrichtlinie konfigurieren möchten, können Sie die Zertifikatsprüfung auch durch Hinzufügen des Wertnamens CertCheckMode zu einem der folgenden Registrierungsschlüssel auf dem Clientcomputer aktivieren:

  • Für 32-Bit-Windows: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • Für 64-Bit-Windows: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Verwenden Sie die folgenden Werte im Registrierungsschlüssel:

  • 0 implementiert No Security.
  • 1 implementiert Warn But Allow.
  • 2 implementiert Full Security.

Wenn Sie sowohl die Gruppenrichtlinieneinstellung als auch die Einstellung CertCheckMode im Windows-Registrierungsschlüssel konfigurieren, hat die Gruppenrichtlinieneinstellung Vorrang vor dem Registrierungsschlüsselwert.

Hinweis: In einer künftigen Version wird die mithilfe der Windows-Registrierung vorgenommene Konfiguration dieser Einstellung möglicherweise nicht unterstützt. Es muss eine GPO-Einstellung verwendet werden.
Default value of the 'Log in as current user' checkbox

(Einstellung für die Computer- und Benutzerkonfiguration)

Gibt den Standardwert des Kontrollkästchens Als aktueller Benutzer anmelden im Dialogfeld für die Horizon Client-Verbindung an.

Diese Einstellung setzt den Standardwert außer Kraft, der während der Horizon Client-Installation angegeben wurde.

Wenn ein Benutzer Horizon Client über die Befehlszeile ausführt und die Option logInAsCurrentUser angibt, wird diese Einstellung durch den eingegebenen Wert überschrieben.

Wenn das Kontrollkästchen Als aktueller Benutzer anmelden aktiviert ist, werden die Identität und die Anmeldedaten des Benutzers, die dieser zur Anmeldung am Clientsystem verwendet, an die Verbindungsserver-Instanz und schließlich an den Remote-Desktop übergeben. Ist das Kontrollkästchen deaktiviert, müssen Benutzer Identitäts- und Anmeldeinformationen mehrere Male eingeben, bevor sie auf einen Remote-Desktop zugreifen können.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser.

Display option to Log in as current user

(Einstellung für die Computer- und Benutzerkonfiguration)

Legt fest, ob das Kontrollkästchen Als aktueller Benutzer anmelden im Dialogfeld für die Horizon Client-Verbindung angezeigt wird.

Bei Anzeige des Kontrollkästchens können Benutzer die Option aktivieren oder deaktivieren oder den zugehörigen Standardwert außer Kraft setzen. Wird das Kontrollkästchen ausgeblendet, können Benutzer den Standardwert im Dialogfeld für die Horizon Client-Verbindung nicht ändern.

Sie können den Standardwert für Als aktueller Benutzer anmelden über die Richtlinieneinstellung Default value of the 'Log in as current user' checkbox festlegen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser_Display.

Enable jump list integration

(Einstellung für die Computerkonfiguration)

Legt fest, ob eine Sprungliste im Horizon Client icon on the taskbar of Windows 7 and later systems. Über die Sprungliste können Benutzer eine Verbindung zu zuletzt verwendeten Verbindungsserver-Instanzen und Remote-Desktops herstellen.

Wenn Horizon Client gemeinsam verwendet wird, sollen Benutzer möglicherweise nicht die Namen der zuletzt verwendeten Desktops sehen. Die Sprungliste können Sie deaktivieren, indem Sie diese Einstellung deaktivieren.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet EnableJumplist.

Enable SSL encrypted framework channel

(Einstellung für die Computer- und Benutzerkonfiguration)

Legt fest, ob SSL für View 5.0 und ältere Desktops aktiviert wird. Vor View 5.0 wurden die über den Port TCP 32111 an den Desktop gesendeten Daten nicht verschlüsselt.
  • Aktivieren: Aktiviert SSL, aber ermöglicht das Zurücksetzen auf die vorherige unverschlüsselte Verbindung, falls der Remote-Desktop SSL nicht unterstützt. Beispielsweise wird SSL von View 5.0 und älteren Desktops nicht unterstützt. Enable ist die Standardeinstellung.
  • Deaktivieren: Deaktiviert SSL. Diese Einstellung wird nicht empfohlen. Sie kann aber hilfreich sein für das Debugging oder wenn der Kanal nicht getunnelt wird und deshalb möglicherweise durch ein Produkt zur WAN-Beschleunigung optimiert werden könnte.
  • Erzwingen: Aktiviert SSL und verweigert das Herstellen einer Verbindung zu Desktops ohne SSL-Unterstützung.

Der entsprechende Wert in der Windows-Registrierung lautet EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

(Einstellung für die Computer- und Benutzerkonfiguration)

Konfiguriert die Verschlüsselungsliste, um die Verwendung bestimmter kryptografischer Algorithmen und Protokolle zu beschränken, bevor Sie eine verschlüsselte SSL-Verbindung herstellen. Die Verschlüsselungsliste besteht aus einer oder mehreren Verschlüsselungszeichenfolgen, die durch Doppelpunkte voneinander getrennt werden.
Hinweis: Bei der Schlüsselzeichenfolge wird die Groß-/Kleinschreibung beachtet.

Der Standardwert ist TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

Demnach werden TLS v1, TLS v1.1 und TLS v1.2 aktiviert. (SSL v2.0 und v3.0 wurden entfernt.)

Verschlüsselungssammlungen verwenden 128- oder 256-Bit-AES, entfernen anonyme DH-Algorithmen und sortieren anschließend die aktuelle Verschlüsselungsliste nach der Schlüssellänge des Verschlüsselungsalgorithmus.

Referenz-Link für die Konfiguration: http://www.openssl.org/docs/apps/ciphers.html

Der entsprechende Wert in der Windows-Registrierung lautet SSLCipherList.

Enable Single Sign-On for smart card authentication

(Einstellung für die Computerkonfiguration)

Legt fest, ob für die Smartcard-Authentifizierung das Single Sign-On (SSO) aktiviert ist. Ist ein Single Sign-On aktiviert, speichert Horizon Client die verschlüsselte Smartcard-PIN im temporären Arbeitsspeicher, bevor sie an den Verbindungsserver gesendet wird. Ist SSO deaktiviert, zeigt Horizon Client kein benutzerdefiniertes PIN-Dialogfeld an.

Der entsprechende Wert in der Windows-Registrierung lautet EnableSmartCardSSO.

Ignore bad SSL certificate date received from the server

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit ungültigen Datumswerten für das Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn ein Server ein abgelaufenes Zertifikat sendet.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreCertDateInvalid.

Ignore certificate revocation problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit einem gesperrten Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn der Server ein Zertifikat sendet, das gesperrt wurde, und der Client den Sperrstatus eines Zertifikats nicht überprüfen kann.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreRevocation.

Ignore incorrect SSL certificate common name (host name field)

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit falschen allgemeinen Namen im Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn der allgemeine Name des Zertifikats nicht mit dem Hostnamen des Servers übereinstimmt, der das Zertifikat sendet.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreCertCnInvalid.

Ignore incorrect usage problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob Fehler in Zusammenhang mit einer falschen Verwendung des Serverzertifikats ignoriert werden. Diese Fehler treten auf, wenn das vom Server gesendete Zertifikat für einen anderen Zweck als die Überprüfung der Absenderidentität und zum Verschlüsseln der Serverkommunikation gedacht ist.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreWrongUsage.

Ignore unknown certificate authority problems

(Einstellung für die Computerkonfiguration)

(Nur View 4.6 und frühere Versionen) Legt fest, ob bestimmte Fehler in Zusammenhang mit einer unbekannten Zertifizierungsstelle im Serverzertifikat ignoriert werden. Diese Fehler treten auf, wenn das vom Server gesendete Zertifikat durch eine nicht vertrauenswürdige Drittanbieter-Zertifizierungsstelle signiert wurde.

Der entsprechende Wert in der Windows-Registrierung lautet IgnoreUnknownCa.