Zu den Sicherheitseinstellungen zählen Optionen für das Sicherheitszertifikat, für Anmeldeinformationen und für die Single Sign-On-Funktion (SSO).

In der folgenden Tabelle werden die in der ADMX-Vorlagendatei für die Horizon Client-Konfiguration enthaltenen Sicherheitseinstellungen beschrieben. Diese Tabelle zeigt, ob die Konfiguration sowohl die Einstellung „Computer Configuration (Computerkonfiguration)“ und wie die Einstellung „User Configuration (Benutzerkonfiguration)“ enthält oder nur die Einstellung „Computer Configuration (Computerkonfiguration)“. Bei den Sicherheitseinstellungen, die beide Typen einschließen, setzt die Einstellung für die Benutzerkonfiguration hierbei die äquivalente Einstellung für die Computerkonfiguration außer Kraft. Diese Einstellungen befinden sich im Ordner VMware Horizon Client Configuration > Sicherheitseinstellungen für im Gruppenrichtlinienverwaltungs-Editor.

Tabelle 1. Horizon Client-Konfigurationsvorlage: Sicherheitseinstellungen

Einstellung

Computer

Benutzer

Beschreibung

Allow command line credentials

X

Legt fest, ob Benutzeranmeldedaten mit Horizon Client-Befehlszeilenoptionen bereitgestellt werden können. Wenn diese Einstellung deaktiviert ist, stehen die Optionen smartCardPIN und password nicht zur Verfügung, wenn Benutzer Horizon Client über die Befehlszeile ausführen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet AllowCmdLineCredentials.

Servers Trusted For Delegation

X

Legt die Verbindungsserver-Instanzen fest, die die übergebenen Identitäts- und Anmeldeinformationen des Benutzers akzeptieren, wenn ein Benutzer die Option Als aktueller Benutzer anmelden im Menü Optionen der Horizon Client-Menüleiste auswählt. Wenn Sie keine Verbindungsserver-Instanzen angeben, akzeptieren alle Verbindungsserver-Instanzen diese Informationen.

Verwenden Sie zum Hinzufügen einer Verbindungsserver-Instanz eines der folgenden Formate:

  • domain\system$

  • system$@domain.com

  • Service Principal Name (SPN) des Verbindungsserver-Dienstes

Der entsprechende Wert in der Windows-Registrierung lautet BrokersTrustedForDelegation.

Certificate verification mode

X

Konfiguriert die Ebene der Zertifikatsprüfung, die durch Horizon Client durchgeführt wird. Es stehen folgende Modi zur Auswahl:

  • No Security. Horizon führt keine Zertifikatsprüfung durch.

  • Warn But Allow. Von Horizon wird ein selbstsigniertes Zertifikat bereitgestellt. In diesem Fall ist es akzeptabel, wenn der Zertifikatname nicht mit dem Namen des Verbindungsservers übereinstimmt, der in Horizon Client vom Benutzer angegeben wurde.

    Wenn andere Zertifikatfehlerbedingungen vorliegen, zeigt Horizon ein Fehlerdialogfeld an und verhindert, dass der Benutzer eine Verbindung mit dem Verbindungsserver herstellt.

    Warn But Allow ist der Standardwert.

  • Full Security. Wenn ein beliebiger Zertifikatfehler auftritt, kann der Benutzer keine Verbindung mit dem Verbindungsserver herstellen. Horizon zeigt dem Benutzer die Zertifikatfehler an.

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, können die Benutzer den ausgewählten Modus für die Zertifikatsprüfung in Horizon Client sehen, ihn aber nicht konfigurieren. Das Dialogfeld für die SSL-Konfiguration informiert die Benutzer darüber, dass der Administrator die Einstellung gesperrt hat.

Wenn diese Einstellung nicht konfiguriert oder deaktiviert wurde, können Horizon Client-Benutzer einen Zertifikatsprüfungsmodus auswählen.

Damit ein Server die von Horizon Client bereitgestellten Zertifikate prüfen kann, muss der Client HTTPS-Verbindungen zum Verbindungsserver- oder Sicherheitsserver-Host herstellen. Die Zertifikatsprüfung wird nicht unterstützt, wenn Sie SSL auf ein Zwischengerät verlagern, das HTTP-Verbindungen zum Verbindungsserver- oder Sicherheitsserver-Host herstellt.

Wenn Sie diese Einstellung nicht als Gruppenrichtlinie konfigurieren möchten, können Sie die Zertifikatsprüfung auch durch Hinzufügen des Wertnamens CertCheckMode zu einem der folgenden Registrierungsschlüssel auf dem Clientcomputer aktivieren:

  • Für 32-Bit-Windows: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • Für 64-Bit-Windows: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Verwenden Sie die folgenden Werte im Registrierungsschlüssel:

  • 0 implementiert No Security.

  • 1 implementiert Warn But Allow.

  • 2 implementiert Full Security.

Wenn Sie sowohl die Gruppenrichtlinieneinstellung als auch die Einstellung CertCheckMode im Windows-Registrierungsschlüssel konfigurieren, hat die Gruppenrichtlinieneinstellung Vorrang vor dem Registrierungsschlüsselwert.

Anmerkung:

In einer künftigen Version wird die mithilfe der Windows-Registrierung vorgenommene Konfiguration dieser Einstellung möglicherweise nicht unterstützt. Es muss eine GPO-Einstellung verwendet werden.

Default value of the 'Log in as current user' checkbox

X

X

Legt den Standardwert der Option Als aktueller Benutzer anmelden im Menü Optionen der Horizon Client-Menüleiste fest.

Diese Einstellung setzt den Standardwert außer Kraft, der während der Horizon Client-Installation angegeben wurde.

Wenn ein Benutzer Horizon Client über die Befehlszeile ausführt und die Option logInAsCurrentUser angibt, wird diese Einstellung durch den eingegebenen Wert überschrieben.

Wenn die Option Als aktueller Benutzer anmelden im Menü Optionen aktiviert ist, werden die Identitäts- und Anmeldeinformationen des Benutzers, die dieser zur Anmeldung beim Clientsystem verwendet, an die Verbindungsserver-Instanz und schließlich an den Remote-Desktop übergeben. Wenn die Option Als aktueller Benutzer anmelden deaktiviert ist, müssen Benutzer die Identitäts- und Anmeldeinformationen mehrfach eingeben, bevor sie auf einen Remote-Desktop oder eine Remoteanwendung zugreifen können.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser.

Display option to Log in as current user

X

X

Legt fest, ob die Option Als aktueller Benutzer anmelden im Menü Optionen der Horizon Client-Menüleiste angezeigt wird.

Wenn die Option Als aktueller Benutzer anmelden angezeigt wird, können Benutzer diese aktivieren oder deaktivieren und den Standardwert überschreiben. Wenn die Option Als aktueller Benutzer anmelden ausgeblendet ist, können Benutzer deren Standardwert im Menü Horizon Client Optionen nicht überschreiben.

Sie können den Standardwert für Als aktueller Benutzer anmelden über die Richtlinieneinstellung Default value of the 'Log in as current user' checkbox festlegen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser_Display.

Enable jump list integration

X

Legt fest, ob eine Sprungliste im Horizon Client icon on the taskbar of Windows 7 and later systems. Über die Sprungliste können Benutzer eine Verbindung zu zuletzt verwendeten Verbindungsserver-Instanzen und Remote-Desktops herstellen.

Wenn Horizon Client gemeinsam verwendet wird, sollen Benutzer möglicherweise nicht die Namen der zuletzt verwendeten Desktops sehen. Die Sprungliste können Sie deaktivieren, indem Sie diese Einstellung deaktivieren.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet EnableJumplist.

Enable SSL encrypted framework channel

X

X

Legt fest, ob SSL für View 5.0 und ältere Desktops aktiviert wird. Vor View 5.0 wurden die über den Port TCP 32111 an den Desktop gesendeten Daten nicht verschlüsselt.

  • Aktivieren: Aktiviert SSL, aber ermöglicht das Zurücksetzen auf die vorherige unverschlüsselte Verbindung, falls der Remote-Desktop SSL nicht unterstützt. Beispielsweise wird SSL von View 5.0 und älteren Desktops nicht unterstützt. Enable ist die Standardeinstellung.

  • Deaktivieren: Deaktiviert SSL. Diese Einstellung wird nicht empfohlen. Sie kann aber hilfreich sein für das Debugging oder wenn der Kanal nicht getunnelt wird und deshalb möglicherweise durch ein Produkt zur WAN-Beschleunigung optimiert werden könnte.

  • Erzwingen: Aktiviert SSL und verweigert das Herstellen einer Verbindung zu Desktops ohne SSL-Unterstützung.

Der entsprechende Wert in der Windows-Registrierung lautet EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

X

X

Konfiguriert die Verschlüsselungsliste, um die Verwendung bestimmter kryptografischer Algorithmen und Protokolle zu beschränken, bevor Sie eine verschlüsselte SSL-Verbindung herstellen. Die Verschlüsselungsliste besteht aus einer oder mehreren Verschlüsselungszeichenfolgen, die durch Doppelpunkte voneinander getrennt werden.

Anmerkung:

Bei der Schlüsselzeichenfolge wird die Groß-/Kleinschreibung beachtet.

Der Standardwert ist TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

Demnach werden TLS v1, TLS v1.1 und TLS v1.2 aktiviert. (SSL v2.0 und v3.0 wurden entfernt.)

Verschlüsselungssammlungen verwenden 128- oder 256-Bit-AES, entfernen anonyme DH-Algorithmen und sortieren anschließend die aktuelle Verschlüsselungsliste nach der Schlüssellänge des Verschlüsselungsalgorithmus.

Referenz-Link für die Konfiguration: http://www.openssl.org/docs/apps/ciphers.html

Der entsprechende Wert in der Windows-Registrierung lautet SSLCipherList.

Enable Single Sign-On for smart card authentication

X

Legt fest, ob für die Smartcard-Authentifizierung das Single Sign-On (SSO) aktiviert ist. Ist ein Single Sign-On aktiviert, speichert Horizon Client die verschlüsselte Smartcard-PIN im temporären Arbeitsspeicher, bevor sie an den Verbindungsserver gesendet wird. Ist SSO deaktiviert, zeigt Horizon Client kein benutzerdefiniertes PIN-Dialogfeld an.

Der entsprechende Wert in der Windows-Registrierung lautet EnableSmartCardSSO.

Ignore certificate revocation problems

X

X

Legt fest, ob Fehler in Zusammenhang mit einem gesperrten Serverzertifikat ignoriert werden.

Diese Fehler treten auf, wenn das Zertifikat, das der Server sendet, gesperrt wurde oder wenn der Client den Sperrstatus des Zertifikats nicht überprüfen kann.

Diese Einstellung ist standardmäßig deaktiviert.

Unlock remote sessions when the client machine is unlocked

X

X

Legt fest, ob die Funktion „Rekursives Entsperren“ aktiviert ist. Die Funktion „Rekursives Entsperren“ entsperrt alle Remotesitzungen, nachdem die Sperre des Clientcomputers aufgehoben wurde. Diese Funktion kann nur dann angewendet werden, wenn ein Benutzer sich beim Server mit der Funktion „Als aktueller Benutzer anmelden“ anmeldet.

Diese Einstellung ist standardmäßig aktiviert.