Sicherheitseinstellungen enthalten Gruppenrichtlinien für Zertifikate, Anmeldedaten und die Single Sign-on-Funktion.

In der folgenden Tabelle werden die in der ADMX-Vorlagendatei für die Horizon Client-Konfiguration enthaltenen Sicherheitseinstellungen beschrieben. Diese Tabelle zeigt, ob die Konfiguration sowohl die Einstellung „Computer Configuration (Computerkonfiguration)“ und wie die Einstellung „User Configuration (Benutzerkonfiguration)“ enthält oder nur die Einstellung „Computer Configuration (Computerkonfiguration)“. Bei den Sicherheitseinstellungen, die beide Einstellungstypen einschließen, setzt die Einstellung für die Benutzerkonfiguration hierbei die äquivalente Einstellung für die Computerkonfiguration außer Kraft.

Die folgenden Einstellungen befinden sich im Ordner VMware Horizon Client-Konfiguration > Sicherheitseinstellungen im Gruppenrichtlinienverwaltungs-Editor.

Tabelle 1. Horizon Client-Konfigurationsvorlage: Sicherheitseinstellungen
Einstellung Computer Benutzer Beschreibung
Allow command line credentials X Legt fest, ob Benutzeranmeldedaten mit Horizon Client-Befehlszeilenoptionen bereitgestellt werden können. Wenn diese Einstellung deaktiviert ist, stehen die Optionen smartCardPIN und password nicht zur Verfügung, wenn Benutzer Horizon Client über die Befehlszeile ausführen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet AllowCmdLineCredentials.

Configures the SSL Proxy certificate checking behavior of the Horizon Client X Legt fest, ob die Zertifikatsprüfung für sekundäre Verbindungen über einen SSL-Proxy-Server für Blast Secure Gateway und sichere Tunnelverbindungen zugelassen werden soll.

Wenn diese Einstellung nicht konfiguriert ist (Standardeinstellung), können Benutzer die SSL-Proxy-Einstellung manuell in Horizon Client ändern.

Standardmäßig sperrt Horizon Client SSL-Proxy-Verbindungen für Blast Secure Gateway und sichere Tunnelverbindungen.
Servers Trusted For Delegation X

Legt die Verbindungsserver-Instanzen fest, die die übergebenen Identitäts- und Anmeldeinformationen des Benutzers akzeptieren, wenn ein Benutzer die Option Als aktueller Benutzer anmelden im Menü Optionen der Horizon Client-Menüleiste auswählt. Wenn Sie keine Verbindungsserver-Instanzen angeben, akzeptieren alle Verbindungsserver-Instanzen diese Informationen, es sei denn, die Authentifizierungseinstellung Anmeldung als aktueller Benutzer zulassen ist für die Verbindungsserver-Instanz in Horizon Console deaktiviert.

Geben Sie zum Hinzufügen einer Verbindungsserverinstanz den Service Principal Name (SPN) des Verbindungsserverdiensts an.

Der entsprechende Wert in der Windows-Registrierung lautet BrokersTrustedForDelegation.

Certificate verification mode X Konfiguriert die Ebene der Zertifikatsprüfung, die Horizon Client durchführt. Es stehen folgende Modi zur Auswahl:
  • No Security. Zertifikate werden nicht überprüft.
  • Warn But Allow. Wenn eine Zertifikatsprüfung fehlschlägt, weil der Server ein selbstsigniertes Zertifikat verwendet, sehen Benutzer eine Warnung, die sie ignorieren können. Bei selbstsignierten Zertifikaten muss der Zertifikatsname nicht mit dem Servernamen übereinstimmen, den Benutzer in Horizon Client eingeben.

    Wenn andere Zertifikatsfehlerbedingungen auftreten, zeigt Horizon Client eine Fehlermeldung an und verhindert, dass Benutzer eine Verbindung mit dem Server herstellen.

    Warn But Allow ist der Standardwert.

  • Full Security. Wenn ein beliebiger Zertifikatsfehler auftritt, können Benutzer keine Verbindung mit dem Server herstellen. Horizon Client zeigt dem Benutzer die Zertifikatfehler an.

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, können Benutzer den ausgewählten Modus für die Zertifikatsprüfung in Horizon Client sehen, die Einstellung aber nicht konfigurieren. Das Dialogfeld „Zertifikatsprüfungsmodus“ informiert Benutzer darüber, dass ein Administrator die Einstellung gesperrt hat.

Wenn diese Einstellung deaktiviert wurde, können Horizon Client-Benutzer einen Zertifikatsprüfungsmodus auswählen. Diese Einstellung ist standardmäßig deaktiviert.

Damit ein Server die von Horizon Client bereitgestellten Zertifikate prüfen kann, muss der Client HTTPS-Verbindungen zum Verbindungsserver- oder Sicherheitsserver-Host herstellen. Die Zertifikatsprüfung wird nicht unterstützt, wenn Sie TLS auf ein Zwischengerät verlagern, das HTTP-Verbindungen zum Verbindungsserver- oder Sicherheitsserver-Host herstellt.

Wenn Sie diese Einstellung nicht als Gruppenrichtlinie konfigurieren möchten, können Sie die Zertifikatsprüfung auch durch Hinzufügen des Wertnamens CertCheckMode zu einem der folgenden Registrierungsschlüssel auf dem Clientcomputer aktivieren:

  • Für 32-Bit-Windows: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • Für 64-Bit-Windows: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Verwenden Sie die folgenden Werte im Registrierungsschlüssel:

  • 0 implementiert No Security.
  • 1 implementiert Warn But Allow.
  • 2 implementiert Full Security.

Wenn Sie sowohl die Gruppenrichtlinieneinstellung als auch die Einstellung CertCheckMode im Windows-Registrierungsschlüssel konfigurieren, hat die Gruppenrichtlinieneinstellung Vorrang vor dem Registrierungsschlüsselwert.

Hinweis: In einer zukünftigen Horizon Client-Version wird die Verwendung der Windows-Registrierung zum Konfigurieren dieser Einstellung möglicherweise nicht mehr unterstützt. Stattdessen muss dann die Gruppenrichtlinieneinstellung verwendet werden.
Default value of the 'Log in as current user' checkbox X X

Legt den Standardwert der Option Als aktueller Benutzer anmelden im Menü Optionen der Horizon Client-Menüleiste fest.

Diese Einstellung setzt den Standardwert außer Kraft, der während der Horizon Client-Installation angegeben wurde.

Wenn ein Benutzer Horizon Client über die Befehlszeile ausführt und die Option logInAsCurrentUser angibt, wird diese Einstellung durch den eingegebenen Wert überschrieben.

Wenn die Option Als aktueller Benutzer anmelden im Menü Optionen aktiviert ist, werden die Identitäts- und Anmeldeinformationen des Benutzers, die dieser zur Anmeldung beim Clientsystem angegeben hat, an die Verbindungsserver-Instanz und schließlich an den Remote-Desktop oder die veröffentlichte Anwendung übergeben. Wenn die Option Als aktueller Benutzer anmelden deaktiviert ist, müssen Benutzer die Identitäts- und Anmeldeinformationen mehrfach eingeben, bevor sie auf einen Remote-Desktop oder eine veröffentlichte Anwendung zugreifen können.

Diese Einstellung ist standardmäßig deaktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser.

Display option to Log in as current user X X

Legt fest, ob die Option Als aktueller Benutzer anmelden im Menü Optionen der Horizon Client-Menüleiste angezeigt wird.

Wenn die Option Als aktueller Benutzer anmelden angezeigt wird, können Benutzer diese aktivieren oder deaktivieren und den Standardwert überschreiben. Wenn die Option Als aktueller Benutzer anmelden ausgeblendet ist, können Benutzer deren Standardwert im Menü Horizon Client Optionen nicht überschreiben.

Sie können den Standardwert für Als aktueller Benutzer anmelden über die Richtlinieneinstellung Default value of the 'Log in as current user' checkbox festlegen.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet LogInAsCurrentUser_Display.

Enable jump list integration

X Legt fest, ob eine Sprungliste im Horizon Client icon on the taskbar of Windows 7 and later systems. Über die Sprungliste können Benutzer die Verbindung mit zuletzt verwendeten Servern, Remote-Desktops und veröffentlichten Anwendungen herstellen.

Wenn Horizon Client gemeinsam verwendet wird, sollen die Namen der zuletzt verwendeten Desktops und veröffentlichten Anwendungen Benutzern möglicherweise nicht angezeigt werden. Die Sprungliste können Sie deaktivieren, indem Sie diese Einstellung deaktivieren.

Diese Einstellung ist standardmäßig aktiviert.

Der entsprechende Wert in der Windows-Registrierung lautet EnableJumplist.

Enable SSL encrypted framework channel X X Legt fest, ob TLS für Remote-Desktops mit View 5.0 und früher aktiviert ist. Vor View 5.0 wurden die über den Port TCP 32111 an den Remote-Desktop gesendeten Daten nicht verschlüsselt.
  • Aktivieren: Aktiviert TLS, aber ermöglicht das Zurückgreifen auf die vorherige unverschlüsselte Verbindung, falls der Remote-Desktop TLS nicht unterstützt. Beispielsweise wird TLS von Remote-Desktops mit View 5.0 und älter nicht unterstützt. Enable ist die Standardeinstellung.
  • Deaktivieren: Deaktiviert TLS. Diese Einstellung kann hilfreich sein für das Debugging oder wenn der Kanal nicht getunnelt wird und deshalb möglicherweise durch ein Produkt zur WAN-Beschleunigung optimiert werden könnte.
  • Erzwingen: Ermöglicht TLS und verweigert die Verbindung mit Remote-Desktops, die keine Unterstützung für TLS bieten.

Der entsprechende Wert in der Windows-Registrierung lautet EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms X X Konfiguriert die Verschlüsselungsliste, um die Verwendung bestimmter kryptografischer Algorithmen und Protokolle zu beschränken, bevor Sie eine verschlüsselte TLS-Verbindung herstellen. Die Verschlüsselungsliste besteht aus einer oder mehreren Verschlüsselungszeichenfolgen, die durch Doppelpunkte voneinander getrennt werden. Bei der Schlüsselzeichenfolge wird die Groß-/Kleinschreibung beachtet.

Der Standardwert ist TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

Diese Schlüsselzeichenfolge bedeutet, dass TLS v1.1 und TLS v1.2 aktiviert sind und SSL v.2.0, SSL v3.0 und TLS v1.0 deaktiviert sind. SSL v2.0, SSL v3.0 und TLS v1.0 sind nicht mehr die genehmigten Protokolle und werden dauerhaft deaktiviert.

Verschlüsselungs-Suites verwenden ECDHE, ECDH und RSA mit 128-Bit- oder 256-Bit-AES. GCM-Modus ist vorzuziehen.

Weitere Informationen finden Sie unter http://www.openssl.org/docs/apps/ciphers.html.

Der entsprechende Wert in der Windows-Registrierung lautet SSLCipherList.

Enable Single Sign-On for smart card authentication X Legt fest, ob für die Smartcard-Authentifizierung das Single Sign-On (SSO) aktiviert ist. Ist ein Single Sign-On aktiviert, speichert Horizon Client die verschlüsselte Smartcard-PIN im temporären Arbeitsspeicher, bevor sie an den Verbindungsserver gesendet wird. Ist Single Sign-On deaktiviert, zeigt Horizon Client kein benutzerdefiniertes PIN-Dialogfeld an.

Der entsprechende Wert in der Windows-Registrierung lautet EnableSmartCardSSO.

Ignore certificate revocation problems X X Legt fest, ob Fehler in Zusammenhang mit einem gesperrten Serverzertifikat ignoriert werden.

Diese Fehler treten auf, wenn das Zertifikat, das der Server sendet, gesperrt wurde oder wenn der Client den Sperrstatus des Zertifikats nicht überprüfen kann.

Diese Einstellung ist standardmäßig deaktiviert.

Unlock remote sessions when the client machine is unlocked X X Legt fest, ob die Funktion „Rekursives Entsperren“ aktiviert ist. Die Funktion der rekursiven Entsperrung entsperrt alle Remotesitzungen, wenn der Clientcomputer entsperrt wird. Diese Funktion kann nur dann angewendet werden, wenn ein Benutzer sich beim Server mit der Funktion „Als aktueller Benutzer anmelden“ anmeldet.

Diese Einstellung ist standardmäßig aktiviert.

Die folgenden Einstellungen befinden sich im Ordner VMware Horizon Client-Konfiguration > Sicherheitseinstellungen > NTLM-Einstellungen im Gruppenrichtlinienverwaltungs-Editor.

Tabelle 2. Horizon Client-Konfigurationsvorlage: Sicherheitseinstellungen, NTLM-Authentifizierungseinstellungen
Einstellung Computer Benutzer Beschreibung
Allow NTLM Authentication X Wenn diese Einstellung aktiviert ist, ist die NTLM-Authentifizierung für die Funktion Als aktueller Benutzer anmelden zulässig. Wenn diese Einstellung deaktiviert ist, wird die NTLM-Authentifizierung nicht für Server verwendet.

Wenn diese Einstellung aktiviert ist, können Sie im Dropdown-Menü Fallback von Kerberos zu NTLM erlauben die Option Ja oder Nein auswählen.

  • Wenn Sie Ja auswählen, kann die NTLM-Authentifizierung jederzeit verwendet werden, sobald der Client kein Kerberos-Ticket für den Server abrufen kann.
  • Wenn Sie Nein auswählen, ist die NTLM-Authentifizierung nur für Server zulässig, die in der Gruppenrichtlinieneinstellung NTLM immer für Server verwenden aufgeführt sind.

Wenn diese Einstellung nicht konfiguriert ist, ist die NTLM-Authentifizierung für Server zulässig, die in der Gruppenrichtlinieneinstellung NTLM immer für Server verwenden aufgeführt sind.

Um die NTLM-Authentifizierung verwenden zu können, muss das SSL-Zertifikat des Servers gültig sein und die Verwendung von NTLM darf nicht durch Windows-Richtlinien eingeschränkt sein.

Informationen zum Konfigurieren des Fallbacks von Kerberos zu NTLM in einer Verbindungsserverinstanz finden Sie im Dokument Verwaltung der VMware Horizon Console unter „Verwenden der Funktion ‚Anmelden als aktueller Benutzer‘, die mit Windows-basierten Horizon Client-Instanzen verfügbar ist“.
Always use NTLM for servers X Wenn diese Einstellung aktiviert ist, wird bei der Funktion Als aktueller Benutzer anmelden immer die NTLM-Authentifizierung für die aufgeführten Server verwendet. Um die Serverliste zu erstellen, klicken Sie auf Anzeigen und geben in der Spalte Wert den Servernamen ein. Das Benennungsformat für Server ist der vollqualifizierte Domänenname (FQDN).