Hinweis: Diese Version des Themas gilt für Horizon 8-Sicherheitsversionen 2111.2 und 2306 und höher. Sicherheitsbezogene globale Einstellungen für Clientsitzungen und -verbindungen finden Sie unter Einstellungen > Globale Einstellungen > Sicherheitseinstellungen oder unter Einstellungen > Globale Einstellungen > Allgemeine Einstellungen in Horizon Console.

Tabelle 1. Sicherheitsbezogene globale Einstellungen
Einstellung Beschreibung
Kennwort für die Datenwiederherstellung ändern

Das Kennwort ist erforderlich, wenn Sie die Horizon LDAP-Konfiguration aus einer verschlüsselten Sicherung wiederherstellen.

In VMware Horizon 8-Umgebungen:
  • Wenn Sie den Verbindungsserver installieren, geben Sie ein Kennwort für die Datenwiederherstellung an. Nach der Installation können Sie dieses Kennwort in der Konsole ändern.
  • Wenn Sie den Verbindungsserver sichern, wird die Horizon LDAP-Konfiguration in Form verschlüsselter LDIF-Daten exportiert. Sie müssen das Kennwort für die Datenwiederherstellung angeben, um das verschlüsselte Backup mit dem Dienstprogramm vdmimport wiederherzustellen. Das Kennwort muss 1 bis 128 Zeichen umfassen. Befolgen Sie die empfohlenen Vorgehensweisen Ihrer Organisation für das Generieren sicherer Kennwörter.
Sicherheitsmodus für Nachrichten

Bestimmt den Sicherheitsmechanismus, der bei der Übertragung von JMS-Nachrichten zwischen VMware Horizon 8-Komponenten verwendet wird.

  • Wenn für diese Einstellung Deaktiviert festgelegt ist, wird der Sicherheitsmodus für Nachrichten deaktiviert.
  • Wenn Sie Aktiviert festlegen, werden ältere JMS-Nachrichten signiert und überprüft. Nicht signierte Nachrichten werden von VMware Horizon 8-Komponenten abgelehnt. Dieser Modus unterstützt eine Mischung aus TLS und einfachen JMS-Verbindungen.
  • Wenn Sie Erweitert festlegen, wird TLS für alle JMS-Verbindungen zum Verschlüsseln aller Nachrichten verwendet. Die Zugriffssteuerung wird ebenfalls aktiviert, um die JMS-Themen zu beschränken, für die VMware Horizon 8-Komponenten Nachrichten senden und empfangen können.
  • Wenn diese Einstellung auf Gemischt festgelegt ist, wird der Sicherheitsmodus für Nachrichten zwar aktiviert, aber nicht für VMware Horizon 8-Komponenten erzwungen.

Die Standardeinstellung für Neuinstallationen lautet Erweitert. Bei einem Upgrade von einer vorherigen Version wird die in der vorherigen Version verwendete Einstellung beibehalten.

Wichtig: VMware empfiehlt dringend, den Sicherheitsmodus für Nachrichten auf Erweitert festzulegen, nachdem Sie das Upgrade für alle Verbindungs-Broker-Instanzen und VMware Horizon 8-Desktops auf diese Version durchgeführt haben. Die Einstellung Erweitert bietet viele wichtige Sicherheitsverbesserungen und Aktualisierungen bei der Nachrichtenwarteschlange.
Erweiterter Sicherheitsstatus (schreibgeschützt)

Schreibgeschütztes Feld, das angezeigt wird, wenn Sicherheitsmodus für Meldungen von Aktiviert in Erweitert geändert wird. Da die Änderung phasenweise erfolgt, wird in diesem Feld der Fortschritt für die verschiedenen Phasen angezeigt:

  • Warten auf Nachrichtenbus-Neustart ist die erste Phase. Dieser Zustand wird angezeigt, bis Sie entweder alle Verbindungsserver-Instanzen im Pod oder den VMware Horizon Message Bus-Komponenten-Dienst auf allen Verbindungsserver-Hosts im Pod manuell neu starten.
  • Erweiterter Modus wird aktiviert ist der nächste Status. Nachdem alle Horizon Message Bus-Komponentendienste neu gestartet wurden, beginnt das System damit, den Sicherheitsmodus für Nachrichten für alle Desktops in Erweitert zu ändern.
  • Erweitert ist der endgültige Status und gibt an, dass alle Komponenten nun Erweitert als Sicherheitsmodus für Nachrichten verwenden.
Sichere Tunnelverbindungen nach Netzwerkunterbrechung neu authentifizieren

Legt fest, ob die Anmeldedaten nach einer Netzwerkunterbrechung neu authentifiziert werden müssen, wenn Horizon Clients sichere Tunnelverbindungen zu VMware Horizon 8-Desktops und -Anwendungen verwenden.

Diese Einstellung bietet erhöhte Sicherheit. Wenn beispielsweise ein Laptop gestohlen und in ein anderes Netzwerk bewegt wurde, kann der Benutzer nicht automatisch Zugang zu VMware Horizon 8-Desktops und -Anwendungen erlangen, da die Netzwerkverbindung vorübergehend unterbrochen wurde.

Diese Einstellung ist standardmäßig deaktiviert.

Trennung der Benutzer erzwingen

Trennt nach Ablauf der angegebenen Anzahl von Minuten seit der Anmeldung des Benutzers bei VMware Horizon 8 alle Desktops und Anwendungen. Alle Desktops und Anwendungen werden gleichzeitig getrennt, unabhängig davon, wann der Benutzer sie geöffnet hat.

Der Standardwert lautet 600 Minuten.

Für Clients, die Anwendungen unterstützen.

Verbindungen zu Anwendungen trennen und SSO-Anmeldeinformationen verwerfen, sobald der Benutzer nicht mehr mit Tastatur und Maus arbeitet

Schützt Anwendungssitzungen, wenn auf dem Client-Gerät keine Tastatur- oder Mausaktivitäten stattfinden. Bei Festlegung auf Nach ... Minuten trennt VMware Horizon 8 nach Ablauf der angegebenen Anzahl von Minuten ohne Benutzeraktivität sämtliche Anwendungssitzungen und verwirft die SSO-Anmeldeinformationen. Desktop-Sitzungen werden getrennt. Benutzer müssen sich erneut anmelden, um eine Verbindung zu den getrennten Anwendungen wiederherzustellen, oder einen neuen Desktop bzw. eine neue Anwendung starten.

Bei der Einstellung Nie trennt VMware Horizon 8 in keinem Fall Anwendungen oder verwirft SSO-Anmeldeinformationen aufgrund von Benutzerinaktivität.

Die Standardeinstellung ist Nie.

SSO-Anmeldeinformationen verwerfen

Verwenden Sie diese Einstellung, um das Verwerfen von SSO-Anmeldedaten zu einem festgelegten Zeitpunkt nach der Anmeldung zu konfigurieren. Nachdem die SSO-Anmeldedaten verworfen wurden, wird ein Benutzer aufgefordert, sich beim Windows-Gastbetriebssystem zu authentifizieren, wenn er eine Verbindung mit einem neuen Desktop oder einer neuen Anwendungssitzung in einer anderen RDS-Farm herstellt. Verbindungen zu vorhandenen Desktop- und Anwendungssitzungen bleiben geöffnet.

Bei Festlegung auf Nach ... Minuten werden SSO-Anmeldedaten nach Ablauf der angegebenen Anzahl an Minuten seit der Anmeldung bei VMware Horizon verworfen. Die Benutzeraktivitäten auf dem Client-Gerät spielen dabei keine Rolle. Die Standardeinstellung ist Nach 15 Minuten.

Wenn dieser Wert auf Nie gesetzt ist, speichert VMware Horizon die SSO-Anmeldedaten, bis der Benutzer Horizon Client schließt oder bis das für Trennung der Benutzer erzwingen angegebene Zeitlimit erreicht ist, je nachdem, welcher Fall zuerst eintritt.

Aktivieren Sie ein oder beide Kontrollkästchen:
  • Auf interne Benutzerverbindungen anwenden – SSO-Anmeldeinformationen werden für Verbindungen von Clientgeräten in privaten Netzwerken verworfen.
  • Auf externe Benutzerverbindungen anwenden – SSO-Anmeldeinformationen werden für Verbindungen von Clientgeräten in nicht privaten Netzwerken verworfen.

Standardmäßig sind beide Kontrollkästchen deaktiviert, wenn „SSO-Anmeldeinformationen verwerfen“ auf Nie festgelegt ist. Beide Kontrollkästchen sind aktiviert, wenn „SSO-Anmeldeinformationen verwerfen“ auf Nach ... Minuten festgelegt ist. Sie müssen entweder ein oder beide Kontrollkästchen aktivieren, um Ihre Änderungen zu speichern.
Zeitüberschreitung für View Administrator-Sitzung Bestimmt, wie lange eine Konsolensitzung im Leerlauf ausgeführt wird, bevor die Sitzung abläuft.
Wichtig: Wenn Sie den Zeitüberschreitungswert für die Konsolensitzung auf eine hohe Minutenzahl einstellen, steigt das Risiko einer nicht autorisierten Nutzung der Konsole. Seien Sie vorsichtig, wenn Sie zulassen, dass eine Sitzung lange Zeit im Leerlauf bleibt.

Standardmäßig beträgt die Zeitüberschreitung für die Konsolensitzung 30 Minuten. Sie können eine Sitzungszeitüberschreitung von 1 bis 4.320 Minuten festlegen.

Zertifikatauthentifizierung Verwenden Sie diese Einstellung, um die Zuordnung der Zertifikatsauthentifizierung zum Attribut „Benutzerdefinierte alternative Sicherheitsidentitäten“ im Active Directory zu ändern, indem Sie eine Option vom Typ „Steuerelemente für die Zuordnung von Zertifikaten zur Authentifizierung“ angeben. Zuordnungstypen, die auf Benutzernamen und E-Mail-Adressen basieren, gelten als schwach und müssen mit einem der starken Zuordnungstypen aktualisiert werden. Weitere Informationen finden Sie unter Konfigurieren von Zertifikatszuordnungen für die zertifikatsbasierte Authentifizierung.
CRL-Vorabrufeinstellungen Verwenden Sie diese Einstellung, um eine Zertifikatssperrüberprüfung für ein Zertifikat durchzuführen, wenn der Verbindungsserver nicht direkt auf die URLs der CRL-Verteilungspunkte (CDP) für das Zertifikat zugreifen kann.
Hinweis: Für alle Horizon Client- und Konsolenverbindungen mit VMware Horizon 8 ist TLS erforderlich. Wenn Ihre VMware Horizon 8-Bereitstellung Lastausgleichsmodule oder andere Zwischenserver mit Client-Verbindung verwendet, können Sie TLS darauf verlagern und anschließend Nicht-TLS-Verbindungen auf einzelnen Verbindungs-Broker-Instanzen konfigurieren. Weitere Informationen finden Sie unter „Auslagern von TLS-Verbindungen auf Zwischenserver“ im Dokument Horizon 8-Verwaltung.