Se proporcionan opciones de seguridad en la sección Seguridad y en la sección Definiciones de scripting de los archivos de plantilla ADMX para Horizon Client. El archivo de plantilla ADMX se denomina vdm_client.admx. Salvo que se indique lo contrario, los parámetros solo incluyen un parámetro de configuración de equipo. Si hay disponible una opción de Configuración de usuario y define un valor para ella, invalida la opción equivalente Configuración del equipo.

En la siguiente tabla se describen las opciones de la sección Seguridad de los archivos de plantilla ADMX.

Tabla 1. Plantilla de configuración de Horizon Client: configuración de seguridad

Ajuste

Descripción

Allow command line credentials

(Parámetro de configuración de equipos)

Determina si se pueden proporcionar credenciales de usuario con opciones de línea de comandos de Horizon Client. Si esta configuración está deshabilitada, las opciones smartCardPIN y password no estarán disponibles cuando los usuarios ejecuten Horizon Client desde la línea de comandos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es AllowCmdLineCredentials.

Servers Trusted For Delegation

(Parámetro de configuración de equipos)

Especifica las instancias del servidor de conexión que aceptan la información de credencial e identidad de usuario que se transmite cuando un usuario selecciona la casilla de verificación Iniciar sesión como usuario actual. Si no especifica ninguna instancia del servidor de conexión, todas ellas aceptan esta información.

Para agregar una instancia del servidor de conexión, use uno de los siguientes formatos:

  • dominio\sistema$

  • sistema$@dominio.com

  • El nombre de entidad de seguridad de servicio (SPN) del servicio del servidor de conexión.

El valor equivalente en el Registro de Windows es BrokersTrustedForDelegation.

Certificate verification mode

(Parámetro de configuración de equipos)

Configura el nivel de comprobación de certificados que realiza Horizon Client. Puede seleccionar uno de estos modos:

  • No Security. Sin comprobación de certificados.

  • Warn But Allow. Se muestra una advertencia si el host del servidor de conexión presenta un certificado autofirmado, aunque el usuario podrá conectarse igualmente al servidor de conexión. El nombre del certificado no es necesario que coincida con el nombre del servidor de conexión proporcionado por el usuario en Horizon Client. Si se produce cualquier otra situación de error relacionada con certificados, se muestra un cuadro de diálogo de error y se impide al usuario conectarse al servidor de conexión. Warn But Allow es el valor predeterminado.

  • Full Security. Si se produce cualquier tipo de error relacionado con los certificados, el usuario no podrá conectarse al servidor de conexión. El usuario ve los errores de los certificados.

Cuando se define esta configuración de directiva de grupo, los usuarios pueden consultar el modo de verificación de certificados seleccionado en Horizon Client, aunque no pueden configurarla. El cuadro de diálogo de configuración de SSL informa a los usuarios de que el administrador ha bloqueado la configuración.

Cuando esta configuración no está definida o está deshabilitada, los usuarios de Horizon Client pueden seleccionar un modo de verificación de certificados.

Si no desea configurar la verificación de certificados como una directiva de grupo, puede también habilitarla mediante la modificación de los valores del Registro de Windows.

Default value of the 'Log in as current user' checkbox

(Parámetro de configuración de usuarios y equipos)

Especifica el valor predeterminado de la casilla de verificación Iniciar sesión como usuario actual en el cuadro de diálogo de conexiones de Horizon Client.

Esta configuración sustituye el valor predeterminado especificado durante la instalación de Horizon Client.

Si un usuario ejecuta Horizon Client desde la línea de comandos y especifica la opción logInAsCurrentUser, dicho valor sustituye esta configuración.

Cuando se selecciona la casilla de verificación Iniciar sesión como usuario actual, la información de credencial e identidad proporcionada por el usuario al iniciar sesión en el sistema cliente se transmite a la instancia del servidor de conexión y, por último, al escritorio remoto. Cuando esta casilla de verificación no está seleccionada, los usuarios deberán proporcionar la información de credencial e identidad varias veces para poder obtener acceso a un escritorio remoto.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser.

Display option to Log in as current user

(Parámetro de configuración de usuarios y equipos)

Determina si la casilla de verificación Iniciar sesión como usuario actual se muestra en el cuadro de diálogo de conexiones de Horizon Client.

Cuando se muestra esta casilla de verificación, los usuarios pueden seleccionarla o anular su selección y sustituir su valor predeterminado. Cuando está oculta, los usuarios no pueden sustituir su valor predeterminado en el cuadro de diálogo de conexiones de Horizon Client.

La configuración de directivas Default value of the 'Log in as current user' checkbox permite especificar el valor predeterminado de la casilla de verificación Iniciar sesión como usuario actual.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser_Display.

Enable jump list integration

(Parámetro de configuración de equipos)

Determina si se muestra una lista de accesos directos en el icono de Horizon Client de la barra de tareas de Windows 7 y sistemas posteriores. La lista de accesos directos permite a los usuarios conectarse a escritorios remotos y a instancias recientes del servidor de conexión.

Si se comparte Horizon Client, es posible que no desee que los usuarios puedan ver los nombres de los escritorios recientes. Deshabilite esta configuración para deshabilitar la lista de accesos directos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es EnableJumplist.

Enable SSL encrypted framework channel

(Parámetro de configuración de usuarios y equipos)

Determina si SSL está habilitada para escritorios View 5.0 y anteriores. Antes de View 5.0, no se cifraban los datos enviados al escritorio a través del puerto TCP 32111.

  • Habilitar: habilita SSL, pero permite recurrir a la conexión no cifrada anterior si el escritorio remoto no admite SSL. Por ejemplo, los escritorios View 5.0 y anteriores no admiten SSL. Habilitar es la configuración predeterminada.

  • Deshabilitar: deshabilita SSL. No se recomienda esta configuración, pero puede resultar útil para tareas de depuración o si no hay un túnel de canal y se podría optimizar mediante un producto acelerador de WAN.

  • Exigir: habilita SSL e impide la conexión a escritorios que no admitan SSL.

El valor equivalente en el Registro de Windows es EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

(Parámetro de configuración de usuarios y equipos)

Configura la lista de cifrado para restringir el uso de ciertos protocolos y algoritmos criptográficos antes de establecer una conexión SSL cifrada. La lista de cifrado consta de una o más cadenas de cifrado separadas por dos puntos.

Nota:

Todas las cadenas de cifrado distinguen mayúsculas y minúsculas.

  • El valor predeterminado de Horizon Client 4.2 y de las versiones posteriores es !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

  • El valor predeterminado de las versiones de Horizon Client 4.0.1 y 4.1 es TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.

  • El valor predeterminado de Horizon Client 4.0 es TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.

  • El valor predeterminado de Horizon Client 3.5 es TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.

  • El valor predeterminado de Horizon Client 3.3 y 3.4 es TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.

  • El valor de Horizon Client 3.2 y versiones anteriores es SSLv3:TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.

Esto significa que en Horizon Client 4.0.1 y 4.1, se han habilitado TLSv1.0, TLSv1.1 y TLSv1.2. (Se han eliminado SSL v2.0 y v3.0). Puede deshabilitar TLSv1.0 si no se requiere la compatibilidad de TLSv1.0 con el servidor. En Horizon Client 4.0, se han habilitado TLS v1.1 y TLS v1.2. (Se ha habilitado TLS v1.0. Se han eliminado SSL v2.0 y v3.0). En Horizon Client 3.5, se han habilitado TLS v1.0, TLS v1.1 y TLS v1.2. (Se han deshabilitado SSL v2.0 y v3.0). En Horizon Client 3.3 y 3.4, se han habilitado TLS v1.0 y TLS v1.1. (Se han deshabilitado SSL v2.0 y v3.0, y TLS v1.2). En Horizon Client 3.2 y versiones anteriores, se ha habilitado también SSL v3.0. (Se han deshabilitado SSL v2.0 y TLS v1.2).

Los paquetes de cifrado usan AES de 128 o 256 bits, eliminan los algoritmos DH anónimos y, a continuación, ordenan la lista de cifrado actual de acuerdo con la longitud de la clave del algoritmo de cifrado.

Vínculo de referencia para la configuración: http://www.openssl.org/docs/apps/ciphers.html

El valor equivalente en el Registro de Windows es SSLCipherList.

Si no desea configurar este parámetro como una directiva de grupo, también puede habilitarlo mediante la adición del nombre de valor SSLCipherList a una de las claves de registro siguiente en el equipo cliente:

  • Para Windows de 32 bits: HKEY_LOCAL_MACHINE\Software\VMware,Inc.\VMware VDM\Client\Security

  • Para Windows de 64 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security

Enable Single Sign-On for smart card authentication

(Parámetro de configuración de equipos)

Determina si Single Sign-On está habilitado para la autenticación de tarjeta inteligente. Cuando Single Sign-On está habilitado, Horizon Client almacena el PIN de la tarjeta inteligente cifrada en una memoria temporal antes de enviarlo al servidor de conexión. Cuando está deshabilitado, Horizon Client no muestra un cuadro de diálogo de PIN deshabilitado.

El valor equivalente en el Registro de Windows es EnableSmartCardSSO.

Ignore bad SSL certificate date received from the server

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con fechas de certificado de servidor no válidas. Estos errores se producen cuando un servidor envía un certificado con una fecha ya pasada.

El valor equivalente en el Registro de Windows es IgnoreCertDateInvalid.

Ignore certificate revocation problems

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con un certificado de servidor revocado. Estos errores se producen cuando el servidor envía un certificado que se ha revocado y cuando el cliente no puede verificar un estado de revocación de un certificado.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es IgnoreRevocation.

Ignore incorrect SSL certificate common name (host name field)

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con nombres comunes de certificado de servidor incorrectos. Estos errores se producen cuando el nombre común del certificado no coincide con el nombre de host del servidor que lo envía.

El valor equivalente en el Registro de Windows es IgnoreCertCnInvalid.

Ignore incorrect usage problems

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con el uso incorrecto de un certificado de servidor. Estos errores se producen cuando el servidor envía un certificado con un objetivo diferente al de verificar la identidad del remitente y cifrar las comunicaciones del servidor.

El valor equivalente en el Registro de Windows es IgnoreWrongUsage.

Ignore unknown certificate authority problems

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con una entidad de certificación desconocida (CA) en el certificado de servidor. Estos errores se producen cuando el servidor envía un certificado firmado por una entidad de certificación que no es de confianza.

El valor equivalente en el Registro de Windows es IgnoreUnknownCa.

En la siguiente tabla se describen las opciones de la sección Definiciones de scripting de los archivos de plantilla ADMX.

Tabla 2. Opciones de seguridad en la sección Definiciones de scripting

Ajuste

Descripción

Connect all USB devices to the desktop on launch

Determina si todos los dispositivos USB disponibles en el sistema cliente se conectan al escritorio al iniciarlo.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es connectUSBOnStartup.

Connect all USB devices to the desktop when they are plugged in

Determina si los dispositivos USB se conectan al escritorio cuando se insertan en el sistema cliente.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es connectUSBOnInsert.

Logon Password

Especifica la contraseña que Horizon Client usa en el inicio de sesión. Active Directory almacena la contraseña en texto sin formato.

Esta opción no está definida de forma predeterminada.

El valor equivalente en el Registro de Windows es Password.

Para obtener más información sobre estas opciones y sus implicaciones de seguridad, consulte el documento Uso de VMware Horizon Client para Windows.