La configuración de seguridad incluye directivas de grupo para certificados, credenciales de inicio de sesión y la función Single Sign-On.

La siguiente tabla describe la configuración de seguridad del archivo de plantilla ADMX de configuración de Horizon Client. Esta tabla muestra si las opciones incluyen la configuración de usuario y de equipo o únicamente esta última. Para los valores de configuración de seguridad que aparecen en ambos tipos de configuraciones, los de Configuración de usuario reemplazan los valores equivalentes de Configuración del equipo. La configuración se encuentra en la carpeta Configuración de VMware Horizon Client > Configuración de seguridad del Editor de administración de directivas de grupo.

Tabla 1. Plantilla de configuración de Horizon Client: configuración de seguridad
Configuración Equipo Usuario Descripción
Allow command line credentials X Determina si se pueden proporcionar credenciales de usuario con opciones de línea de comandos de Horizon Client. Si esta configuración está deshabilitada, las opciones smartCardPIN y password no estarán disponibles cuando los usuarios ejecuten Horizon Client desde la línea de comandos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es AllowCmdLineCredentials.

Configures the SSL Proxy certificate checking behavior of the Horizon Client X Determina si se permite la comprobación del certificado en conexiones secundarias a través de un servidor proxy SSL para la puerta de enlace segura Blast y las conexiones de túnel seguro.

Si este ajuste no está configurado (la opción predeterminada), los usuarios podrán cambiar la configuración del proxy SSL en Horizon Client manualmente. Consulte Configurar el modo de comprobación del certificado en Horizon Client.

De forma predeterminada, Horizon Client bloquea las conexiones del proxy SSL en las conexiones de la puerta de enlace segura Blast y de túnel seguro.
Servers Trusted For Delegation X

Especifica las instancias del servidor de conexión que aceptan las credenciales y la identidad del usuario que se envía cuando un usuario selecciona Iniciar sesión como usuario actual en el menú Opciones de la barra de menú de Horizon Client. Si no especifica ninguna instancia del servidor de conexión, todas aceptarán esta información, a menos que la opción de autenticación Permitir inicio de sesión como usuario actual esté deshabilitada para la instancia del servidor de conexión en Horizon Console.

Para agregar una instancia del servidor de conexión, use uno de los siguientes formatos:

  • dominio\sistema$
  • [email protected]
  • El nombre de entidad de seguridad de servicio (SPN) del servicio del servidor de conexión.

El valor equivalente en el Registro de Windows es BrokersTrustedForDelegation.

Certificate verification mode X Configura el nivel de la comprobación del certificado que Horizon Client realiza. Puede seleccionar uno de estos modos:
  • No Security. No se produce la comprobación del certificado.
  • Warn But Allow. Si la comprobación de un certificado falla porque el servidor usa un certificado autofirmado, los usuarios ven una advertencia que pueden ignorar. En lo que respecta a los certificados autofirmados, el nombre del certificado no tiene que coincidir con el nombre del servidor que los usuarios introdujeron en Horizon Client.

    Si se produce otra condición de error del certificado, Horizon Client muestra un error y no permite que los usuarios se conecten al servidor.

    Warn But Allow es el valor predeterminado.

  • Full Security. Si se produce cualquier tipo de error relacionado con los certificados, los usuarios no podrán conectarse al servidor. Horizon Client muestra al usuario los errores relacionados con los certificados.

Cuando se define esta opción, los usuarios pueden consultar el modo de verificación de certificados seleccionado en Horizon Client, pero no pueden modificar esta configuración. El cuadro de diálogo del modo de comprobación del certificado notifica a los usuarios que un administrador bloqueó la opción.

Cuando esta configuración está deshabilitada, los usuarios de Horizon Client pueden seleccionar un modo de comprobación de certificados. Esta opción está deshabilitada de forma predeterminada.

Para permitir a un servidor que realice la selección de los certificados proporcionados por Horizon Client, el cliente debe realizar conexiones HTTPS con el host del servidor de seguridad o el servidor de conexión. La comprobación de certificados no se admite si transfiere TLS a un dispositivo intermedio que establezca conexiones HTTP con el servidor de conexión o con el host del servidor de seguridad.

Si no desea configurar esta opción como una directiva de grupo, puede habilitar esta verificación al agregar el nombre de valor CertCheckMode a una de las siguientes claves del Registro en el equipo cliente:

  • Para Windows de 32 bits: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • Para Windows de 64 bits: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Use los siguientes valores en las claves de registro:

  • 0 implements No Security.
  • 1 implementa Warn But Allow.
  • 2 implementa Full Security.

Si configura tanto la opción de la directiva de grupo como la de CertCheckMode en la clave del Registro de Windows, la opción de la directiva de grupo tiene preferencia sobre el valor de la clave de registro.

Nota: En una futura versión de Horizon Client, es posible que no se admita el uso del registro de Windows para configurar esta opción y se deba usar la opción de directivas de grupo.
Default value of the 'Log in as current user' checkbox X X

Especifica el valor predeterminado de Iniciar sesión como usuario actual en el menú Opciones de la barra de menú de Horizon Client.

Esta configuración sustituye el valor predeterminado especificado durante la instalación de Horizon Client.

Si un usuario ejecuta Horizon Client desde la línea de comandos y especifica la opción logInAsCurrentUser, dicho valor sustituye esta configuración.

Cuando se selecciona la casilla Iniciar sesión como usuario actual en el menú Opciones, la información de las credenciales y de la identidad que proporciona el usuario al iniciar sesión en el sistema cliente se envía a la instancia del servidor de conexión y, por último, a la aplicación publicada o al escritorio remoto. Si la casilla Iniciar sesión como usuario actual no está seleccionada, los usuarios deben proporcionar varias veces las credenciales y la identidad antes de que puedan acceder a una aplicación publicada o a un escritorio remoto.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser.

Display option to Log in as current user X X

Determina si la función Iniciar sesión como usuario actual aparece en el menú Opciones de la barra de menú de Horizon Client.

Si aparece Iniciar sesión como usuario actual, los usuarios pueden seleccionar esta función o anularla, y sustituir su valor predeterminado. Si la función Iniciar sesión como usuario actual está oculta, los usuarios no pueden modificar su valor predeterminado en el menú Opciones de Horizon Client.

La configuración de directivas Default value of the 'Log in as current user' checkbox permite especificar el valor predeterminado de la casilla Iniciar sesión como usuario actual.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser_Display.

Enable jump list integration

X Determina si se muestra una lista de accesos directos en el icono de Horizon Client de la barra de tareas de Windows 7 y sistemas posteriores. La lista de accesos directos permite a los usuarios conectarse a servidores recientes, escritorios remotos y aplicaciones publicadas.

Si se comparte Horizon Client, es posible que no desee que los usuarios puedan ver los nombres de los escritorios recientes y las aplicaciones publicadas. Deshabilite esta configuración para deshabilitar la lista de accesos directos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es EnableJumplist.

Enable SSL encrypted framework channel X X Determina si TLS está habilitado para escritorios remotos View 5.0 y versiones anteriores. Antes de View 5.0, no se cifraban los datos enviados al escritorio remoto a través del puerto TCP 32111.
  • Habilitar: habilita TLS, pero permite recurrir a la conexión no cifrada anterior si el escritorio remoto no admite TLS. Por ejemplo, los escritorios View 5.0 y anteriores no admiten TLS. Habilitar es la configuración predeterminada.
  • Deshabilitar: deshabilita TLS. Esta configuración puede resultar útil para tareas de depuración o si no hay un túnel de canal, y se podría optimizar mediante un producto acelerador de WAN.
  • Forzar: habilita TLS y no se conecta a escritorios remotos que no admitan TLS.

El valor equivalente en el Registro de Windows es EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms X X Configura la lista de cifrado para restringir el uso de ciertos protocolos y algoritmos criptográficos antes de establecer una conexión TLS cifrada. La lista de cifrado consta de una o más cadenas de cifrado separadas por dos puntos. La cadena de cifrado distingue entre mayúsculas y minúsculas.

El valor predeterminado es TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

Esta cadena de cifrado implica que TLS v1.1 y TLS v1.2 están habilitados y SSL v.2.0, SSL v3.0 y TLS v1.0 están deshabilitados. SSL v2.0, SSL v3.0 y TLS v1.0 ya no son protocolos aprobados y se deshabilitarán permanentemente.

Los conjuntos de cifrados utilizan ECDHE, ECDH y RSA con AES de 128 o 256 bits. Se prefiere el modo GCM.

Para obtener más información, consulte http://www.openssl.org/docs/apps/ciphers.html.

El valor equivalente en el Registro de Windows es SSLCipherList.

Enable Single Sign-On for smart card authentication X Determina si Single Sign-On está habilitado para la autenticación de tarjeta inteligente. Cuando Single Sign-On está habilitado, Horizon Client almacena el PIN de la tarjeta inteligente cifrada en una memoria temporal antes de enviarlo al servidor de conexión. Cuando está deshabilitado, Horizon Client no muestra un cuadro de diálogo de PIN deshabilitado.

El valor equivalente en el Registro de Windows es EnableSmartCardSSO.

Ignore certificate revocation problems X X Determina si se ignoran los errores asociados a un certificado revocado de servidor.

Estos errores se producen cuando el certificado que envía el servidor se revocó o cuando el cliente no puede verificar el estado de revocación del certificado.

Esta opción está deshabilitada de forma predeterminada.

Nota: Cuando esta opción está habilitada, el cliente solo puede usar una URL en la memoria caché durante la verificación del certificado del servidor. Los tipos de información de URL en caché pueden ser el punto de distribución de CRL (CDP) y el acceso a la información de la entidad emisora (métodos de acceso de la entidad emisora de certificación y OCSP).
Unlock remote sessions when the client machine is unlocked X X Determina si se habilita la función Desbloqueo recursivo. La función Desbloqueo recursivo desbloquea todas las sesiones remotas después de que lo hiciera el equipo cliente. Esta función solo se aplica después de que un usuario inicie sesión en el servidor con la función Iniciar sesión como usuario actual.

Esta configuración está habilitada de forma predeterminada.

La siguiente configuración se encuentra en la carpeta Configuración de VMware Horizon Client > Configuración de seguridad > Configuración de NTLM del Editor de administración de directivas de grupo.

Tabla 2. Plantilla de configuración de Horizon Client: Configuración de seguridad, Configuración de autenticación NTLM
Configuración Equipo Usuario Descripción
Allow NTLM Authentication X Cuando esta opción está habilitada, se permite la autenticación NTLM con la función Iniciar sesión como usuario actual. Cuando esta opción está deshabilitada, no se utiliza la autenticación NTLM para ningún servidor.

Cuando esta opción está habilitada, puede seleccionar o No en el menú desplegable Permitir reserva de Kerberos a NTLM.

  • Si selecciona , la autenticación NTLM se podrá utilizar cuando el cliente no pueda recuperar un ticket de Kerberos para el servidor.
  • Si selecciona No, solo se permitirá la autenticación NTLM para los servidores que aparecen en la opción de directiva de grupo Utilizar siempre NTLM para servidores.

Si esta opción no se configura, se permitirá la autenticación NTLM para los servidores que aparecen en la opción de directiva de grupo Usar siempre NTLM para servidores.

Para usar la autenticación NTLM, el certificado SSL del servidor debe ser válido y las directivas de Windows no deben restringir el uso de NTLM.

Para obtener información sobre la configuración de la reserva de Kerberos a NTLM en una instancia del servidor de conexión, consulte "Usar la función Iniciar sesión como usuario actual disponible con Horizon Client basado en Windows" en el documento Administración de VMware Horizon Console.
Always use NTLM for servers X Si esta opción está habilitada, la opción Iniciar sesión como usuario actual siempre usará la autenticación NTLM para los servidores de la lista. Para crear la lista de servidores, haga clic en Mostrar e introduzca el nombre del servidor en la columna Valor. El formato del nombre de los servidores es FQDN (nombre de dominio completo).