La configuración de seguridad incluye las opciones del certificado de seguridad, credenciales de inicio de sesión y la función Single Sign-On.

La siguiente tabla describe la configuración de seguridad en los archivos de plantillas ADM y ADMX Configuración de Horizon Client. Esta tabla muestra si las opciones incluyen la configuración de usuario y de equipo o únicamente esta última. En la configuración de seguridad que incluye ambos tipos, la de usuario reemplaza las opciones de configuración de equipo.

Tabla 1. Plantilla de configuración de Horizon Client: configuración de seguridad

Ajuste

Descripción

Allow command line credentials

(Parámetro de configuración de equipos)

Determina si se pueden proporcionar credenciales de usuario con opciones de línea de comandos de Horizon Client. Si esta configuración está deshabilitada, las opciones smartCardPIN y password no estarán disponibles cuando los usuarios ejecuten Horizon Client desde la línea de comandos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es AllowCmdLineCredentials.

Servers Trusted For Delegation

(Parámetro de configuración de equipos)

Especifica las instancias del servidor de conexión que aceptan la información de credencial e identidad de usuario que se transmite cuando un usuario selecciona la casilla de verificación Iniciar sesión como usuario actual. Si no especifica ninguna instancia del servidor de conexión, todas ellas aceptan esta información.

Para agregar una instancia del servidor de conexión, use uno de los siguientes formatos:

  • dominio\sistema$

  • sistema$@dominio.com

  • El nombre de entidad de seguridad de servicio (SPN) del servicio del servidor de conexión.

El valor equivalente en el Registro de Windows es BrokersTrustedForDelegation.

Certificate verification mode

(Parámetro de configuración de equipos)

Configura el nivel de comprobación de certificados que realiza Horizon Client. Puede seleccionar uno de estos modos:

  • No Security. Horizon no realiza la comprobación de certificados.

  • Warn But Allow. Horizon proporciona un certificado autofirmado. En este caso, se acepta si el nombre del certificado no coincide con el nombre del servidor de conexión proporcionado por el usuario en Horizon Client.

    Si se produce cualquier otra situación de error relacionada con certificados, Horizon muestra un cuadro de diálogo de error e impide que el usuario se conecte al servidor de conexión.

    Warn But Allow es el valor predeterminado.

  • Full Security. Si se produce cualquier tipo de error relacionado con los certificados, el usuario no podrá conectarse al servidor de conexión. Horizon muestra al usuario los errores relacionados con los certificados.

Cuando se define esta configuración de directiva de grupo, los usuarios pueden consultar el modo de verificación de certificados seleccionado en Horizon Client, pero no pueden modificar esta configuración. El cuadro de diálogo de configuración de SSL informa a los usuarios de que el administrador ha bloqueado la configuración.

Cuando esta configuración no está definida o está deshabilitada, los usuarios de Horizon Client pueden seleccionar un modo de verificación de certificados.

Para permitir a un servidor que realice la comprobación de los certificados proporcionados por Horizon Client, el cliente debe realizar conexiones HTTPS con el host del servidor de seguridad o el servidor de conexión. La comprobación de certificados no se admite si transfiere la SSL a un dispositivo intermedio que establezca conexiones HTTP con el servidor de conexión o con el host del servidor de seguridad.

Si no desea configurar esta opción como una directiva de grupo, puede habilitar esta verificación al agregar el nombre de valor CertCheckMode a una de las siguientes claves del Registro en el equipo cliente:

  • Para Windows de 32 bits: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • Para Windows de 64 bits: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Use los siguientes valores en la clave del Registro:

  • 0 implements No Security.

  • 1 implements Warn But Allow.

  • 2 implements Full Security.

Si configura tanto la opción de la directiva de grupo como la de CertCheckMode en la clave del Registro de Windows, la opción de la directiva de grupo tiene prioridad sobre el valor de la clave del Registro.

Nota:

En una versión futura, es posible que no sea compatible configurar esta opción mediante el registro de Windows. Se debe usar una configuración GPO.

Default value of the 'Log in as current user' checkbox

(Parámetro de configuración de usuarios y equipos)

Especifica el valor predeterminado de la casilla de verificación Iniciar sesión como usuario actual en el cuadro de diálogo de conexiones de Horizon Client.

Esta configuración sustituye el valor predeterminado especificado durante la instalación de Horizon Client.

Si un usuario ejecuta Horizon Client desde la línea de comandos y especifica la opción logInAsCurrentUser, dicho valor sustituye esta configuración.

Cuando se selecciona la casilla de verificación Iniciar sesión como usuario actual, la información de credencial e identidad proporcionada por el usuario al iniciar sesión en el sistema cliente se transmite a la instancia del servidor de conexión y, por último, al escritorio remoto. Cuando esta casilla de verificación no está seleccionada, los usuarios deberán proporcionar la información de credencial e identidad varias veces para poder obtener acceso a un escritorio remoto.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser.

Display option to Log in as current user

(Parámetro de configuración de usuarios y equipos)

Determina si la casilla de verificación Iniciar sesión como usuario actual se muestra en el cuadro de diálogo de conexiones de Horizon Client.

Cuando se muestra esta casilla de verificación, los usuarios pueden seleccionarla o anular su selección y sustituir su valor predeterminado. Cuando está oculta, los usuarios no pueden sustituir su valor predeterminado en el cuadro de diálogo de conexiones de Horizon Client.

La configuración de directivas Default value of the 'Log in as current user' checkbox permite especificar el valor predeterminado de la casilla de verificación Iniciar sesión como usuario actual.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser_Display.

Enable jump list integration

(Parámetro de configuración de equipos)

Determina si se muestra una lista de accesos directos en el icono de Horizon Client de la barra de tareas de Windows 7 y sistemas posteriores. La lista de accesos directos permite a los usuarios conectarse a escritorios remotos y a instancias recientes del servidor de conexión.

Si se comparte Horizon Client, es posible que no desee que los usuarios puedan ver los nombres de los escritorios recientes. Deshabilite esta configuración para deshabilitar la lista de accesos directos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es EnableJumplist.

Enable SSL encrypted framework channel

(Parámetro de configuración de usuarios y equipos)

Determina si SSL está habilitada para escritorios View 5.0 y anteriores. Antes de View 5.0, no se cifraban los datos enviados al escritorio a través del puerto TCP 32111.

  • Habilitar: habilita SSL, pero permite recurrir a la conexión no cifrada anterior si el escritorio remoto no admite SSL. Por ejemplo, los escritorios View 5.0 y anteriores no admiten SSL. Habilitar es la configuración predeterminada.

  • Deshabilitar: deshabilita SSL. No se recomienda esta configuración, pero puede resultar útil para tareas de depuración o si no hay un túnel de canal y se podría optimizar mediante un producto acelerador de WAN.

  • Exigir: habilita SSL e impide la conexión a escritorios que no admitan SSL.

El valor equivalente en el Registro de Windows es EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

(Parámetro de configuración de usuarios y equipos)

Configura la lista de cifrado para restringir el uso de ciertos protocolos y algoritmos criptográficos antes de establecer una conexión SSL cifrada. La lista de cifrado consta de una o más cadenas de cifrado separadas por dos puntos.

Nota:

La cadena de cifrado distingue entre mayúsculas y minúsculas.

El valor predeterminado es TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

Esto significa que se habilitan TLS v1, TLS v1.1 y TLS v1.2. (Se han eliminado SSL v2.0 y v3.0).

Los paquetes de cifrado usan AES de 128 o 256 bits, eliminan los algoritmos DH anónimos y, a continuación, ordenan la lista de cifrado actual de acuerdo con la longitud de la clave del algoritmo de cifrado.

Vínculo de referencia para la configuración: http://www.openssl.org/docs/apps/ciphers.html

El valor equivalente en el Registro de Windows es SSLCipherList.

Enable Single Sign-On for smart card authentication

(Parámetro de configuración de equipos)

Determina si Single Sign-On está habilitado para la autenticación de tarjeta inteligente. Cuando Single Sign-On está habilitado, Horizon Client almacena el PIN de la tarjeta inteligente cifrada en una memoria temporal antes de enviarlo al servidor de conexión. Cuando está deshabilitado, Horizon Client no muestra un cuadro de diálogo de PIN deshabilitado.

El valor equivalente en el Registro de Windows es EnableSmartCardSSO.

Ignore bad SSL certificate date received from the server

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con fechas de certificado de servidor no válidas. Estos errores se producen cuando un servidor envía un certificado con una fecha ya pasada.

El valor equivalente en el Registro de Windows es IgnoreCertDateInvalid.

Ignore certificate revocation problems

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con un certificado de servidor revocado. Estos errores se producen cuando el servidor envía un certificado que se ha revocado y cuando el cliente no puede verificar un estado de revocación de un certificado.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es IgnoreRevocation.

Ignore incorrect SSL certificate common name (host name field)

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con nombres comunes de certificado de servidor incorrectos. Estos errores se producen cuando el nombre común del certificado no coincide con el nombre de host del servidor que lo envía.

El valor equivalente en el Registro de Windows es IgnoreCertCnInvalid.

Ignore incorrect usage problems

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con el uso incorrecto de un certificado de servidor. Estos errores se producen cuando el servidor envía un certificado con un objetivo diferente al de verificar la identidad del remitente y cifrar las comunicaciones del servidor.

El valor equivalente en el Registro de Windows es IgnoreWrongUsage.

Ignore unknown certificate authority problems

(Parámetro de configuración de equipos)

(View 4.6 y versiones anteriores solamente) Determina si se ignoran los errores asociados con una entidad de certificación desconocida (CA) en el certificado de servidor. Estos errores se producen cuando el servidor envía un certificado firmado por una entidad de certificación que no es de confianza.

El valor equivalente en el Registro de Windows es IgnoreUnknownCa.