La configuración de seguridad incluye las opciones del certificado de seguridad, credenciales de inicio de sesión y la función Single Sign-On.

La siguiente tabla describe la configuración de seguridad del archivo de plantilla ADMX de configuración de Horizon Client. Esta tabla muestra si las opciones incluyen la configuración de usuario y de equipo o únicamente esta última. Para los valores de configuración de seguridad que aparecen en ambas configuraciones, los de Configuración de usuario reemplazan los valores equivalentes de Configuración del equipo. La configuración se encuentra en la carpeta Configuración de VMware Horizon Client > Configuración de seguridad del Editor de administración de directivas de grupo.

Tabla 1. Plantilla de configuración de Horizon Client: configuración de seguridad

Ajuste

Equipo

Usuario

Descripción

Allow command line credentials

X

Determina si se pueden proporcionar credenciales de usuario con opciones de línea de comandos de Horizon Client. Si esta configuración está deshabilitada, las opciones smartCardPIN y password no estarán disponibles cuando los usuarios ejecuten Horizon Client desde la línea de comandos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es AllowCmdLineCredentials.

Servers Trusted For Delegation

X

Especifica las instancias del servidor de conexión que aceptan las credenciales y la identidad del usuario que se envía cuando un usuario selecciona Iniciar sesión como usuario actual en el menú Opciones de la barra de menú de Horizon Client. Si no especifica ninguna instancia del servidor de conexión, todas ellas aceptan esta información.

Para agregar una instancia del servidor de conexión, use uno de los siguientes formatos:

  • dominio\sistema$

  • sistema$@dominio.com

  • El nombre de entidad de seguridad de servicio (SPN) del servicio del servidor de conexión.

El valor equivalente en el Registro de Windows es BrokersTrustedForDelegation.

Certificate verification mode

X

Configura el nivel de comprobación de certificados que realiza Horizon Client. Puede seleccionar uno de estos modos:

  • No Security. Horizon no realiza la comprobación de certificados.

  • Warn But Allow. Horizon proporciona un certificado autofirmado. En este caso, se acepta si el nombre del certificado no coincide con el nombre del servidor de conexión proporcionado por el usuario en Horizon Client.

    Si se produce cualquier otra situación de error relacionada con certificados, Horizon muestra un cuadro de diálogo de error e impide que el usuario se conecte al servidor de conexión.

    Warn But Allow es el valor predeterminado.

  • Full Security. Si se produce cualquier tipo de error relacionado con los certificados, el usuario no podrá conectarse al servidor de conexión. Horizon muestra al usuario los errores relacionados con los certificados.

Cuando se define esta configuración de directiva de grupo, los usuarios pueden consultar el modo de verificación de certificados seleccionado en Horizon Client, pero no pueden modificar esta configuración. El cuadro de diálogo de configuración de SSL informa a los usuarios de que el administrador ha bloqueado la configuración.

Cuando esta configuración no está definida o está deshabilitada, los usuarios de Horizon Client pueden seleccionar un modo de verificación de certificados.

Para permitir a un servidor que realice la comprobación de los certificados proporcionados por Horizon Client, el cliente debe realizar conexiones HTTPS con el host del servidor de seguridad o el servidor de conexión. La comprobación de certificados no se admite si transfiere la SSL a un dispositivo intermedio que establezca conexiones HTTP con el servidor de conexión o con el host del servidor de seguridad.

Si no desea configurar esta opción como una directiva de grupo, puede habilitar esta verificación al agregar el nombre de valor CertCheckMode a una de las siguientes claves del Registro en el equipo cliente:

  • Para Windows de 32 bits: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • Para Windows de 64 bits: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Use los siguientes valores en la clave del Registro:

  • 0 implements No Security.

  • 1 implements Warn But Allow.

  • 2 implements Full Security.

Si configura tanto la opción de la directiva de grupo como la de CertCheckMode en la clave del Registro de Windows, la opción de la directiva de grupo tiene prioridad sobre el valor de la clave del Registro.

Nota:

En una versión futura, es posible que no sea compatible configurar esta opción mediante el registro de Windows. Se debe usar una configuración GPO.

Default value of the 'Log in as current user' checkbox

X

X

Especifica el valor predeterminado de Iniciar sesión como usuario actual en el menú Opciones de la barra de menú de Horizon Client.

Esta configuración sustituye el valor predeterminado especificado durante la instalación de Horizon Client.

Si un usuario ejecuta Horizon Client desde la línea de comandos y especifica la opción logInAsCurrentUser, dicho valor sustituye esta configuración.

Cuando se selecciona la casilla Iniciar sesión como usuario actual en el menú Opciones, la información de las credenciales y de la identidad que proporciona el usuario al iniciar sesión en el sistema cliente se envía a la instancia del servidor de conexión y, por último, a la aplicación o al escritorio remotos. Si la casilla Iniciar sesión como usuario actual no está seleccionada, los usuarios deben proporcionar varias veces las credenciales y la identidad antes de que puedan acceder a una aplicación o un escritorio remotos.

Esta opción está deshabilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser.

Display option to Log in as current user

X

X

Determina si la función Iniciar sesión como usuario actual aparece en el menú Opciones de la barra de menú de Horizon Client.

Si aparece Iniciar sesión como usuario actual, los usuarios pueden seleccionar esta función o anularla, y sustituir su valor predeterminado. Si la función Iniciar sesión como usuario actual está oculta, los usuarios no pueden modificar su valor predeterminado en el menú Opciones de Horizon Client.

La configuración de directivas Default value of the 'Log in as current user' checkbox permite especificar el valor predeterminado de la casilla Iniciar sesión como usuario actual.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es LogInAsCurrentUser_Display.

Enable jump list integration

X

Determina si se muestra una lista de accesos directos en el icono de Horizon Client de la barra de tareas de Windows 7 y sistemas posteriores. La lista de accesos directos permite a los usuarios conectarse a escritorios remotos y a instancias recientes del servidor de conexión.

Si se comparte Horizon Client, es posible que no desee que los usuarios puedan ver los nombres de los escritorios recientes. Deshabilite esta configuración para deshabilitar la lista de accesos directos.

Esta configuración está habilitada de forma predeterminada.

El valor equivalente en el Registro de Windows es EnableJumplist.

Enable SSL encrypted framework channel

X

X

Determina si SSL está habilitada para escritorios View 5.0 y anteriores. Antes de View 5.0, no se cifraban los datos enviados al escritorio a través del puerto TCP 32111.

  • Habilitar: habilita SSL, pero permite recurrir a la conexión no cifrada anterior si el escritorio remoto no admite SSL. Por ejemplo, los escritorios View 5.0 y anteriores no admiten SSL. Habilitar es la configuración predeterminada.

  • Deshabilitar: deshabilita SSL. No se recomienda esta configuración, pero puede resultar útil para tareas de depuración o si no hay un túnel de canal y se podría optimizar mediante un producto acelerador de WAN.

  • Exigir: habilita SSL e impide la conexión a escritorios que no admitan SSL.

El valor equivalente en el Registro de Windows es EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

X

X

Configura la lista de cifrado para restringir el uso de ciertos protocolos y algoritmos criptográficos antes de establecer una conexión SSL cifrada. La lista de cifrado consta de una o más cadenas de cifrado separadas por dos puntos.

Nota:

La cadena de cifrado distingue entre mayúsculas y minúsculas.

El valor predeterminado es TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

Esto significa que se habilitan TLS v1, TLS v1.1 y TLS v1.2. (Se han eliminado SSL v2.0 y v3.0).

Los paquetes de cifrado usan AES de 128 o 256 bits, eliminan los algoritmos DH anónimos y, a continuación, ordenan la lista de cifrado actual de acuerdo con la longitud de la clave del algoritmo de cifrado.

Vínculo de referencia para la configuración: http://www.openssl.org/docs/apps/ciphers.html

El valor equivalente en el Registro de Windows es SSLCipherList.

Enable Single Sign-On for smart card authentication

X

Determina si Single Sign-On está habilitado para la autenticación de tarjeta inteligente. Cuando Single Sign-On está habilitado, Horizon Client almacena el PIN de la tarjeta inteligente cifrada en una memoria temporal antes de enviarlo al servidor de conexión. Cuando está deshabilitado, Horizon Client no muestra un cuadro de diálogo de PIN deshabilitado.

El valor equivalente en el Registro de Windows es EnableSmartCardSSO.

Ignore certificate revocation problems

X

X

Determina si se ignoran los errores asociados a un certificado revocado de servidor.

Estos errores se producen cuando el certificado que envía el servidor se revocó o cuando el cliente no puede verificar el estado de revocación del certificado.

Esta opción está deshabilitada de forma predeterminada.

Unlock remote sessions when the client machine is unlocked

X

X

Determina si se habilita la función Desbloqueo recursivo. La función Desbloqueo recursivo desbloquea todas las sesiones remotas después de que lo hiciera el equipo cliente. Esta función solo se aplica después de que un usuario inicie sesión en el servidor con la función Iniciar sesión como usuario actual.

Esta configuración está habilitada de forma predeterminada.