Les paramètres de sécurité incluent des options concernant le certificat de sécurité, les informations d'identification de connexion et la fonctionnalité d'authentification unique.

Le tableau suivant décrit les paramètres de sécurité figurant dans le fichier de modèle d'administration pour la configuration d'Horizon Client. Ce tableau montre si les paramètres incluent à la fois les paramètres Computer Configuration (Configuration ordinateur) et User Configuration (Configuration utilisateur) ou uniquement les paramètres Computer Configuration (Configuration ordinateur). Pour les paramètres de sécurité qui incluent les deux types, le paramètre User Configuration (Configuration utilisateur) remplace le paramètre Computer Configuration (Configuration ordinateur) équivalent.

Tableau 1. Modèle de configuration d'Horizon Client : paramètres de sécurité
Paramètre Description
Allow command line credentials

(Paramètre de Configuration d'ordinateur)

Détermine si les informations d'identification d'utilisateur peuvent être fournies avec des options de ligne de commande d'Horizon Client. Si ce paramètre est désactivé, les options smartCardPIN et password ne sont pas disponibles lorsque les utilisateurs exécutent Horizon Client à partir de la ligne de commande.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est AllowCmdLineCredentials.

Servers Trusted For Delegation

(Paramètre de Configuration d'ordinateur)

Spécifie les instances de Serveur de connexion View qui acceptent l'identité et les informations d'identification d'utilisateur qui sont transmises quand un utilisateur coche la case Log in as current user (Se connecter en tant qu'utilisateur actuel). Si vous ne spécifiez aucune instance de Serveur de connexion View, toutes les instances de Serveur de connexion View acceptent ces informations.

Pour ajouter une instance de Serveur de connexion View, utilisez l'un des formats suivants :

  • domain\system$
  • system$@domain.com
  • Nom principal de service (SPN) du service Serveur de connexion View.

La valeur de Registre Windows équivalente est BrokersTrustedForDelegation.

Certificate verification mode

(Paramètre de Configuration d'ordinateur)

Configure le niveau de la vérification de certificat exécutée par Horizon Client. Vous pouvez sélectionner l'un de ces modes :
  • No Security. View n'effectue pas la vérification de certificat.
  • Warn But Allow. Lorsque les problèmes de certificat de serveur suivants se produisent, un avertissement s'affiche, mais l'utilisateur peut continuer à se connecter au Serveur de connexion View :
    • Un certificat auto-signé est fourni par View. Dans ce cas, cela est acceptable si le nom de certificat ne correspond pas au nom du Serveur de connexion View fourni par l'utilisateur dans Horizon Client.
    • Un certificat vérifiable qui a été configuré dans votre déploiement a expiré ou n'est pas encore valide.

    Si une autre erreur de certificat se produit, View affiche une boîte de dialogue d'erreur et empêche l'utilisateur de se connecter au Serveur de connexion View.

    Warn But Allow est la valeur par défaut.

  • Full Security. Si une erreur de type de certificat se produit, l'utilisateur ne peut pas se connecter au Serveur de connexion View. View affiche les erreurs de certificat à l'utilisateur.

Lorsque ce paramètre de stratégie de groupe est configuré, les utilisateurs peuvent voir le mode de vérification de certificat sélectionné dans Horizon Client, mais ils ne peuvent pas configurer le paramètre. La boîte de dialogue de configuration SSL informe les utilisateurs que l'administrateur a verrouillé le paramètre.

Lorsque ce paramètre n'est pas configuré ou est désactivé, les utilisateurs d'Horizon Client peuvent sélectionner un mode de vérification de certificat.

Pour autoriser un serveur View à vérifier les certificats fournis par Horizon Client, le client doit établir des connexions HTTPS avec l'hôte du Serveur de connexion View ou du serveur de sécurité. La vérification des certificats n'est pas prise en charge si vous déchargez SSL vers un serveur intermédiaire qui établit des connexions HTTP avec l'hôte de Serveur de connexion View ou du serveur de sécurité.

Pour les clients Windows, si vous ne voulez pas configurer ce paramètre en tant que stratégie de groupe, vous pouvez également activer la vérification de certificat en ajoutant le nom de valeur CertCheckMode à l'une des clés de Registre suivantes sur l'ordinateur client :

  • Pour Windows 32 bits : HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • Pour Windows 64 bits : HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Utilisez les valeurs suivantes dans la clé de registre :

  • 0 implémente No Security.
  • 1 implémente Warn But Allow.
  • 2 implémente Full Security.

Si vous configurez le paramètre de stratégie de groupe et le paramètre CertCheckMode dans la clé de Registre Windows, le paramètre de stratégie de groupe est prioritaire sur la valeur de la clé de registre.

Default value of the 'Log in as current user' checkbox

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Spécifie la valeur par défaut de la case à cocher Se connecter en tant qu'utilisateur actuel dans la boîte de dialogue de connexion d'Horizon Client.

Ce paramètre remplace la valeur par défaut spécifiée au cours de l'installation d'Horizon Client.

Si un utilisateur exécute Horizon Client à partir de la ligne de commande et spécifie l'option logInAsCurrentUser, cette valeur remplace ce paramètre.

Lorsque la case Se connecter en tant qu'utilisateur actuel est cochée, l'identité et les informations d'identification que l'utilisateur a fournies lors de la connexion au système client sont transmises à l'instance du Serveur de connexion View, puis au poste de travail distant. Lorsque la case n'est pas cochée, les utilisateurs doivent fournir leur identité et leurs informations d'identification plusieurs fois avant de pouvoir accéder à un poste de travail distant.

Ce paramètre est désactivé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser.

Display option to Log in as current user

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Détermine si la case à cocher Se connecter en tant qu'utilisateur actuel doit être visible dans la boîte de dialogue de connexion d'Horizon Client.

Lorsque la case est visible, les utilisateurs peuvent la cocher ou la décocher et remplacer sa valeur par défaut. Lorsque la case est masquée, les utilisateurs ne peuvent pas remplacer sa valeur par défaut dans la boîte de dialogue de connexion d'Horizon Client.

Vous pouvez spécifier la valeur par défaut de la case Log in as current user (Se connecter en tant qu'utilisateur actuel) en utilisant le paramètre de règle Default value of the 'Log in as current user' checkbox.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser_Display.

Enable jump list integration

(Paramètre de Configuration d'ordinateur)

Détermine si une liste de raccourcis doit s'afficher dans l'icône Horizon Client sur la barre des tâches des systèmes Windows 7 ou versions ultérieures. La liste des raccourcis permet aux utilisateurs de se connecter à des instances récentes du Serveur de connexion View et à des postes de travail récemment utilisés.

Si Horizon Client est partagé, vous pouvez ne pas souhaiter que les utilisateurs voient les noms des postes de travail récemment utilisés. Vous pouvez désactiver la liste de raccourcis en désactivant ce paramètre.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est EnableJumplist.

Enable SSL encrypted framework channel

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Détermine si SSL doit être activé pour les postes de travail View 5.0 et versions antérieures. Avant View 5.0, les données envoyées au poste de travail via le port TCP 32111 n'étaient pas chiffrées.
  • Activer : active SSL, mais autorise le retour à la connexion non chiffrée précédente si le poste de travail distant ne prend pas en charge SSL. Par exemple, les postes de travail View 5.0 et versions antérieures ne prennent pas en charge SSL. Activer est le paramètre par défaut.
  • Désactiver : désactive SSL. Ce paramètre n'est pas recommandé, mais peut toutefois être utile pour le débogage ou si le canal n'est pas configuré en tunnel et peut par la suite faire l'objet d'une optimisation par un produit accélérateur WAN.
  • Appliquer : active SSL et refuse les connexions aux postes de travail qui ne prennent pas en charge SSL.

La valeur de Registre Windows équivalente est EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Configure la liste de chiffrements afin de limiter l'utilisation de certains protocoles et algorithmes de chiffrement avant l'établissement d'une connexion SSL chiffrée. La liste de chiffrements est composée d'une ou de plusieurs chaînes de chiffrement séparées par deux points.
Note : Toutes les chaînes de chiffrement sont sensibles à la casse.
  • Si cette fonction est activée, la valeur par défaut d'Horizon Client 4.0 est TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.
  • La valeur par défaut d'Horizon Client 3.5 est TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH.
  • La valeur par défaut d'Horizon Client 3.3 et 3.4 est TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.
  • La valeur dans Horizon Client 3.2 et versions antérieures est SSLv3:TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH.

Cela signifie que dans Horizon Client 4.0, TLS v1.1 et TLS v1.2 sont activés. (TLS v1.0 est désactivé. SSL v2.0 et v3.0 sont supprimés.) Dans Horizon Client 3.5, TLS v1.0, TLS v1.1 et TLS v1.2 sont activés. (SSL v2.0 et v3.0 sont désactivés.) Dans Horizon Client 3.3 et 3.4, TLS v1.0 et TLS v1.1 sont activés. (SSL v2.0, SSL v3.0 et TLS v1.2 sont désactivés.) Dans Horizon Client 3.2 et versions antérieures, SSL v3.0 est également activé. (SSL v2.0 et TLS v1.2 sont désactivés.)

Les suites de chiffrement utilisent la spécification AES 128 ou 256 bits, suppriment les algorithmes DH anonymes, puis trient la liste de chiffrements actuels par longueur de clé de chiffrement.

Lien de référence pour la configuration : http://www.openssl.org/docs/apps/ciphers.html .

La valeur de Registre Windows équivalente est SSLCipherList.

Enable Single Sign-On for smart card authentication

(Paramètre de Configuration d'ordinateur)

Détermine si l'authentification unique est activée pour l'authentification par carte à puce. Lorsque l'authentification unique est activée, Horizon Client stocke le code PIN de carte à puce chiffré dans la mémoire temporaire avant de l'envoyer au Serveur de connexion View. Lorsque l'authentification unique est désactivée, Horizon Client n'affiche pas de boîte de dialogue de code PIN personnalisé.

La valeur de Registre Windows équivalente est EnableSmartCardSSO.

Ignore bad SSL certificate date received from the server

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées aux dates des certificats de serveur non valides doivent être ignorées. Ces erreurs se produisent quand un serveur envoie un certificat avec une date passée.

La valeur de Registre Windows équivalente est IgnoreCertDateInvalid.

Ignore certificate revocation problems

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées à un certificat de serveur révoqué doivent être ignorées. Ces erreurs se produisent lorsque le serveur envoie un certificat qui a été révoqué et lorsque le client ne peut pas vérifier l'état de révocation d'un certificat.

Ce paramètre est désactivé par défaut.

La valeur de Registre Windows équivalente est IgnoreRevocation.

Ignore incorrect SSL certificate common name (host name field)

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées aux noms communs de certificats de serveur incorrects doivent être ignorées. Ces erreurs se produisent quand le nom commun sur le certificat ne correspond pas au nom d'hôte du serveur qui l'envoie.

La valeur de Registre Windows équivalente est IgnoreCertCnInvalid.

Ignore incorrect usage problems

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées à une utilisation incorrecte d'un certificat de serveur doivent être ignorées. Ces erreurs se produisent lorsque le serveur envoie un certificat ayant un autre but que vérifier l'identité de l'expéditeur et crypter les communications du serveur.

La valeur de Registre Windows équivalente est IgnoreWrongUsage.

Ignore unknown certificate authority problems

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées à une autorité de certification inconnue sur le certificat du serveur doivent être ignorées. Ces erreurs se produisent lorsque le serveur envoie un certificat signé par une autorité tierce non approuvée.

La valeur de Registre Windows équivalente est IgnoreUnknownCa.