Les paramètres de sécurité incluent des options concernant le certificat de sécurité, les informations d'identification de connexion et la fonctionnalité d'authentification unique.

Le tableau suivant décrit les paramètres de sécurité figurant dans le fichier de modèle d'administration ADM et ADMX pour la configuration d'Horizon Client. Ce tableau montre si les paramètres incluent à la fois les paramètres Computer Configuration (Configuration ordinateur) et User Configuration (Configuration utilisateur) ou uniquement les paramètres Computer Configuration (Configuration ordinateur). Pour les paramètres de sécurité qui incluent les deux types, le paramètre User Configuration (Configuration utilisateur) remplace le paramètre Computer Configuration (Configuration ordinateur) équivalent.

Tableau 1. Modèle de configuration d'Horizon Client : paramètres de sécurité
Paramètre Description
Allow command line credentials

(Paramètre de Configuration d'ordinateur)

Détermine si les informations d'identification d'utilisateur peuvent être fournies avec des options de ligne de commande d'Horizon Client. Si ce paramètre est désactivé, les options smartCardPIN et password ne sont pas disponibles lorsque les utilisateurs exécutent Horizon Client à partir de la ligne de commande.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est AllowCmdLineCredentials.

Servers Trusted For Delegation

(Paramètre de Configuration d'ordinateur)

Spécifie les instances du Serveur de connexion qui acceptent l'identité et les informations d'identification d'utilisateur qui sont transmises quand un utilisateur coche la case Se connecter en tant qu'utilisateur actuel. Si vous ne spécifiez aucune instance de Serveur de connexion, toutes les instances de Serveur de connexion acceptent ces informations.

Pour ajouter une instance de Serveur de connexion, utilisez l'un des formats suivants :

  • domain\system$
  • system$@domain.com
  • Nom principal de service (SPN) du service Serveur de connexion.

La valeur de Registre Windows équivalente est BrokersTrustedForDelegation.

Certificate verification mode

(Paramètre de Configuration d'ordinateur)

Configure le niveau de la vérification de certificat exécutée par Horizon Client. Vous pouvez sélectionner l'un de ces modes :
  • No Security. Horizon n'effectue pas la vérification de certificat.
  • Warn But Allow. Un certificat auto-signé est fourni par Horizon. Dans ce cas, il est acceptable si son nom ne correspond pas à celui du Serveur de connexion fourni par l'utilisateur dans Horizon Client.

    Si une autre condition d'erreur de certificat se produit, Horizon affiche une boîte de dialogue d'erreur et empêche l'utilisateur de se connecter au Serveur de connexion.

    Warn But Allow est la valeur par défaut.

  • Full Security. Si une erreur de type de certificat se produit, l'utilisateur ne peut pas se connecter au Serveur de connexion. Horizon affiche des erreurs de certificat à l'utilisateur.

Lorsque ce paramètre de stratégie de groupe est configuré, les utilisateurs peuvent voir le mode de vérification de certificat sélectionné dans Horizon Client, mais ils ne peuvent pas configurer le paramètre. La boîte de dialogue de configuration SSL informe les utilisateurs que l'administrateur a verrouillé le paramètre.

Lorsque ce paramètre n'est pas configuré ou est désactivé, les utilisateurs d'Horizon Client peuvent sélectionner un mode de vérification de certificat.

Pour autoriser un serveur à vérifier les certificats fournis par Horizon Client, le client doit établir des connexions HTTPS avec l'hôte du Serveur de connexion ou du serveur de sécurité. La vérification des certificats n'est pas prise en charge si vous déchargez SSL vers un serveur intermédiaire qui établit des connexions HTTP avec l'hôte du Serveur de connexion ou du serveur de sécurité.

Si vous ne souhaitez pas configurer ce paramètre en tant que stratégie de groupe, vous pouvez également activer la vérification de certificat en ajoutant le nom de valeur CertCheckMode à l'une des clés de registre suivantes sur l'ordinateur client :

  • Pour Windows 32 bits : HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • Pour Windows 64 bits : HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Utilisez les valeurs suivantes dans la clé de registre :

  • 0 implémente No Security.
  • 1 implémente Warn But Allow.
  • 2 implémente Full Security.

Si vous configurez le paramètre de stratégie de groupe et le paramètre CertCheckMode dans la clé de Registre Windows, le paramètre de stratégie de groupe est prioritaire sur la valeur de la clé de registre.

Note : Dans une version ultérieure, il se peut que la configuration de ce paramètre à l'aide du registre Windows ne soit plus prise en charge. Vous devez utiliser un paramètre GPO.
Default value of the 'Log in as current user' checkbox

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Spécifie la valeur par défaut de la case à cocher Se connecter en tant qu'utilisateur actuel dans la boîte de dialogue de connexion d'Horizon Client.

Ce paramètre remplace la valeur par défaut spécifiée au cours de l'installation d'Horizon Client.

Si un utilisateur exécute Horizon Client à partir de la ligne de commande et spécifie l'option logInAsCurrentUser, cette valeur remplace ce paramètre.

Lorsque la case Se connecter en tant qu'utilisateur actuel est cochée, l'identité et les informations d'identification que l'utilisateur a fournies lors de la connexion au système client sont transmises à l'instance du Serveur de connexion, puis au poste de travail distant. Lorsque la case n'est pas cochée, les utilisateurs doivent fournir leur identité et leurs informations d'identification plusieurs fois avant de pouvoir accéder à un poste de travail distant.

Ce paramètre est désactivé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser.

Display option to Log in as current user

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Détermine si la case à cocher Se connecter en tant qu'utilisateur actuel doit être visible dans la boîte de dialogue de connexion d'Horizon Client.

Lorsque la case est visible, les utilisateurs peuvent la cocher ou la décocher et remplacer sa valeur par défaut. Lorsque la case est masquée, les utilisateurs ne peuvent pas remplacer sa valeur par défaut dans la boîte de dialogue de connexion d'Horizon Client.

Vous pouvez spécifier la valeur par défaut de la case Log in as current user (Se connecter en tant qu'utilisateur actuel) en utilisant le paramètre de règle Default value of the 'Log in as current user' checkbox.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser_Display.

Enable jump list integration

(Paramètre de Configuration d'ordinateur)

Détermine si une liste de raccourcis doit s'afficher dans l'icône Horizon Client sur la barre des tâches des systèmes Windows 7 ou versions ultérieures. La liste de raccourcis permet aux utilisateurs de se connecter à des instances du Serveur de connexion et des postes de travail récents.

Si Horizon Client est partagé, vous pouvez ne pas souhaiter que les utilisateurs voient les noms des postes de travail récemment utilisés. Vous pouvez désactiver la liste de raccourcis en désactivant ce paramètre.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est EnableJumplist.

Enable SSL encrypted framework channel

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Détermine si SSL doit être activé pour les postes de travail View 5.0 et versions antérieures. Avant View 5.0, les données envoyées au poste de travail via le port TCP 32111 n'étaient pas chiffrées.
  • Activer : active SSL, mais autorise le retour à la connexion non chiffrée précédente si le poste de travail distant ne prend pas en charge SSL. Par exemple, les postes de travail View 5.0 et versions antérieures ne prennent pas en charge SSL. Activer est le paramètre par défaut.
  • Désactiver : désactive SSL. Ce paramètre n'est pas recommandé, mais peut toutefois être utile pour le débogage ou si le canal n'est pas configuré en tunnel et peut par la suite faire l'objet d'une optimisation par un produit accélérateur WAN.
  • Appliquer : active SSL et refuse les connexions aux postes de travail qui ne prennent pas en charge SSL.

La valeur de Registre Windows équivalente est EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

(Paramètre de Configuration d'utilisateur et d'ordinateur)

Configure la liste de chiffrements afin de limiter l'utilisation de certains protocoles et algorithmes de chiffrement avant l'établissement d'une connexion SSL chiffrée. La liste de chiffrements est composée d'une ou de plusieurs chaînes de chiffrement séparées par deux points.
Note : La chaîne de chiffrement est sensible à la casse.

La chaîne de chiffrement par défaut est TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

Cela signifie que TLS v1, TLS v1.1 et TLS v1.2 sont activés. (SSL v2.0 et v3.0 sont supprimés.)

Les suites de chiffrement utilisent la spécification AES 128 ou 256 bits, suppriment les algorithmes DH anonymes, puis trient la liste de chiffrements actuels par longueur de clé de chiffrement.

Lien de référence pour la configuration : http://www.openssl.org/docs/apps/ciphers.html .

La valeur de Registre Windows équivalente est SSLCipherList.

Enable Single Sign-On for smart card authentication

(Paramètre de Configuration d'ordinateur)

Détermine si l'authentification unique est activée pour l'authentification par carte à puce. Lorsque l'authentification unique est activée, Horizon Client stocke le code PIN de carte à puce chiffré dans la mémoire temporaire avant de l'envoyer au Serveur de connexion. Lorsque l'authentification unique (Single Sign-On) est désactivée, Horizon Client n'affiche pas de boîte de dialogue de code PIN personnalisée.

La valeur de Registre Windows équivalente est EnableSmartCardSSO.

Ignore bad SSL certificate date received from the server

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées aux dates des certificats de serveur non valides doivent être ignorées. Ces erreurs se produisent quand un serveur envoie un certificat avec une date passée.

La valeur de Registre Windows équivalente est IgnoreCertDateInvalid.

Ignore certificate revocation problems

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées à un certificat de serveur révoqué doivent être ignorées. Ces erreurs se produisent lorsque le serveur envoie un certificat qui a été révoqué et lorsque le client ne peut pas vérifier l'état de révocation d'un certificat.

Ce paramètre est désactivé par défaut.

La valeur de Registre Windows équivalente est IgnoreRevocation.

Ignore incorrect SSL certificate common name (host name field)

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées aux noms communs de certificats de serveur incorrects doivent être ignorées. Ces erreurs se produisent quand le nom commun sur le certificat ne correspond pas au nom d'hôte du serveur qui l'envoie.

La valeur de Registre Windows équivalente est IgnoreCertCnInvalid.

Ignore incorrect usage problems

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées à une utilisation incorrecte d'un certificat de serveur doivent être ignorées. Ces erreurs se produisent lorsque le serveur envoie un certificat ayant un autre but que vérifier l'identité de l'expéditeur et crypter les communications du serveur.

La valeur de Registre Windows équivalente est IgnoreWrongUsage.

Ignore unknown certificate authority problems

(Paramètre de Configuration d'ordinateur)

(View 4.6 et versions antérieures uniquement) Détermine si les erreurs associées à une autorité de certification inconnue sur le certificat du serveur doivent être ignorées. Ces erreurs se produisent lorsque le serveur envoie un certificat signé par une autorité tierce non approuvée.

La valeur de Registre Windows équivalente est IgnoreUnknownCa.