Les paramètres de sécurité incluent des options concernant le certificat de sécurité, les informations d'identification de connexion et la fonctionnalité d'authentification unique.

Le tableau suivant décrit les paramètres de sécurité figurant dans le fichier de modèle ADMX de configuration d'Horizon Client. Ce tableau montre si les paramètres incluent à la fois les paramètres Configuration ordinateur et Configuration utilisateur, ou uniquement les paramètres Configuration ordinateur. Pour les paramètres de sécurité qui incluent les deux types, le paramètre User Configuration (Configuration utilisateur) remplace le paramètre Computer Configuration (Configuration ordinateur) équivalent. Ces paramètres se trouvent dans le dossier Configuration de VMware Horizon Client > Paramètres de sécurité de l'Éditeur de gestion de stratégie de groupe.

Tableau 1. Modèle de configuration d'Horizon Client : paramètres de sécurité

Paramètre

Ordinateur

Utilisateur

Description

Allow command line credentials

X

Détermine si les informations d'identification d'utilisateur peuvent être fournies avec des options de ligne de commande d'Horizon Client. Si ce paramètre est désactivé, les options smartCardPIN et password ne sont pas disponibles lorsque les utilisateurs exécutent Horizon Client à partir de la ligne de commande.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est AllowCmdLineCredentials.

Servers Trusted For Delegation

X

Spécifie les instances du Serveur de connexion qui acceptent l'identité de l'utilisateur et les informations d'identification qui sont transmises lorsqu'un utilisateur sélectionne Se connecter en tant qu'utilisateur actuel dans le menu Options de la barre de menus Horizon Client. Si vous ne spécifiez aucune instance de Serveur de connexion, toutes les instances de Serveur de connexion acceptent ces informations.

Pour ajouter une instance de Serveur de connexion, utilisez l'un des formats suivants :

  • domain\system$

  • system$@domain.com

  • Nom principal de service (SPN) du service Serveur de connexion.

La valeur de Registre Windows équivalente est BrokersTrustedForDelegation.

Certificate verification mode

X

Configure le niveau de la vérification de certificat exécutée par Horizon Client. Vous pouvez sélectionner l'un de ces modes :

  • No Security. Horizon n'effectue pas la vérification de certificat.

  • Warn But Allow. Un certificat auto-signé est fourni par Horizon. Dans ce cas, il est acceptable si son nom ne correspond pas à celui du Serveur de connexion fourni par l'utilisateur dans Horizon Client.

    Si une autre condition d'erreur de certificat se produit, Horizon affiche une boîte de dialogue d'erreur et empêche l'utilisateur de se connecter au Serveur de connexion.

    Warn But Allow est la valeur par défaut.

  • Full Security. Si une erreur de type de certificat se produit, l'utilisateur ne peut pas se connecter au Serveur de connexion. Horizon affiche des erreurs de certificat à l'utilisateur.

Lorsque ce paramètre de stratégie de groupe est configuré, les utilisateurs peuvent voir le mode de vérification de certificat sélectionné dans Horizon Client, mais ils ne peuvent pas configurer le paramètre. La boîte de dialogue de configuration SSL informe les utilisateurs que l'administrateur a verrouillé le paramètre.

Lorsque ce paramètre n'est pas configuré ou est désactivé, les utilisateurs d'Horizon Client peuvent sélectionner un mode de vérification de certificat.

Pour autoriser un serveur à vérifier les certificats fournis par Horizon Client, le client doit établir des connexions HTTPS avec l'hôte du Serveur de connexion ou du serveur de sécurité. La vérification des certificats n'est pas prise en charge si vous déchargez SSL vers un serveur intermédiaire qui établit des connexions HTTP avec l'hôte du Serveur de connexion ou du serveur de sécurité.

Si vous ne souhaitez pas configurer ce paramètre en tant que stratégie de groupe, vous pouvez également activer la vérification de certificat en ajoutant le nom de valeur CertCheckMode à l'une des clés de registre suivantes sur l'ordinateur client :

  • Pour Windows 32 bits : HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • Pour Windows 64 bits : HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Utilisez les valeurs suivantes dans la clé de registre :

  • 0 implémente No Security.

  • 1 implémente Warn But Allow.

  • 2 implémente Full Security.

Si vous configurez le paramètre de stratégie de groupe et le paramètre CertCheckMode dans la clé de Registre Windows, le paramètre de stratégie de groupe est prioritaire sur la valeur de la clé de registre.

Note:

Dans une version ultérieure, il se peut que la configuration de ce paramètre à l'aide du registre Windows ne soit plus prise en charge. Vous devez utiliser un paramètre GPO.

Default value of the 'Log in as current user' checkbox

X

X

Spécifie la valeur par défaut de Se connecter en tant qu'utilisateur actuel dans le menu Options de la barre de menus Horizon Client.

Ce paramètre remplace la valeur par défaut spécifiée au cours de l'installation d'Horizon Client.

Si un utilisateur exécute Horizon Client à partir de la ligne de commande et spécifie l'option logInAsCurrentUser, cette valeur remplace ce paramètre.

Lorsque l'option Se connecter en tant qu'utilisateur actuel est sélectionnée dans le menu Options, l'identité et les informations d'identification que l'utilisateur a fournies lors de la connexion au système client sont transmises à l'instance du Serveur de connexion, puis à l'application ou au poste de travail distant. Lorsque l'option Se connecter en tant qu'utilisateur actuel est désélectionnée, les utilisateurs doivent fournir leur identité et leurs informations d'identification plusieurs fois avant de pouvoir accéder à une application ou un poste de travail distant.

Ce paramètre est désactivé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser.

Display option to Log in as current user

X

X

Détermine si Se connecter en tant qu'utilisateur actuel est visible dans le menu Options de la barre de menus Horizon Client.

Lorsque l'option Se connecter en tant qu'utilisateur actuel est visible, les utilisateurs peuvent sélectionner ou désélectionner cette option et remplacer sa valeur par défaut. Lorsque l'option Se connecter en tant qu'utilisateur actuel est masquée, les utilisateurs ne peuvent pas remplacer sa valeur par défaut dans le menu Options d'Horizon Client.

Vous pouvez spécifier la valeur par défaut de Se connecter en tant qu'utilisateur actuel en utilisant le paramètre de stratégie Default value of the 'Log in as current user' checkbox.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser_Display.

Enable jump list integration

X

Détermine si une liste de raccourcis doit s'afficher dans l'icône Horizon Client sur la barre des tâches des systèmes Windows 7 ou versions ultérieures. La liste de raccourcis permet aux utilisateurs de se connecter à des instances du Serveur de connexion et des postes de travail récents.

Si Horizon Client est partagé, vous pouvez ne pas souhaiter que les utilisateurs voient les noms des postes de travail récemment utilisés. Vous pouvez désactiver la liste de raccourcis en désactivant ce paramètre.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est EnableJumplist.

Enable SSL encrypted framework channel

X

X

Détermine si SSL doit être activé pour les postes de travail View 5.0 et versions antérieures. Avant View 5.0, les données envoyées au poste de travail via le port TCP 32111 n'étaient pas chiffrées.

  • Activer : active SSL, mais autorise le retour à la connexion non chiffrée précédente si le poste de travail distant ne prend pas en charge SSL. Par exemple, les postes de travail View 5.0 et versions antérieures ne prennent pas en charge SSL. Activer est le paramètre par défaut.

  • Désactiver : désactive SSL. Ce paramètre n'est pas recommandé, mais peut toutefois être utile pour le débogage ou si le canal n'est pas configuré en tunnel et peut par la suite faire l'objet d'une optimisation par un produit accélérateur WAN.

  • Appliquer : active SSL et refuse les connexions aux postes de travail qui ne prennent pas en charge SSL.

La valeur de Registre Windows équivalente est EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms

X

X

Configure la liste de chiffrements afin de limiter l'utilisation de certains protocoles et algorithmes de chiffrement avant l'établissement d'une connexion SSL chiffrée. La liste de chiffrements est composée d'une ou de plusieurs chaînes de chiffrement séparées par deux points.

Note:

La chaîne de chiffrement est sensible à la casse.

La chaîne de chiffrement par défaut est TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES.

Cela signifie que TLS v1, TLS v1.1 et TLS v1.2 sont activés. (SSL v2.0 et v3.0 sont supprimés.)

Les suites de chiffrement utilisent la spécification AES 128 ou 256 bits, suppriment les algorithmes DH anonymes, puis trient la liste de chiffrements actuels par longueur de clé de chiffrement.

Lien de référence pour la configuration : http://www.openssl.org/docs/apps/ciphers.html .

La valeur de Registre Windows équivalente est SSLCipherList.

Enable Single Sign-On for smart card authentication

X

Détermine si l'authentification unique est activée pour l'authentification par carte à puce. Lorsque l'authentification unique est activée, Horizon Client stocke le code PIN de carte à puce chiffré dans la mémoire temporaire avant de l'envoyer au Serveur de connexion. Lorsque l'authentification unique (Single Sign-On) est désactivée, Horizon Client n'affiche pas de boîte de dialogue de code PIN personnalisée.

La valeur de Registre Windows équivalente est EnableSmartCardSSO.

Ignore certificate revocation problems

X

X

Détermine si les erreurs associées à un certificat de serveur révoqué sont ignorées.

Ces erreurs se produisent lorsque le certificat que le serveur envoie a été révoqué ou que le client ne peut pas vérifier l'état de révocation du certificat.

Ce paramètre est désactivé par défaut.

Unlock remote sessions when the client machine is unlocked

X

X

Détermine si la fonctionnalité Déverrouillage récursif est activée. Cette fonctionnalité déverrouille toutes les sessions distantes après que la machine cliente a été déverrouillée. Cette fonctionnalité s'applique uniquement après qu'un utilisateur s'est connecté au serveur en tant qu'utilisateur actuel.

Ce paramètre est activé par défaut.