Les paramètres de sécurité incluent les stratégies de groupe pour les certificats, les informations d'identification et la fonctionnalité d'authentification unique.

Le tableau suivant décrit les paramètres de sécurité figurant dans le fichier de modèle ADMX de configuration d'Horizon Client. Ce tableau montre si les paramètres incluent à la fois les paramètres Configuration ordinateur et Configuration utilisateur, ou uniquement les paramètres Configuration ordinateur. Pour les paramètres de sécurité qui incluent les deux types de paramètres, le paramètre Configuration utilisateur remplace le paramètre Configuration ordinateur équivalent.

Les paramètres suivants s'affichent dans le dossier Configuration de VMware Horizon Client > Paramètres de sécurité dans l'Éditeur de gestion de stratégie de groupe.

Tableau 1. Modèle de configuration d'Horizon Client : paramètres de sécurité
Paramètre Ordinateur Utilisateur Description
Allow command line credentials X Détermine si les informations d'identification d'utilisateur peuvent être fournies avec des options de ligne de commande d'Horizon Client. Si ce paramètre est désactivé, les options smartCardPIN et password ne sont pas disponibles lorsque les utilisateurs exécutent Horizon Client à partir de la ligne de commande.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est AllowCmdLineCredentials.

Configures the SSL Proxy certificate checking behavior of the Horizon Client X Détermine s'il convient d'autoriser la vérification des certificats pour les connexions secondaires via un serveur proxy SSL pour les connexions Blast Secure Gateway et de tunnel sécurisé.

Lorsque ce paramètre n'est pas configuré (par défaut), les utilisateurs peuvent modifier manuellement le paramètre de proxy SSL dans Horizon Client.

Par défaut, Horizon Client bloque les connexions proxy SSL des connexions Blast Secure Gateway et de tunnel sécurisé.
Servers Trusted For Delegation X

Spécifie les instances du Serveur de connexion qui acceptent l'identité de l'utilisateur et les informations d'identification qui sont transmises lorsqu'un utilisateur sélectionne Se connecter en tant qu'utilisateur actuel dans le menu Options de la barre de menus Horizon Client. Si vous ne spécifiez pas d'instances du Serveur de connexion, toutes les instances du Serveur de connexion acceptent ces informations, sauf si le paramètre d'authentification Autoriser l'ouverture de session en tant qu'utilisateur actuel est désactivé pour l'instance du Serveur de connexion dans Horizon Console.

Pour ajouter une instance du Serveur de connexion, spécifiez le nom du service principal (SPN) du service Serveur de connexion.

La valeur de Registre Windows équivalente est BrokersTrustedForDelegation.

Certificate verification mode X Configure le niveau de vérification des certificats exécutée par Horizon Client. Vous pouvez sélectionner l'un de ces modes :
  • No Security. Aucune vérification des certificats n'est exécutée.
  • Warn But Allow. Si une vérification de certificat échoue car le serveur utilise un certificat auto-signé, les utilisateurs voient un avertissement, qu'ils peuvent ignorer. Pour les certificats autosignés, le nom du certificat ne doit pas nécessairement correspondre au nom du serveur que les utilisateurs ont entré dans Horizon Client.

    Si une autre condition d'erreur de certificat se produit, Horizon Client affiche une erreur et empêche les utilisateurs de se connecter au serveur.

    Warn But Allow est la valeur par défaut.

  • Full Security. Si une erreur de type de certificat se produit, les utilisateurs ne peuvent pas se connecter au serveur. Horizon Client affiche les erreurs de certificat à l'utilisateur.

Lorsque ce paramètre de stratégie de groupe est configuré, les utilisateurs peuvent voir le mode de vérification de certificat sélectionné dans Horizon Client, mais ils ne peuvent pas configurer le paramètre. La boîte de dialogue du mode de vérification des certificats informe les utilisateurs qu'un administrateur a verrouillé le paramètre.

Lorsque ce paramètre est désactivé, les utilisateurs d'Horizon Client peuvent sélectionner un mode de vérification des certificats. Ce paramètre est désactivé par défaut.

Pour autoriser un serveur à sélectionner les certificats fournis par Horizon Client, le client doit établir des connexions HTTPS avec l'hôte du Serveur de connexion ou du serveur de sécurité. La vérification des certificats n'est pas prise en charge si vous déchargez TLS vers un serveur intermédiaire qui établit des connexions HTTP avec l'hôte du Serveur de connexion ou du serveur de sécurité.

Si vous ne souhaitez pas configurer ce paramètre en tant que stratégie de groupe, vous pouvez également activer la vérification de certificat en ajoutant le nom de valeur CertCheckMode à l'une des clés de registre suivantes sur l'ordinateur client :

  • Pour Windows 32 bits : HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • Pour Windows 64 bits : HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

Utilisez les valeurs suivantes dans la clé de registre :

  • 0 implémente No Security.
  • 1 implémente Warn But Allow.
  • 2 implémente Full Security.

Si vous configurez le paramètre de stratégie de groupe et le paramètre CertCheckMode dans la clé de Registre Windows, le paramètre de stratégie de groupe est prioritaire sur la valeur de la clé de registre.

Note : Dans une future version d' Horizon Client, l'utilisation du registre Windows pour configurer ce paramètre ne peut pas être prise en charge et le paramètre de stratégie de groupe doit être utilisé.
Default value of the 'Log in as current user' checkbox X X

Spécifie la valeur par défaut de Se connecter en tant qu'utilisateur actuel dans le menu Options de la barre de menus Horizon Client.

Ce paramètre remplace la valeur par défaut spécifiée au cours de l'installation d'Horizon Client.

Si un utilisateur exécute Horizon Client à partir de la ligne de commande et spécifie l'option logInAsCurrentUser, cette valeur remplace ce paramètre.

Lorsque l'option Se connecter en tant qu'utilisateur actuel est sélectionnée dans le menu Options, l'identité et les informations d'identification que l'utilisateur a fournies lors de la connexion au système client sont transmises à l'instance du Serveur de connexion, puis à l'application publiée ou au poste de travail distant. Lorsque l'option Se connecter en tant qu'utilisateur actuel est désélectionnée, les utilisateurs doivent fournir leur identité et leurs informations d'identification plusieurs fois avant de pouvoir accéder à une application publiée ou un poste de travail distant.

Ce paramètre est désactivé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser.

Display option to Log in as current user X X

Détermine si Se connecter en tant qu'utilisateur actuel est visible dans le menu Options de la barre de menus Horizon Client.

Lorsque l'option Se connecter en tant qu'utilisateur actuel est visible, les utilisateurs peuvent sélectionner ou désélectionner cette option et remplacer sa valeur par défaut. Lorsque l'option Se connecter en tant qu'utilisateur actuel est masquée, les utilisateurs ne peuvent pas remplacer sa valeur par défaut dans le menu Options d'Horizon Client.

Vous pouvez spécifier la valeur par défaut de Se connecter en tant qu'utilisateur actuel en utilisant le paramètre de stratégie Default value of the 'Log in as current user' checkbox.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est LogInAsCurrentUser_Display.

Enable jump list integration

X Détermine si une liste de raccourcis doit s'afficher dans l'icône Horizon Client sur la barre des tâches des systèmes Windows 7 ou versions ultérieures. La liste de raccourcis permet aux utilisateurs de se connecter aux serveurs, postes de travail distants et applications publiées récents.

Si Horizon Client est partagé, vous pouvez souhaiter que les utilisateurs ne voient pas les noms des applications publiées et postes de travail récents. Vous pouvez désactiver la liste de raccourcis en désactivant ce paramètre.

Ce paramètre est activé par défaut.

La valeur de Registre Windows équivalente est EnableJumplist.

Enable SSL encrypted framework channel X X Détermine si TLS est activé pour les postes de travail distants View 5.0 et version antérieure. Avant View 5.0, les données envoyées au poste de travail distant via le port TCP 32111 n'étaient pas chiffrées.
  • Activer : active TLS, mais autorise le retour à la connexion non chiffrée précédente si le poste de travail distant ne prend pas en charge le protocole TLS. Par exemple, les postes de travail distants 5.0 et versions antérieures ne prennent pas en charge le protocole TLS. Activer est le paramètre par défaut.
  • Désactiver : désactive TLS. Ce peut être utile pour le débogage ou si le canal n'est pas configuré en tunnel et peut par la suite faire l'objet d'une optimisation par un produit d'accélération du réseau WAN.
  • Appliquer : active TLS et refuse de vous connecter à des postes de travail distants qui ne disposent pas de prise en charge du protocole TLS .

La valeur de Registre Windows équivalente est EnableTicketSSLAuth.

Configures SSL protocols and cryptographic algorithms X X Configure la liste de chiffrements afin de limiter l'utilisation de certains protocoles et algorithmes de chiffrement avant l'établissement d'une connexion TLS chiffrée. La liste de chiffrements est composée d'une ou de plusieurs chaînes de chiffrement séparées par deux points. La chaîne de chiffrement est sensible à la casse.

La valeur par défaut est TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

Cette chaîne de chiffrement signifie que TLS v1.1 et TLS v1.2 sont activés et que SSL v.2.0, SSL v3.0 et TLS v1.0 sont désactivés. SSL v2.0, SSL v3.0 et TLS v1.0 ne sont plus les protocoles approuvés et sont définitivement désactivés.

Les suites de chiffrement utilisent ECDHE, ECDH et RSA avec AES 128 bits ou 256 bits. Le mode GCM est préféré.

Pour plus d'informations, reportez-vous à http://www.openssl.org/docs/apps/ciphers.html.

La valeur de Registre Windows équivalente est SSLCipherList.

Enable Single Sign-On for smart card authentication X Détermine si l'authentification unique est activée pour l'authentification par carte à puce. Lorsque l'authentification unique est activée, Horizon Client stocke le code PIN de carte à puce chiffré dans la mémoire temporaire avant de l'envoyer au Serveur de connexion. Lorsque l'authentification unique est désactivée, Horizon Client n'affiche pas de boîte de dialogue de code PIN personnalisée.

La valeur de Registre Windows équivalente est EnableSmartCardSSO.

Ignore certificate revocation problems X X Détermine si les erreurs associées à un certificat de serveur révoqué sont ignorées.

Ces erreurs se produisent lorsque le certificat que le serveur envoie a été révoqué ou que le client ne peut pas vérifier l'état de révocation du certificat.

Ce paramètre est désactivé par défaut.

Unlock remote sessions when the client machine is unlocked X X Détermine si la fonctionnalité Déverrouillage récursif est activée. Cette fonctionnalité déverrouille toutes les sessions distantes après que la machine cliente a été déverrouillée. Cette fonctionnalité s'applique uniquement après qu'un utilisateur s'est connecté au serveur en tant qu'utilisateur actuel.

Ce paramètre est activé par défaut.

Les paramètres suivants s'affichent dans le dossier Configuration de VMware Horizon Client > Paramètres de sécurité > Paramètres NTLM dans l'Éditeur de gestion de stratégie de groupe.

Tableau 2. Modèle de configuration d'Horizon Client : Paramètres de sécurité, Paramètres d'authentification NTLM
Paramètre Ordinateur Utilisateur Description
Allow NTLM Authentication X Lorsque ce paramètre est activé, l'authentification NTLM est autorisée avec la fonctionnalité Se connecter en tant qu'utilisateur actuel. Lorsque ce paramètre est désactivé, l'authentification NTLM n'est utilisée pour aucun serveur.

Lorsque ce paramètre est activé, vous pouvez sélectionner Oui ou Aucun dans le menu déroulant Autoriser le recours de Kerberos à NTLM.

  • Si vous sélectionnez Oui, vous pouvez utiliser l'authentification NTLM chaque fois que le client ne parvient pas à récupérer un ticket Kerberos pour le serveur.
  • Si vous sélectionnez Aucun, l'authentification NTLM n'est autorisée que pour les serveurs répertoriés dans le paramètre de stratégie de groupe Toujours utiliser NTLM pour les serveurs.

Lorsque ce paramètre n'est pas configuré, l'authentification NTLM est autorisée pour les serveurs répertoriés dans le paramètre de stratégie de groupe Toujours utiliser NTLM pour les serveurs.

Pour utiliser l'authentification NTLM, le certificat SSL du serveur doit être valide et les stratégies Windows ne doivent pas limiter l'utilisation de NTLM.

Pour plus d'informations sur la configuration du recours de Kerberos à NTLM dans une instance du Serveur de connexion, reportez-vous à la section « Utilisation de la fonctionnalité Se connecter en tant qu'utilisateur actuel disponible avec une instance d'Horizon Client basée sur Windows » dans le document Administration de VMware Horizon Console.
Always use NTLM for servers X Lorsque ce paramètre est activé, l'option Se connecter en tant qu'utilisateur actuel utilise toujours l'authentification NTLM pour les serveurs répertoriés. Pour créer la liste de serveurs, cliquez sur Afficher et entrez le nom du serveur dans la colonne Valeur. Le format d'attribution de nom des serveurs est le nom de domaine complet (FQDN).