보안 관련 설정은 Horizon Client용 ADMX 템플릿 파일의 보안 섹션 및 스크립팅 정의 섹션에서 제공됩니다. ADMX 템플릿 파일의 이름은 vdm_client.admx입니다. 다른 설명이 없는 한, 설정에는 컴퓨터 구성 설정만 포함됩니다. 사용자 구성 설정을 사용할 수 있고 그 값을 정의할 경우, 동등한 컴퓨터 구성 설정이 무시됩니다.

다음 표에는 ADMX 템플릿 파일의 보안 섹션에 있는 설정에 대해 설명되어 있습니다.

표 1. Horizon Client 구성 템플릿: 보안 설정

설정

설명

Allow command line credentials

(컴퓨터 구성 설정)

사용자 자격 증명을 Horizon Client 명령줄 옵션으로 제공할 수 있는지 여부를 지정합니다. 이 설정이 사용되지 않도록 설정된 경우 사용자가 명령줄에서 Horizon Client를 실행할 때 smartCardPINpassword 옵션을 사용할 수 없습니다.

이 설정은 기본적으로 사용하도록 설정됩니다.

동등한 Windows 레지스트리 값은 AllowCmdLineCredentials입니다.

Servers Trusted For Delegation

(컴퓨터 구성 설정)

사용자가 현재 사용자로 로그인 확인란을 선택할 때 전달된 사용자 ID 및 자격 증명 정보를 허용하는 연결 서버 인스턴스를 지정합니다. 연결 서버 인스턴스를 지정하지 않을 경우, 모든 연결 서버 인스턴스는 이 정보를 허용합니다.

연결 서버 인스턴스를 추가하려면 다음 형식 중 하나를 사용하십시오.

  • domain\system$

  • system$@domain.com

  • 연결 서버 서비스의 서비스 사용자 이름(SPN).

동등한 Windows 레지스트리 값은 BrokersTrustedForDelegation입니다.

Certificate verification mode

(컴퓨터 구성 설정)

Horizon Client에서 수행되는 인증서 검사 수준을 구성합니다. 다음 모드 중 하나를 선택할 수 있습니다.

  • No Security. 인증서를 검사하지 않습니다.

  • Warn But Allow. 연결 서버 호스트가 자체 서명된 인증서를 제공하는 경우 경고가 나타나지만 사용자는 연결 서버에 계속 연결할 수 있습니다. 인증서 이름이 Horizon Client에서 사용자가 제공한 연결 서버 이름과 일치할 필요는 없습니다. 다른 인증서 오류 조건이 발생할 경우, 오류 대화상자가 표시되고 사용자가 연결 서버에 연결할 수 없게 됩니다. Warn But Allow이 기본값입니다.

  • Full Security. 임의 유형의 인증서 오류가 발생할 경우 사용자는 연결 서버에 연결할 수 없습니다. 인증서 오류가 표시됩니다.

이 그룹 정책 설정이 구성되면 사용자는 Horizon Client에서 선택한 인증서 확인 모드를 볼 수 있지만 설정을 구성할 수는 없습니다. SSL 구성 대화 상자는 사용자에게 관리자가 설정을 차단했다고 알립니다.

이 설정이 구성되지 않았거나 사용하지 않도록 설정된 경우, Horizon Client 사용자는 인증서 확인 모드를 선택할 수 있습니다.

인증서 확인 설정을 그룹 정책으로 구성하지 않으려면 Windows 레지스트리 설정을 수정하여 인증서 확인을 사용하도록 설정할 수도 있습니다.

Default value of the 'Log in as current user' checkbox

(컴퓨터 및 사용자 구성 설정)

Horizon Client 연결 대화 상자에서 현재 사용자로 로그인 확인란의 기본값을 지정합니다.

이 설정은 Horizon Client 설치 시 지정한 기본값을 재정의합니다.

사용자가 Horizon Client를 명령줄에서 실행하고 logInAsCurrentUser 옵션을 지정하면 해당 값이 이 설정을 재정의합니다.

현재 사용자로 로그인 확인란이 선택된 경우, 클라이언트 시스템에 로그인할 때 사용자가 제공한 ID 및 자격 증명 정보가 연결 서버 인스턴스에 전달되고 최종적으로 원격 데스크톱에 전달됩니다. 확인란 선택이 해제된 경우 사용자가 원격 데스크톱에 액세스하려면 ID 및 자격 증명 정보를 여러 번 제공해야 합니다.

이 설정은 기본적으로 사용하지 않도록 설정됩니다.

동등한 Windows 레지스트리 값은 LogInAsCurrentUser입니다.

Display option to Log in as current user

(컴퓨터 및 사용자 구성 설정)

이 설정은 현재 사용자로 로그인 확인란이 Horizon Client 연결 대화 상자에 나타나도록 할지 여부를 지정합니다.

확인란이 보일 경우, 사용자는 선택 또는 선택을 해제할 수 있고 해당 기본값을 재정의합니다. 이 확인란이 숨겨져 있으면 사용자가 Horizon Client 연결 대화 상자에서 이 기본값을 재정의할 수 없습니다.

Default value of the 'Log in as current user' checkbox 정책 설정을 사용하여 현재 사용자로 로그인 확인란의 기본값을 지정할 수 있습니다.

이 설정은 기본적으로 사용하도록 설정됩니다.

동등한 Windows 레지스트리 값은 LogInAsCurrentUser_Display입니다.

Enable jump list integration

(컴퓨터 구성 설정)

이 설정은 Windows 7 이상 시스템의 작업 표시줄에 있는 Horizon Client 아이콘에 점프 목록이 나타나도록 할지 여부를 지정합니다. 점프 목록을 사용하여 사용자는 최근 연결 서버 인스턴스 및 원격 데스크톱에 연결할 수 있습니다.

Horizon Client가 공유된 경우, 사용자가 최근 데스크톱의 이름을 보는 것을 원하지 않을 수 있습니다. 이 설정을 사용하지 않도록 설정하여 점프 목록을 사용하지 않도록 설정할 수 있습니다.

이 설정은 기본적으로 사용하도록 설정됩니다.

동등한 Windows 레지스트리 값은 EnableJumplist입니다.

Enable SSL encrypted framework channel

(컴퓨터 및 사용자 구성 설정)

View 5.0 이하 데스크톱에 SSL이 사용되도록 설정할지 여부를 결정합니다. View 5.0 이전의 경우 포트 TCP 32111을 통해 데스크톱으로 전송되는 데이터는 암호화되지 않았습니다.

  • 사용: SSL을 사용하도록 설정합니다. 하지만 원격 데스크톱에서 SSL이 지원되지 않는 경우에는 이전의 암호화되지 않은 연결로 대체될 수 있습니다. 예를 들어 View 5.0 이하 데스크톱의 경우 SSL이 지원되지 않습니다. 사용이 기본 설정입니다.

  • 사용 안 함: SSL을 사용하지 않도록 설정합니다. 이 설정은 권장되지 않지만 디버깅 작업이나 터널링되지 않은 채널에 유용할 수 있으며 WAN 가속기 제품에 의해 최적화될 수 있습니다.

  • 강제 적용: SSL을 사용하도록 설정하며, SSL을 지원하지 않는 데스크톱에 대한 연결은 거부됩니다.

동등한 Windows 레지스트리 값은 EnableTicketSSLAuth입니다.

Configures SSL protocols and cryptographic algorithms

(컴퓨터 및 사용자 구성 설정)

암호화된 SSL 연결이 설정되기 전에 특정 암호화 알고리즘 및 프로토콜의 사용을 제한하는 암호 목록을 구성합니다. 암호 목록은 콜론으로 구분된 하나 이상의 암호 문자열로 구성됩니다.

참고:

모든 암호 문자열은 대소문자를 구분합니다.

  • Horizon Client 4.2 이상의 기본값은 !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES입니다.

  • Horizon Client 4.0.1 및 4.1의 기본값은 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH입니다.

  • Horizon Client 4.0의 기본값은 TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH입니다.

  • Horizon Client 3.5의 기본값은 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH입니다.

  • Horizon Client 3.3 및 3.4의 기본값은 TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH입니다.

  • Horizon Client 3.2 이하에 대한 값은 SSLv3:TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH입니다.

Horizon Client 4.0.1 및 4.1에서는 TLSv1.0, TLSv1.1 및 TLSv1.2가 사용되도록 설정됩니다. (SSL v2.0 및 v3.0은 제거됩니다.) 서버와의 TLSv1.0 호환성이 필요하지 않는 경우 TLSv1.0을 사용하지 않도록 설정할 수 있습니다. Horizon Client 4.0에서는 TLS v1.1 및 TLS v1.2가 사용되도록 설정되어 있습니다. (TLS v1.0은 사용하지 않도록 설정되어 있고 SSL v2.0 및 v3.0은 제거되어 있음) Horizon Client 3.5에서는 TLS v1.0, TLS v1.1 및 TLS v1.2가 사용되도록 설정되어 있습니다. (SSL v2.0 및 v3.0은 사용되지 않도록 설정되어 있습니다.) Horizon Client 3.3 및 3.4에서는 TLS v1.0 및 TLS v1.1이 사용되도록 설정되어 있습니다. (SSL v2.0 및 v3.0과 TLS v1.2는 사용하지 않도록 설정되어 있습니다.) Horizon Client 3.2 이하에서는 SSL v3.0도 사용하도록 설정되어 있습니다. SSL v2.0과 TLS v1.2는 사용되지 않도록 설정되어 있습니다.

암호 그룹은 128비트 또는 256비트 AES를 사용하며 익명 DH 알고리즘을 제거한 다음 암호화 알고리즘 키 길이 순서로 현재 암호 목록을 정렬합니다.

구성에 대한 참조 링크: http://www.openssl.org/docs/apps/ciphers.html

동등한 Windows 레지스트리 값은 SSLCipherList입니다.

이 설정을 그룹 정책으로 구성하지 않으려면 SSLCipherList 값 이름을 클라이언트 컴퓨터의 다음 레지스트리 키 중 하나에 추가하여 이를 사용하도록 설정할 수도 있습니다.

  • 32비트 Windows: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • 64비트 Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security

Enable Single Sign-On for smart card authentication

(컴퓨터 구성 설정)

스마트 카드 인증을 위해 단일 로그온이 사용되도록 설정할지 여부를 지정합니다. 단일 로그온을 사용하도록 설정하면 Horizon Client는 암호화된 스마트 카드 PIN을 임시 메모리에 저장한 후에 연결 서버에 제출합니다. 단일 로그온을 사용하지 않도록 설정하면 Horizon Client에 사용자 지정 PIN 대화 상자가 표시되지 않습니다.

동등한 Windows 레지스트리 값은 EnableSmartCardSSO입니다.

Ignore bad SSL certificate date received from the server

(컴퓨터 구성 설정)

(View 4.6 이하 릴리스만 해당) 잘못된 서버 인증서 날짜와 연결된 오류를 무시할지 여부를 지정합니다. 이러한 오류는 서버에서 경과된 날짜를 가진 인증서를 보낼 때 발생합니다.

동등한 Windows 레지스트리 값은 IgnoreCertDateInvalid입니다.

Ignore certificate revocation problems

(컴퓨터 구성 설정)

(View 4.6 이하 릴리스만 해당) 해지된 서버 인증서와 연결된 오류를 무시할지 여부를 지정합니다. 이러한 오류는 서버에서 해지된 인증서를 보낼 때와 클라이언트가 인증서의 해지 상태를 확인할 수 없을 때 발생합니다.

이 설정은 기본적으로 사용하지 않도록 설정됩니다.

동등한 Windows 레지스트리 값은 IgnoreRevocation입니다.

Ignore incorrect SSL certificate common name (host name field)

(컴퓨터 구성 설정)

(View 4.6 이하 릴리스만 해당) 잘못된 서버 인증서 일반 이름과 연결된 오류를 무시할지 여부를 지정합니다. 이러한 오류는 인증서의 일반 이름이 이름을 보내는 서버의 호스트 이름과 일치하지 않을 때 발생합니다.

동등한 Windows 레지스트리 값은 IgnoreCertCnInvalid입니다.

Ignore incorrect usage problems

(컴퓨터 구성 설정)

(View 4.6 이하 릴리스만 해당) 잘못된 서버 인증서 사용과 연결된 오류를 무시할지 여부를 지정합니다. 이러한 오류는 서버에서 전송자의 ID를 확인하고 서버 통신을 암호화하는 것과 다른 용도의 인증서를 보낼 때 발생합니다.

동등한 Windows 레지스트리 값은 IgnoreWrongUsage입니다.

Ignore unknown certificate authority problems

(컴퓨터 구성 설정)

(View 4.6 이하 릴리스만 해당) 서버의 알려지지 않은 인증 기관(CA)과 연결된 오류를 무시할지 여부를 지정합니다. 이러한 오류는 서버에서 신뢰되지 않은 타사 CA로 서명된 인증서를 보낼 때 발생합니다.

동등한 Windows 레지스트리 값은 IgnoreUnknownCa입니다.

다음 표에는 ADMX 템플릿 파일의 스크립팅 정의 섹션에 있는 설정에 대해 설명되어 있습니다.

표 2. 스크립팅 정의 섹션의 보안 관련 설정

설정

설명

Connect all USB devices to the desktop on launch

클라이언트 시스템에서 사용할 수 있는 모든 USB 디바이스를 데스크톱을 시작할 때 데스크톱에 연결할지 여부를 지정합니다.

이 설정은 기본적으로 사용하지 않도록 설정됩니다.

동등한 Windows 레지스트리 값은 connectUSBOnStartup입니다.

Connect all USB devices to the desktop when they are plugged in

클라이언트 시스템에 전원을 공급할 때 USB 디바이스를 데스크톱에 연결할지 여부를 지정합니다.

이 설정은 기본적으로 사용하지 않도록 설정됩니다.

동등한 Windows 레지스트리 값은 connectUSBOnInsert입니다.

Logon Password

로그인 중 Horizon Client에서 사용하는 암호를 지정합니다. 암호는 Active Director에 의해 일반 텍스트로 저장됩니다.

이 설정은 기본적으로 정의되어 있지 않습니다.

동등한 Windows 레지스트리 값은 Password입니다.

이러한 설정 및 보안 영향에 대한 자세한 내용은 Windows용 VMware Horizon Client 사용 문서를 참조하십시오.