보안 설정에는 인증서, 로그인 자격 증명 및 Single Sign-On 기능에 대한 그룹 정책이 포함됩니다.

다음 표에서는 Horizon Client 구성 ADMX 템플릿 파일의 보안 설정에 대해 설명합니다. 이 표는 설정에 컴퓨터 구성 및 사용자 구성 설정이 모두 포함되는지 또는 컴퓨터 구성 설정만 포함되는지를 보여줍니다. 두 가지 유형의 설정을 모두를 포함하는 보안 설정의 경우, 사용자 구성 설정은 동등한 컴퓨터 구성 설정을 재정의합니다.

다음 설정은 그룹 정책 관리 편집기의 VMware Horizon Client 구성 > 보안 설정 폴더에 있습니다.

표 1. Horizon Client 구성 템플릿: 보안 설정
설정 컴퓨터 사용자 설명
Allow command line credentials X 사용자 자격 증명을 Horizon Client 명령줄 옵션으로 제공할 수 있는지 여부를 지정합니다. 이 설정이 사용되지 않도록 설정된 경우 사용자가 명령줄에서 Horizon Client를 실행할 때 smartCardPINpassword 옵션을 사용할 수 없습니다.

이 설정은 기본적으로 사용하도록 설정됩니다.

동등한 Windows 레지스트리 값은 AllowCmdLineCredentials입니다.

Configures the SSL Proxy certificate checking behavior of the Horizon Client X Blast 보안 게이트웨이 및 보안 터널 연결을 위해 SSL 프록시 서버를 통한 보조 연결에 대하여 인증서 검사를 허용할지 여부를 결정합니다.

이 설정이 구성되지 않은 경우(기본값) 사용자는 Horizon Client에서 SSL 프록시 설정을 수동으로 변경할 수 있습니다.

기본적으로 Horizon Client는 Blast 보안 게이트웨이 및 보안 터널 연결을 위한 SSL 프록시 연결을 차단합니다.

Servers Trusted For Delegation X

사용자가 Horizon Client 메뉴 표시줄의 옵션 메뉴에서 현재 사용자로 로그인을 선택할 때 전달되는 사용자 ID 및 자격 증명 정보를 수락하는 연결 서버 인스턴스를 지정합니다. 연결 서버 인스턴스를 지정하지 않으면 Horizon Console의 연결 서버 인스턴스에 대해 현재 사용자로 로그온 허용 인증 설정을 사용하지 않도록 설정하지 않는 이상 모든 연결 서버 인스턴스가 이 정보를 수락합니다.

연결 서버 인스턴스를 추가하려면 연결 서버 서비스의 SPN(서비스 주체 이름)을 지정합니다.

동등한 Windows 레지스트리 값은 BrokersTrustedForDelegation입니다.

Certificate verification mode X Horizon Client가 수행하는 인증서 검사 수준을 구성합니다. 다음 모드 중 하나를 선택할 수 있습니다.
  • No Security. 인증서 검사가 수행되지 않습니다.
  • Warn But Allow. 서버가 자체 서명된 인증서를 사용하기 때문에 인증서 검사가 실패할 경우 무시해도 되는 경고가, 표시됩니다. 자체 서명된 인증서의 경우 인증서 이름이 Horizon Client에서 사용자가 입력한 서버 이름과 일치하지 않아도 됩니다.

    다른 인증서 오류 조건이 발생하는 경우 Horizon Client에는 오류가 표시되지 않으며 사용자는 서버에 연결할 수 없습니다.

    Warn But Allow이 기본값입니다.

  • Full Security. 임의 유형의 인증서 오류가 발생할 경우 사용자는 서버에 연결할 수 없습니다. Horizon Client는 사용자에게 인증서 오류를 표시합니다.

이 그룹 정책 설정이 구성되면 사용자는 Horizon Client에서 선택한 인증서 확인 모드를 볼 수 있지만 설정을 구성할 수는 없습니다. 인증서 검사 모드 대화상자에는 관리자가 설정을 잠갔다는 사실을 사용자에게 알립니다.

이 설정이 사용되지 않도록 설정된 경우, Horizon Client 사용자는 인증서 검사 모드를 선택할 수 있습니다. 이 설정은 기본적으로 사용하지 않도록 설정됩니다.

서버가 Horizon Client에서 제공한 인증서를 선택하도록 허용하려면 클라이언트에서 연결 서버 또는 보안 서버 호스트에 HTTPS로 연결해야 합니다. 연결 서버 또는 보안 서버 호스트에 HTTP로 연결하는 중간 디바이스로 TLS 부하를 분산시킨 경우에는 인증서 검사가 지원되지 않습니다.

이 설정을 그룹 정책으로 구성하지 않으려면 CertCheckMode 값 이름을 클라이언트 컴퓨터의 다음 레지스트리 키 중 하나에 추가하여 인증서 확인을 사용하도록 설정할 수도 있습니다.

  • 32비트 Windows: HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • 64비트 Windows: HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

다음 값을 레지스트리 키에 사용하십시오.

  • 0은(는) No Security을(를) 구현합니다.
  • 1은(는) Warn But Allow을(를) 구현합니다.
  • 2Full Security을 구현합니다.

Windows 레지스트리 키에 그룹 정책 설정 및 CertCheckMode 설정 모두를 구성할 경우 그룹 정책 설정이 레지스트리 키 값보다 우선합니다.

참고: 향후 Horizon Client 릴리스에서 Windows 레지스트리를 사용하여 이 설정을 구성할 수 없으며, 그룹 정책 설정을 사용해야 합니다.
Default value of the 'Log in as current user' checkbox X X

Horizon Client 메뉴 표시줄의 옵션 메뉴에서 현재 사용자로 로그인의 기본값을 지정합니다.

이 설정은 Horizon Client 설치 시 지정한 기본값을 재정의합니다.

사용자가 Horizon Client를 명령줄에서 실행하고 logInAsCurrentUser 옵션을 지정하면 해당 값이 이 설정을 재정의합니다.

옵션 메뉴에서 현재 사용자로 로그인이 선택된 경우, 클라이언트 시스템에 로그인할 때 사용자가 제공한 ID 및 자격 증명 정보가 연결 서버 인스턴스로 전달되고 최종적으로 원격 데스크톱 또는 게시된 애플리케이션으로 전달됩니다. 현재 사용자로 로그인이 선택 취소되면 사용자는 원격 데스크톱 또는 게시된 애플리케이션에 액세스하기 위해 ID 및 자격 증명 정보를 여러 번 제공해야 합니다.

이 설정은 기본적으로 사용하지 않도록 설정됩니다.

동등한 Windows 레지스트리 값은 LogInAsCurrentUser입니다.

Display option to Log in as current user X X

Horizon Client 메뉴 표시줄의 옵션 메뉴에 현재 사용자로 로그인을 표시할지를 결정합니다.

현재 사용자로 로그인이 표시되면 사용자는 해당 옵션을 선택하거나 선택 취소하고 기본값을 재정의할 수 있습니다. 현재 사용자로 로그인이 숨겨지면 사용자는 Horizon Client 옵션 메뉴에서 기본값을 재정의할 수 없습니다.

Default value of the 'Log in as current user' checkbox 정책 설정을 사용하여 현재 사용자로 로그인의 기본값을 지정할 수 있습니다.

이 설정은 기본적으로 사용하도록 설정됩니다.

동등한 Windows 레지스트리 값은 LogInAsCurrentUser_Display입니다.

Enable jump list integration

X 이 설정은 Windows 7 이상 시스템의 작업 표시줄에 있는 Horizon Client 아이콘에 점프 목록이 나타나도록 할지 여부를 지정합니다. 점프 목록을 사용하면 최근 서버, 원격 데스크톱 및 게시된 애플리케이션에 연결할 수 있습니다.

Horizon Client를 공유하는 경우에는 최근 데스크톱과 게시된 애플리케이션의 이름을 사용자들이 보지 못하게 할 수 있습니다. 이 설정을 사용하지 않도록 설정하여 점프 목록을 사용하지 않도록 설정할 수 있습니다.

이 설정은 기본적으로 사용하도록 설정됩니다.

동등한 Windows 레지스트리 값은 EnableJumplist입니다.

Enable SSL encrypted framework channel X X View 5.0 및 이전 원격 데스크톱에 대한 TLS의 사용 여부를 결정합니다. View 5.0 이전의 경우 포트 TCP 32111을 통해 원격 데스크톱으로 전송되는 데이터는 암호화되지 않았습니다.
  • 사용: TLS를 사용하도록 설정합니다. 하지만 원격 데스크톱에서 TLS가 지원되지 않는 경우에는 이전의 암호화되지 않은 연결로 대체될 수 있습니다. 예를 들어 View 5.0 이하 원격 데스크톱의 경우 TLS를 지원하지 않습니다. 사용이 기본 설정입니다.
  • 사용 안 함: TLS를 사용하지 않도록 설정합니다. 이 설정은 디버깅 작업이나 터널링되지 않은 채널에 유용할 수 있으며 WAN 가속기 제품에 의해 최적화될 수 있습니다.
  • 적용: TLS를 사용하도록 설정하고 TLS를 지원하지 않는 원격 데스크톱에 대한 연결을 거부합니다.

동등한 Windows 레지스트리 값은 EnableTicketSSLAuth입니다.

Configures SSL protocols and cryptographic algorithms X X 암호화된 TLS 연결이 설정되기 전에 특정 암호화 알고리즘 및 프로토콜의 사용을 제한하는 암호 목록을 구성합니다. 암호 목록은 콜론으로 구분된 하나 이상의 암호 문자열로 구성됩니다. 암호 문자열은 대/소문자를 구분합니다.

기본값은 TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES입니다.

이 암호 문자열은 TLS v1.1 및 TLS v1.2가 사용되도록 설정되고 SSL v.2.0, SSL v3.0 및 TLS v1.0은 사용되지 않도록 설정됨을 의미합니다. SSL v2.0, SSL v3.0, TLS v1.0은 더 이상 승인된 프로토콜이 아니며 영구적으로 사용되지 않도록 설정됩니다.

암호 그룹은 128비트 또는 256비트 AES에서 ECDHE, ECDH 및 RSA를 사용합니다. GCM 모드가 기본 모드입니다.

자세한 내용은 http://www.openssl.org/docs/apps/ciphers.html을 참조하십시오.

동등한 Windows 레지스트리 값은 SSLCipherList입니다.

Enable Single Sign-On for smart card authentication X 스마트 카드 인증을 위해 단일 로그온이 사용되도록 설정할지 여부를 지정합니다. 단일 로그온을 사용하도록 설정하면 Horizon Client는 암호화된 스마트 카드 PIN을 임시 메모리에 저장한 후에 연결 서버에 제출합니다. 단일 로그온을 사용하지 않도록 설정하면 Horizon Client에 사용자 지정 PIN 대화상자가 표시되지 않습니다.

동등한 Windows 레지스트리 값은 EnableSmartCardSSO입니다.

Ignore certificate revocation problems X X 해지된 서버 인증서와 연결된 오류를 무시할지를 결정합니다.

이러한 오류는 서버가 전송하는 인증서가 해지되었거나 클라이언트가 인증서 해지 상태를 확인할 수 없을 때 발생합니다.

이 설정은 기본적으로 사용하지 않도록 설정됩니다.

Unlock remote sessions when the client machine is unlocked X X 재귀 잠금 해제 기능을 사용하도록 설정할지를 결정합니다. 재귀 잠금 해제 기능은 클라이언트 시스템이 잠금 해제된 후에 모든 원격 세션의 잠금을 해제합니다. 이 기능은 사용자가 현재 사용자로 로그인 기능을 사용하여 서버에 로그인한 후에만 적용됩니다.

이 설정은 기본적으로 사용하도록 설정됩니다.

다음 설정은 그룹 정책 관리 편집기의 VMware Horizon Client 구성 > 보안 설정 > NTLM 설정 폴더에 있습니다.

표 2. Horizon Client 구성 템플릿: 보안 설정, NTLM 인증 설정
설정 컴퓨터 사용자 설명
Allow NTLM Authentication X 이 설정을 사용하도록 지정하면 현재 사용자로 로그인 기능을 사용하는 NTLM 인증이 허용됩니다. 이 설정을 사용하지 않도록 설정하면 서버에 NTLM 인증이 사용되지 않습니다.

이 설정을 사용하도록 설정하면 Kerberos에서 NTLM으로 폴백 허용 드롭다운 메뉴에서 또는 아니요를 선택할 수 있습니다.

  • 를 선택하면 클라이언트가 서버에 대한 Kerberos 티켓을 검색할 수 없을 때마다 NTLM 인증을 사용할 수 있습니다.
  • 아니요를 선택하면 항상 NTLM 서버 사용 그룹 정책 설정에 나열된 서버에 대해서만 NTLM 인증이 허용됩니다.

이 설정이 구성되지 않은 경우 항상 NTLM 서버 사용 그룹 정책 설정에 나열된 서버에 대해 NTLM 인증이 허용됩니다.

NTLM 인증을 사용하려면 서버 SSL 인증서가 유효해야 하며 Windows 정책이 NTLM 사용을 제한하지 않아야 합니다.

연결 서버 인스턴스의 Kerberos에서 NTLM으로 폴백을 구성하는 방법에 대한 자세한 내용은 "VMware Horizon Console 관리" 문서의 "Windows 기반 Horizon Client에서 사용 가능한 현재 사용자로 로그인 기능 사용"을 참조하십시오.

Always use NTLM for servers X 이 설정을 사용하도록 설정하고 현재 사용자로 로그인 기능을 지정하면 항상 나열된 서버에 대해 NTLM 인증이 사용됩니다. 서버 목록을 생성하려면 표시를 클릭하고 열에 서버 이름을 입력합니다. 서버에 대한 이름 지정 형식은 FQDN(정규화된 도메인 이름)입니다.