참고: 이 항목의 버전은 Horizon 8 보안 버전 2111.2 및 2306 이상에 적용됩니다. 클라이언트 세션 및 연결에 대한 보안 관련 전역 설정은 설정 > 전역 설정 > 보안 설정 또는 Horizon Console의 설정 > 전역 설정 > 일반 설정에서 액세스할 수 있습니다.

표 1. 보안 관련 전역 설정
설정 설명
데이터 복구 암호 변경

이 암호는 암호화된 백업에서 Horizon LDAP 구성을 복원할 때 필요합니다.

VMware Horizon 8 환경에서는 다음을 수행합니다.
  • 연결 서버를 설치할 때 데이터 복구 암호를 입력하십시오. 설치 후에 콘솔에서 이 암호를 변경할 수 있습니다.
  • 연결 서버를 백업할 때 Horizon LDAP 구성이 암호화된 LDIF 데이터로 내보내집니다. vdmimport 유틸리티를 사용해 암호화된 백업을 복원하려면 데이터 복구 암호를 입력해야 합니다. 암호는 1 ~ 128자 사이여야 합니다. 조직의 모범 사례에 따라 보안 암호를 생성하십시오.
메시지 보안 모드

JMS 메시지가 VMware Horizon 8구성 요소 간에 전송될 때 사용되는 보안 메커니즘을 결정합니다.

  • 사용 안 함으로 설정된 경우, 메시지 보안 모드가 비활성화됩니다.
  • 사용으로 설정된 경우 JMS 메시지의 레거시 메시지 서명 및 확인이 수행됩니다. VMware Horizon 8 구성 요소는 서명되지 않은 메시지를 거부합니다. 이 모드는 TLS 및 일반 JMS 연결의 혼합을 지원합니다.
  • 향상으로 설정된 경우 모든 메시지를 암호화하기 위해 모든 JMS 연결에 대해 TLS가 사용됩니다. VMware Horizon 8 구성 요소가 메시지를 전송하고 메시지를 수신하는 대상인 JMS 항목을 제한하기 위해 액세스 제어도 활성화됩니다.
  • 혼합으로 설정된 경우 메시지 보안 모드가 활성화되지만 VMware Horizon 8 구성 요소에는 적용되지 않습니다.

신규 설치의 경우 기본 설정은 향상입니다. 이전 버전에서 업그레이드하는 경우 이전 버전에서 사용된 설정이 유지됩니다.

중요: VMware에서는 모든 연결 브로커 인스턴스 및 VMware Horizon 8 데스크톱을 이 릴리스로 업그레이드한 후 메시지 보안 모드를 향상으로 설정하는 것을 권장합니다. 향상 설정은 많은 중요한 보안 향상 기능과 MQ(메시지 대기열) 업데이트를 제공합니다.
향상된 보안 상태(읽기 전용)

메시지 보안 모드사용에서 향상으로 변경될 때 나타나는 읽기 전용 필드입니다. 단계적으로 변경되기 때문에 이 필드에는 단계에 따른 진행률이 표시됩니다.

  • Message Bus 다시 시작을 기다리는 중은 첫 번째 단계입니다. 이 상태는 포드의 모든 연결 서버 호스트에서 VMware Horizon Message Bus 구성 요소 서비스를 수동으로 다시 시작하거나 포드의 모든 연결 서버 인스턴스를 수동으로 다시 시작할 때까지 표시됩니다.
  • 향상 보류 중은 다음 상태입니다. 모든 Horizon Message Bus 구성 요소 서비스가 다시 시작된 후 시스템이 모든 데스크톱에 대한 메시지 보안 모드를 향상으로 변경하기 시작합니다.
  • 향상은 최종 상태로, 모든 구성 요소가 이제 향상 메시지 보안 모드를 사용하고 있음을 나타냅니다.
네트워크 중단 후 보안 터널 연결 재인증

Horizon Client가 보안 터널 연결을 사용하여 VMware Horizon 8 데스크톱과 애플리케이션에 연결하는 경우 네트워크 중단이 발생했을 때 사용자 자격 증명을 재인증해야 하는지 여부를 결정합니다.

이 설정은 보안을 강화합니다. 예를 들어, 도난당한 노트북이 다른 네트워크로 이동된 경우 네트워크 연결이 일시적으로 중단되었기 때문에 사용자가 VMware Horizon 8 데스크톱과 애플리케이션에 자동으로 액세스할 수 없습니다.

이 설정은 기본적으로 비활성화됩니다.

강제로 사용자 연결 끊기

사용자가 VMware Horizon 8에 로그인한 후 지정된 시간(분)이 경과하면 모든 데스크톱 및 애플리케이션의 연결을 끊습니다. 이때 데스크톱과 애플리케이션은 사용자가 언제 열었는지에 관계없이 모두 한꺼번에 연결이 끊어집니다.

기본값은 600분입니다.

애플리케이션을 지원하는 클라이언트의 경우

사용자가 키보드와 마우스 사용을 중지하면 해당 애플리케이션의 연결을 끊고 SSO 자격 증명 삭제

클라이언트 디바이스에서 키보드나 마우스 활동이 없을 때 애플리케이션 세션을 보호합니다. ...분 후로 설정한 경우 VMware Horizon 8에서는 지정된 시간(분) 동안 아무런 사용자 작업이 없으면 모든 애플리케이션의 연결을 끊고 SSO 자격 증명을 삭제합니다. 데스크톱 세션의 연결이 끊어집니다. 따라서 사용자는 연결이 끊어진 애플리케이션에 로그인하여 다시 연결하거나, 새로운 데스크톱 또는 애플리케이션을 실행해야 합니다.

안 함으로 설정하면 VMware Horizon 8에서는 사용자 작업이 없어도 애플리케이션 연결을 끊거나 SSO 자격 증명을 삭제하지 않습니다.

기본값은 안 함입니다.

SSO 자격 증명 삭제

로그인 후 고정된 시간에 SSO 자격 증명 삭제를 구성하려면 이 설정을 사용합니다. SSO 자격 증명이 삭제되면 새 데스크톱 또는 다른 RDS 팜의 새 애플리케이션 세션에 연결할 때 Windows 게스트 운영 체제에 인증하라는 메시지가 표시됩니다. 기존 데스크톱 및 애플리케이션 세션에 대한 연결은 열려 있는 상태로 유지됩니다.

...분 후로 설정한 경우 클라이언트 디바이스에서 사용자가 어떤 활동을 수행하더라도 VMware Horizon에 로그인한 후 지정된 시간(분)이 경과하면 SSO 자격 증명이 삭제됩니다. 기본값은 15분 후입니다.

안 함으로 설정할 경우 VMware Horizon는 사용자가 Horizon Client를 닫거나 강제로 사용자 연결 끊기 시간 초과에 도달할 때까지(둘 중에 빠른 쪽이 적용됨) SSO 자격 증명을 저장합니다.

다음 확인란 중 하나를 선택하거나 둘 다 선택합니다.
  • 내부 사용자 연결에 적용 - 개인 네트워크에 있는 클라이언트 디바이스의 연결에 대한 SSO 자격 증명이 삭제됩니다.
  • 외부 사용자 연결에 적용 - 비개인 네트워크에 있는 클라이언트 디바이스의 연결에 대한 SSO 자격 증명이 삭제됩니다.

기본적으로 [SSO 자격 증명 삭제]를 안 함으로 설정하면 두 확인란이 모두 선택 취소됩니다. [SSO 자격 증명 삭제]를 ...분 후로 설정하면 두 확인란이 모두 선택됩니다. 변경 내용을 저장하려면 하나 또는 두 확인란을 모두 선택해야 합니다.
View Administrator 세션 시간 초과 세션 시간이 초과될 때까지 유휴 콘솔 세션이 지속되는 시간을 결정합니다.
중요: 콘솔 세션 시간 초과(단위: 분)를 높게 설정하면 콘솔을 무단으로 사용할 위험이 커집니다. 따라서 유휴 세션이 오랫동안 지속되도록 허용할 경우 주의해야 합니다.

기본적으로 콘솔 세션 시간 초과는 30분입니다. 세션 시간 초과를 1 ~ 4,320분으로 설정할 수 있습니다.

인증서 인증 이 설정을 사용하여 인증서 인증 매핑 제어 옵션을 지정하여 Active Directory에 있는 사용자의 사용자 지정 대체 보안 ID 특성에 대한 인증서 인증 매핑을 변경합니다. 사용자 이름 및 이메일 주소를 기준으로 하는 매핑 유형은 취약한 것으로 간주되며 강력한 매핑 유형 중 하나로 업데이트해야 합니다. 자세한 내용은 인증서 기반 인증에 대한 인증서 매핑 구성을 참조하십시오.
CRL 프리페치 설정 인증서에 대한 CDP(CRL 배포 지점) URL을 연결 서버에서 직접 액세스할 수 없는 경우 이 설정을 사용하여 인증서에 대한 인증서 해지 검사를 수행합니다.
참고: 모든 Horizon Client와 콘솔을 VMware Horizon 8에 연결하려면 TLS가 필요합니다. VMware Horizon 8 배포 시 로드 밸런서나 기타 클라이언트 연결 중간 서버를 사용할 경우 TLS의 부하를 이러한 로드 밸런서나 서버로 분산한 후 개별 연결 브로커 인스턴스에서 비 TLS 연결을 구성할 수 있습니다. " Horizon 8 관리" 문서의 "TLS 연결 부하를 중간 서버로 분산"을 참조하십시오.