安全性相關的設定提供於 Horizon Client 之 ADMX 範本檔的「安全性」區段和「指令碼定義」區段中。ADMX 範本檔名為 vdm_client.admx。除非另有說明,否則這些設定僅包含「電腦設定」設定。如果有提供「使用者設定」設定,且您為此設定定義一個值,則該值會複寫相等的「電腦設定」設定。

下表說明 ADMX 範本檔之「安全性」區段的設定。

表格 1. Horizon Client 組態範本:安全性設定

設定

說明

Allow command line credentials

(電腦組態設定)

決定是否可以透過 Horizon Client 命令列選項提供使用者認證。如果已停用此設定,則使用者從命令列執行 Horizon Client 時就無法使用 smartCardPINpassword 選項。

此設定依預設為啟用。

對等的 Windows 登錄值為 AllowCmdLineCredentials

Servers Trusted For Delegation

(電腦組態設定)

指定使用者選取以目前使用者身分登入核取方塊時,接受使用者識別碼和認證資訊的連線伺服器執行個體。如果您未指定任何連線伺服器執行個體,則所有連線伺服器執行個體都可以接受這項資訊。

若要新增連線伺服器執行個體,請使用下列其中一種格式:

  • domain\system$

  • system$@domain.com

  • 連線伺服器服務的服務主體名稱 (SPN)。

對等的 Windows 登錄值為 BrokersTrustedForDelegation

Certificate verification mode

(電腦組態設定)

設定 Horizon Client 執行的憑證檢查層級。您可以選取下列其中一種模式:

  • No Security。沒有憑證檢查。

  • Warn But Allow。如果連線伺服器主機出示自我簽署憑證,則會出現警告,但使用者仍可繼續連線到連線伺服器。憑證名稱不需要符合使用者在 Horizon Client 中提供的連線伺服器名稱。如果發生其他任何憑證錯誤情況,將會顯示錯誤對話方塊,並且阻止使用者連線到連線伺服器。Warn But Allow是預設值。

  • Full Security。如果發生任何類型的憑證錯誤,使用者就無法連線到連線伺服器。使用者會看見憑證錯誤。

設定此群組原則設定時,使用者可以檢視 Horizon Client 中選取的憑證驗證模式,但是無法進行設定。SSL 組態對話方塊會通知使用者,管理員已鎖定這項設定。

若未設定或已停用此設定,Horizon Client 使用者就可以選取憑證驗證模式。

如果您不想將憑證驗證設定設為群組原則,您也可以藉由修改 Windows 登錄設定來啟用憑證驗證。

Default value of the 'Log in as current user' checkbox

(電腦和使用者組態設定)

指定 Horizon Client 連線對話方塊上以目前使用者身分登入核取方塊的預設值。

此設定會覆寫 Horizon Client 安裝期間指定的預設值。

如果使用者從命令列執行 Horizon Client 並指定 logInAsCurrentUser 選項,則該值會覆寫此設定。

選取以目前使用者身分登入核取方塊時,使用者登入用戶端系統時提供的身分和認證資訊都會傳遞至連線伺服器執行個體,且最終傳遞至遠端桌面平台。取消選取此核取方塊時,使用者必須多次提供身分和認證資訊,才能存取遠端桌面平台。

此設定依預設為停用。

對等的 Windows 登錄值為 LogInAsCurrentUser

Display option to Log in as current user

(電腦和使用者組態設定)

決定是否可以在 Horizon Client 連線對話方塊上看到以目前使用者身分登入核取方塊。

如果可以看到,使用者就可以選取或取消選取該核取方塊,並且覆寫其預設值。如果隱藏,使用者就無法在 Horizon Client 連線對話方塊中覆寫該核取方塊的預設值。

您可以使用原則設定Default value of the 'Log in as current user' checkbox指定以目前使用者身分登入核取方塊的預設值。

此設定依預設為啟用。

對等的 Windows 登錄值為 LogInAsCurrentUser_Display

Enable jump list integration

(電腦組態設定)

決定跳躍清單是否會出現在 Windows 7 及更新版本系統工作列上的 Horizon Client 圖示中。跳躍清單可讓使用者連線至最近的連線伺服器執行個體和遠端桌面平台。

如果 Horizon Client 為共用狀態,您可能不希望使用者看到最近的桌面平台名稱。您可以停用此設定以停用跳躍清單。

此設定依預設為啟用。

對等的 Windows 登錄值為 EnableJumplist

Enable SSL encrypted framework channel

(電腦和使用者組態設定)

決定是否啟用 View 5.0 和舊版桌面平台的 SSL。在 View 5.0 之前,資料透過連接埠 TCP 32111 傳送到未加密的桌面平台。

  • 啟用:啟用 SSL,但如果遠端桌面平台沒有 SSL 支援,則允許退回之前的未加密連線。例如,View 5.0 和舊版桌面平台沒有 SSL 支援。啟用是預設設定。

  • 停用:停用 SSL。不建議使用此設定,但如果不存在通道,且之後可能由 WAN 加速器產品進行最佳化,則此設定可能有用。

  • 強制執行:啟用 SSL,並拒絕連線到沒有 SSL 支援的桌面平台。

對等的 Windows 登錄值為 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms

(電腦和使用者組態設定)

設定加密清單,以限制在建立加密 SSL 連線之前某些密碼編譯演算法和通訊協定的使用。加密清單由一個或多個以冒號分隔的加密字串組成。

備註︰

所有加密字串均區分大小寫。

  • Horizon Client 4.2 和更新版本的預設值為 !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

  • Horizon Client 4.0.1 和 4.1 的預設值為 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH

  • Horizon Client 4.0 的預設值為 TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH

  • Horizon Client 3.5 的預設值為 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH

  • Horizon Client 3.3 和 3.4 的預設值為 TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH

  • Horizon Client 3.2 及更早版本的值為 SSLv3:TLSv1:TLSv1.1:AES:!aNULL:@STRENGTH

這表示,在 Horizon Client 4.0.1 和 4.1 中,會啟用 TLSv1.0、TLSv1.1 和 TLSv1.2。(SSL v2.0 和 v3.0 已移除。)如果 TLSv1.0 不一定要與伺服器相容,您可以停用 TLSv1.0。在 Horizon Client 4.0 中,會啟用 TLS v1.1 和 TLS v1.2。(TLS v1.0 已停用。SSL v2.0 和 v3.0 已移除。)在 Horizon Client 3.5 中,會啟用 TLS v1.0、TLS v1.1 和 TLS v1.2。(停用 SSL v2.0 和 v3.0。)在 Horizon Client 3.3 及 3.4 中,會啟用 TLS v1.0 和 TLS v1.1。(停用 SSL v2.0、v3.0 和 TLS v1.2。)在 Horizon Client 3.2 及更早版本中,也會啟用 SSL v3.0。(停用 SSL v2.0 和 TLS v1.2。)

加密套件使用 128 或 256 位元 AES,移除匿名 DH 演算法,然後依加密演算法金鑰長度為目前加密清單排序。

組態的參考連結:http://www.openssl.org/docs/apps/ciphers.html

對等的 Windows 登錄值為 SSLCipherList

如果您不想將此設定設為群組原則,您也可以將 SSLCipherList 值名稱新增至用戶端電腦上的下列其中一個登錄機碼,以啟用此設定:

  • 針對 32 位元 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • 針對 64 位元 Windows:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\VMware,Inc.\VMware VDM\Client\Security

Enable Single Sign-On for smart card authentication

(電腦組態設定)

決定是否啟用智慧卡驗證的單一登入。啟用單一登入時,Horizon Client 會先將加密的智慧卡 PIN 儲存在暫存記憶體中,再提交至連線伺服器。停用單一登入時,Horizon Client 不會顯示自訂的 PIN 對話方塊。

對等的 Windows 登錄值為 EnableSmartCardSSO

Ignore bad SSL certificate date received from the server

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與無效的伺服器憑證日期相關的錯誤。這些錯誤會在伺服器傳送的憑證包含過去的日期時發生。

對等的 Windows 登錄值為 IgnoreCertDateInvalid

Ignore certificate revocation problems

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與已撤銷的伺服器憑證相關的錯誤。這些錯誤會在伺服器傳送的憑證已撤銷且用戶端無法驗證憑證的撤銷狀態時發生。

此設定依預設為停用。

對等的 Windows 登錄值為 IgnoreRevocation

Ignore incorrect SSL certificate common name (host name field)

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與不正確的伺服器憑證一般名稱相關的錯誤。這些錯誤會在憑證上的一般名稱與傳送該憑證的伺服器主機名稱不相符時發生。

對等的 Windows 登錄值為 IgnoreCertCnInvalid

Ignore incorrect usage problems

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與不正確使用伺服器憑證相關的錯誤。這些錯誤會在伺服器傳送的憑證用於驗證寄件者身分以及加密伺服器通訊以外的目的時發生。

對等的 Windows 登錄值為 IgnoreWrongUsage

Ignore unknown certificate authority problems

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與伺服器憑證上未知的憑證授權機構 (CA) 相關的錯誤。這些錯誤會在伺服器傳送的憑證是由未受信任的協力廠商 CA 簽署時發生。

對等的 Windows 登錄值為 IgnoreUnknownCa

下表說明 ADMX 範本檔之「指令碼定義」區段的設定。

表格 2. 指令碼定義區段中的安全性相關設定

設定

說明

Connect all USB devices to the desktop on launch

決定用戶端系統上的所有可用 USB 裝置是否在啟動桌面平台時連線至桌面平台。

此設定依預設為停用。

對等的 Windows 登錄值為 connectUSBOnStartup

Connect all USB devices to the desktop when they are plugged in

決定是否將外掛到用戶端系統的 USB 裝置連線至桌面平台。

此設定依預設為停用。

對等的 Windows 登錄值為 connectUSBOnInsert

Logon Password

指定 Horizon Client 登入時使用的密碼。Active Directory 會以純文字格式儲存密碼。

預設未定義此設定。

對等的 Windows 登錄值為 Password

如需這些設定及其安全性含意的詳細資訊,請參閱《使用 Windows 版 VMware Horizon Client》文件。