安全性設定包含有關安全憑證、登入認證和單一登入功能的選項。

下表說明 Horizon Client 組態 ADM 和 ADMX 範本檔中的安全性設定。此表格說明設定同時包含「電腦組態」和「使用者組態」設定,或是只包含「電腦組態」設定。對於包含兩種類型的安全性設定,「使用者組態」設定會覆寫同等的「電腦組態」設定。

表格 1. Horizon Client 組態範本:安全性設定

設定

說明

Allow command line credentials

(電腦組態設定)

決定是否可以透過 Horizon Client 命令列選項提供使用者認證。如果已停用此設定,則使用者從命令列執行 Horizon Client 時就無法使用 smartCardPINpassword 選項。

此設定依預設為啟用。

對等的 Windows 登錄值為 AllowCmdLineCredentials

Servers Trusted For Delegation

(電腦組態設定)

指定使用者選取以目前使用者身分登入核取方塊時,接受使用者識別碼和認證資訊的連線伺服器執行個體。如果您未指定任何連線伺服器執行個體,則所有連線伺服器執行個體都可以接受這項資訊。

若要新增連線伺服器執行個體,請使用下列其中一種格式:

  • domain\system$

  • system$@domain.com

  • 連線伺服器服務的服務主體名稱 (SPN)。

對等的 Windows 登錄值為 BrokersTrustedForDelegation

Certificate verification mode

(電腦組態設定)

設定 Horizon Client 執行的憑證檢查層級。您可以選取下列其中一種模式:

  • No Security。Horizon 不會執行憑證檢查。

  • Warn But Allow。Horizon 會提供自我簽署憑證。在此情況下,可接受憑證名稱與 Horizon Client 中使用者所提供的連線伺服器名稱不相符。

    如果發生其他任何憑證錯誤情況,Horizon 會顯示錯誤對話方塊,並且阻止使用者連線至連線伺服器。

    Warn But Allow是預設值。

  • Full Security。如果發生任何類型的憑證錯誤,使用者就無法連線到連線伺服器。Horizon 會對使用者顯示憑證錯誤。

設定此群組原則設定時,使用者可以檢視 Horizon Client 中選取的憑證驗證模式,但是無法進行設定。SSL 組態對話方塊會通知使用者,管理員已鎖定這項設定。

若未設定或已停用此設定,Horizon Client 使用者就可以選取憑證驗證模式。

若要允許伺服器執行 Horizon Client 提供的憑證檢查,用戶端必須與連線伺服器或安全伺服器主機建立 HTTPS 連線。如果您將 SSL 卸載至與連線伺服器或安全伺服器主機建立 HTTP 連線的中繼裝置,則不支援憑證檢查。

如果您不想將此設定設為群組原則,您也可以將 CertCheckMode 值名稱新增至用戶端電腦上的下列其中一個登錄機碼,以啟用憑證驗證:

  • 針對 32 位元 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • 針對 64 位元 Windows:HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

在登錄機碼中使用下列各值:

  • 0 會實作 No Security

  • 1 會實作 Warn But Allow

  • 2 會實作 Full Security

如果您在 Windows 登錄機碼中同時設定了群組原則設定及 CertCheckMode 設定,則群組原則設定的優先順序會高於登錄機碼值。

備註︰

在未來的版本中,可能不再支援使用 Windows 登錄進行此設定的作業。屆時必須使用 GPO 設定。

Default value of the 'Log in as current user' checkbox

(電腦和使用者組態設定)

指定 Horizon Client 連線對話方塊上以目前使用者身分登入核取方塊的預設值。

此設定會覆寫 Horizon Client 安裝期間指定的預設值。

如果使用者從命令列執行 Horizon Client 並指定 logInAsCurrentUser 選項,則該值會覆寫此設定。

選取以目前使用者身分登入核取方塊時,使用者登入用戶端系統時提供的身分和認證資訊都會傳遞至連線伺服器執行個體,且最終傳遞至遠端桌面平台。取消選取此核取方塊時,使用者必須多次提供身分和認證資訊,才能存取遠端桌面平台。

此設定依預設為停用。

對等的 Windows 登錄值為 LogInAsCurrentUser

Display option to Log in as current user

(電腦和使用者組態設定)

決定是否可以在 Horizon Client 連線對話方塊上看到以目前使用者身分登入核取方塊。

如果可以看到,使用者就可以選取或取消選取該核取方塊,並且覆寫其預設值。如果隱藏,使用者就無法在 Horizon Client 連線對話方塊中覆寫該核取方塊的預設值。

您可以使用原則設定Default value of the 'Log in as current user' checkbox指定以目前使用者身分登入核取方塊的預設值。

此設定依預設為啟用。

對等的 Windows 登錄值為 LogInAsCurrentUser_Display

Enable jump list integration

(電腦組態設定)

決定跳躍清單是否會出現在 Windows 7 及更新版本系統工作列上的 Horizon Client 圖示中。跳躍清單可讓使用者連線至最近的連線伺服器執行個體和遠端桌面平台。

如果 Horizon Client 為共用狀態,您可能不希望使用者看到最近的桌面平台名稱。您可以停用此設定以停用跳躍清單。

此設定依預設為啟用。

對等的 Windows 登錄值為 EnableJumplist

Enable SSL encrypted framework channel

(電腦和使用者組態設定)

決定是否啟用 View 5.0 和舊版桌面平台的 SSL。在 View 5.0 之前,資料透過連接埠 TCP 32111 傳送到未加密的桌面平台。

  • 啟用:啟用 SSL,但如果遠端桌面平台沒有 SSL 支援,則允許退回之前的未加密連線。例如,View 5.0 和舊版桌面平台沒有 SSL 支援。啟用是預設設定。

  • 停用:停用 SSL。不建議使用此設定,但如果不存在通道,且之後可能由 WAN 加速器產品進行最佳化,則此設定可能有用。

  • 強制執行:啟用 SSL,並拒絕連線到沒有 SSL 支援的桌面平台。

對等的 Windows 登錄值為 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms

(電腦和使用者組態設定)

設定加密清單,以限制在建立加密 SSL 連線之前某些密碼編譯演算法和通訊協定的使用。加密清單由一個或多個以冒號分隔的加密字串組成。

備註︰

加密字串須區分大小寫。

預設值為 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

這表示會啟用 TLS v1、TLS v1.1 和 TLS v1.2。(SSL v2.0 和 v3.0 已移除。)

加密套件使用 128 或 256 位元 AES,移除匿名 DH 演算法,然後依加密演算法金鑰長度為目前加密清單排序。

組態的參考連結:http://www.openssl.org/docs/apps/ciphers.html

對等的 Windows 登錄值為 SSLCipherList

Enable Single Sign-On for smart card authentication

(電腦組態設定)

決定是否啟用智慧卡驗證的單一登入。啟用單一登入時,Horizon Client 會先將加密的智慧卡 PIN 儲存在暫存記憶體中,再提交至連線伺服器。停用單一登入時,Horizon Client 不會顯示自訂的 PIN 對話方塊。

對等的 Windows 登錄值為 EnableSmartCardSSO

Ignore bad SSL certificate date received from the server

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與無效的伺服器憑證日期相關的錯誤。這些錯誤會在伺服器傳送的憑證包含過去的日期時發生。

對等的 Windows 登錄值為 IgnoreCertDateInvalid

Ignore certificate revocation problems

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與已撤銷的伺服器憑證相關的錯誤。這些錯誤會在伺服器傳送的憑證已撤銷且用戶端無法驗證憑證的撤銷狀態時發生。

此設定依預設為停用。

對等的 Windows 登錄值為 IgnoreRevocation

Ignore incorrect SSL certificate common name (host name field)

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與不正確的伺服器憑證一般名稱相關的錯誤。這些錯誤會在憑證上的一般名稱與傳送該憑證的伺服器主機名稱不相符時發生。

對等的 Windows 登錄值為 IgnoreCertCnInvalid

Ignore incorrect usage problems

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與不正確使用伺服器憑證相關的錯誤。這些錯誤會在伺服器傳送的憑證用於驗證寄件者身分以及加密伺服器通訊以外的目的時發生。

對等的 Windows 登錄值為 IgnoreWrongUsage

Ignore unknown certificate authority problems

(電腦組態設定)

(僅 View 4.6 及較舊版本) 決定是否忽略與伺服器憑證上未知的憑證授權機構 (CA) 相關的錯誤。這些錯誤會在伺服器傳送的憑證是由未受信任的協力廠商 CA 簽署時發生。

對等的 Windows 登錄值為 IgnoreUnknownCa