安全性設定包含有關安全憑證、登入認證和單一登入功能的選項。

下表說明 Horizon Client 組態 ADMX 範本檔中的安全性設定。此表格說明設定是同時包含「電腦組態」和「使用者組態」設定,還是僅包含「電腦組態」設定。對於包含兩種類型的安全性設定,「使用者組態」設定會覆寫同等的「電腦組態」設定。這些設定位於群組原則管理編輯器的 VMware Horizon Client 組態 > 安全性設定資料夾中。

表格 1. Horizon Client組態範本:安全性設定

設定

電腦

使用者

說明

Allow command line credentials

X

決定是否可以透過Horizon Client命令列選項提供使用者認證。如果已停用此設定,則使用者從命令列執行 Horizon Client時就無法使用 smartCardPINpassword 選項。

此設定依預設為啟用。

對等的 Windows 登錄值為 AllowCmdLineCredentials

Servers Trusted For Delegation

X

指定有哪些連線伺服器執行個體會接受使用者在 Horizon Client 功能表列的選項功能表中選取以目前使用者身分登入時所傳遞的使用者身分識別和認證資訊。如果您未指定任何連線伺服器執行個體,則所有連線伺服器執行個體都可以接受這項資訊。

若要新增連線伺服器執行個體,請使用下列其中一種格式:

  • domain\system$

  • system$@domain.com

  • 連線伺服器服務的服務主體名稱 (SPN)。

對等的 Windows 登錄值為 BrokersTrustedForDelegation

Certificate verification mode

X

設定Horizon Client執行的憑證檢查層級。您可以選取下列其中一種模式:

  • No Security。Horizon 不會執行憑證檢查。

  • Warn But Allow。Horizon 會提供自我簽署憑證。在此情況下,可接受憑證名稱與 Horizon Client 中使用者所提供的連線伺服器名稱不相符。

    如果發生其他任何憑證錯誤情況,Horizon 會顯示錯誤對話方塊,並且阻止使用者連線至連線伺服器。

    Warn But Allow是預設值。

  • Full Security。如果發生任何類型的憑證錯誤,使用者就無法連線到連線伺服器。Horizon 會對使用者顯示憑證錯誤。

設定此群組原則設定時,使用者可以檢視 Horizon Client 中選取的憑證驗證模式,但是無法進行設定。SSL 組態對話方塊會通知使用者,管理員已鎖定這項設定。

若未設定或已停用此設定,Horizon Client使用者就可以選取憑證驗證模式。

若要允許伺服器執行Horizon Client提供的憑證檢查,用戶端必須與連線伺服器或安全伺服器主機建立 HTTPS 連線。如果您將 SSL 卸載至與連線伺服器或安全伺服器主機建立 HTTP 連線的中繼裝置,則不支援憑證檢查。

如果您不想將此設定設為群組原則,您也可以將 CertCheckMode 值名稱新增至用戶端電腦上的下列其中一個登錄機碼,以啟用憑證驗證:

  • 針對 32 位元 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security

  • 針對 64 位元 Windows:HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

在登錄機碼中使用下列各值:

  • 0 會實作 No Security

  • 1 會實作 Warn But Allow

  • 2 會實作 Full Security

如果您在 Windows 登錄機碼中同時設定了群組原則設定及 CertCheckMode 設定,則群組原則設定的優先順序會高於登錄機碼值。

備註︰

在未來的版本中,可能不再支援使用 Windows 登錄進行此設定的作業。屆時必須使用 GPO 設定。

Default value of the 'Log in as current user' checkbox

X

X

指定 Horizon Client 功能表列的選項功能表中以目前使用者身分登入的預設值。

此設定會覆寫 Horizon Client安裝期間指定的預設值。

如果使用者從命令列執行 Horizon Client並指定 logInAsCurrentUser 選項,則該值會覆寫此設定。

選項功能表中選取以目前使用者身分登入時,使用者登入用戶端系統時所提供的身分識別和認證資訊都會傳遞至連線伺服器執行個體,且最終會傳遞至遠端桌面平台或應用程式。如果取消選取以目前使用者身分登入,則使用者必須多次提供身分識別和認證資訊,才能存取遠端桌面平台或應用程式。

此設定依預設為停用。

對等的 Windows 登錄值為 LogInAsCurrentUser

Display option to Log in as current user

X

X

決定以目前使用者身分登入是否會顯示在 Horizon Client 功能表列的選項功能表中。

以目前使用者身分登入顯示時,使用者將可加以選取或取消選取,並覆寫其預設值。以目前使用者身分登入隱藏時,使用者將無法從 Horizon Client選項功能表覆寫其預設值。

您可以使用原則設定 Default value of the 'Log in as current user' checkbox,指定以目前使用者身分登入的預設值。

此設定依預設為啟用。

對等的 Windows 登錄值為 LogInAsCurrentUser_Display

Enable jump list integration

X

決定跳躍清單是否會出現在 Windows 7 及更新版本系統工作列上的Horizon Client圖示中。跳躍清單可讓使用者連線至最近的連線伺服器執行個體和遠端桌面平台。

如果Horizon Client為共用狀態,您可能不希望使用者看到最近的桌面平台名稱。您可以停用此設定以停用跳躍清單。

此設定依預設為啟用。

對等的 Windows 登錄值為 EnableJumplist

Enable SSL encrypted framework channel

X

X

決定是否啟用View5.0 和舊版桌面平台的 SSL。在 View5.0 之前,資料透過連接埠 TCP 32111 傳送到未加密的桌面平台。

  • 啟用:啟用 SSL,但如果遠端桌面平台沒有 SSL 支援,則允許退回之前的未加密連線。例如,View5.0 和舊版桌面平台沒有 SSL 支援。啟用是預設設定。

  • 停用:停用 SSL。不建議使用此設定,但如果不存在通道,且之後可能由 WAN 加速器產品進行最佳化,則此設定可能有用。

  • 強制執行:啟用 SSL,並拒絕連線到沒有 SSL 支援的桌面平台。

對等的 Windows 登錄值為 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms

X

X

設定加密清單,以限制在建立加密 SSL 連線之前某些密碼編譯演算法和通訊協定的使用。加密清單由一個或多個以冒號分隔的加密字串組成。

備註︰

加密字串須區分大小寫。

預設值為 TLSv1:TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

這表示會啟用 TLS v1、TLS v1.1 和 TLS v1.2。(SSL v2.0 和 v3.0 已移除。)

加密套件使用 128 或 256 位元 AES,移除匿名 DH 演算法,然後依加密演算法金鑰長度為目前加密清單排序。

組態的參考連結:http://www.openssl.org/docs/apps/ciphers.html

對等的 Windows 登錄值為 SSLCipherList

Enable Single Sign-On for smart card authentication

X

決定是否啟用智慧卡驗證的單一登入。啟用單一登入時,Horizon Client會先將加密的智慧卡 PIN 儲存在暫存記憶體中,再提交至連線伺服器。停用單一登入時,Horizon Client不會顯示自訂的 PIN 對話方塊。

對等的 Windows 登錄值為 EnableSmartCardSSO

Ignore certificate revocation problems

X

X

決定是否忽略與已撤銷的伺服器憑證相關聯的錯誤。

當伺服器傳送的憑證已撤銷,或用戶端無法確認憑證的撤銷狀態時,即會發生這些錯誤。

此設定依預設為停用。

Unlock remote sessions when the client machine is unlocked

X

X

決定是否啟用「遞迴解除鎖定」功能。遞迴解除鎖定功能可在用戶端機器解除鎖定之後才解除鎖定所有遠端工作階段。在使用者利用「以目前使用者身分登入」功能登入伺服器後才會套用此功能。

此設定依預設為啟用。