安全性設定包括憑證、登入認證和單一登入功能的群組原則。

下表說明 Horizon Client 組態 ADMX 範本檔中的安全性設定。此表格說明設定是同時包含「電腦組態」和「使用者組態」設定,還是僅包含「電腦組態」設定。對於兩種設定的安全性設定而言,「使用者組態」設定會覆寫同等的「電腦組態」設定。

下列設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > 安全性設定資料夾中。

表 1. Horizon Client 組態範本:安全性設定
設定 電腦 使用者 說明
Allow command line credentials X 決定是否可以透過 Horizon Client 命令列選項提供使用者認證。如果已停用此設定,則使用者從命令列執行 Horizon Client 時就無法使用 smartCardPINpassword 選項。

此設定依預設為啟用。

對等的 Windows 登錄值為 AllowCmdLineCredentials

Configures the SSL Proxy certificate checking behavior of the Horizon Client X 針對 Blast 安全閘道和安全通道連線,決定是否允許針對透過 SSL Proxy 伺服器的次要連線進行憑證檢查。

未設定此設定時 (預設值),使用者可以在 Horizon Client 中手動變更 SSL Proxy 設定。

依預設,Horizon Client 會針對 Blast 安全閘道和安全通道連線封鎖 SSL Proxy 連線。

Servers Trusted For Delegation X

指定有哪些連線伺服器執行個體會接受使用者在 Horizon Client 功能表列的選項功能表中選取以目前使用者身分登入時所傳遞的使用者身分識別和認證資訊。如果未指定任何連線伺服器執行個體,則所有連線伺服器執行個體都會接受這項資訊,除非您在 Horizon Console 中為連線伺服器執行個體停用允許以目前使用者身分登入驗證設定。

若要新增連線伺服器執行個體,請指定連線伺服器服務的服務主體名稱 (SPN)。

對等的 Windows 登錄值為 BrokersTrustedForDelegation

Certificate verification mode X 設定 Horizon Client 執行的憑證檢查層級。您可以選取下列其中一種模式:
  • No Security。不會執行憑證檢查。
  • Warn But Allow。如果憑證檢查因伺服器使用自我簽署憑證而失敗,使用者將會看到警告,但可加以忽略。針對自我簽署憑證,憑證名稱不需要符合使用者在 Horizon Client 中輸入的伺服器名稱。

    如果發生任何其他憑證錯誤情況,則 Horizon Client 會顯示錯誤,並防止使用者連線至伺服器。

    Warn But Allow是預設值。

  • Full Security。如果發生任何類型的憑證錯誤,使用者就無法連線至伺服器。Horizon Client 會對使用者顯示憑證錯誤。

設定此群組原則設定時,使用者可以檢視 Horizon Client 中選取的憑證驗證模式,但是無法進行設定。[憑證檢查模式] 對話方塊會通知使用者管理員已鎖定此設定。

當此設定停用時,Horizon Client 使用者可以選取憑證檢查模式。此設定依預設為停用。

若要允許伺服器執行 Horizon Client 提供的憑證選取,用戶端必須建立對連線伺服器或安全伺服器主機的 HTTPS 連線。如果您將 TLS 卸載至與連線伺服器或安全伺服器主機建立 HTTP 連線的中繼裝置,則不支援憑證檢查。

如果您不想將此設定設為群組原則,您也可以將 CertCheckMode 值名稱新增至用戶端電腦上的下列其中一個登錄機碼,以啟用憑證驗證:

  • 針對 32 位元 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
  • 針對 64 位元 Windows:HKLM\SOFTWARE\Wow6432Node\VMware, Inc.\VMware VDM\Client\Security

在登錄機碼中使用下列各值:

  • 0 會實作 No Security
  • 1 會實作 Warn But Allow
  • 2 會實作 Full Security

如果您在 Windows 登錄機碼中同時設定了群組原則設定及 CertCheckMode 設定,則群組原則設定的優先順序會高於登錄機碼值。

備註: 在未來的 Horizon Client 版本中,可能不再支援使用 Windows 登錄來設定此設定,而必須使用群組原則設定。
Default value of the 'Log in as current user' checkbox X X

指定 Horizon Client 功能表列的選項功能表中以目前使用者身分登入的預設值。

此設定會覆寫 Horizon Client 安裝期間指定的預設值。

如果使用者從命令列執行 Horizon Client 並指定 logInAsCurrentUser 選項,則該值會覆寫此設定。

選項功能表中選取以目前使用者身分登入時,使用者登入用戶端系統時所提供的身分識別和認證資訊都會傳遞至連線伺服器執行個體,且最終會傳遞至遠端桌面平台或已發佈的應用程式。如果取消選取以目前使用者身分登入,則使用者必須多次提供身分識別和認證資訊,才能存取遠端桌面平台或已發佈的應用程式。

此設定依預設為停用。

對等的 Windows 登錄值為 LogInAsCurrentUser

Display option to Log in as current user X X

決定以目前使用者身分登入是否會顯示在 Horizon Client 功能表列的選項功能表中。

以目前使用者身分登入顯示時,使用者將可加以選取或取消選取,並覆寫其預設值。以目前使用者身分登入隱藏時,使用者將無法從 Horizon Client選項功能表覆寫其預設值。

您可以使用原則設定 Default value of the 'Log in as current user' checkbox,指定以目前使用者身分登入的預設值。

此設定依預設為啟用。

對等的 Windows 登錄值為 LogInAsCurrentUser_Display

Enable jump list integration

X 決定跳躍清單是否會出現在 Windows 7 及更新版本系統工作列上的 Horizon Client 圖示中。跳躍清單可讓使用者連線至最近的伺服器、遠端桌面平台和已發佈的應用程式。

如果 Horizon Client 為共用狀態,您可能不希望使用者看到最近的桌面平台和已發佈的應用程式名稱。您可以停用此設定以停用跳躍清單。

此設定依預設為啟用。

對等的 Windows 登錄值為 EnableJumplist

Enable SSL encrypted framework channel X X 決定是否為 View 5.0 及更早版本的遠端桌面平台啟用 TLS。在 Wiew 5.0 之前,透過連接埠 TCP 32111 傳送至遠端桌面平台的資料不會加密。
  • 啟用:啟用 TLS,但如果遠端桌面平台沒有 TLS 支援,則允許回復為之前的未加密連線。例如,View 5.0 和更早版本的桌面平台並沒有 TLS 支援。啟用是預設設定。
  • 停用:停用 TLS。如果通道不存在,且之後可能由 WAN 加速器產品進行最佳化,則此設定可能有用。
  • 強制執行:啟用 TLS,並拒絕連線至沒有 TLS 支援的遠端桌面平台。

對等的 Windows 登錄值為 EnableTicketSSLAuth

Configures SSL protocols and cryptographic algorithms X X 設定加密清單,以限制在建立加密 TLS 連線之前對某些密碼編譯演算法和通訊協定的使用。加密清單由一個或多個以冒號分隔的加密字串組成。加密字串須區分大小寫。

預設值為 TLSv1.1:TLSv1.2:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

此加密字串表示會啟用 TLS v1.1 和 TLS v1.2,並停用 SSL v.2.0、SSL v3.0 和 TLS v1.0。SSL v2.0、SSL v3.0 和 TLS v1.0 已不再是核准的通訊協定,且會永久停用。

加密套件會使用具有 128 位元或 256 位元 AES 的 ECDHE、ECDH 和 RSA。GCM 是慣用模式。

如需詳細資訊,請參閱 http://www.openssl.org/docs/apps/ciphers.html

對等的 Windows 登錄值為 SSLCipherList

Enable Single Sign-On for smart card authentication X 決定是否啟用智慧卡驗證的單一登入。啟用單一登入時,Horizon Client 會先將加密的智慧卡 PIN 儲存在暫存記憶體中,再提交至連線伺服器。停用單一登入時,Horizon Client 不會顯示自訂 PIN 碼對話方塊。

對等的 Windows 登錄值為 EnableSmartCardSSO

Ignore certificate revocation problems X X 決定是否忽略與已撤銷的伺服器憑證相關聯的錯誤。

當伺服器傳送的憑證已撤銷,或用戶端無法確認憑證的撤銷狀態時,即會發生這些錯誤。

此設定依預設為停用。

Unlock remote sessions when the client machine is unlocked X X 決定是否啟用「遞迴解除鎖定」功能。遞迴解除鎖定功能可在用戶端機器解除鎖定之後才解除鎖定所有遠端工作階段。在使用者利用「以目前使用者身分登入」功能登入伺服器後才會套用此功能。

此設定依預設為啟用。

下列設定會出現在群組原則管理編輯器的 VMware Horizon Client 組態 > 安全性設定 > NTLM 設定資料夾中。

表 2. Horizon Client 組態範本:安全性設定、NTLM 驗證設定
設定 電腦 使用者 說明
Allow NTLM Authentication X 啟用此設定時,以目前使用者身分登入功能會允許 NTLM 驗證。停用此設定時,則不會將 NTLM 驗證用於任何伺服器。

啟用此設定時,您可以從允許從 Kerberos 後援至 NTLM下拉式功能表中選取

  • 如果您選取,當用戶端無法擷取伺服器的 Kerberos 票證時,即可能使用 NTLM 驗證。
  • 如果您選取,則僅允許對一律使用 NTLM 伺服器群組原則設定中列出的伺服器執行 NTLM 驗證。

未進行此設定時,則允許對一律使用 NTLM 伺服器群組原則設定中列出的伺服器進行 NTLM 驗證。

若要使用 NTLM 驗證,伺服器 SSL 憑證必須是有效的,且 Windows 原則不得限制使用 NTLM。

如需如何在連線伺服器執行個體中設定從 Kerberos 後援至 NTLM 的相關資訊,請參閱《VMware Horizon Console 管理》文件中的〈使用隨 Windows 型 Horizon Client 提供的以目前使用者身分登入功能〉。

Always use NTLM for servers X 啟用此設定時,以目前使用者身分登入功能將一律對列出的伺服器使用 NTLM 驗證。若要建立伺服器清單,請按一下顯示,然後在資料行中輸入伺服器名稱。伺服器的命名格式為完整網域名稱 (FQDN)。