VMWARE Horizon 7.1 User Manual [fr]

Sécurité de View

VMware Horizon 7 7.1

Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle
édition. Pour rechercher des éditions plus récentes de ce
document, rendez-vous sur :

http://www.vmware.com/fr/support/pubs.

FR-002042-00

Sécurité de View

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

hp://www.vmware.com/fr/support/

Le site Web de VMware propose également les dernières mises à jour des produits.

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

docfeedback@vmware.com

Copyright © 2009–2017 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.

VMware, Inc.

3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com

2 VMware, Inc.

VMware, Inc.

100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr

Table des matières

Sécurité de View 5

Comptes, ressources et chiers journaux d' Horizon 7 7

1

Comptes Horizon 7 7
Ressources d' Horizon 7 8
Fichiers journaux d' Horizon 7 9

Paramètres de sécurité de View 11

2

Paramètres généraux liés à la sécurité dans View Administrator 12
Paramètres de serveur liés à la sécurité dans View Administrator 14
Paramètres liés à la sécurité dans View LDAP 15

Ports et services 17

3

Ports TCP et UDP de View 17
Services sur un hôte du Serveur de connexion View 21
Services sur un serveur de sécurité 22

Conguration des protocoles de sécurité et des suites de chirement sur une

4

instance de Serveur de connexion View ou sur un serveur de sécurité 23

Stratégies générales par défaut pour les protocoles de sécurité et les suites de chirement 24

Conguration des stratégies d'acceptation et de proposition générales 24
Congurer des stratégies d'acceptation sur des View Server individuels 25
Congurer des stratégies de proposition sur des postes de travail View 26
Protocoles et chirements anciens désactivés dans View 27

Conguration des protocoles de sécurité et des suites de chirement pour Blast

5

Secure Gateway 29

Congurer des protocoles de sécurité et des suites de chirement pour Blast Secure Gateway (BSG) 29

Déploiement de périphériques USB dans un environnement View sécurisé 31

6

Désactivation de la redirection USB pour tous les types de périphériques 31
Désactivation de la redirection USB pour des périphériques spéciques 33

Mesures de protection HTTP sur des serveurs de connexion et des serveurs de

7

sécurité 35

Normes EITF (Internet Engineering Task Force) 35
Autres mesures de protection 36

Index 39

VMware, Inc. 3

Sécurité de View

4 VMware, Inc.

Sécurité de View

Sécurité de View fournit une référence succincte sur les fonctionnalités de sécurité de VMware Horizon 7.

Comptes de connexion requis au système et à la base de données.

n

Options et paramètres de conguration qui ont des implications en matière de sécurité.

n

Ressources qui doivent être protégées, telles que des chiers et des mots de passe de conguration liés à

n

la sécurité, et contrôles d'accès recommandés pour un fonctionnement sécurisé.

Emplacement des chiers journaux et leur objectif.

n

Interfaces, ports et services externes qui doivent être ouverts ou activés pour le bon fonctionnement de

n

View.

Public cible

Ces informations sont destinées aux décideurs, aux architectes, aux administrateurs informatiques et aux
autres personnes qui doivent se familiariser avec les composants de sécurité de View.

VMware, Inc.

5

Sécurité de View

6 VMware, Inc.

Comptes, ressources et fichiers

journaux d' Horizon 7 1

Le fait de posséder des comptes diérents pour des composants spéciques permet de ne pas donner aux
utilisateurs un accès et des autorisations dont ils n'ont pas besoin. Connaître l'emplacement des chiers de
conguration et des chiers avec des données sensibles permet de congurer la sécurité pour divers
systèmes hôtes.

R À partir d'Horizon 7.0, View Agent est renommé Horizon Agent.

Ce chapitre aborde les rubriques suivantes :

« Comptes Horizon 7 », page 7

n

« Ressources d'Horizon 7 », page 8

n

« Fichiers journaux d'Horizon 7 », page 9

n

Comptes Horizon 7

Vous devez congurer des comptes système et des comptes de base de données pour administrer les
composants de Horizon 7.

Tableau 1‑1. Comptes système Horizon 7

Composant Horizon Comptes requis

Horizon Client Congurez des comptes d'utilisateurs dans Active Directory pour les utilisateurs qui ont accès à

des applications et à des postes de travail distants. Les comptes d'utilisateur doivent être des
membres du groupe Utilisateurs du Bureau à distance, mais les comptes ne requièrent pas de
privilèges d'administrateur Horizon.

vCenter Server Congurez dans Active Directory un compte d'utilisateur autorisé à eectuer dans vCenter

Server les opérations nécessaires à la prise en charge de Horizon 7.
Pour plus d'informations sur les privilèges requis, consultez le document Installation de View.

VMware, Inc. 7

Sécurité de View

Tableau 1‑1. Comptes système Horizon 7 (suite)

Composant Horizon Comptes requis

View Composer Créez un compte d'utilisateur dans Active Directory à utiliser avec View Composer. View

Serveur de connexion Lorsque vous installez Horizon 7, vous pouvez spécier un utilisateur de domaine spécique, le

Tableau 1‑2. Comptes de base de données Horizon

Composant Horizon Comptes requis

base de données View
Composer

Base de données des
événements utilisée
par le Serveur de
connexion Horizon

Composer a besoin de ce compte pour associer des postes de travail de clone lié à votre domaine
Active Directory.

Le compte d'utilisateur ne doit pas être un compte d'administration Horizon. Donnez au
compte les privilèges minimum qu'il requiert pour créer et supprimer des objets ordinateur
dans un conteneur Active Directory spécié. Par exemple, le compte ne requiert pas de
privilèges d'administrateur de domaine.

Pour plus d'informations sur les privilèges requis, consultez le document Installation de View.

groupe d'administrateurs local ou un groupe d'utilisateurs de domaine spécique en tant
qu'administrateurs Horizon. Nous vous recommandons de créer un groupe d'utilisateurs de
domaine dédié d'administrateurs Horizon. L'utilisateur par défaut est l'utilisateur de domaine
actuellement connecté.

Dans Horizon Administrator, vous pouvez utiliser  de View > Administrateurs
pour modier la liste des administrateurs Horizon.

Pour plus d'informations sur les privilèges requis, consultez le document Administration de View.

Une base de données SQL Server ou Oracle stocke des données View Composer. Vous créez un
compte d'administration pour la base de données que vous pouvez associer au compte
d'utilisateur View Composer.

Pour plus d'informations sur la conguration d'une base de données View Composer, consultez
le document Installation de View.

Une base de données SQL Server ou Oracle stocke des données d'événements Horizon. Vous
créez un compte d'administration pour la base de données qu'Horizon Administrator peut
utiliser an d'accéder aux données d'événements.

Pour plus d'informations sur la conguration d'une base de données View Composer, consultez
le document Installation de View.

Pour réduire le risque de vulnérabilités de sécurité, eectuez les actions suivantes :

Congurez les bases de données Horizon 7 sur des serveurs distincts des autres serveurs de base de

n

données que votre entreprise utilise.

Ne permeez pas à un compte d'utilisateur d'accéder à plusieurs bases de données.

n

Congurez des comptes séparés pour accéder aux bases de données View Composer et des

n

événements.

Ressources d' Horizon 7

Horizon 7 inclut plusieurs chiers de conguration et des ressources similaires qui doivent être protégés.

Tableau 1‑3. Ressources du Serveur de connexion Horizon et du serveur de sécurité

Resource
(Ressource) Emplacement Protection

Paramètres LDAP Non applicable. Les données LDAP sont protégées

Fichiers de
sauvegarde LDAP

%ProgramData%\VMWare\VDM\backups

automatiquement dans le cadre du
contrôle d'accès basé sur des rôles.

Protégé par un contrôle d'accès.

8 VMware, Inc.

Tableau 1‑3. Ressources du Serveur de connexion Horizon et du serveur de sécurité (suite)

Resource
(Ressource) Emplacement Protection

locked.properties

(chier de
conguration de

Secure Gateway)

absg.properties

(chier de
conguration de

Blast Secure
Gateway)

Fichiers journaux Reportez-vous à la section « Fichiers journaux

web.xml

(Fichier de

conguration

Tomcat)

install_directory\VMware\VMware
View\Server\sslgateway\conf

install_directory\VMware\VMware
View\Server\appblastgateway

d'Horizon 7 », page 9.

install_directory\VMware
View\Server\broker\web apps\ROOT\Web INF

Fichiers journaux d' Horizon 7

Chapitre 1 Comptes, ressources et fichiers journaux d' Horizon 7

Assurez-vous que ce chier est
protégé contre l'accès par des
utilisateurs qui ne sont pas des
administrateurs Horizon.

Assurez-vous que ce chier est
protégé contre l'accès par des
utilisateurs qui ne sont pas des
administrateurs Horizon.

Protégé par un contrôle d'accès.

Protégé par un contrôle d'accès.

Horizon 7 crée des chiers journaux qui enregistrent l'installation et le fonctionnement de ses composants.

R Les chiers journaux d'Horizon 7 sont destinés à être utilisés par le support VMware. VMware
vous recommande de congurer et d'utiliser la base de données des événements pour contrôler Horizon 7.
Pour plus d'informations, reportez-vous aux documents Installation de View et Intégration de View.

Tableau 1‑4. Fichiers journaux d'Horizon 7

Composant Horizon Chemin d'accès au fichier et autres informations

Tous les composants
(journaux d'installation)

Horizon Agent

Applications publiées Base de données des événements View congurée sur un serveur de base de données SQL

View Composer

%TEMP%\vminst.log_date_timestamp

%TEMP%\vmmsi.log_date_timestamp

<Drive Letter>:\ProgramData\VMware\VDM\logs
Pour accéder aux chiers journaux d'Horizon 7 stockés dans <Lettre de

lecteur>:\ProgramData\VMware\VDM\logs, vous devez ouvrir les journaux à partir d'un

programme disposant de privilèges administrateur élevés. Cliquez avec le bouton droit sur
le chier du programme et sélectionnez Exécuter en tant qu'administrateur.

Si un disque de données utilisateur (User Data Disk, UDD) est conguré, <Drive Leer peut
correspondre à l'UDD.

Les journaux de PCoIP portent les noms pcoip_agent*.log et pcoip_server*.log.

Server ou Oracle.
Journaux d'événements d'application Windows. Désactivé par défaut.

%system_drive%\Windows\Temp\vmware-viewcomposer-ga-new.log sur le poste de
travail de clone lié.

Le journal de View Composer contient des informations sur l'exécution des scripts
QuickPrep et Sysprep. Le journal enregistre l'heure de début et l'heure de n de l'exécution
du script, ainsi que tous les messages de sortie ou d'erreur.

VMware, Inc. 9

Sécurité de View

Tableau 1‑4. Fichiers journaux d'Horizon 7 (suite)

Composant Horizon Chemin d'accès au fichier et autres informations

Serveur de connexion ou
serveur de sécurité

Services Horizon Base de données des événements Horizon congurée sur un serveur de base de données SQL

<Drive Letter>:\ProgramData\VMware\VDM\logs.
Le répertoire des journaux est congurable dans les paramètres de conguration de journal

du chier de modèle d'administration ADMX (vdm_common.admx) ou ADM
(vdm_common.adm) pour la conguration commune de View.

R Dans Horizon 7 version 7.1, les chiers de modèle d'administration ADM sont
obsolètes et les chiers de modèle d'administration ADMX sont ajoutés.

Les journaux PCoIP Secure Gateway sont rédigés dans des chiers nommés
SecurityGateway_*.log dans le sous-répertoire PCoIP Secure Gateway.

Les journaux Blast Secure Gateway sont rédigés dans des chiers nommés absg*.log dans
le sous-répertoire Blast Secure Gateway.

Server ou Oracle.
Journaux d'événements de système Windows.

10 VMware, Inc.

Paramètres de sécurité de View 2

View inclut plusieurs paramètres que vous pouvez utiliser pour régler la sécurité de la conguration. Vous
pouvez accéder aux paramètres en utilisant View Administrator ou en utilisant l'utilitaire Éditeur ADSI, si
nécessaire.

R Pour plus d'informations sur les paramètres de sécurité pour Horizon Client et Horizon Agent,
consultez le document Sécurité d'Horizon Client et d'Horizon Agent.

Ce chapitre aborde les rubriques suivantes :

« Paramètres généraux liés à la sécurité dans View Administrator », page 12

n

« Paramètres de serveur liés à la sécurité dans View Administrator », page 14

n

« Paramètres liés à la sécurité dans View LDAP », page 15

n

VMware, Inc.

11

Sécurité de View

Paramètres généraux liés à la sécurité dans View Administrator

Les paramètres généraux relatifs à la sécurité des sessions et des connexions au client sont accessibles sous
 de View > Paramètres généraux dans View Administrator.

Tableau 2‑1. Paramètres généraux liés à la sécurité

Paramètre Description

 le mot de passe
de récupération de
données

Mode de sécurité des
messages

État de sécurité amélioré

(lecture seule)

 à nouveau les
connexions par tunnel
sécurisé après une
interruption de réseau

Le mot de passe est requis lorsque vous restaurez la conguration View LDAP à partir
d'une sauvegarde cryptée.

Lorsque vous installez Serveur de connexion View version 5.1 ou supérieure, vous
fournissez un mot de passe de récupération de données. Après l'installation, vous pouvez
modier ce mot de passe dans View Administrator.

Lorsque vous sauvegardez Serveur de connexion View, la conguration de View LDAP est
exportée sous forme de données LDIF cryptées. Pour restaurer la sauvegarde cryptée avec
l'utilitaire vdmimport, vous devez fournir le mot de passe de récupération de données. Le
mot de passe doit contenir entre 1 et 128 caractères. Suivez les meilleures pratiques de votre
entreprise concernant la génération de mots de passe sécurisés.

Détermine le mécanisme de sécurité utilisé lorsque des messages JMS sont transmis entre
composants View.

Si le paramètre est réglé sur Désactivé, le mode de sécurité des messages est désactivé.

n

S'il est déni sur Activé, la signature des messages hérités et la vérication des

n

messages JMS sont eectuées. Les composants View rejeent les messages non signés.
Ce mode prend en charge une combinaison de connexions SSL et JMS en texte brut.

S'il est déni sur Amélioré, SSL est utilisé pour toutes les connexions JMS, pour chirer

n

tous les messages. Le contrôle d'accès est également activé pour restreindre les
rubriques JMS avec lesquelles les composants View peuvent échanger des messages.

Si le paramètre est réglé sur Mélangé, le mode de sécurité des messages est activé, mais

n

pas appliqué pour les composants View qui précèdent View Manager 3.0.

Le paramètre par défaut est Amélioré pour les nouvelles installations. Si vous procédez à
une mise à niveau à partir d'une version précédente, le paramètre utilisé dans la version
précédente est conservé.

I VMware recommande vivement de régler le mode de sécurité des messages
sur Amélioré après la mise à niveau de toutes les instances du Serveur de connexion View,
des serveurs de sécurité et des postes de travail View vers cee version. Le réglage
Amélioré apporte de nombreuses améliorations importantes à la sécurité et des mises à
jour à la le d'aente des messages (MQ).

Champ en lecture seule qui s'ache lorsque Mode de sécurité des messages est modié de
Activé à Amélioré. Comme la modication est eectuée par phases, ce champ montre la
progression de l'opération :

En  du redémarrage du bus de message est la première phase. Cet état s'ache

n

jusqu'à ce que vous redémarriez manuellement toutes les instances du Serveur de
connexion de l'espace ou le service Composant du bus de message VMware Horizon
View sur tous les hôtes de Serveur de connexion de l'espace.

Amélioré en  est l'état suivant. Dès que tous les services Composant du bus de

n

messages View ont été redémarrés, le système commence à modier le mode de
sécurité des messages sur Amélioré pour tous les postes de travail et serveurs de
sécurité.

Amélioré est l'état nal, indiquant que tous les composants utilisent maintenant le

n

mode de sécurité des messages Amélioré.

Détermine si les informations d'identication nécessitent une nouvelle authentication
après une interruption réseau lorsque des clients Horizon Client se connectent à des postes
de travail et des applications View à l'aide d'un tunnel sécurisé.

Ce paramètre ore une sécurité améliorée. Par exemple, si un ordinateur portable qui a été
volé se connecte à un autre réseau, l'utilisateur ne peut pas accéder automatiquement aux
postes de travail et aux applications View, car la connexion réseau a été temporairement
interrompue.

Ce paramètre est désactivé par défaut.

12 VMware, Inc.

Tableau 2‑1. Paramètres généraux liés à la sécurité (suite)

Paramètre Description

Forcer la déconnexion des
utilisateurs

Pour les clients prenant en
charge les applications.

Si l'utilisateur cesse
d'utiliser le clavier et la
souris, déconnecter ses
applications et supprimer
les informations
 SSO

Autres clients.
Supprimer les

informations
 SSO

Activer IPSec pour le
couplage du serveur de
sécurité

Délai d'expiration de la
session de View
Administrator

Déconnecte tous les postes de travail et toutes les applications une fois le nombre de
minutes spécié écoulé depuis l'ouverture de la session utilisateur sur View. Tous les postes
de travail et toutes les applications seront déconnectés en même temps, quel que soit le
moment auquel l'utilisateur les a ouverts.

La valeur par défaut est de 600 minutes.

Protège les sessions d'application en l'absence d'activité de clavier ou de souris sur le
périphérique client. Si ce paramètre est déni sur Après ... minutes, View, View déconnecte
toutes les applications et ignore les informations d'identication SSO au terme du nombre
spécié de minutes sans activité de l'utilisateur. Les sessions de postes de travail sont
déconnectées. L'utilisateur doit ouvrir une nouvelle session pour se reconnecter aux
applications déconnectées ou lancer un nouveau poste de travail ou une nouvelle
application.

Si ce paramètre est déni sur Jamais, View ne déconnecte jamais les applications et n'ignore
jamais les informations d'identication SSO suite à l'inactivité de l'utilisateur.

La valeur par défaut est Jamais.

Ignore les informations d'identication SSO au bout d'un certain temps. Ce paramètres
concerne les clients qui ne prennent pas en charge l'accès à distance aux applications. Si ce
paramètre est déni sur Après ... minutes, l'utilisateur doit ouvrir une nouvelle session
pour se connecter à un poste de travail une fois que le nombre spécié de minutes s'est
écoulé depuis qu'il s'est connecté à View, quelle que soit son activité sur le périphérique
client.

La valeur par défaut est Après 15 minutes.

Détermine s'il est nécessaire d'utiliser IPSec (Internet Protocol Security) pour les connexions
entre des serveurs de sécurité et des instances de Serveur de connexion View. Ce paramètre
doit être désactivé avant d'installer un serveur de sécurité en mode FIPS ; sinon le couplage
échoue.

Par défaut, IPSec pour les connexions du serveur de sécurité est activé.

Détermine la durée pendant laquelle une session View Administrator inactive continue
avant d'expirer.

I Dénir le délai d'expiration de la session View Administrator sur un nombre
de minutes élevé augmente le risque d'utilisation non autorisée de View Administrator.
Soyez prudent lorsque vous autorisez une session inactive à durer longtemps.

Par défaut, le délai d'expiration de la session View Administrator est de 30 minutes. Vous
pouvez dénir un délai d'expiration de session compris entre 1 et 4 320 minutes.

Chapitre 2 Paramètres de sécurité de View

Pour plus d'informations sur ces paramètres et leurs implications en termes de sécurité, reportez-vous au
document Administration de View.

R SSL est requis pour toutes les connexions d'Horizon Client et de View Administrator à View. Si
votre déploiement de View utilise des équilibreurs de charge ou d'autres serveurs intermédiaires client,
vous pouvez décharger SSL sur eux et congurer des connexions non-SSL sur des instances de Serveur de
connexion View et des serveurs de sécurité individuels. Voir « Décharger des connexions SSL sur des
serveurs intermédiaires » dans le document Administration de View.

VMware, Inc. 13

Sécurité de View

Paramètres de serveur liés à la sécurité dans View Administrator

Les paramètres de serveur relatifs à la sécurité sont accessibles sous  de View > Serveurs dans
View Administrator.

Tableau 2‑2. Paramètres de serveur liés à la sécurité

Paramètre Description

Utiliser PCoIP Secure
Gateway pour les
connexions PCoIP à la
machine

Utiliser une connexion par
tunnel sécurisé à la
machine

Utiliser Blast Secure
Gateway pour les
connexions Blast à la
machine

Détermine si Horizon Client établit une autre connexion sécurisée au Serveur de
connexion View ou à l'hôte du serveur de sécurité lorsque les utilisateurs se connectent à
des postes de travail et des applications View avec le protocole d'achage PCoIP.

Si ce paramètre est désactivé, la session de poste de travail ou d'application est établie
directement entre le client et le poste de travail View ou l'hôte des services Bureau à
distance (Remote Desktop Services, RDS), contournant ainsi le Serveur de connexion View
ou l'hôte du serveur de sécurité.

Ce paramètre est désactivé par défaut.

Détermine si Horizon Client établit une autre connexion HTTPS au Serveur de connexion
View ou à l'hôte du serveur de sécurité lorsque l'utilisateur se connecte à un poste de
travail ou à une application de View.

Si ce paramètre est désactivé, la session de poste de travail ou d'application est établie
directement entre le client et le poste de travail View ou l'hôte des services Bureau à
distance (Remote Desktop Services, RDS), contournant ainsi le Serveur de connexion View
ou l'hôte du serveur de sécurité.

Ce paramètre est activé par défaut.

Détermine si les clients qui accèdent à des postes de travail à l'aide d'un navigateur Web
ou du protocole d'achage Blast Extreme utilisent Blast Secure Gateway pour établir un
tunnel sécurisé avec le Serveur de connexion View.

Si le paramètre n'est pas activé, les clients utilisant une session Blast Extreme et des
navigateurs Web établissent des connexions directes aux postes de travail View, en
contournant le Serveur de connexion View.

Ce paramètre est désactivé par défaut.

Pour plus d'informations sur ces paramètres et leurs implications en termes de sécurité, reportez-vous au
document Administration de View.

14 VMware, Inc.

Paramètres liés à la sécurité dans View LDAP

Les paramètres liés à la sécurité sont fournis dans View LDAP sous le chemin d'accès d'objet

cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int. Vous pouvez utiliser l'utilitaire Éditeur

ADSI pour modier la valeur de ces paramètres sur une instance du Serveur de connexion View. La
modication se propage automatiquement à toutes les autres instances du Serveur de connexion View dans

un groupe.

Tableau 2‑3. Paramètres liés à la sécurité dans View LDAP

Paire nom/valeur Description

cs­allowunencryptedstartsession

L'aribut est pae-NameValuePair.
Cet aribut contrôle si un canal sécurisé est requis entre une instance de Serveur de

connexion View et un poste de travail lorsqu'une session d'utilisateur distante est
démarrée.

Lorsque View Agent 5.1 ou version ultérieure, ou Horizon Agent 7.0 ou version
ultérieure, est installé sur un ordinateur de poste de travail, cet aribut n'a aucun eet
et un canal sécurisé est toujours requis. Lorsque View Agent antérieur à View 5.1 est
installé, un canal sécurisé ne peut pas être établi si l'ordinateur de poste de travail n'est
pas membre d'un domaine avec une approbation bidirectionnelle vers le domaine de
l'instance de Serveur de connexion View. Dans ce cas, l'aribut est important pour
déterminer si une session d'utilisateur distante peut être démarrée sans canal sécurisé.

Dans tous les cas, les informations d'identication d'utilisateur et les tickets
d'autorisation sont protégés par une clé statique. Un canal sécurisé fournit une garantie
supplémentaire de condentialité à l'aide de clés dynamiques.

Si elle est dénie sur 0, une session d'utilisateur distante ne démarre pas si un canal
sécurisé ne peut pas être établi. Ce paramètre est approprié si tous les postes de travail
se trouvent dans des domaines approuvés ou si View Agent 5.1 ou supérieur est
installé sur tous les postes de travail.

Si elle est dénie sur 1, une session d'utilisateur distante peut être démarrée même si un
canal sécurisé ne peut pas être établi. Ce paramètre est approprié si certains postes de
travail ont des View Agents anciens et s'ils se ne trouvent pas dans des domaines
approuvés.

Le paramètre par défaut est

Chapitre 2 Paramètres de sécurité de View

1.

VMware, Inc. 15

Sécurité de View

16 VMware, Inc.

Ports et services 3

Certains ports UDP et TCP doivent être ouverts pour que les composants View puissent communiquer entre
eux. Savoir quels services Windows sont exécutés sur chaque type de View Server permet d'identier les
services qui ne se trouvent pas sur le serveur.

Ce chapitre aborde les rubriques suivantes :

« Ports TCP et UDP de View », page 17

n

« Services sur un hôte du Serveur de connexion View », page 21

n

« Services sur un serveur de sécurité », page 22

n

Ports TCP et UDP de View

View utilise des ports TCP et UDP pour l'accès au réseau entre ses composants.

Lors de l'installation, View peut congurer facultativement des règles de pare-feu Windows pour ouvrir les
ports utilisés par défaut. Si vous modiez les ports par défaut après l'installation, vous devez recongurer
manuellement les règles de pare-feu Windows pour autoriser l'accès sur les ports mis à jour. Reportez-vous
à la section « Remplacement des ports par défaut pour les services View » dans le document Installation de
View.

Tableau 3‑1. Ports TCP et UDP utilisés par View

Protoc

Source Port Cible Port

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Serveur de
sécurité

Serveur de
sécurité

VMware, Inc. 17

55000 Horizon Agent 4172 UDP PCoIP (pas SALSA20) si PCoIP Secure Gateway est

4172 Horizon Client * UDP PCoIP (pas SALSA20) si PCoIP Secure Gateway est

500 Serveur de

connexion
View

* Serveur de

connexion
View

500 UDP Trac de négociation IPsec.

4001 TCP Trac JMS.

ole Description

utilisé.

utilisé.
R Comme le port cible varie, voir la note

sous ce tableau.

Sécurité de View

Tableau 3‑1. Ports TCP et UDP utilisés par View (suite)

Source Port Cible Port

Serveur de
sécurité

Serveur de
sécurité

Serveur de
sécurité

Serveur de
sécurité

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Serveur de
sécurité, Serveur
de connexion
View ou
dispositif
Access Point

Horizon Agent 4172 Horizon Client * UDP PCoIP, si PCoIP Secure Gateway n'est pas utilisé.

Protoc
ole Description

* Serveur de

4002 TCP Trac JMS SSL.
connexion
View

* Serveur de

8009 TCP Trac Web AJP13, si IPsec n'est pas utilisé.
connexion
View

* Serveur de

* ESP Trac Web AJP13, quand IPsec est utilisé sans NAT.
connexion
View

4500 Serveur de

connexion

4500 UDP Trac Web AJP13, quand IPsec est utilisé via un

périphérique NAT.

View

* Horizon Agent 3389 TCP Trac Microsoft RDP vers des postes de travail

View quand des connexions par tunnel sont
utilisées.

* Horizon Agent 9427 TCP Redirection Windows Media MMR et redirection de

lecteur client quand des connexions par tunnel sont
utilisées.

* Horizon Agent 32111 TCP Redirection USB et synchronisation de fuseau

horaire quand des connexions par tunnel sont
utilisées.

* Horizon Agent 4172 TCP PCoIP, si PCoIP Secure Gateway est utilisé.

* Horizon Agent 22443 TCP VMware Blast Extreme si Blast Secure Gateway est

utilisé.

* Horizon Agent 22443 TCP HTML Access si Blast Secure Gateway est utilisé.

R Comme le port cible varie, voir la note
sous ce tableau.

18 VMware, Inc.

Chapitre 3 Ports et services

Tableau 3‑1. Ports TCP et UDP utilisés par View (suite)

Protoc

Source Port Cible Port

Horizon Agent 4172 Serveur de

55000 UDP PCoIP (pas SALSA20) si PCoIP Secure Gateway est
connexion
View, serveur
de sécurité ou
dispositif
Access Point

Horizon Agent 4172 Dispositif

* UDP PCoIP. Des applications et des postes de travail
Access Point

Horizon Client * Serveur de

80 TCP SSL (accès HTTPS) est activé par défaut pour les
connexion
View ou
serveur de
sécurité ou
dispositif
Access Point

Horizon Client * Serveur de

443 TCP HTTPS pour la connexion à View. (Ce port est
connexion
View, serveur
de sécurité ou
dispositif
Access Point

Horizon Client * Serveur de

4172 TCP et
connexion
View ou
serveur de
sécurité ou
dispositif
Access Point

Horizon Client * Horizon Agent 3389 TCP Trac Microsoft RDP vers des postes de travail

Horizon Client * Horizon Agent 9427 TCP Redirection multimédia (MMR) Windows Media et

Horizon Client * Horizon Agent 32111 TCP Redirection USB et synchronisation de fuseau

Horizon Client * Horizon Agent 4172 TCP et

Horizon Client * Horizon Agent 22443 TCP et

Horizon Client * Serveur de

4172 TCP et
connexion
View, serveur
de sécurité ou
dispositif
Access Point

ole Description

utilisé.

View renvoient des données PCoIP à un dispositif
Access Point à partir du port UDP 4172.

Le port UDP de destination sera le port source des
paquets UDP reçus. Comme ces paquets sont des
données de réponse, il est normalement inutile
d'ajouter une règle de pare-feu explicite pour cela.

connexions client, mais le port 80 (accès HTTP) peut
être utilisé dans certains cas. Reportez-vous à la
section « Redirection HTTP dans View », page 21.

également utilisé pour le tunnelling quand des
connexions par tunnel sont utilisées.)

PCoIP, si PCoIP Secure Gateway est utilisé.

UDP

View si des connexions directes sont utilisées à la
place de connexions par tunnel.

redirection de lecteur client, si des connexions
directes sont utilisées à la place de connexions par
tunnel.

horaire si des connexions directes sont utilisées à la
place de connexions par tunnel.

PCoIP, si PCoIP Secure Gateway n'est pas utilisé.

UDP

R Comme le port source varie, voir la
note sous ce tableau.

VMware Blast

UDP

PCoIP (pas SALSA20) si PCoIP Secure Gateway est

UDP

utilisé.
R Comme le port source varie, voir la

note sous ce tableau.

VMware, Inc. 19

Sécurité de View

Tableau 3‑1. Ports TCP et UDP utilisés par View (suite)

Source Port Cible Port

Navigateur Web * Serveur de

Serveur de
connexion View

Serveur de
connexion View

Serveur de
connexion View

Serveur de
connexion View

Serveur de
connexion View

Serveur de
connexion View

Serveur de
connexion View

Serveur de
connexion View

Serveur de
connexion View

Dispositif
Access Point

service View
Composer

Protoc
ole Description

8443 TCP HTML Access.
sécurité ou
dispositif
Access Point

* Serveur de

connexion
View

* vCenter Server

ou View
Composer

* vCenter Server 443 TCP Messages SOAP si SSL est activé pour l'accès à

* View

Composer

* Serveur de

connexion
View

* Serveur de

connexion
View

* Serveur de

connexion
View

* Serveur de

connexion
View

* Serveur de

connexion
View

* Serveur de

connexion
View ou
équilibrage de
charge

* Hôte ESXi 902 TCP Utilisé lorsque View Composer personnalise des

48080 TCP Pour la communication interne entre les

composants du Serveur de connexion View.

80 TCP Messages SOAP si SSL est désactivé pour l'accès à

vCenter Server ou View Composer.

vCenter Server.

18443 TCP Messages SOAP si SSL est activé pour l'accès à

View Composer.

4100 TCP Trac interroutage JMS.

4101 TCP Trac interroutage JMS SSL.

8472 TCP Pour la communication entre espaces dans

Architecture Cloud Pod.

22389 TCP Pour la réplication LDAP globale dans Architecture

Cloud Pod.

22636 TCP Pour la réplication LDAP globale sécurisée dans

Architecture Cloud Pod.

443 TCP Accès HTTPS. Des dispositifs Access Point se

connectent sur le port TCP 443 pour communiquer
avec une instance du Serveur de connexion View ou
un équilibrage de charge devant plusieurs instances
du Serveur de connexion View.

disques de clone lié, y compris des disques internes
de View Composer et, s'ils sont spéciés, des
disques persistants et des disques supprimables par
le système.

R Le numéro de port UDP que les clients utilisent pour le protocole PCoIP est susceptible de
changer. Si le port 50002 est utilisé, le client choisira 50003. Si le port 50003 est utilisé, le client choisira le
port 50004, etc. Vous devez congurer les pare-feu avec TOUS où un astérisque (*) est répertorié dans le
tableau.

20 VMware, Inc.

Chapitre 3 Ports et services

Redirection HTTP dans View

Les tentatives de connexion via HTTP sont redirigées en silence vers HTTPS, à l'exception des tentatives de
connexion à View Administrator. La redirection HTTP n'est pas nécessaire pour les clients Horizon plus
récents, car ils sont dirigés par défaut vers HTTPS. Elle est cependant utile lorsque les utilisateurs se
connectent avec un navigateur Web, par exemple pour télécharger Horizon Client.

Le problème de la redirection HTTP est qu'il s'agit d'un protocole non sécurisé. Si un utilisateur ne prend
pas l'habitude d'entrer https:// dans la barre d'adresse, une personne malveillante peut compromere le
navigateur Web, installer un programme malveillant ou voler des informations d'identication, même
lorsque la page aendue est achée correctement.

R La redirection HTTP pour les connexions externes peut avoir lieu uniquement si vous
congurez votre pare-feu externe pour qu'il autorise le trac entrant sur le port TCP 80.

Les tentatives de connexion via HTTP à View Administrator ne sont pas redirigées. Au lieu de cela, un
message d'erreur indiquant que vous devez utiliser HTTPS est renvoyé.

Pour empêcher la redirection de toutes les tentatives de connexion HTTP, consultez « Empêcher la
redirection HTTP des connexions des clients vers le serveur de connexion » dans le document Installation de
View.

Les connexions au port 80 d'une instance de Serveur de connexion View ou d'un serveur de sécurité peuvent
également avoir lieu si vous déchargez les connexions client SSL sur un périphérique intermédiaire. Voir
« Décharger des connexions SSL sur des serveurs intermédiaires » dans le document Administration de View.

Pour autoriser la redirection HTTP lorsque le numéro de port SSL a été modié, consultez « Modier le
numéro de port de la redirection HTTP vers le serveur de connexion » dans le document Installation de View.

Services sur un hôte du Serveur de connexion View

Le fonctionnement de View dépend de plusieurs services s'exécutant sur un hôte du Serveur de connexion
View.

Tableau 3‑2. Services d'un hôte du Serveur de connexion View

Type de

Nom du service

VMware Horizon
View Blast Secure
Gateway

Serveur de
connexion VMware
Horizon View

Composant de
VMware Horizon
View Framework

Composant du bus
de message
VMware Horizon
View

VMware Horizon
View PCoIP Secure
Gateway

démarrage Description

AutomatiqueFournit des services HTML Access et Blast Extreme sécurisés. Ce service doit être

en cours d'exécution si des clients se connectent au Serveur de connexion View via
Blast Secure Gateway.

AutomatiqueFournit des services de Broker pour les connexions. Ce service doit toujours être en

cours d'exécution. Si vous démarrez ou arrêtez ce service, il démarre ou arrête
également les services Framework, Message Bus, Security Gateway et Web. Ce
service ne démarre ni n'arrête le service VMwareVDMDS ou VMware Horizon
View Script Host.

Manuel Fournit des services de journalisation des événements, de sécurité et

d'infrastructure COM+. Ce service doit toujours être en cours d'exécution.

Manuel Fournit des services de messagerie entre les composants View. Ce service doit

toujours être en cours d'exécution.

Manuel Fournit des services PCoIP Secure Gateway. Ce service doit être en cours

d'exécution si des clients se connectent au Serveur de connexion View via PCoIP
Secure Gateway.

VMware, Inc. 21

Sécurité de View

Tableau 3‑2. Services d'un hôte du Serveur de connexion View (suite)

Type de

Nom du service

Hôte de script
VMware Horizon
View

Composant
VMware Horizon
View Security
Gateway

Composant Web
VMware Horizon
View

VMwareVDMDS AutomatiqueFournit des services d'annuaire LDAP. Ce service doit toujours être en cours

démarrage Description

Désactivé Fournit la prise en charge de scripts tiers s'exécutant lorsque vous supprimez des

machines virtuelles. Par défaut, ce service est désactivé. Vous devez activer ce
service si vous voulez exécuter des scripts.

Manuel Fournit des services de passerelle communs. Ce service doit toujours être en cours

d'exécution.

Manuel Fournit des services Web. Ce service doit toujours être en cours d'exécution.

d'exécution. Pendant les mises à niveau de View, ce service garantit la migration
correcte des données existantes.

Services sur un serveur de sécurité

Le fonctionnement de View dépend de plusieurs services s'exécutant sur un serveur de sécurité.

Tableau 3‑3. Services de serveur de sécurité

Type de

Nom du service

VMware Horizon
View Blast Secure
Gateway

Serveur de sécurité
VMware Horizon
View

Composant de
VMware Horizon
View Framework

VMware Horizon
View PCoIP Secure
Gateway

Composant
VMware Horizon
View Security
Gateway

démarrage Description

AutomatiqueFournit des services HTML Access et Blast Extreme sécurisés. Ce service doit être

en cours d'exécution si des clients se connectent à ce serveur de sécurité via Blast
Secure Gateway.

AutomatiqueFournit des services de serveur de sécurité. Ce service doit toujours être en cours

d'exécution. Si vous démarrez ou arrêtez ce service, il démarre ou arrête également
les services Framework et Security Gateway.

Manuel Fournit des services de journalisation des événements, de sécurité et

d'infrastructure COM+. Ce service doit toujours être en cours d'exécution.

Manuel Fournit des services PCoIP Secure Gateway. Ce service doit être en cours

d'exécution si des clients se connectent à ce serveur de sécurité via PCoIP Secure
Gateway.

Manuel Fournit des services de passerelle communs. Ce service doit toujours être en cours

d'exécution.

22 VMware, Inc.

Configuration des protocoles de
sécurité et des suites de chiffrement
sur une instance de Serveur de
connexion View ou sur un serveur de

sécurité 4

Vous pouvez congurer les protocoles de sécurité et les suites de chirement qui sont acceptés par le
Serveur de connexion View. Vous pouvez dénir une stratégie d'acceptation générale qui s'applique à toutes
les instances de Serveur de connexion View dans un groupe répliqué ou vous pouvez dénir une stratégie
d'acceptation pour des instances de Serveur de connexion View et des serveurs de sécurité individuels.

Vous pouvez également congurer les protocoles de sécurité et les suites de chirement que les instances de
Serveur de connexion View proposent lors de la connexion à vCenter Server et View Composer. Vous
pouvez dénir une stratégie de proposition générale qui s'applique à toutes les instances de Serveur de
connexion View dans un groupe répliqué. Vous ne pouvez pas dénir des instances individuelles à exclure
d'une stratégie de proposition générale.

R Les paramètres de sécurité du Serveur de connexion View ne s'appliquent pas à Blast Secure
Gateway (BSG). Vous devez congurer la sécurité pour BSG séparément. Reportez-vous à la section

Chapitre 5, « Conguration des protocoles de sécurité et des suites de chirement pour Blast Secure
Gateway », page 29.

Les chiers Unlimited Strength Jurisdiction Policy d'Oracle sont inclus en standard, ce qui autorise les clés
256 bits par défaut.

Ce chapitre aborde les rubriques suivantes :

« Stratégies générales par défaut pour les protocoles de sécurité et les suites de chirement », page 24

n

« Conguration des stratégies d'acceptation et de proposition générales », page 24

n

« Congurer des stratégies d'acceptation sur des View Server individuels », page 25

n

« Congurer des stratégies de proposition sur des postes de travail View », page 26

n

« Protocoles et chirements anciens désactivés dans View », page 27

n

VMware, Inc.

23

Sécurité de View

Stratégies générales par défaut pour les protocoles de sécurité et les suites de chiffrement

Les stratégies d'acceptation et de proposition générales activent certains protocoles de sécurité et certaines
suites de chirement par défaut.

Tableau 4‑1. Stratégies générales par défaut

Protocoles de sécurité par défaut Suites de chiffrement par défaut

n

TLS 1.2

n

TLS 1.1

n

TLS 1.0

Si tous les clients se connectant prennent en charge TLS 1.1 et/ou TLS 1.2, vous pouvez retirer TLS 1.0 de la
stratégie d'acceptation.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

n

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

n

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

n

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

n

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

n

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

n

TLS_RSA_WITH_AES_128_CBC_SHA

n

TLS_RSA_WITH_AES_256_CBC_SHA

n

Configuration des stratégies d'acceptation et de proposition générales

Les stratégies d'acceptation et de proposition générales sont dénies dans les aributs View LDAP. Ces
stratégies s'appliquent à toutes les instances de Serveur de connexion View et à tous les serveurs de sécurité
dans un groupe répliqué. Pour modier une stratégie générale, vous pouvez modier View LDAP sur
n'importe quelle instance de Serveur de connexion View.

Chaque stratégie est un aribut à une seule valeur dans l'emplacement View LDAP suivant :

cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int

Stratégies d'acceptation et de proposition générales définies dans View LDAP

Vous pouvez modier les aributs View LDAP qui dénissent les stratégies d'acceptation et de proposition
générales.

Stratégies d'acceptation générales

L'aribut suivant répertorie les protocoles de sécurité. Vous devez classer la liste en plaçant le dernier
protocole en premier :

pae-ServerSSLSecureProtocols = \LIST:TLSv1.2,TLSv1.1,TLSv1

L'aribut suivant répertorie les suites de chirement. L'ordre des suites de chirement n'est pas important.
Cet exemple montre une liste abrégée :

pae-ServerSSLCipherSuites

= \LIST:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA

Stratégies de proposition générales

L'aribut suivant répertorie les protocoles de sécurité. Vous devez classer la liste en plaçant le dernier
protocole en premier :

pae-ClientSSLSecureProtocols = \LIST:TLSv1.2,TLSv1.1,TLSv1

24 VMware, Inc.

Chapitre 4 Configuration des protocoles de sécurité et des suites de chiffrement sur une instance de Serveur de connexion View ou sur un serveur de

sécurité

L'aribut suivant répertorie les suites de chirement. Cee liste doit être dans l'ordre de préférence. Placez
la suite de chirement préférée en premier, puis la deuxième suite préférée, etc. Cet exemple montre une
liste abrégée :

pae-ClientSSLCipherSuites

= \LIST:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA

Modifier les stratégies d'acceptation et de proposition générales

Pour modier les stratégies d'acceptation et de proposition générales pour des protocoles de sécurité et des
suites de chirement, vous utilisez l'utilitaire ADSI Edit (Éditeur ADSI) pour modier les aributs View
LDAP.

Prérequis

Familiarisez-vous avec les aributs View LDAP qui dénissent les stratégies d'acceptation et de

n

proposition. Reportez-vous à la section « Stratégies d'acceptation et de proposition générales dénies

dans View LDAP », page 24.

Pour plus d'informations sur l'utilisation de l'utilitaire ADSI Edit sur votre version du système

n

d'exploitation Windows Server, consultez le site Web Microsoft TechNet.

Procédure

1 Démarrez l'utilitaire ADSI Edit sur votre ordinateur Serveur de connexion View.

2 Dans l'arborescence de la console, sélectionnez Se connecter à.

3 Dans la zone de texte Sélectionnez ou entrez un nom unique ou un contexte  de noms,

tapez le nom unique DC=vdi, DC=vmware, DC=int.

4 Dans la zone de texte Sélectionnez ou entrez un domaine ou un serveur, sélectionnez ou tapez

localhost:389 ou le nom de domaine complet de l'ordinateur Serveur de connexion View suivi du

port 389.

Par exemple : localhost:389 ou mycomputer.mydomain.com:389

5 Développez l'arborescence d'ADSI Edit, développez OU=Properties, sélectionnez OU=Global et

sélectionnez OU=Common dans le volet de droite.

6 Sur l'objet CN=Common, OU=Global, OU=Properties, sélectionnez chaque aribut que vous voulez

modier et tapez la nouvelle liste de protocoles de sécurité ou de suites de chirement.

7 Redémarrez le composant VMware Horizon View Security Gateway de service Windows sur chaque

instance du Serveur de connexion et sur le serveur de sécurité si vous avez modié pae-

ServerSSLSecureProtocols.

Vous n'avez pas besoin de redémarrer les services après avoir modié pae-ClientSSLSecureProtocols.

Configurer des stratégies d'acceptation sur des View Server individuels

Pour spécier une stratégie d'acceptation locale sur une instance de Serveur de connexion View ou un
serveur de sécurité individuel, vous devez ajouter des propriétés au chier locked.properties. Si le chier

locked.properties n'existe pas encore sur View Server, vous devez le créer.

Vous ajoutez une entrée secureProtocols.n pour chaque protocole de sécurité que vous voulez congurer.
Utilisez la syntaxe suivante : secureProtocols.n=protocole de sécurité.

Vous ajoutez une entrée enabledCipherSuite.n pour chaque suite de chirement que vous voulez
congurer. Utilisez la syntaxe suivante : enabledCipherSuite.n=suite de chiffrement.

La variable n est un entier que vous ajoutez dans l'ordre (1, 2, 3) pour chaque type d'entrée.

VMware, Inc. 25

Sécurité de View

Vériez que les entrées dans le chier locked.properties respectent la syntaxe et que les noms des suites de
chirement et des protocoles de sécurité sont bien orthographiés. Toute erreur dans le chier peut entraîner

l'échec de la négociation entre le client et le serveur.

Procédure

1 Créez ou modiez le chier locked.properties dans le dossier de conguration de la passerelle SSL sur

l'ordinateur Serveur de connexion View ou du serveur de sécurité.

Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\

2 Ajoutez les entrées secureProtocols.n et enabledCipherSuite.n, y compris les protocoles de sécurité et

les suites de chirement associés.

3 Enregistrez le chier locked.properties.

4 Redémarrez le service Serveur de connexion VMware Horizon View ou le service serveur de sécurité

VMware Horizon View pour que vos modications prennent eet.

Exemple : Stratégies d'acceptation par défaut sur un serveur individuel

L'exemple suivant montre les entrées dans le chier locked.properties qui sont nécessaires pour spécier
les stratégies par défaut :

# The following list should be ordered with the latest protocol first:

secureProtocols.1=TLSv1.2

secureProtocols.2=TLSv1.1

secureProtocols.3=TLSv1

# This setting must be the latest protocol given in the list above:

preferredSecureProtocol=TLSv1.2

# The order of the following list is unimportant:

enabledCipherSuite.1=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

enabledCipherSuite.2=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

enabledCipherSuite.3=TLS_RSA_WITH_AES_128_CBC_SHA256

enabledCipherSuite.4=TLS_RSA_WITH_AES_128_CBC_SHA

Configurer des stratégies de proposition sur des postes de travail View

Vous pouvez contrôler la sécurité des connexions Bus de messages à un Serveur de connexion View en
congurant les stratégies de proposition sur des postes de travail View qui exécutent Windows.

Assurez-vous que le Serveur de connexion View est conguré pour accepter les mêmes stratégies an
d'éviter un échec de connexion.

Procédure

1 Lancez l'éditeur du Registre Windows sur le poste de travail View.

2 Accédez à la clé de registre HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware

VDM\Agent\Configuration.

3 Ajoutez une nouvelle valeur de chaîne (REG_SZ), ClientSSLSecureProtocols.

26 VMware, Inc.

Chapitre 4 Configuration des protocoles de sécurité et des suites de chiffrement sur une instance de Serveur de connexion View ou sur un serveur de

sécurité

4 Dénissez la valeur sur une liste de suites de chirement au format \LIST:protocol_1,protocol_2,....

Répertoriez les protocoles avec le dernier protocole en premier. Par exemple :

\LIST:TLSv1.2,TLSv1.1,TLSv1

5 Ajoutez une nouvelle valeur de chaîne (REG_SZ), ClientSSLCipherSuites.

6 Dénissez la valeur sur une liste de suites de chirement au

format \LIST:cipher_suite_1,cipher_suite_2,....

La liste doit être dans l'ordre de préférence, avec la suite de chirement préférée en premier. Par
exemple :

\LIST:TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA

Protocoles et chiffrements anciens désactivés dans View

Certains anciens protocoles et chirements qui ne sont plus considérés comme étant sécurisés sont
désactivés par défaut dans View. Si nécessaire, vous pouvez les activer manuellement.

Suites de chiffrement DHE

Pour plus d'informations, consultez hp://kb.vmware.com/kb/2121183. Les suites de chirement qui sont
compatibles avec les certicats DSA utilisent des clés Die-Hellman éphémères, et ces suites ne sont plus
activées par défaut, à compter d'Horizon 6 version 6.2.

Pour les instances du Serveur de connexion, les serveurs de sécurité et les postes de travail View, vous
pouvez activer ces suites de chirement en modiant la base de données View LDAP, le chier

locked.properties ou le registre, comme décrit dans ce guide. Voir « Modier les stratégies d'acceptation et

de proposition générales », page 25, « Congurer des stratégies d'acceptation sur des View Server
individuels », page 25 et « Congurer des stratégies de proposition sur des postes de travail View », page 26.

Vous pouvez dénir une liste de suites de chirement qui inclut une ou plusieurs des suites suivantes, dans
cet ordre :

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (TLS 1.2 uniquement, pas FIPS)

n

TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (TLS 1.2 uniquement, pas FIPS)

n

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (TLS 1.2 uniquement)

n

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

n

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (TLS 1.2 uniquement)

n

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

n

Pour les machines View Composer et View Agent Direct-Connection (VADC), vous pouvez activer des
suites de chirement DHE en ajoutant ce qui suit à la liste de chirements lorsque vous suivez la procédure
« Désactiver les chirements faibles dans les protocoles SSL/TLS pour les machines View Composer et
Horizon Agent » dans le document Installation de View.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

R Il n'est pas possible d'activer la prise en charge pour les certicats ECDSA. Ces certicats n'ont
jamais été pris en charge.

SSLv3

Dans Horizon 7, SSL version 3.0 a été supprimé.

Pour plus d'informations, reportez-vous à la section hp://tools.ietf.org/html/rfc7568.

VMware, Inc. 27

Sécurité de View

RC4

Pour plus d'informations, reportez-vous à la section hp://tools.ietf.org/html/rfc7465.

Pour les instances du Serveur de connexion, les serveurs de sécurité et les postes de travail View, vous
pouvez activer RC4 sur un Serveur de connexion, un serveur de sécurité ou une machine Horizon Agent en
modiant le chier de conguration C:\Program Files\VMware\VMware

View\Server\jre\lib\security\java.security. À la n du chier se trouve une entrée multiligne appelée
jdk.tls.legacyAlgorithms. Supprimez RC4_128 et la virgule qui suit de cee entrée et redémarrez le Serveur

de connexion, le serveur de sécurité ou la machine Horizon Agent, selon le cas.

Pour les machines View Composer et View Agent Direct-Connection (VADC), vous pouvez activer RC4 en
ajoutant ce qui suit à la liste de chirements lorsque vous suivez la procédure « Désactiver les chirements
faibles dans les protocoles SSL/TLS pour les machines View Composer et Horizon Agent » dans le document
Installation de View.

TLS_RSA_WITH_RC4_128_SHA

TLS 1.0

Dans Horizon 7, TLS 1.0 est désactivé par défaut.

Pour plus d'informations, consultez hps://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf et

hp://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf. Pour plus d'instructions sur

l'activation de TLS 1.0, consultez les sections « Activer TLSv1 sur des connexions vCenter depuis un Serveur
de connexion » et « Activer TLSv1 sur des connexions vCenter et ESXi depuis View Composer » dans le
document Mises à niveau de View.

28 VMware, Inc.

Configuration des protocoles de
sécurité et des suites de chiffrement

pour Blast Secure Gateway 5

Les paramètres de sécurité du Serveur de connexion View ne s'appliquent pas à Blast Secure Gateway (BSG).
Vous devez congurer la sécurité pour BSG séparément.

Configurer des protocoles de sécurité et des suites de chiffrement pour Blast Secure Gateway (BSG)

Vous pouvez congurer les protocoles de sécurité et les suites de chirement que l'écouteur côté client de
BSG accepte en modiant le chier absg.properties.

Les protocoles autorisés sont, du plus faible au plus élevé, tls1.0, tls1.1 et tls1.2. Les protocoles plus anciens,
tels que SSLv3 et version antérieure, ne sont jamais autorisés. Deux propriétés, localHttpsProtocolLow et

localHttpsProtocolHigh, déterminent la plage de protocoles que l'écouteur BSG acceptera. Par exemple, les

paramètres localHttpsProtocolLow=tls1.0 et localHttpsProtocolHigh=tls1.2 forceront l'écouteur à
accepter tls1.0, tls1.1 et tls1.2. Les paramètres par défaut sont localHttpsProtocolLow=tls1.1 et

localHttpsProtocolHigh=tls1.2. Vous pouvez examiner le chier absg.log de BSG pour voir les valeurs qui

sont appliquées pour une instance de BSG spécique.

Vous devez spécier la liste de chirements utilisant le format déni dans

hp://openssl.org/docs/manmaster/apps/ciphers.html, sous la section CIPHER LIST FORMAT (Format de

liste de chirements). La liste de chirements suivante est celle par défaut :

ECDHE-RSA-AES256-SHA:AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!

aNULL:!eNULL

Procédure

1 Sur l'instance du Serveur de connexion, modiez le chier install_directory\VMware\VMware

View\Server\appblastgateway\absg.properties.

Par défaut, le répertoire d'installation est %ProgramFiles%.

2 Modiez les propriétés localHttpsProtocolLow et localHttpsProtocolHigh pour spécier une plage de

protocoles.

Par exemple,

localHttpsProtocolLow=tls1.0

localHttpsProtocolHigh=tls1.2

Pour activer un seul protocole, spéciez le même protocole pour localHttpsProtocolLow et

localHttpsProtocolHigh.

VMware, Inc.

29

Sécurité de View

3 Modiez la propriété localHttpsCipherSpec pour spécier une liste de suites de chirement.

4 Redémarrez VMware Horizon View Blast Secure Gateway de service Windows.

Par exemple,

localHttpsCipherSpec=ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!

PSK:!RC4:!SRP:!aNULL:!eNULL

30 VMware, Inc.

Déploiement de périphériques USB
dans un environnement View

sécurisé 6

Les périphériques USB peuvent être vulnérables à une menace de sécurité nommée BadUSB, dans laquelle le
microprogramme de certains périphériques USB peut être piraté et remplacé par un logiciel malveillant. Par
exemple, un périphérique peut ainsi être amené à rediriger le trac réseau, ou à émuler un clavier et
capturer la frappe eectuée. Vous pouvez congurer la fonctionnalité de redirection USB de manière à
protéger votre déploiement View contre cee vulnérabilité de sécurité.

En désactivant la redirection USB, vous pouvez empêcher toute redirection de périphérique USB vers les
postes de travail et les applications View de vos utilisateurs. Vous pouvez également désactiver la
redirection de périphériques USB spéciques, pour permere aux utilisateurs d'avoir uniquement accès à
des périphériques spéciques sur leurs postes de travail et leurs applications.

Le choix de prendre ou non ces mesures dépend des exigences de sécurité de votre organisation. Ces étapes
ne sont pas obligatoires. Vous pouvez installer la redirection USB et laisser la fonctionnalité activée pour
tous les périphériques USB de votre déploiement View. Au minimum, analysez sérieusement à quel degré
votre organisation doit tenter de limiter son exposition à cee vulnérabilité de sécurité.

Ce chapitre aborde les rubriques suivantes :

« Désactivation de la redirection USB pour tous les types de périphériques », page 31

n

« Désactivation de la redirection USB pour des périphériques spéciques », page 33

n

Désactivation de la redirection USB pour tous les types de périphériques

Certains environnements hautement sécurisés nécessitent que vous empêchiez tous les périphériques USB
que les utilisateurs peuvent avoir connectés à leurs périphériques clients d'être redirigés vers leurs
applications et postes de travail distants. Vous pouvez désactiver la redirection USB pour tous les pools de
postes de travail, des pools de postes de travail spéciques ou des utilisateurs spéciques dans un pool de
postes de travail.

Utilisez l'une des stratégies suivantes, selon votre situation :

Lorsque vous installez Horizon Agent sur une image de poste de travail ou un hôte RDS, désactivez

n

l'option de conguration Redirection USB. (L'option est décochée par défaut.) Cee approche empêche
d'accéder à des périphériques USB sur l'ensemble des applications et des postes de travail distants qui
sont déployés à partir de l'image du poste de travail ou de l'hôte RDS.

Dans View Administrator, modiez la stratégie Accès USB pour autoriser ou refuser l'accès sur un pool

n

spécique. Avec cee approche, vous n'avez pas besoin de modier l'image du poste de travail et
pouvez accéder aux périphériques USB de pools d'applications et de postes de travail spéciques.

Seule la stratégie globale Accès USB est disponible pour les pools d'applications et de postes de travail
RDS. Vous ne pouvez pas dénir cee stratégie pour des pools d'applications ou de postes de travail
RDS individuels.

VMware, Inc.

31

Sécurité de View

n

n

n

Si vous dénissez la stratégie Exclude All Devices sur true, Horizon Client empêche la redirection de tous
les périphériques USB. Vous pouvez utiliser d'autres paramètres de règle pour autoriser la redirection de
périphériques spéciques ou de familles de périphériques. Si vous dénissez la stratégie sur false,
Horizon Client autorise la redirection de tous les périphériques USB sauf ceux qui sont bloqués par d'autres
paramètres de stratégie. Vous pouvez dénir la stratégie dans Horizon Agent et Horizon Client. Le tableau
suivant décrit comment la stratégie Exclude All Devices que vous pouvez dénir pour Horizon Agent et
Horizon Client se combinent pour produire une stratégie ecace pour l'ordinateur client. Par défaut, tous
les périphériques USB sont autorisés à être redirigés, sauf blocage contraire.

Tableau 6‑1. Effet de la combinaison de règles Exclure tous les périphériques

Stratégie Exclure tous les
périphériques sur Horizon Agent

false ou non déni (inclure tous les
périphériques USB)

false (inclure tous les périphériques
USB)

true (exclure tous les périphériques
USB)

Dans View Administrator, dès que vous avez déni la stratégie au niveau du pool de postes de travail
ou d'applications, vous pouvez remplacer la stratégie d'un utilisateur spécique du pool en
sélectionnant le paramètre Remplacements d'utilisateur et en sélectionnant un utilisateur.

Dénissez la stratégie Exclude All Devices sur true, du côté Horizon Agent ou du côté client, selon le
cas.

Utilisez Stratégies de carte à puce pour créer une stratégie qui désactive le paramètre de stratégie
Horizon Redirection USB. Avec cee approche, vous pouvez désactiver la redirection USB sur un poste
de travail distant spécique si certaines conditions sont respectées. Par exemple, vous pouvez
congurer une stratégie qui désactive la redirection USB lorsque des utilisateurs se connectent à un
poste de travail distant depuis l'extérieur du réseau d'entreprise.

Stratégie Exclure tous les
périphériques dans Horizon Client

false ou non déni (inclure tous les
périphériques USB)

true (exclure tous les périphériques
USB)

Aucun ou non déni Exclure tous les périphériques USB

Règle Exclure tous les
périphériques effective combinée

Inclure tous les périphériques USB

Exclure tous les périphériques USB

Si vous avez déni la stratégie Disable Remote Configuration Download sur true, la valeur d'Exclude All

Devices dans Horizon Agent n'est pas transmise à Horizon Client, mais Horizon Agent et Horizon Client

appliquent la valeur locale d'Exclude All Devices.

Ces stratégies sont incluses dans le chier de modèle d'administration ADMX (vdm_agent.admx) ou ADM
(vdm_agent.adm) pour la conguration d'Horizon Agent. Pour plus d'informations, reportez-vous à la section
« Paramètres USB dans le modèle d'administration ADMX ou ADM pour la conguration d'Horizon
Agent » dans le document Conguration des fonctionnalités de poste de travail distant dans Horizon 7.

R Dans Horizon 7 version 7.1, les chiers de modèle d'administration ADM sont obsolètes et les
chiers de modèle d'administration ADMX sont ajoutés.

32 VMware, Inc.

Chapitre 6 Déploiement de périphériques USB dans un environnement View sécurisé

Désactivation de la redirection USB pour des périphériques spécifiques

Certains utilisateurs peuvent devoir rediriger des périphériques USB localement connectés an de pouvoir
eectuer des tâches sur leurs applications ou postes de travail distants. Par exemple, un médecin peut

devoir utiliser un périphérique dictaphone USB pour enregistrer des informations médicales dans le dossier
d'un patient. Dans ce cas, vous ne pouvez pas désactiver l'accès à tous les périphériques USB. Vous pouvez
utiliser les paramètres de stratégie de groupe pour activer ou désactiver une redirection USB pour des
périphériques spéciques.

Avant d'activer la redirection USB pour des périphériques spéciques, assurez-vous que vous approuvez les
périphériques physiques connectés à des machines clientes dans votre entreprise. Assurez-vous de pouvoir
approuver votre chaîne d'approvisionnement. Si possible, assurez le suivi d'une chaîne de sécurité pour les
périphériques USB.

En outre, formez vos employés pour vous assurer qu'ils ne connectent pas des périphériques provenant de
sources inconnues. Si possible, restreignez les périphériques de votre environnement à ceux qui acceptent
uniquement des mises à jour de microprogramme signées, bénécient d'une certication FIPS 140-2
Niveau 3 et ne prennent pas en charge tout type de microprogramme autorisant la mise à jour sur site. Ces
types de périphériques USB peuvent poser des problèmes d'approvisionnement et, selon la conguration
requise de vos périphériques, peuvent s'avérer impossibles à trouver. Ces choix peuvent être diciles à
mere en œuvre dans la pratique, mais ils méritent d'être envisagés.

Chaque périphérique USB a son propre fournisseur et ID de produit qui l'identie sur l'ordinateur. En
congurant les paramètres de la stratégie de groupe Conguration d'Horizon Agent, vous pouvez dénir
une stratégie d'inclusion de ces types de périphériques connus. Avec cee approche, vous éliminez le risque
d'autoriser l'insertion de périphériques inconnus dans votre environnement.

Par exemple, vous pouvez empêcher tous les périphériques, à l'exception de ceux associés à un fournisseur
de périphériques et à un ID de produit connus, vid/pid=0123/abcd, d'être redirigés vers l'application ou le
poste de travail distant :

ExcludeAllDevices Enabled

IncludeVidPid o:vid-0123_pid-abcd

R Cet exemple de conguration fournit une protection, mais comme un périphérique compromis
peut communiquer n'importe quel vid/pid, une aaque peut toujours éventuellement se produire.

Par défaut, View interdit la redirection de certaines familles de périphériques vers l'application ou le poste
de travail distant. Par exemple, les périphériques d'interface utilisateur et les claviers sont interdits
d'achage dans l'invité. Certains codes BadUSB récemment publiés ciblent les claviers USB.

Vous pouvez interdire la redirection de familles spéciques de périphériques vers l'application ou le poste
de travail distant. Par exemple, vous pouvez bloquer tous les périphériques vidéo, audio et de stockage de
masse :

ExcludeDeviceFamily o:video;audio;storage

À l'inverse, vous pouvez créer une liste blanche interdisant la redirection de tous les périphériques mais
autorisant l'utilisation d'une famille spécique de périphériques. Par exemple, vous pouvez bloquer tous les
périphériques à l'exception des périphériques de stockage :

ExcludeAllDevices Enabled

IncludeDeviceFamily o:storage

VMware, Inc. 33

Sécurité de View

Un autre risque peut survenir lorsqu'un utilisateur distant se connecte à un poste de travail ou à une
application et l'infecte. Vous pouvez empêcher l'accès USB à toute connexion View provenant de l'extérieur
du pare-feu de l'entreprise. Le périphérique USB peut être utilisé en interne, mais pas en externe.

Sachez que si vous bloquez le port TCP 32111 pour désactiver l'accès externe aux périphériques USB, la
synchronisation de fuseau horaire ne fonctionnera pas, car le port 32111 est également utilisé pour la
synchronisation de fuseau horaire. Pour les clients zéro, le trac USB est intégré dans un canal virtuel sur le
port UDP 4172. Comme le port 4172 est utilisé pour le protocole d'achage ainsi que pour la redirection
USB, vous ne pouvez pas bloquer le port 4172. Si nécessaire, vous pouvez désactiver la redirection USB sur
les clients zéro. Pour plus d'informations, reportez-vous à la documentation du produit client zéro et
contactez son fournisseur.

La dénition de stratégies pour bloquer certaines familles de périphériques ou des périphériques spéciques
peut contribuer à réduire les risques d'infection avec le logiciel malveillant BadUSB. Ces stratégies ne
réduisent pas tous les risques, mais peuvent s'inscrire dans une stratégie de sécurité globale.

Ces stratégies sont incluses dans le chier de modèle d'administration ADMX (vdm_agent.admx) ou ADM
(vdm_agent.adm) pour la conguration d'Horizon Agent. Pour plus d'informations, reportez-vous au
document Conguration des fonctionnalités de poste de travail distant dans Horizon 7. Dans Horizon 7 version 7.1,
les chiers de modèle d'administration ADM sont obsolètes et les chiers de modèle d'administration
ADMX sont ajoutés.

34 VMware, Inc.

Mesures de protection HTTP sur des
serveurs de connexion et des

serveurs de sécurité 7

Horizon 7 emploie certaines mesures pour protéger les communications utilisant le protocole HTTP.

Ce chapitre aborde les rubriques suivantes :

« Normes EITF (Internet Engineering Task Force) », page 35

n

« Autres mesures de protection », page 36

n

Normes EITF (Internet Engineering Task Force)

Le Serveur de connexion et le serveur de sécurité sont conformes à certaines normes IEFT (Internet
Engineering Task Force).

La norme RFC 5746 Transport Layer Security (TLS) – Renegotiation Indication Extension, également

n

appelée renégociation sécurisée, est activée par défaut.

R La renégociation initiée par le client est désactivée par défaut sur les Serveurs de connexion
et les serveurs de sécurité. Pour l'activer, modiez la valeur de registre [HKLM\SOFTWARE\VMware,

Inc.\VMware VDM\plugins\wsnm\TunnelService\Params]JvmOptions et supprimez

-Djdk.tls.rejectClientInitiatedRenegotiation=true de la chaîne.

La norme RFC 6797 HTTP Strict Transport Security (HSTS), également appelée sécurité du transport, est

n

activée par défaut.

La norme RFC 7034 HTTP Header Field X-Frame-Options, également appelée contournement du

n

détournement de clic, est activée par défaut. Vous pouvez la désactiver en ajoutant l'entrée x-frame-

options=OFF au chier locked.properties. Pour plus d'informations sur l'ajout de propriétés au chier
locked.properties, reportez-vous à « Congurer des stratégies d'acceptation sur des View Server

individuels », page 25.

Modier cee option n'aecte pas les connexions à HTML Access.

Vérification de l'origine

La vérication de l'origine RFC 6454, qui protège contre la falsication de requête intersites, est activée par
défaut.

R Dans les versions antérieures, cee protection était désactivée par défaut.

Vous pouvez désactiver cee protection en ajoutant l'entrée suivante au chier locked.properties :

checkOrigin=false

VMware, Inc.

35

Sécurité de View

Si plusieurs Serveurs de connexion ou serveurs de sécurité sont à équilibrage de charge, vous devez spécier
l'adresse de l'équilibrage de charge en ajoutant l'entrée suivante au chier locked.properties. Le port 443
est utilisé pour cee adresse.

balancedHost=load-balancer-name

Si des clients se connectent via Access Point, vous devez spécier les adresses d'Access Point dans le chier

locked.properties. Le port 443 est utilisé pour ces adresses. Par exemple :

portalHost.1=access-point-name-1

portalHost.2=access-point-name-2

Faites la même chose si vous voulez fournir un accès à un Serveur de connexion ou un serveur de sécurité
avec un nom diérent de celui spécié dans l'URL externe.

Lorsque cee option est activée, des connexions à View peuvent être établies uniquement à l'adresse donnée
dans l'URL externe, à l'adresse balancedHost, à une adresse portalHost ou à localhost.

Autres mesures de protection

Outre les normes IEFT (Internet Engineering Task Force), Horizon 7 emploie d'autres mesures pour protéger
les communications utilisant le protocole HTTP.

Réduction des risques de sécurité de type MIME

Par défaut, Horizon 7 envoie l'en-tête x-content-type-options: nosniff dans ses réponses HTTP pour
permere d'éviter les aaques basées sur une confusion de type MIME.

Vous pouvez désactiver cee fonction en ajoutant l'entrée suivante au chier locked.properties :

x-content-type-options=OFF

Réduction des attaques de script entre sites

Par défaut, Horizon 7 utilise la fonction de ltre XSS (script entre sites) pour réduire les aaques de script
entre sites en envoyant l'en-tête x-xss-protection=1; mode=block dans ses réponses HTTP.

Vous pouvez désactiver cee fonction en ajoutant l'entrée suivante au chier locked.properties :

x-xss-protection=OFF

Vérification du type de contenu

Par défaut, Horizon 7 accepte les demandes avec les types de contenu déclaré suivants uniquement :

application/x-www-form-urlencoded

n

application/xml

n

text/xml

n

R Dans les versions antérieures, cee protection était désactivée par défaut.

Pour limiter les types de contenu acceptés par View, ajoutez l'entrée suivante au chier locked.properties :

acceptContentType.1=content-type

Par exemple :

acceptContentType.1=x-www-form-urlencoded

Pour accepter un autre type de contenu, ajoutez l'entrée acceptContentType.2=content-type, etc.

36 VMware, Inc.

Chapitre 7 Mesures de protection HTTP sur des serveurs de connexion et des serveurs de sécurité

Pour accepter les demandes avec n'importe quel type de contenu déclaré, spéciez acceptContentType=*.

Modier cee liste n'aecte pas les connexions à View Administrator.

VMware, Inc. 37

Sécurité de View

38 VMware, Inc.

Index

A

attaques de script entre sites 36

B

Blast Secure Gateway

configuration des protocoles de sécurité 29
configuration des suites de chiffrement 29
configurer des suites de chiffrement 29

C

comptes 7

F

Fichiers de modèle d'administration (ADM),

paramètres liés à la sécurité 12

fichiers journaux 7, 9

H

HTTP, redirection 21

L

locked.properties, configuration de stratégies

d'acceptation 25

N

normes IEFT (Internet Engineering Task

Force) 35

P

paramètres de pare-feu 17
paramètres de sécurité, générale 11
paramètres de sécurité de View LDAP 15
paramètres de sécurité généraux dans View

Administrator 12

paramètres de serveur liés à la sécurité dans

View Administrator 14
paramètres du serveur. liés à la sécurité 11
ports TCP, 80 et 443 21
ports UDP 17
postes de travail, configuration de stratégies de

proposition 26
présentation de sécurité 5
protocoles de sécurité

configuration pour Blast Secure Gateway 29
configuration pour le Serveur de connexion

View 23

modification dans View LDAP 25
stratégies par défaut 24

R

RC4, désactivé dans View 27
redirection USB

déploiement sécurisé les périphériques 31
désactivation de périphériques spécifiques 33

désactivation de tous les périphériques 31
ressources 7, 8
risques de sécurité de type MIME 36

S

Serveur de connexion View, services 21
serveurs de sécurité, services 22

service Blast Secure Gateway 21, 22
service de serveur de sécurité 22
service du serveur de connexion 21
service Framework Component 21, 22
service Message Bus Component 21
service Script Host 21
service Security Gateway Component 21, 22
service VMwareVDMDS 21
service Web Component 21
services

hôtes de serveur de sécurité 22

hôtes du Serveur de connexion View 21
SSLv3, désactivé dans View 27
stratégies d'acceptation, configuration

générale 24

stratégies de proposition, configuration

générale 24

suites de chiffrement

configuration pour Blast Secure Gateway 29

configuration pour le Serveur de connexion

View 23
configurer pour Blast Secure Gateway 29
modification dans View LDAP 25
stratégies générales par défaut 24

V

vérification de l'origine 35
vérification du type de contenu 36
View LDAP, stratégies d'acceptation et de

proposition générales 24

VMware, Inc. 39

Sécurité de View

40 VMware, Inc.