Você pode configurar os protocolos de segurança e os conjuntos de codificação que o ouvinte do lado do cliente do PSG aceita editando o registro. Se necessário, essa tarefa também pode ser executada em um host RDS.

Os protocolos permitidos são, de baixo para alto, tls1.0, tls1.1 e tls1.2. Protocolos mais antigos, como SSLv3 e anteriores, nunca são permitidos. A configuração padrão é tls1.2:tls1.1.
Observação: No modo FIPS, somente o TLS 1.2 está habilitado (tls1.2).

A seguinte lista de codificação é o padrão:

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:@STRENGTH"
Observação: No modo FIPS, apenas os conjuntos de codificação do GCM estão ativados ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256).

Procedimento

  1. Na instância do Servidor de Conexão ou no host RDS, abra um editor de registro e navegue até HKLM\Software\Teradici\SecurityGateway.
  2. Adicione ou edite o valor do Registro REG_SZ SSLProtocol para especificar uma lista de protocolos.
    Por exemplo,
    tls1.2:tls1.1
  3. Adicione ou edite o valor do Registro REG_SZ SSLCipherList para especificar uma lista de conjuntos de codificação.
    Por exemplo,
    ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
  4. Adicione ou edite o valor do Registro REG_SZ SSLDisableAES128 para filtrar conjuntos de codificação que negociam uma chave de criptografia AES de 128 bits. Se não for definido, o valor padrão será 0, o que significa que o filtro não será aplicado. Para excluir esses conjuntos de codificação, ative o filtro definindo o valor do Registro como 1.
  5. Adicione ou edite o valor do Registro REG_SZ SSLDisableRSACipher para filtrar conjuntos de codificação que usam RSA para troca de chaves. Se não for definido, o valor padrão será 1, o que significa que esses conjuntos de codificação serão filtrados da lista. Se for necessário incluí-los, desative o filtro definindo o valor do Registro como 0.