要实现更高的安全性,您可以配置域策略组策略对象 (Group Policy Object, GPO),以确保在 Horizon Client 和基于虚拟机的桌面或 RDS 主机之间使用 SSL/TLS 协议的通信不允许使用弱密码。

过程

  1. 在 Active Directory 服务器上编辑 GPO,方法是选择开始 > 管理工具 > 组策略管理,右键单击 GPO,然后选择编辑
  2. 在组策略管理编辑器中,浏览到计算机配置 > 策略 > 管理模板 > 网络 > SSL 配置设置
  3. 双击 SSL 密码套件顺序
  4. 在“SSL 密码套件顺序”窗口中,单击已启用
  5. 在“选项”窗格中,将“SSL 密码套件”文本框的全部内容替换为以下密码列表: 
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA

    为了便于查看,密码套件已分多行列在上方。将该列表粘贴到文本框中时,密码套件必须位于一行中,并且逗号后不含空格。

  6. 退出组策略管理编辑器。
  7. 重新启动 VADC 计算机以使新组策略生效。

结果

注: 如果未将 Horizon Client 配置为支持虚拟桌面操作系统支持的任何密码,TLS/SSL 协商将失败,客户端将无法连接。

有关在 Horizon Client 中配置支持的密码套件的信息,请参见 Horizon Client 文档,网址为 https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html