为了提高安全性,您可以配置域策略组策略对象 (Group Policy Object, GPO),以确保运行 Horizon Agent 的基于 Windows 的计算机在使用 TLS 协议进行通信时不会使用弱密码。

注:

为避免与 AD 交换的消息可能出现保密性问题,我们建议您要求对 LDAP 与 AD 的连接进行 RPC 封装。“封装”这些消息将通过使用协商的会话密钥加密每条消息来提供保密性。尽管目前是可选的,但 Microsoft 确实计划在 2023 年的某个时间强制执行 RPC 封装。有关详细信息,请参阅 Microsoft 知识库文章 5021130

过程

  1. 要在 Active Directory 服务器上编辑 GPO,请选择开始 > 管理工具 > 组策略管理,右键单击 GPO,然后选择编辑
  2. 在组策略管理编辑器中,导航到计算机配置 > 策略 > 管理模板 > 网络 > SSL 配置设置
  3. 双击 SSL 密码套件顺序
  4. 在“SSL 密码套件顺序”窗口中,单击已启用
  5. 在“选项”窗格中,将“SSL 密码套件”文本框的全部内容替换为以下密码列表:
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    为便于阅读,密码套件会显示在单独的行中。将该列表粘贴到文本框中时,密码套件必须位于一行中,并且逗号后不含空格。
    重要说明: 在 FIPS 模式下,仅列出 GCM 密码套件。
    注: 您可以修改此密码套件列表,以满足您自己的安全策略要求。
  6. 退出组策略管理编辑器。
  7. 要使新的组策略生效,请重新启动 Horizon Agent 计算机。