Ab View Agent 6.2 können Sie die Verschlüsselungssammlungen konfigurieren, die HTML Access Agent verwendet, indem Sie die Windows-Registrierung bearbeiten. Ab View Agent 6.2.1 können Sie auch die verwendeten Sicherheitsprotokolle konfigurieren. Sie können die Konfigurationen auch in einem Gruppenrichtlinienobjekt (GPO) festlegen.

Warum und wann dieser Vorgang ausgeführt wird

Ab View Agent 6.2.1 und in späteren Versionen verwendet der HTML Access Agent nur TLS 1.1 und TLS 1.2. Die zulässigen Protokolle sind (mit steigender Sicherheit) TLS 1.0, TLS 1.1 und TLS 1.2. Ältere Protokolle wie z. B. SSLv3 und frühere Versionen sind niemals zulässig. Zwei Registrierungswerte, SslProtocolLow und SslProtocolHigh, legen den Protokollbereich fest, den HTML Access Agent akzeptiert. Zum Beispiel bewirken die Einstellungen SslProtocolLow=tls_1.0 und SslProtocolHigh=tls_1.2, dass HTML Access Agent TLS 1.0, TLS 1.1 und TLS 1.2 akzeptiert. Die Standardeinstellungen sind SslProtocolLow=tls_1.1 und SslProtocolHigh=tls_1.2.

Sie müssen die Liste der Verschlüsselungen festlegen, und zwar mit dem Format, das in https://www.openssl.org/docs/manmaster/man1/ciphers.html im Abschnitt FORMAT DER VERSCHLÜSSELUNGSLISTE definiert ist. Die folgende Verschlüsselungsliste wird standardmäßig verwendet:

ECDHE-RSA-AES256-SHA:AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL

Prozedur

  1. Starten Sie den Windows-Registrierungs-Editor.
  2. Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config.
  3. Fügen Sie zwei neue Zeichenfolgenwerte (REG_SZ), SslProtocolLow und SslProtocolHigh, hinzu, um den Protokollbereich anzugeben.

    Die Daten für die Registrierungswerte müssen tls_1.0, tls_1.1 oder tls_1.2 sein. Um nur ein Protokoll zu aktivieren, geben Sie dasselbe Protokoll für beide Registrierungswerte an. Wenn einer der beiden Registrierungswerte nicht vorhanden ist oder wenn seine Daten nicht auf eines der drei Protokolle festgelegt sind, werden die Standardprotokolle verwendet.

  4. Fügen Sie einen neuen Zeichenfolgenwert (REG_SZ), SslCiphers, hinzu, um einen Liste von Verschlüsselungssammlungen anzugeben.

    Geben Sie die Liste von Verschlüsselungssammlungen in das Datenfeld des Registrierungswerts ein oder fügen Sie sie ein. Beispiel:

    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. Führen Sie einen Neustart des Windows-Dienstes VMware Blast durch.

Ergebnisse

Um zur Nutzung der standardmäßigen Verschlüsselungsliste zurückzukehren, löschen Sie den SslCiphers-Registrierungswert und starten Sie den Windows-Dienst VMware Blast neu. Löschen Sie nicht einfach den Datenteil des Werts, sonst behandelt der HTML Access-Agent alle Verschlüsselungsverfahren entsprechend der Formatdefinition für die OpenSSL-Verschlüsselungsliste als inakzeptabel.

Wenn der HTML Access Agent startet, schreibt er die Protokoll- und Verschlüsselungsinformationen in seine Protokolldatei. Sie können die Protokolldatei überprüfen, um festzustellen, welche Werte in Kraft sind.

Die Standardprotokolle und Verschlüsselungssammlungen können sich auf der Grundlage der von VMware empfohlenen und ständig weiterentwickelten Vorgehensweisen für die Netzwerksicherheit zukünftig ändern.