Sie können die Windows-Registrierung verwenden, um die Verschlüsselungs-Suites und Sicherheitsprotokolle zu konfigurieren, die der VMware Blast Windows-Dienst verwendet.

Der Blast Windows-Dienst unterstützt je nach Release-Version von Horizon Agent die folgenden Sicherheitsprotokolle.

Release-Version Unterstützte Protokolle Standardeinstellungen
Horizon Agent 2312 und höher

TLS 1.1, TLS,1.2, TLS 1.3

Hinweis: TLS 1.1 wird im FIPS-Modus nicht unterstützt.
  • Im Nicht-FIPS-Modus sind TLS 1.2 und TLS 1.3 aktiviert.
  • Im FIPS-Modus ist TLS 1.2 aktiviert.
Horizon Agent 2309 und früher TLS 1.0, TLS 1.1, TLS 1.2 TLS 1.2 ist aktiviert.

Ältere Protokolle wie SSLv3 und frühere Versionen sind nie zulässig. Zwei Registrierungswerte, SslProtocolLow und SslProtocolHigh, bestimmen den Bereich der Protokolle, die der Blast Windows-Dienst akzeptiert.

Sie müssen die Liste der Verschlüsselungen mithilfe des in OpenSSL definierten Formats angeben. Eine Anleitung für das richtige Format der Verschlüsselungsliste finden Sie, wenn Sie in einem Webbrowser nach openssl cipher string suchen. Die Standardverschlüsselungslisten sind wie folgt:

Protokoll Standardverschlüsselungsliste
TLS 1.1, TLS 1.2 
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
TLS 1.3 
TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

Prozedur

  1. Starten Sie den Windows-Registrierungs-Editor.
  2. Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config.
  3. Um den Protokollbereich anzugeben, fügen Sie zwei neue Zeichenfolgenwerte (REG_SZ) hinzu, SslProtocolLow und SslProtocolHigh.
    Um nur ein Protokoll zu aktivieren, geben Sie dasselbe Protokoll im Datenfeld für beide Registrierungswerte an. Wenn Sie beispielsweise SslProtocolLow=tls_1.3 und SslProtocolHigh=tls_1.3 festlegen, wird der Blast Windows-Dienst so konfiguriert, dass er nur TLS 1.3 akzeptiert.
    Hinweis: Wenn ein Registrierungswert nicht vorhanden ist oder wenn seine Daten nicht auf eine unterstützte Protokollzeichenfolge festgelegt sind, werden die Standardprotokolleinstellungen verwendet. Folgende Protokollzeichenfolgen werden unterstützt:
    • tls_1.3 (nur für Horizon Agent 2312 und höher)
    • tls_1.2
    • tls_1.1
    • tls_1.0 (nur für Horizon Agent 2309 und früher)
  4. Um eine Liste mit Verschlüsselungs-Suites anzugeben, fügen Sie einen neuen Zeichenfolgenwert (REG_SZ) wie folgt hinzu:
    • Fügen Sie für TLS 1.1 oder TLS 1.2 den Wert SslCiphers hinzu.
    • Fügen Sie für TLS 1.3 den Wert SslCipherSuites hinzu.
    Geben Sie die Liste von Verschlüsselungs-Suites in das Datenfeld des Registrierungswerts ein oder fügen Sie sie ein.
  5. Starten Sie den Windows-Dienst Blast neu.

Ergebnisse

Wenn der Blast Windows-Dienst startet, schreibt er die Protokoll- und Verschlüsselungsinformationen in seine Protokolldatei. Sie können die Protokolldatei untersuchen, um die gültigen Werte zu ermitteln.

Um zur Verwendung der standardmäßigen Verschlüsselungsliste zurückzukehren, löschen Sie den Registrierungswert SslCiphers oder SslCipherSuites und starten Sie den Blast Windows-Dienst neu. Löschen Sie den Datenteil des Werts nicht. Wenn Sie den Datenteil des Werts löschen, behandelt der Windows-Dienst Blast alle Verschlüsselungsverfahren entsprechend der Formatdefinition für die OpenSSL-Verschlüsselungsliste als inakzeptabel.

Hinweis: Die Standardprotokolle und Verschlüsselungs-Suites können sich gemäß der empfohlenen und ständig weiterentwickelten Vorgehensweisen für die Netzwerksicherheit ändern.