Zur Erhöhung der Sicherheit können Sie das Domänenrichtlinien-Gruppenrichtlinienobjekt (GPO, Group Policy Object) so konfigurieren, dass Windows-basierte Maschinen, die Horizon Agent ausführen, keine schwachen Verschlüsselungen für die Kommunikation mithilfe des TLS-Protokolls verwenden.

Hinweis:

Zur Vermeidung möglicher Vertraulichkeitsprobleme bei Nachrichten, die mit AD ausgetauscht werden, wird empfohlen, RPC-Versiegelung für LDAP-Verbindungen mit AD anzufordern. Durch die „Versiegelung“ dieser Nachrichten wird Vertraulichkeit hergestellt, indem jede Nachricht mit einem ausgehandelten Sitzungsschlüssel verschlüsselt wird. Microsoft plant, die derzeit optionale RPC-Versiegelung im Laufe des Jahres 2023 zu erzwingen. Weitere Informationen finden Sie unter Microsoft KB5021130.

Prozedur

  1. Um das GPO auf dem Active Directory-Server zu bearbeiten, wählen Sie Start > Administrative Tools > Gruppenrichtlinienverwaltung, klicken Sie mit der rechten Maustaste auf das GPO und wählen Sie Bearbeiten aus.
  2. Im Editor der Gruppenrichtlinienverwaltung wechseln Sie zu Computer Computerkonfiguration > Richtlinien > Administratorvorlagen > Netzwerk > SSL-Konfigurationseinstellungen.
  3. Doppelklicken Sie auf Reihenfolge der SSL-Verschlüsselungs-Suites.
  4. Im Fenster „Reihenfolge der SSL-Verschlüsselungs-Suites“ klicken Sie auf Aktiviert.
  5. Im Bereich „Optionen“ ersetzen Sie den gesamten Inhalt des Textfeldes „SSL-Verschlüsselungs-Suites“ mit der folgenden Verschlüsselungsliste: 
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    Die Verschlüsselungs-Suites werden zur Verbesserung der Lesbarkeit in getrennten Zeilen angezeigt. Wenn Sie die Liste in das Textfeld einfügen, müssen die Verschlüsselungs-Suites in einer Zeile ohne Leerzeichen nach den einzelnen Trennkommas enthalten sein.
    Wichtig: Listen Sie im FIPS-Modus nur GCM-Verschlüsselungs-Suites auf.
    Hinweis: Sie können diese Liste der Verschlüsselungs-Suites entsprechend Ihrer eigenen Sicherheitsrichtlinie ändern.
  6. Beenden Sie den Editor der Gruppenrichtlinienverwaltung.
  7. Damit die neue Gruppenrichtlinie wirksam werden kann, starten Sie die Horizon Agent-Maschinen neu.