Configurar protocolos de seguridad y conjuntos de claves de cifrado para el servicio de Windows VMware Blast

Puede utilizar el Registro de Windows para configurar los conjuntos de claves de cifrado y los protocolos de seguridad que utiliza el servicio de Windows VMware Blast.

El servicio de Windows Blast admite los siguientes protocolos de seguridad, según la versión de Horizon Agent.


Versión	Protocolos admitidos	Configuración predeterminada
Horizon Agent 2312 y versiones posteriores	TLS 1.1, TLS,1.2, TLS 1.3 Nota: TLS 1.1 no se admite en modo FIPS.	En el modo no FIPS, TLS 1.2 y TLS 1.3 están habilitados. En el modo FIPS, TLS 1.2 está habilitado.
Horizon Agent 2309 y versiones anteriores	TLS 1.0, TLS 1.1, TLS 1.2	TLS 1.2 está habilitado.

En ningún caso se permiten protocolos más antiguos, como SSLv3 y versiones anteriores. Dos valores del registro, SslProtocolLow y SslProtocolHigh, determinan el rango de protocolos que acepta el servicio de Windows Blast.

Debe especificar la lista de cifrados con el formato definido en OpenSSL. Para obtener información sobre el formato adecuado de la lista de claves de cifrado, busque cadena de cifrado openssl en un navegador web. Las listas de cifrado predeterminados son las siguientes:


Protocolo	Lista de cifrados predeterminados
TLS 1.1, TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
TLS 1.3	TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

Procedimiento

Inicie el Editor del Registro de Windows.
Diríjase a la clave del registro HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config.
Para especificar el rango de protocolos, agregue dos nuevos valores de cadena (REG_SZ), SslProtocolLow y SslProtocolHigh.
Para habilitar solo un protocolo, especifique el mismo protocolo en el campo de datos para ambos valores de registro. Por ejemplo, si se establece SslProtocolLow=tls_1.3 y SslProtocolHigh=tls_1.3, el servicio de Windows Blast se configurará para que solo acepte TLS 1.3.
Nota: Si no existe un valor de registro o si sus datos no se establecen en una cadena de un protocolo admitido, se utilizará la configuración del protocolo predeterminado. Las cadenas de protocolo admitidas son las siguientes:
- tls_1.3 (solo para Horizon Agent 2312 y versiones posteriores)
- tls_1.2
- tls_1.1
- tls_1.0 (solo para Horizon Agent 2309 y versiones anteriores)
Para especificar una lista de conjuntos de claves de cifrado, agregue un nuevo valor de cadena (REG_SZ) de la siguiente forma:
- Para TLS 1.1 o TLS 1.2, agregue el valor SslCiphers.
- Para TLS 1.3, agregue el valor SslCipherSuites.
Escriba o pegue la lista de conjuntos de claves de cifrado en el campo de datos del valor del registro.
Reinicie el servicio de Windows Blast.

Resultados

Cuando se inicia el servicio de Windows Blast, este escribe el protocolo y la información de cifrado en su archivo de registro. Puede examinar el archivo de registro para determinar los valores que están en vigor.

Para volver a usar la lista de cifrados predeterminados, elimine el valor del registro SslCiphers o SslCipherSuites y reinicie el servicio de Windows Blast. No elimine la parte de datos del valor. Si elimina los datos del valor, el servicio de Windows Blast tratará entonces a todos los cifrados como no aceptables, según la definición del formato de la lista de cifrados OpenSSL.

Nota: Los conjuntos de claves de cifrado y protocolos predeterminados pueden cambiar para adaptarse a los procedimientos recomendados en lo relativo a seguridad de redes, que evolucionan constantemente.