Para conseguir una mayor seguridad, puede configurar el objeto de directiva de grupo (GPO) de forma que los equipos basados en Windows que ejecutan View Agent o Horizon Agent no usen cifrados débiles cuando se comuniquen con el protocolo TLS.

Nota:

Para evitar posibles problemas de confidencialidad con los mensajes que se intercambian con AD, le recomendamos que exija el sellado RPC para las conexiones LDAP a AD. El "sellado" de estos mensajes proporciona confidencialidad al cifrar cada mensaje con una clave de sesión negociada. Aunque actualmente es opcional, Microsoft tiene pensado aplicar el sellado RPC en algún momento de 2023. Consulte más información en el artículo KB5021130 de Microsoft.

Procedimiento

  1. Para editar el GPO en el servidor de Active Directory, seleccione Inicio > Herramientas administrativas > Administración de directivas de grupo, haga clic con el botón secundario en el GPO y seleccione Editar.
  2. En el Editor de administración de directivas de grupo, diríjase a Configuración del equipo > Directivas > Plantillas administrativas > Red > Opciones de configuración SSL.
  3. Haga doble clic en Orden de conjuntos de cifrado SSL.
  4. En la ventana Orden de conjuntos de cifrado SSL, haga clic en Habilitado.
  5. En el panel Opciones, reemplace todo el contenido del cuadro de texto Conjunto de claves de cifrado SSL por la siguiente lista de cifrado:
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    Los conjuntos de claves de cifrado aparecen en líneas separadas para facilitar la lectura. Cuando copie la lista en el cuadro de texto, los conjuntos de claves de cifrado deben estar en una línea y sin espacios después de las comas.
    Importante: En el modo FIPS, muestre solo los conjuntos de claves de cifrado de GCM.
    Nota: Puede modificar esta lista de conjuntos de claves de cifrado para que se adapte a su propia directiva de seguridad.
  6. Salga del Editor de administración de directivas de grupo.
  7. Para que se aplique la nueva directiva de grupo, reinicie las máquinas de Horizon Agent.