Pour renforcer la sécurité, vous pouvez configurer le GPO (objet de stratégie de groupe) de la stratégie du domaine pour vous assurer que les machines Windows exécutant Horizon Agent n'utilisent pas de chiffrements faibles lorsqu'elles communiquent à l'aide du protocole TLS.
Note :
Pour éviter d'éventuels problèmes de confidentialité avec les messages échangés avec AD, nous vous recommandons d'utiliser le scellement RPC requis pour les connexions LDAP à AD. Le « scellement » de ces messages garantit la confidentialité en chiffrant chaque message avec une clé de session négociée. Bien que cela soit actuellement facultatif, Microsoft prévoit d'imposer le scellement RPC dans le courant de 2023. Pour plus d'informations, reportez-vous à l'article 5021130 de la base de connaissances de Microsoft.
Procédure
- Pour modifier le GPO sur le serveur Active Directory, sélectionnez , cliquez avec le bouton droit sur le GPO, puis sélectionnez Modifier.
- Dans l'Éditeur de gestion de stratégie de groupe, accédez à .
- Double-cliquez sur Ordre des suites de chiffrement SSL.
- Dans la fenêtre Ordre des suites de chiffrement SSL cliquez sur Activé.
- Dans le volet Options, remplacez la totalité du contenu du champ Suites de chiffrement SSL avec la liste de chiffrement suivante :
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
Les suites de chiffrement s'affichent sur des lignes distinctes à des fins de lisibilité. Lorsque vous collez la liste dans le champ de texte, les suites de chiffrement doivent être sur une même ligne, sans espaces après les virgules.
Important : En mode FIPS, ne répertoriez que les suites de chiffrement GCM.
Note : Vous pouvez modifier cette liste de suites de chiffrement pour l'adapter à votre propre stratégie de sécurité.
- Quittez l'éditeur de la gestion des règles du groupe.
- Pour que la nouvelle stratégie de groupe prenne effet, redémarrez les machines Horizon Agent.