Vous pouvez utiliser le registre Windows pour configurer les suites de chiffrement et les protocoles de sécurité que le service VMware Blast Windows utilise.

Le service Blast Windows prend en charge les protocoles de sécurité suivants, en fonction de la version commerciale d'Horizon Agent.

Version commerciale Protocoles pris en charge Paramètres par défaut
Horizon Agent 2312 et versions ultérieures

TLS 1.1, TLS 1.2 et TLS 1.3

Note : TLS 1.1 n'est pas pris en charge en mode FIPS.
  • En mode non-FIPS, TLS 1.2 et TLS 1.3 sont activés.
  • En mode FIPS, TLS 1.2 est activé.
Horizon Agent 2309 et versions antérieures TLS 1.0, TLS 1.1 et TLS 1.2 TLS 1.2 est activé.

Les anciens protocoles, tels que SSLv3 et versions antérieures, ne sont jamais autorisés. Deux valeurs du registre, SslProtocolLow et SslProtocolHigh, déterminent la plage de protocoles que le service Blast Windows accepte.

Vous devez spécifier la liste de chiffrements en utilisant le format défini dans OpenSSL. Pour plus d'instructions sur le format de la liste de chiffrements approprié, recherchez openssl cipher string dans un navigateur Web. Les listes de chiffrement par défaut sont les suivantes :

Protocole Liste de chiffrements par défaut
TLS 1.1, TLS 1.2 
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
TLS 1.3 
TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

Procédure

  1. Démarrez l'éditeur du Registre Windows.
  2. Accédez à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config.
  3. Pour spécifier la plage de protocoles, ajoutez deux nouvelles valeurs de chaîne (REG_SZ), SslProtocolLow et SslProtocolHigh.
    Pour activer un seul protocole, spécifiez le même protocole dans le champ de données pour les deux valeurs de registre. Par exemple, les paramètres SslProtocolLow=tls_1.3 et SslProtocolHigh=tls_1.3 configurent le service blast Windows pour qu'il accepte uniquement TLS 1.3.
    Note : Si une valeur du registre n'existe pas ou si ses données ne sont pas définies sur une chaîne de protocoles prise en charge, les paramètres de protocoles par défaut sont utilisés. Les chaînes de protocoles prises en charge sont les suivantes :
    • tls_1.3 (uniquement pour Horizon Agent 2312 et versions ultérieures)
    • tls_1.2
    • tls_1.1
    • tls_1.0 (uniquement pour Horizon Agent 2309 et versions antérieures)
  4. Pour spécifier une liste de suites de chiffrements, ajoutez une nouvelle valeur de chaîne (REG_SZ) comme suit :
    • Pour TLS 1.1 ou TLS 1.2, ajoutez la valeur SslCiphers.
    • Pour TLS 1.3, ajoutez la valeur SslCipherSuites.
    Saisissez ou collez la liste de suites de chiffrement dans le champ de données de la valeur de registre.
  5. Redémarrez le service Blast Windows.

Résultats

Lorsqu'il démarre, le service Blast Windows écrit les informations sur le protocole et le chiffrement dans son fichier journal. Vous pouvez examiner le fichier journal pour déterminer les valeurs qui sont en vigueur.

Pour reprendre l'utilisation de la liste de chiffrements par défaut, supprimez la valeur de registre SslCiphers ou SslCipherSuites et redémarrez le service Blast Windows. Ne supprimez pas la partie données de la valeur. Si vous supprimez la partie données de la valeur, le service Blast Windows traite tous les chiffrements comme étant inacceptables, conformément à la définition de format de la liste de chiffrements OpenSSL.

Note : Les protocoles et les suites de chiffrement par défaut peuvent changer en fonction de l'évolution des meilleures pratiques concernant la sécurité du réseau.