Windows レジストリを使用して、VMware Blast Windows サービスが使用する暗号スイートとセキュリティ プロトコルを構成できます。

Blast Windows サービスは、Horizon Agentのリリース バージョンに応じて、次のセキュリティ プロトコルをサポートします。

リリース バージョン サポートされているプロトコル デフォルトの設定
Horizon Agent 2312 以降

TLS 1.1、TLS 1.2、TLS 1.3

注: TLS 1.1 は、FIPS モードではサポートされていません。
  • 非 FIPS モードでは、TLS 1.2 と TLS 1.3 が有効になります。
  • FIPS モードでは、TLS 1.2 が有効になります。
Horizon Agent 2309 以前 TLS 1.0、TLS 1.1、TLS 1.2 TLS 1.2 が有効になっています。

SSLv3 以前などの古いプロトコルは許可されません。2 つのレジストリ値(SslProtocolLowSslProtocolHigh)により、Blast Windows サービスが受け入れるプロトコルの範囲が決まります。

OpenSSL で定義されている形式で暗号化リストを指定する必要があります。暗号リストの正しい形式のガイドラインについては、Web ブラウザで openssl cipher string を検索します。デフォルトの暗号リストは次のとおりです。

プロトコル デフォルトの暗号リスト
TLS 1.1、TLS 1.2 
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
TLS 1.3 
TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

手順

  1. Windows レジストリ エディタを開始します。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config レジストリ キーに移動します。
  3. プロトコルの範囲を指定するには、2 つの新しい文字列 (REG_SZ) 値(SslProtocolLowSslProtocolHigh)を追加します。
    プロトコルの 1 つだけを有効にするには、両方のレジストリ値のデータ フィールドに同じプロトコルを指定します。たとえば、 SslProtocolLow=tls_1.3SslProtocolHigh=tls_1.3 を設定すると、Blast Windows サービスが TLS 1.3 のみを受け入れるように構成されます。
    注: レジストリ値が存在しない場合、またはそのデータがサポート対象プロトコルの文字列に設定されていない場合、デフォルトのプロトコル設定が使用されます。サポートされているプロトコル文字列は次のとおりです。
    • tls_1.3Horizon Agent 2312 以降のみ)
    • tls_1.2
    • tls_1.1
    • tls_1.0Horizon Agent 2309 以前のみ)
  4. 暗号スイートのリストを指定するには、次のように新しい文字列 (REG_SZ) 値を追加します。
    • TLS 1.1 または TLS 1.2 の場合は、SslCiphers 値を追加します。
    • TLS 1.3 の場合は、SslCipherSuites 値を追加します。
    レジストリ値のデータ フィールドに暗号スイートのリストを入力するか貼り付けます。
  5. Blast Windows サービスを再起動します。

結果

Blast Windows サービスが起動すると、プロトコルと暗号化の情報がログ ファイルに書き込まれます。ログ ファイルを調べると、有効になっている値を判断できます。

デフォルトの暗号化リストを使用するように戻すには、SslCiphers または SslCipherSuites レジストリ値を削除して、Blast Windows サービスを再起動します。値のデータ部分は削除しないでください。値のデータ部分を削除すると、Blast Windows サービスは、OpenSSL 暗号化リスト形式の定義に従って、すべての暗号化を許可しなくなります。

注: デフォルトのプロトコルと暗号スイートは、ネットワーク セキュリティのベスト プラクティスの進展に伴い、変更される可能性があります。