VMware Blast Windows 서비스에 대한 보안 프로토콜 및 암호 제품군 구성

Windows 레지스트리를 사용하여 VMware Blast Windows 서비스에서 사용하는 암호 제품군 및 보안 프로토콜을 구성할 수 있습니다.

Blast Windows 서비스는 릴리스 버전의 Horizon Agent에 따라 다음과 같은 보안 프로토콜을 지원합니다.


릴리스 버전	지원되는 프로토콜	기본 설정
Horizon Agent 2312 이상	TLS 1.1, TLS,1.2, TLS 1.3 참고: TLS 1.1은 FIPS 모드에서는 지원되지 않습니다.	비 FIPS 모드에서는 TLS 1.2 및 TLS 1.3을 사용하도록 설정합니다. FIPS 모드에서는 TLS 1.2를 사용하도록 설정합니다.
Horizon Agent 2309 및 이전 버전	TLS 1.0, TLS 1.1, TLS 1.2	TLS 1.2를 사용하도록 설정합니다.

SSLv3 이하와 같은 이전 프로토콜은 허용되지 않습니다. 두 레지스트리 값 SslProtocolLow 및 SslProtocolHigh에서는 Blast Windows 서비스가 수락하는 프로토콜의 범위를 결정합니다.

OpenSSL에 정의된 형식을 사용하여 암호 목록을 지정해야 합니다. 적절한 암호 목록 형식에 대한 지침에 대해서는 웹 브라우저에서 OpenSSL 암호 문자열을 검색합니다. 기본 암호 목록은 다음과 같습니다.


프로토콜	기본 암호 목록
TLS 1.1, TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
TLS 1.3	TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

프로시저

Windows 레지스트리 편집기를 시작합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config 레지스트리 키로 이동합니다.
프로토콜 범위를 지정하려면 두 개의 새 문자열(REG_SZ) 값 SslProtocolLow 및 SslProtocolHigh를 추가합니다.
프로토콜을 하나만 사용하도록 설정하려면 두 레지스트리 값의 데이터 필드에 같은 프로토콜을 지정합니다. 예를 들어 SslProtocolLow=tls_1.3 및 SslProtocolHigh=tls_1.3을 설정하면 Blast Windows 서비스가 TLS 1.3만 수락하도록 구성됩니다.
참고: 레지스트리 값이 없거나 해당 데이터가 지원되는 프로토콜 문자열로 설정되지 않은 경우 기본 프로토콜 설정이 사용됩니다. 지원되는 프로토콜 문자열은 다음과 같습니다.
- tls_1.3(Horizon Agent 2312 이상에만 해당)
- tls_1.2
- tls_1.1
- tls_1.0(Horizon Agent 2309 및 이전 버전에만 해당)
암호 제품군 목록을 지정하려면 새 문자열(REG_SZ) 값을 다음과 같이 추가합니다.
- TLS 1.1 또는 TLS 1.2의 경우 SslCiphers 값을 추가합니다.
- TLS 1.3의 경우 SslCipherSuites 값을 추가합니다.
레지스트리 값의 데이터 필드에 암호 제품군을 입력하거나 붙여 넣습니다.
Blast Windows 서비스를 다시 시작합니다.

결과

Blast Windows 서비스가 시작될 때 프로토콜 및 암호 정보를 로그 파일에 씁니다. 로그 파일을 검사하여 적용 중인 값을 확인할 수 있습니다.

기본 암호 목록을 사용하도록 되돌리려면 SslCiphers 또는 SslCipherSuites 레지스트리 값을 삭제하고 Blast Windows 서비스를 다시 시작합니다. 값의 데이터 부분은 삭제하지 마십시오. 값의 데이터 부분을 삭제하면 Blast Windows 서비스는 OpenSSL 암호 목록 형식 정의에 따라 모든 암호를 허용할 수 없는 것으로 처리합니다.

참고: 진화하는 네트워크 보안 모범 사례에 따라 기본 프로토콜과 암호 제품군이 변경될 수 있습니다.