보안을 강화하려면 Horizon Agent를 실행하는 Windows 기반 시스템에서 SSL/TLS 프로토콜을 사용하여 통신할 때 취약한 암호를 사용하지 않도록 도메인 정책 GPO(그룹 정책 개체)를 구성하면 됩니다.
참고:
AD와 교환되는 메시지의 기밀성 문제를 방지하려면 AD에 대한 LDAP(Lightweight Directory Access Protocol) 연결을 위해 RPC 봉인을 요구하는 것이 좋습니다. 이러한 메시지를 “봉인”하면 각 메시지를 협상된 세션 키로 암호화하여 기밀성이 제공됩니다. 지금은 선택 사항이지만, Microsoft에서는 2023년 중 RPC 봉인을 적용할 계획입니다. 자세한 내용은 Microsoft KB5021130을 참조하십시오.
프로시저
- Active Directory 서버에서 GPO를 편집하려면 를 선택한 후 GPO를 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다.
- 그룹 정책 관리 편집기에서 으로 이동합니다.
- SSL Cipher Suite Order를 두 번 클릭합니다.
- SSL Cipher Suite Order 창에서 사용을 클릭합니다.
- 옵션 창에서 SSL Cipher Suite 텍스트 상자의 내용 전체를 다음 암호 목록으로 교체합니다.
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
암호 그룹은 읽기 쉽도록 별도의 행에 표시됩니다. 목록을 텍스트 상자에 붙여 넣을 때, 암호 제품군은 쉼표 뒤에 공백을 사용하지 않고 한 행에 넣어야 합니다.
중요: FIPS 모드에서는 GCM 암호 제품군만 나열합니다.
참고: 사용자 고유의 보안 정책에 맞게 이 암호 그룹 목록을 수정할 수 있습니다.
- 그룹 정책 관리 편집기를 종료합니다.
- 새 그룹 정책을 적용하려면 Horizon Agent 시스템을 다시 시작합니다.