為獲得更佳的安全性,您可設定網域原則群組原則物件 (GPO),以確保執行 Horizon Agent 的 Windows 機器不會在使用 TLS 通訊協定通訊時使用弱加密。

備註:

為避免與 AD 交換的訊息可能出現機密性問題,我們建議您需要對 LDAP 與 AD 的連線進行 RPC 密封。「密封」這些訊息可提供機密性,因為系統會使用所交涉的工作階段金鑰來加密每一則訊息。儘管目前是選用的,但 Microsoft 確實計劃在 2023 年某個時機強制執行 RPC 密封。如需詳細資料,請參閱 Microsoft 知識庫文章 5021130

程序

  1. 若要編輯 Active Directory 伺服器上的 GPO,請選取開始 > 系統管理工具 > 群組原則管理,以滑鼠右鍵按一下 GPO,然後選取編輯
  2. 在群組原則管理編輯器中,導覽至電腦設定 > 原則 > 系統管理範本 > 網路 > SSL 組態設定
  3. 按兩下 SSL 加密套件順序
  4. 在 [SSL 加密套件順序] 視窗中,按一下啟用
  5. 在 [選項] 窗格中,以下列加密清單取代 [SSL 加密套件] 文字方塊的所有內容。 
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    加密套件會顯示在個別的行上以方便讀取。當您將清單貼在文字方塊內時,加密套件必須位於一行中且逗點後不含空格。
    重要: 在 FIPS 模式中,僅會列出 GCM 加密套件。
    備註: 您可以修改此加密套件清單,以符合您自己的安全性原則。
  6. 結束群組原則管理編輯器。
  7. 若要讓新的群組原則生效,請重新啟動 Horizon Agent 機器。