Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
避免因 AnyConnect FIPS 注册表更改导致的终端问题
为核心 AnyConnect 客户端启用 FIPS 会更改终端上的 Windows 注册表设置。 终端的其他组件可能会
检测到 AnyConnect 已启用 FIPS 并开始使用加密。 例如,Microsoft 终端服务客户端远程桌面协议
(RDP) 将不工作,因为 RDP 要求服务器使用符合 FIPS 的加密。
检测到 AnyConnect 已启用 FIPS 并开始使用加密。 例如,Microsoft 终端服务客户端远程桌面协议
(RDP) 将不工作,因为 RDP 要求服务器使用符合 FIPS 的加密。
为避免这些问题,您可以通过将参数 Use FIPS compliant algorithms for encryption, hashing, and signing
更改为 Disabled,在 Windows Local System Cryptography 设置中临时禁用 FIPS 加密。 请注意重启终
端设备将此设置改回已启用。
更改为 Disabled,在 Windows Local System Cryptography 设置中临时禁用 FIPS 加密。 请注意重启终
端设备将此设置改回已启用。
下表显示您应了解的 AnyConnect 执行的 Windows 注册表更改:
更改
注册表项
FIPSAlgorithmPolicy 从 0 更改为 1。
HKLM\System\CurrentControlSet\ Control\Lsa
通过使用原始设置对 0x080 执行按位 OR 运算,
SecureProtocols 设置更改为 TLSV1。
SecureProtocols 设置更改为 TLSV1。
HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings
CurrentVersion\Internet Settings
通过使用原始设置对 0x080 执行按位 OR 运算,
SecureProtocols 设置更改为 TLSV1。
SecureProtocols 设置更改为 TLSV1。
这会为组策略设置 TLSv1。
HKLM\Software\Policies\Microsoft\
Windows\CurrentVersion\Internet
Windows\CurrentVersion\Internet
为 AnyConnect 核心 VPN 客户端配置 FIPS
为 AnyConnect 核心 VPN 启用 FIPS
过程
步骤 1 在 AnyConnect 配置文件编辑器中打开或创建一个 VPN 本地策略配置文件。
步骤 2 选择 FIPS Mode。
步骤 3 保存此 VPN 本地策略配置文件。
我们建议您对此配置文件进行命名来表示已启用 FIPS。
在 Windows 安装期间启用 FIPS
对于 Windows 安装,您可以将 Cisco MST 文件应用于标准 MSI 安装文件,以便在 AnyConnect 本地
策略中启用 FIPS。 有关此 MST 文件的下载位置的信息,请参阅您收到的 FIPS 的许可信息。 安装
期间将生成已启用 FIPS 的 AnyConnect 本地策略文件。 在运行此实用程序后,更新用户系统。
策略中启用 FIPS。 有关此 MST 文件的下载位置的信息,请参阅您收到的 FIPS 的许可信息。 安装
期间将生成已启用 FIPS 的 AnyConnect 本地策略文件。 在运行此实用程序后,更新用户系统。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
202
在本地策略中启用 FIPS
为 AnyConnect 核心 VPN 客户端配置 FIPS