Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
避免因 AnyConnect FIPS 注册表更改导致的终端问题
为核心 AnyConnect 客户端启用 FIPS 会更改终端上的 Windows 注册表设置。 终端的其他组件可能会
检测到 AnyConnect 已启用 FIPS 并开始使用加密。 例如,Microsoft 终端服务客户端远程桌面协议
(RDP) 将不工作,因为 RDP 要求服务器使用符合 FIPS 的加密。
检测到 AnyConnect 已启用 FIPS 并开始使用加密。 例如,Microsoft 终端服务客户端远程桌面协议
(RDP) 将不工作,因为 RDP 要求服务器使用符合 FIPS 的加密。
为避免这些问题,您可以通过将参数 Use FIPS compliant algorithms for encryption, hashing, and signing
(为加密、哈希值和签名使用符合 FIPS 的算法)更改为 Disabled(已禁用),在 Windows Local
System Cryptography(Windows 本地系统加密)设置中临时禁用 FIPS 加密。 请注意重启终端设备将
此设置改回已启用。
(为加密、哈希值和签名使用符合 FIPS 的算法)更改为 Disabled(已禁用),在 Windows Local
System Cryptography(Windows 本地系统加密)设置中临时禁用 FIPS 加密。 请注意重启终端设备将
此设置改回已启用。
下表显示您应了解的 AnyConnect 执行的 Windows 注册表更改:
更改
注册表项
FIPSAlgorithmPolicy 从 0 更改为 1。
HKLM\System\CurrentControlSet\ Control\Lsa
通过执行 0x080 与原始设置的位 OR 运算,
SecureProtocols(安全协议)设置更改为
SecureProtocols(安全协议)设置更改为
TLSV1。
HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings
CurrentVersion\Internet Settings
通过执行 0x080 与原始设置的位 OR 运算,
SecureProtocols(安全协议)设置更改为
SecureProtocols(安全协议)设置更改为
TLSV1。
这会为组策略设置 TLSv1。
HKLM\Software\Policies\Microsoft\
Windows\CurrentVersion\Internet
Windows\CurrentVersion\Internet
为 AnyConnect 核心 VPN 客户端配置 FIPS
为 AnyConnect 核心 VPN 启用 FIPS
过程
步骤 1 在 AnyConnect 配置文件编辑器中打开或创建一个 VPN 本地策略配置文件。
步骤 2 选择 FIPS Mode(FIPS 模式)。
步骤 3 保存此 VPN 本地策略配置文件。
我们建议您对此配置文件进行命名来表示已启用 FIPS。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
200
在本地策略中启用 FIPS
为 AnyConnect 核心 VPN 客户端配置 FIPS