Cisco Cisco AnyConnect Secure Mobility Client v3.x Prospecto
• ASA가 SSL 및 IPsec용으로 다른 서버 인증서를 사용하여 구성된 경우, 신뢰할 수 있는 인증서를
사용하십시오. IPsec 및 SSL 인증서가 서로 다른 Suite B(ECDSA) 신뢰할 수 없는 인증서를 사용
하는 경우 포스처 평가, WebLaunch 또는 다운로더 오류가 발생할 수 있습니다.
하는 경우 포스처 평가, WebLaunch 또는 다운로더 오류가 발생할 수 있습니다.
AnyConnect FIPS 레지스트리 변경으로 인한 엔드포인트 문제 방지
코어 AnyConnect 클라이언트에 대한 FIPS를 활성화하면 엔드포인트에서 Windows 레지스트리 설정
이 변경됩니다. 엔드포인트의 다른 구성 요소는 AnyConnect가 FIPS를 활성화하고 암호화 사용을 시
작한 것을 탐지할 수 있습니다. 예를 들어 RDP에서는 서버가 FIPS 규정 준수 암호화를 사용해야 하므
로 Microsoft 터미널 서비스 클라이언트의 RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜)가
작동하지 않습니다.
이 변경됩니다. 엔드포인트의 다른 구성 요소는 AnyConnect가 FIPS를 활성화하고 암호화 사용을 시
작한 것을 탐지할 수 있습니다. 예를 들어 RDP에서는 서버가 FIPS 규정 준수 암호화를 사용해야 하므
로 Microsoft 터미널 서비스 클라이언트의 RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜)가
작동하지 않습니다.
이러한 문제를 방지하기 위해 암호화, 해싱 및 서명에 대해 FIPS 규정 준수 알고리즘 사용 매개변수
를 비활성화로 변경하여 Windows Local System Cryptography(Windows 로컬 시스템 암호화) 설정에서
FIPS 암호화를 일시적으로 비활성화할 수 있습니다. 엔드포인트 디바이스를 재부팅하여 이 설정을
다시 활성화 상태로 변경할 수 있다는 점에 유의하십시오.
를 비활성화로 변경하여 Windows Local System Cryptography(Windows 로컬 시스템 암호화) 설정에서
FIPS 암호화를 일시적으로 비활성화할 수 있습니다. 엔드포인트 디바이스를 재부팅하여 이 설정을
다시 활성화 상태로 변경할 수 있다는 점에 유의하십시오.
다음 표에서는 사용자가 알아야 할 AnyConnect의 Windows 레지스트리 변경사항을 보여줍니다.
변경
레지스트리 키
FIPSAlgorithmPolicy는 0에서 1로 변경되었습니
다.
다.
HKLM\System\CurrentControlSet\ Control\Lsa
SecureProtocols 설정이 원래 설정대로 0x080의
비트 “or”을 수행하여 TLSV1으로 변경되었습
니다.
비트 “or”을 수행하여 TLSV1으로 변경되었습
니다.
HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings
CurrentVersion\Internet Settings
SecureProtocols 설정이 원래 설정대로 0x080의
비트 “or”을 수행하여 TLSV1으로 변경되었습
니다.
비트 “or”을 수행하여 TLSV1으로 변경되었습
니다.
이렇게 하면 그룹 정책에 대해 TLSv1이 설정됩
니다.
니다.
HKLM\Software\Policies\Microsoft\
Windows\CurrentVersion\Internet
Windows\CurrentVersion\Internet
Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1
230
로컬 정책에서 FIPS 활성화
AnyConnect FIPS에 대한 지침