Soubory RDP sloužící k připojování k virtuálním plochám prostřednictvím nástroje Připojení k aplikacím RemoteApp a vzdálené ploše je možné podepisovat pomocí digitálních podpisů. Týká se to souborů RDP používaných pro připojení k fondům virtuálních ploch a k osobním virtuálním plochám.

Důležité informace

Aby se mohl klient připojit k virtuální ploše pomocí digitálně podepsaného souboru RDP, musí v něm být spuštěn klient Připojení ke vzdálené ploše (RDC) alespoň verze 6.1. (Klient Připojení ke vzdálené ploše 6.1 podporuje protokol Remote Desktop Protocol 6.1.)

Použijete-li digitální certifikát, poskytne kryptografický podpis v souboru RDP ověřitelné informace o vaší totožnosti jako jeho vydavatele. To umožní klientům rozpoznat vaši organizaci jako zdroj připojení k virtuální ploše, kvalifikovaně posoudit důvěryhodnost zdroje a rozhodnout, zda spustit připojení. Přispívá to k ochraně před použitím souborů RDP, které byly pozměněny uživatelem se zlými úmysly.

Soubory RDP používané pro připojení k virtuální ploše je možné podepsat pomocí ověřovacího certifikátu serverů (certifikátu SSL (Secure Sockets Layer)), pomocí certifikátu pro podpis kódu nebo pomocí speciálně definovaného podpisového certifikátu protokolu RDP (Remote Desktop Protocol). Certifikáty SSL a certifikáty pro podpis kódu můžete získat od veřejných certifikačních autorit nebo od podnikové certifikační autority ve vaší hierarchii infrastruktury veřejných klíčů. Chcete-li používat podpisové certifikáty protokolu RDP, musíte nejprve nakonfigurovat ve vašem podniku certifikační autoritu pro vydávání podpisových certifikátů protokolu RDP.

Pokud již používáte certifikát SSL pro připojení k serveru Hostitel relací vzdálené plochy (hostitel relací VP) nebo ke službě Brána VP, můžete použít stejný certifikát k podepisování souborů RDP. Pokud se však uživatelé budou připojovat k virtuálním plochám z veřejných nebo domácích počítačů, musíte použít některou z následujících možností:

  • Certifikát vydaný veřejnou certifikační autoritou, která je účastníkem programu Microsoft Root Certificate Program Members (https://go.microsoft.com/fwlink/?LinkID=59547 (stránka může být v angličtině)).

  • Používáte-li podnikovou certifikační autoritu, musí být certifikát vydaný touto autoritou současně podepsán veřejnou certifikační autoritou, která je účastníkem programu Microsoft Root Certification Program Members.

Následujícím postupem můžete nakonfigurovat digitální certifikát určený k podepisování souborů RDP pro připojení k virtuálním plochám.

Tento postup mohou provádět pouze členové místní skupiny Administrators nebo uživatelé s ekvivalentními oprávněními na serveru Zprostředkovatele připojení k VP, který chcete konfigurovat. Na adrese https://go.microsoft.com/fwlink/?LinkId=83477 zkontrolujte podrobnosti o používání příslušných účtů a členství ve skupině.

Postup konfigurace digitálního certifikátu k použití
  1. Na serveru Zprostředkovatele připojení k VP spusťte Správce připojení k vzdálené ploše. Chcete-li otevřít Správce připojení k vzdálené ploše, klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu, přejděte na položku Vzdálená plocha a potom klikněte na položku Správce připojení k vzdálené ploše.

  2. V levém podokně klikněte na položku Hostitelské servery virtualizace VP a potom v nabídce Akce klikněte na příkaz Vlastnosti.

  3. V dialogovém okně Vlastnosti virtuálních ploch zaškrtněte na kartě Digitální podpis políčko Podepsat digitálním certifikátem.

  4. V poli Podrobnosti o digitálním certifikátu klikněte na možnost Vybrat.

  5. V dialogovém okně Vybrat certifikát vyberte certifikát, který chcete použít, a klikněte na tlačítko OK.

    Poznámka

    V dialogovém okně Vybrat certifikát se zobrazí certifikáty, které jsou umístěny v úložišti certifikátů místního počítače nebo v osobním úložišti certifikátů. Certifikát, který chcete použít, musí být umístěn v jednom z těchto úložišť.

  6. Po dokončení nastavení zavřete kliknutím na tlačítko OK dialogové okno Vlastnosti virtuálních ploch.

Další informace o zabezpečení nástroje Připojení k aplikacím RemoteApp a vzdálené ploše naleznete v tématu Informace o zabezpečení nástroje Připojení k aplikacím RemoteApp a vzdálené ploše.

Použití nastavení zásad skupiny k řízení chování klientů při otevření digitálně podepsaného souboru RDP

Pomocí zásad skupiny můžete nakonfigurovat klienty tak, aby vždy považovali připojení k virtuálním plochám od určitého vydavatele za důvěryhodná. Můžete také nastavit, zda budou klienti blokovat připojení ke vzdálené ploše pocházející z externích nebo neznámých zdrojů. Pomocí těchto nastavení zásad můžete omezit množství a složitost rozhodování uživatelů týkajících se zabezpečení. Zmenší se tak možnost neúmyslných akcí uživatelů, které by mohly vést k ohrožení zabezpečení.

Příslušná nastavení zásad skupiny jsou následující:

  • Zadat kryptografické otisky certifikátů SHA1 představující důvěryhodné vydavatele souborů RDP

  • Povolit soubory RDP od platných vydavatelů a výchozí nastavení uživatele pro soubory RDP

  • Povolit soubory RDP od neznámých vydavatelů

Tato nastavení zásad skupiny naleznete zde: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Klient Připojení ke vzdálené plošeKonfigurace uživatele\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Klient Připojení ke vzdálené ploše.

Tato nastavení zásad skupiny lze nakonfigurovat pomocí Editoru objektů místních zásad skupiny nebo pomocí Konzoly pro správu zásad skupiny (GPMC).

Další informace o nastavení zásad skupiny pro Vzdálenou plochu naleznete v technických odkazech pro Vzdálenou plochu (https://go.microsoft.com/fwlink/?LinkId=138134 (Stránka může být v angličtině.)).

Další informace


Obsah