Sie können eine digitale Signatur verwenden, um RDP-Dateien zu signieren, die für RemoteApp-Verbindungen mit dem Host für Remotedesktopsitzungen-Server verwendet werden. Hierzu gehören auch die RDP-Dateien, die für Verbindungen über Web Access für Remotedesktop mit RemoteApp-Programme und mit dem Desktop eines Host für Remotedesktopsitzungen-Servers verwendet werden.

Wichtig

Um mithilfe einer digital signierten RDP-Datei eine Verbindung mit einem RemoteApp-Programm herzustellen, muss mindestens Remotedesktopclient 6.1 (Remote Desktop Client, RDC) auf dem Client ausgeführt werden. (Der RDC 6.1-Client unterstützt das Remotedesktopprotokoll 6.1.)

Wenn Sie ein digitales Zertifikat verwenden, stellt die kryptografische Signatur der Verbindungsdatei überprüfbare Informationen zu Ihrer Identität als deren Herausgeber bereit. Dadurch können Clients Ihr Unternehmen als Quelle des RemoteApp-Programm oder der Remotedesktopverbindung identifizieren und anhand dieser Informationen dann besser entscheiden, ob sie die Verbindung starten oder nicht. Auf diese Weise wird ein gewisser Schutz vor RDP-Dateien geboten, die von einem böswilligen Benutzer geändert wurden.

RDP-Dateien, die für RemoteApp-Verbindungen verwendet werden, können mithilfe eines Serverauthentifizierungszertifikats [SSL-Zertifikat (Secure Sockets Layer)], eines Codesignaturzertifikats oder eines speziell definierten RDP-Signaturzertifikats (Remotedesktopprotokoll) signiert werden. SSL- und Codesignaturzertifikate können von öffentlichen Zertifizierungsstellen oder von einer Unternehmenszertifizierungsstelle in Ihrer PKI-Hierarchie abgerufen werden. Bevor Sie ein RDP-Signaturzertifikat verwenden können, müssen Sie eine Zertifizierungsstelle in Ihrem Unternehmen für das Ausstellen von RDP-Signaturzertifikaten konfigurieren.

Wenn Sie bereits ein SSL-Zertifikat für Host für Remotedesktopsitzungen-Server- oder RD-Gatewayverbindungen verwenden, können Sie dasselbe Zertifikat zum Signieren von RDP-Dateien verwenden. Wenn Benutzer jedoch über öffentliche oder private Computer Verbindungen mit RemoteApp-Programme herstellen, müssen sie eines der folgenden Zertifikate verwenden:

  • Ein Zertifikat einer öffentlichen Zertifizierungsstelle, die am Microsoft-Programm für Stammzertifikate teilnimmt (https://go.microsoft.com/fwlink/?LinkID=59547, möglicherweise in englischer Sprache)

  • Wenn Sie eine Unternehmenszertifizierungsstelle verwenden, muss das von der Unternehmenszertifizierungsstelle ausgestellte Zertifikat von einer öffentlichen Zertifizierungsstelle mitsigniert werden, die am Microsoft-Programm für Stammzertifikate teilnimmt.

Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe auf dem zu konfigurierenden Hostserver für Remotedesktopsitzungen sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477.

So konfigurieren Sie das digitale Zertifikat für die Verwendung
  1. Öffnen Sie auf dem Hostserver für Remotedesktopsitzungen den RemoteApp-Manager. Klicken Sie zum Öffnen von RemoteApp-Manager auf Start, zeigen Sie auf Verwaltung, zeigen Sie auf Remotedesktopdienste, und klicken Sie dann auf RemoteApp-Manager.

  2. Klicken Sie im Aktionsbereich der RemoteApp-Manager auf Einstellungen für digitale Signatur. (Oder klicken Sie im Übersichtsbereich neben Einstellungen für digitale Signatur auf Ändern.)

  3. Aktivieren Sie das Kontrollkästchen Mit einem digitalen Zertifikat signieren.

  4. Klicken Sie im Feld Details zu digitalem Zertifikat auf Ändern.

  5. Wählen Sie im Dialogfeld Zertifikat auswählen das gewünschte Zertifikat aus, und klicken Sie dann auf OK.

    Hinweis

    Das Dialogfeld Zertifikat auswählen enthält Zertifikate, die sich im Zertifikatspeicher des lokalen Computers oder in Ihrem persönlichen Zertifikatspeicher befinden. Das Zertifikat, das Sie verwenden möchten, muss sich in einem dieser Speicher befinden.

Verwenden von Gruppenrichtlinieneinstellungen zur Steuerung des Clientverhaltens beim Öffnen einer digital signierten RDP-Datei

Sie können die Gruppenrichtlinie verwenden, um Clients so zu konfigurieren, dass sie RemoteApp-Programme eines bestimmten Herausgebers als vertrauenswürdig einstufen. Außerdem können Sie konfigurieren, ob Clients RemoteApp-Programme und Remotedesktopverbindungen von externen oder unbekannten Quellen blockieren. Mithilfe dieser Richtlinieneinstellungen können Sie die Anzahl und Komplexität der Sicherheitsentscheidungen verringern, mit denen die Benutzer konfrontiert sind. Auf diese Weise wird auch die Wahrscheinlichkeit versehentlicher Benutzeraktionen vermindert, die zu einem Sicherheitsrisiko führen können.

Folgende Gruppenrichtlinieneinstellungen sind relevant:

  • SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen

  • RDP-Dateien von gültigen Herausgebern und standardmäßige RDP-Einstellungen des Benutzers zulassen

  • RDP-Dateien von unbekannten Herausgebern zulassen

Diese Gruppenrichtlinieneinstellungen befinden sich unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopverbindungs-Client und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopverbindungs-Client.

Diese Gruppenrichtlinieneinstellungen können mit dem Editor für lokale Gruppenrichtlinien oder der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) konfiguriert werden.

Weitere Informationen zu den Gruppenrichtlinieneinstellungen für Remotedesktopdienste finden Sie in der technischen Referenz für die Remotedesktopdienste unter https://go.microsoft.com/fwlink/?LinkId=138134 (möglicherweise in englischer Sprache).

Weitere Verweise


Inhaltsverzeichnis