Met een digitale handtekening kunt u RDP-bestanden ondertekenen die worden gebruikt voor RemoteApp-verbindingen met de Extern bureaublad-sessiehost-server. Hiertoe behoren ook RDP-bestanden die worden gebruikt voor verbindingen via RAD-webtoegang naar RemoteApp-programma's-programma's en naar het bureaublad van de Extern bureaublad-sessiehost-server.

Belangrijk

Op een clientcomputer die met een digitaal ondertekend RDP-bestand verbinding wil maken met een RemoteApp-programma, moet ten minste Remote Desktop Client (RDC) 6.1 worden uitgevoerd. (De RDC 6.1-client ondersteunt Remote Desktop Protocol 6.1.)

Als u een digitaal certificaat gebruikt, bevat de cryptografische handtekening in het verbindingsbestand informatie over uw identiteit als uitgever, die kan worden geverifieerd Zo kunnen clients uw organisatie herkennen als de bron van het RemoteApp-programma of de verbinding met een extern bureaublad en daardoor weten of zij de verbinding veilig kunnen starten. Dit biedt bescherming tegen het gebruik van RDP-bestanden die zijn veranderd door een kwaadwillende gebruiker.

RDP-bestanden die voor RemoteApp-verbindingen worden gebruikt, kunt u ondertekenen met een certificaat voor serververificatie [SSL-certificaat (Secure Sockets Layer)], een certificaat voor de ondertekening van programmacode of een speciaal gedefinieerd RDP-handtekeningcertificaat (Remote Desktop Protocol). SSL-certificaten en certificaten voor de ondertekening van programmacode kunt u verkrijgen bij openbare certificeringsinstanties (CA's) of een ondernemingscertificeringsinstantie in de hiërarchie van uw openbare-sleutelinfrastructuur. Voordat u een RDP-handtekeningcertificaat kunt gebruiken, moet u in uw onderneming een certificeringsinstantie configureren voor het uitgeven van RDP-handtekeningcertificaten.

Als u al een SSL-certificaat gebruikt voor Extern bureaublad-sessiehost-server- of RD-gateway-verbindingen, kunt u hetzelfde certificaat gebruiken voor het ondertekenen van RDP-bestanden. Als gebruikers echter verbinding met RemoteApp-programma's maken vanaf openbare computers of thuiscomputers, moet u een van de volgende certificaten gebruiken:

  • Een certificaat van een openbare certificeringsinstantie die deelneemt aan het Microsoft Basiscertificaatprogramma voor leden (https://go.microsoft.com/fwlink/?LinkID=59547).

  • Als u gebruikmaakt van een ondernemingscertificeringsinstantie, moet het certificaat dat door uw ondernemingscertificeringsinstantie is uitgegeven, ook zijn ondertekend door een openbare certificeringsinstantie die deelneemt aan het Microsoft Basiscertificaatprogramma voor leden.

U kunt deze procedure alleen uitvoeren als u op de Extern bureaublad-sessiehostserver die u wilt configureren, minimaal lid bent van de lokale groep Administrators of over gelijkwaardige rechten beschikt. Bekijk de details over het gebruik van de juiste accounts en groeplidmaatschappen op https://go.microsoft.com/fwlink/?LinkId=83477.

Het digitale certificaat configureren

  1. Open RemoteApp-beheer op de Extern bureaublad-sessiehostserver. U opent RemoteApp-beheer als volgt: klik op Start, ga naar Systeembeheer, ga naar Extern bureaublad-services en klik vervolgens op RemoteApp-beheer.

  2. Klik in het deelvenster Acties van RemoteApp-beheer op Instellingen voor digitale handtekeningen. (Of klik in het deelvenster Overzicht naast Instellingen voor digitale handtekeningen op Wijzigen.)

  3. Schakel het selectievakje Ondertekenen met een digitaal certificaat in.

  4. Klik in het vak Details van digitaal certificaat op Wijzigen.

  5. Selecteer in het dialoogvenster Certificaat selecteren het certificaat dat u wilt gebruiken en klik vervolgens op OK.

    Opmerking

    In het dialoogvenster Certificaat selecteren worden de certificaten ingevuld die zich bevinden in het certificaatarchief van de lokale computer of in uw persoonlijk certificaatarchief. Het certificaat dat u wilt gebruiken, moet zich in een van deze twee archieven bevinden.

Het gedrag van een client bij het openen van een digitaal ondertekend RDP-bestand bepalen met groepsbeleidsinstellingen

Met Groepsbeleid kunt u clients zodanig configureren dat ze RemoteApp-programma's van een bepaalde uitgever altijd als vertrouwd herkennen. U kunt ook instellen dat clients RemoteApp-programma's en verbindingen met een extern bureaublad van externe of onbekende bronnen blokkeren. Als u deze beleidsinstellingen gebruikt, kunnen gebruikers eenvoudiger beslissen of een verbinding veilig is. Hierdoor wordt de kans dat onopzettelijke acties van gebruikers tot beveiligingsproblemen leiden, verminderd.

De relevante Groepsbeleidsinstellingen zijn:

  • SHA1-vingerafdrukken opgeven van certificaten die vertrouwde RDP-uitgevers vertegenwoordigen

  • RDP-bestanden van geldige uitgevers en de standaard-RDP-instellingen van de gebruiker toestaan

  • RDP-bestanden van onbekende uitgevers toestaan

Deze Groepsbeleidsinstellingen bevinden zich in Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client en User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.

Deze groepsbeleidsinstellingen kunnen worden geconfigureerd met de editor voor lokaal groepsbeleid of de console Groepsbeleidsbeheer.

Ga naar de technische naslaginformatie van Extern bureaublad-services (https://go.microsoft.com/fwlink/?LinkId=138134, mogelijk in het Engels) voor meer informatie over groepsbeleidsinstellingen voor Extern bureaublad-services.

Aanvullende naslaginformatie

Inhoudsopgave