Você pode usar uma assinatura digital para assinar arquivos .rdp usados para conexões do RemoteApp com o servidor de terminal. Isso inclui os arquivos .rdp usados para conexões por meio do TS Web Access para programas RemoteApp e para a área de trabalho do servidor de terminal.

Importante

Para conectar um programa RemoteApp usando um arquivo .rdp assinado digitalmente, o cliente deve executar o Remote Desktop Client (RDC) 6.1. (O cliente RDC 6.1 oferece suporte ao Remote Desktop Protocol 6.1.)

Se você usar um certificado digital, a assinatura criptografada no arquivo de conexão fornece informações verificáveis sobre sua identidade como editor. Isso permite que os clientes reconheçam sua organização como a fonte do programa RemoteApp ou da conexão de área de trabalho remota, e permite que eles estejam mais bem informados quando tiverem que decidir se devem ou não iniciar a conexão. Isso ajuda a proteger contra o uso de arquivos .rdp alterados por um usuário mal-intencionado.

Você pode assinar arquivos .rdp usados para conexões do RemoteApp usando um certificado de autenticação de servidor [certificado SSL], um certificado de assinatura de código ou um certificado de assinatura do Remote Desktop Protocol (RDP) definido especialmente. Você pode obter certificados SSL e de assinatura de código em autoridades de certificação públicas (CAs) ou em uma CA corporativa na sua hierarquia de infra-estrutura de chave pública. Antes de usar um certificado de assinatura RDP, você deve configurar uma CA na sua corporação para emitir os certificados de assinatura de RDP. Para obter mais informações, consulte o Windows Server 2008Guia de Implantação dos Serviços de Terminal (https://go.microsoft.com/fwlink/?LinkId=79603).

Se já estiver usando um certificado SSL para o servidor de terminal ou para conexões de Gateway TS, pode usar o mesmo certificado para assinar arquivos .rdp. Porém, se os usuários forem se conectar aos programas de RemoteApp a partir de computadores públicos ou residenciais, você deve usar uma destas opções:

  • Um certificado de uma CA pública que participe do programa Microsoft Root Certificate Program Members (https://go.microsoft.com/fwlink/?LinkID=59547).

  • Se estiver usando uma CA corporativa, o certificado emitido pela CA corporativa deve ser co-assinado por uma CA pública que participe do programa Microsoft Root Certification Program Members.

Para configurar o certificado digital para uso

  1. No painel Ações do TS RemoteApp Manager, clique em Configurações de Assinatura Digital. (Ou no painel Visão Geral, ao lado de Configurações de Assinatura Digital, clique em Alterar.)

  2. Marque a caixa de seleção Assinar com um certificado digital.

  3. Na caixa Detalhes do certificado digital, clique em Alterar.

  4. Na caixa de diálogo Selecionar Certificado, selecione o certificado que deseja usar e clique em OK.

    Observação

    A caixa de diálogo Selecionar Certificado é preenchida por certificador localizados no armazenamento de certificados do computador local ou no seu armazenamento de certificados pessoal. O certificado que você deseja usar deve estar localizado em um desses armazenamentos.

Usando as configurações de Diretiva de Grupo para controlar o comportamento do cliente ao abrir um arquivo .rdp assinado digitalmente

Você pode usar a Diretiva de Grupo para configurar clientes para sempre reconhecerem programas de RemoteApp de um determinado editor como confiáveis. Também é possível configurar se os clientes bloquearão os programas de RemoteApp e as conexões de área de trabalho remota de origens externas ou desconhecidas. Usando essas configurações de diretiva, você pode reduzir o número e a complexidade das decisões de segurança que os usuários devem fazer. Isso reduz as chances de ações equivocadas do usuário que podem ocasionar vulnerabilidades de segurança.

As configurações relevantes de Diretiva de Grupo estão localizadas no Editor de Diretiva de Grupo Local no seguinte local, nos nós Configuração do Computador e Configuração do Usuário:

Modelos Administrativos\Componentes do Windows\Serviços de Terminal\Cliente de Conexão de Área de Trabalho Remota

As configurações da diretiva disponíveis são:

  • Especificar impressões digitais SHA1 de certificados que representam editores de .rdp confiáveis

  • Permitir arquivos .rdp de editores válidos e configurações de .rdp padrão do usuário

  • Permitir arquivos .rdp de editores desconhecidos

Para obter mais informações sobre essas configurações de Diretiva de Grupo, consulte o texto Explicar da Diretiva de Grupo e o TS RemoteApp Guia Passo a Passo (https://go.microsoft.com/fwlink/?LinkId=84895).

Referências adicionais

Sumário