Для RDP-файлов, используемых для подключений к виртуальным рабочим столам через Подключения к удаленным рабочим столам и приложениям RemoteApp, можно использовать цифровую подпись. К этим файлам относятся RDP-файлы, которые используются для подключений к пул виртуальных рабочих столов и к персональный виртуальный рабочий стол.
Важно! | |
Чтобы подключиться к виртуальному рабочему столу с помощью RDP-файла, имеющего цифровую подпись, на клиентском компьютере должен использоваться клиент удаленного рабочего стола (RDC) версии не ниже 6.1. (Клиент RDC 6.1 поддерживает протокол удаленного рабочего стола версии 6.1.) |
Если используется цифровой сертификат, криптографическая подпись на RDP-файле предоставляет проверяемые сведения об удостоверении пользователя как лица, его опубликовавшего. Это помогает клиентам распознавать организацию как источник подключения к виртуальному рабочему столу, а также обеспечивает более полными сведениями, необходимыми при принятии решения о доверии при запуске подключения. Таким образом обеспечивается защита от использования подозрительных RDP-файлов.
Можно подписывать RDP-файлы, используемые для подключений к виртуальным рабочим столам, с помощью сертификата проверки подлинности сервера [Secure Sockets Layer (SSL) certificate], сертификата подписи кода или специально определенного сертификата подписи протокола удаленного рабочего стола (RDP). Получить сертификаты подписи кода и протокола SSL можно в общественных центрах сертификации (CA) или в центре сертификации предприятия в иерархии инфраструктуры открытых ключей. Перед использованием сертификата подписи RDP необходимо настроить центр сертификации на предприятии для выпуска сертификатов подписи RDP.
Если для подключений к серверу Узел сеансов удаленных рабочих столов или к Шлюз удаленных рабочих столов уже используется SSL-сертификат, его также можно использовать и для подписи RDP-файлов. Однако, если пользователи будут подключаться к виртуальным рабочим столам с общедоступных или домашних компьютеров, необходимо использовать один из следующих сертификатов:
- Сертификат общественного центра сертификации, принимающего участие в программе корневых сертификатов корпорации Майкрософт (
https://go.microsoft.com/fwlink/?LinkID=59547 ). - Если используется центр сертификации предприятия, то выпущенные на корпоративном уровне сертификаты также должны быть подписаны общественным центром сертификации, который принимает участие в программе корневых сертификатов корпорации Майкрософт.
Чтобы настроить цифровой сертификат, используемый для подписи RDP-файлов для подключений к виртуальным рабочим столам, используйте следующую процедуру.
Для выполнения этой процедуры пользователь, по меньшей мере, должен быть членом локальной группы Администраторы или аналогичной группы на сервере посредника подключений к удаленному рабочему столу. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице
Настройка цифрового сертификата для использования |
На сервере посредника подключений к удаленному рабочему столу откройте диспетчер подключений к удаленным рабочим столам. Чтобы открыть диспетчер подключений к удаленным рабочим столам, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер подключений к удаленным рабочим столам.
В левой области выберите компонент Хост-серверы виртуализации удаленных рабочих столов, а затем в меню Действие выберите пункт Свойства.
В диалоговом окне Свойства виртуальных рабочих столов на вкладке Цифровая подпись установите флажок Подписать с помощью цифрового сертификата.
В поле Сведения о цифровом сертификате щелкните Выбрать.
В диалоговом окне Выбор сертификата выберите сертификат, который необходимо использовать, а затем нажмите кнопку ОК.
Примечание Диалоговое окно Выбор сертификата содержит сертификаты, расположенные в хранилище сертификатов локального компьютера или в личном хранилище сертификатов. Сертификат, который необходимо использовать, должен находиться в одном из этих хранилищ.
Закончив, закройте диалоговое окно Свойства виртуальных рабочих столов, нажав кнопку ОК.
Дополнительные сведения о безопасности Подключения к удаленным рабочим столам и приложениям RemoteApp см. в разделе О безопасности подключения к удаленным рабочим столам и приложениям RemoteApp.
Использование параметров групповой политики для управления поведением клиента при открытии RDP-файла, имеющего цифровую подпись
С помощью групповой политики можно установить, чтобы клиенты всегда распознавали подключения к виртуальным рабочим столам определенного издателя как доверенные. Также можно указать, будут ли клиенты блокировать подключения к удаленному рабочему столу из внешних или неизвестных источников. Используя параметры политики, можно сократить количество и понизить сложность решений, касающихся безопасности, с которыми сталкиваются пользователи. Это уменьшит возможность непреднамеренных действий пользователей, которые могут привести к уязвимости.
Соответствующие параметры групповой политики следующие:
- Указать SHA1-отпечатки сертификатов, отражающие доверенных RDP-издателей
- Разрешить RDP-файлы допустимых издателей, а также пользовательские параметры RDP-файлов по умолчанию
- Разрешить RDP-файлы от неизвестных издателей
Эти параметры групповой политики расположены в папках Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу.
Для настройки этих параметров групповой политики можно использовать редактор локальной групповой политики или консоль управления групповыми политиками.
Дополнительные сведения о параметрах групповой политики для служб удаленных рабочих столов см. в техническом справочнике по службам удаленных рабочих столов (может быть на английском языке) (