Du kan använda en digital signatur för att signera RDP-filer som används för anslutningar mellan RemoteApp och servern för Värdserver för fjärrskrivbordssession (RD Session Host). Detta gäller även de RDP-filer som används för anslutningar via Webbåtkomst till fjärrskrivbord till RemoteApp-program och till skrivbordet på servern för RD-sessionsvärd.

Viktigt!

Om du vill ansluta till ett RemoteApp-program med en digitalt signerad RDP-fil måste klienten köra Remote Desktop Client (RDC) 6.1 eller senare. (RDC 6.1-klienten har stöd för Remote Desktop Protocol 6.1.)

Om du använder ett digitalt certifikat innehåller den kryptografiska signaturen i anslutningsfilen kontrollerbar information om din identitet som publicerare. På så sätt kan klienterna identifiera din organisation som källan för RemoteApp-program eller fjärrskrivbordsanslutningen, vilket gör det enklare att fatta underbyggda förtroendebeslut om huruvida anslutningen ska upprättas. Detta bidrar till att skydda mot att RDP-filer som har ändrats av en användare som vill sabotera används.

Du kan signera RDP-filer som används för anslutningar med RemoteApp genom att använda ett serverautentiseringscertifikat (SSL-certifikat, Secure Sockets Layer), ett kodsigneringscertifikat eller ett särskilt definierat RDP-signeringscertifikat (Remote Desktop Protocol). Du kan skaffa SSL- och kodsigneringscertifikat från allmänna certifikatutfärdare (CA) eller från ett företag i infrastrukturhierarkin för offentliga nycklar. Innan du kan använda ett RDP-signeringscertifikat måste du konfigurera en certifikatutfärdare för företaget som utfärdar RDP-signeringscertifikat.

Om du redan använder ett SSL-certifikat för servern för RD-sessionsvärd eller för anslutningar via Fjärrskrivbordsgateway kan du använda samma certifikat när du signerar RDP-filer. Om användare ansluter till RemoteApp-program från offentliga datorer eller hemdatorer måste du emellertid använda något av följande:

  • Ett certifikat från en allmän certifikatutfärdare som är med i programmet Microsoft Root Certificate Program Members (https://go.microsoft.com/fwlink/?LinkID=59547).

  • Om du använder en företagscertifikatutfärdare måste det certifikat som utfärdats även signeras av en allmän certifikatutfärdare som är med i programmet Microsoft Root Certification Program Members.

Du måste minst vara medlem i den lokala gruppen Administratörer eller motsvarande på värdserver för fjärrskrivbordssession som du vill konfigurera för att kunna slutföra den här proceduren. Studera närmare information om hur du använder lämpliga konton och gruppmedlemskap på https://go.microsoft.com/fwlink/?LinkId=83477.

Så här konfigurerar du det digitala certifikat som ska användas:
  1. Öppna värdserver för fjärrskrivbordssession på fjärrskrivbordsservern. Du öppnar RemoteApp-hanteraren genom att klicka på Start, peka på Administrationsverktyg, Fjärrskrivbordstjänster och sedan klicka på RemoteApp-hanteraren.

  2. Klicka på Inställningar för digitala signaturer i fönstret Åtgärder i RemoteApp-hanteraren. (Du kan också klicka på Ändra bredvid Inställningar för digitala signaturer i fönstret Översikt.)

  3. Markera kryssrutan Signera med ett digitalt certifikat.

  4. Klicka på Ändra i rutan Information om digitalt certifikat.

  5. Markera det certifikat som du vill använda i dialogrutan Välj certifikat och klicka sedan på OK.

    OBS

    I dialogrutan Välj certifikat visas certifikat som finns i arkivet för certifikat på den lokala datorn eller i ditt personliga certifikatarkiv. Certifikatet som du vill använda måste finnas i något av de här arkiven.

Använda grupprincipinställningar för att ange åtgärder på klienten när en digitalt signerad RDP-fil öppnas

Du kan använda grupprinciper för att konfigurera klienter så att RemoteApp-program från en viss utgivare alltid känns igen och betraktas som tillförlitliga. Du kan också ange om klienterna ska blockera RemoteApp-program och fjärrskrivbordsanslutningar från externa eller okända källor. Med hjälp av de här principinställningarna kan du minska antalet säkerhetsbeslut och förenkla dem för användare. Detta minskar risken för att användarna ska utföra åtgärder som kan försvaga säkerheten.

De relevanta grupprincipinställningarna är som följer:

  • Ange SHA1-stämplar för certifikat som avser betrodda RDP-utgivare

  • Tillåt RDP-filer från giltiga utgivare och användares RDP-standardinställningar

  • Tillåt RDP-filer från okända utgivare

Dessa grupprincipinställningar finns under Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Klienten för Anslutning till fjärrskrivbord och Användarkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Klienten för Anslutning till fjärrskrivbord.

Dessa grupprincipinställningar kan konfigureras med redigeraren för lokala grupprinciper eller med konsolen Grupprinciphantering.

Mer information om grupprincipinställningar för fjärrskrivbordstjänster finns i Teknisk referens för Fjärrskrivbordstjänster på (https://go.microsoft.com/fwlink/?LinkId=138134).

Ytterligare referenser


Innehåll