Du kan använda en digital signatur när du vill signera RDP-filer som används för anslutningar till virtuella skrivbord via RemoteApp- och fjärrskrivbordsanslutning. Detta inkluderar de RDP-filer som används för anslutningar till virtuell skrivbordspool och personligt virtuellt skrivbord.

Viktigt!

Om du vill ansluta till ett virtuellt skrivbord med en digitalt signerad RDP-fil måste Anslutning till fjärrskrivbord (RDC) 6.1 köras på klienten. (RDC 6.1-klienten har stöd för Remote Desktop Protocol 6.1.)

Om du använder ett digitalt certifikat innehåller den kryptografiska signaturen i RDP-filen kontrollerbar information om din identitet som utgivare. Detta hjälper klienter att identifiera organisationen som källan för anslutningen till det virtuella skrivbordet, och de tillåts att fatta mer underbyggda förtroendebeslut om huruvida anslutningen ska upprättas. Detta bidrar till att skydda mot att RDP-filer som har ändrats av en användare som vill sabotera används.

Du kan signera RDP-filer som används för anslutningar till virtuella skrivbord genom att använda ett serverautentiseringscertifikat [SSL-certifikat (Secure Sockets Layer)], ett kodsigneringscertifikat eller ett särskilt definierat RDP-signeringscertifikat (Remote Desktop Protocol). Du kan skaffa SSL- och kodsigneringscertifikat från allmänna certifikatutfärdare (CA) eller från ett företag i infrastrukturhierarkin för offentliga nycklar. Innan du kan använda ett RDP-signeringscertifikat måste du konfigurera en certifikatutfärdare för företaget som utfärdar RDP-signeringscertifikat.

Om du redan använder ett SSL-certifikat för anslutningar till en Värdserver för fjärrskrivbordssession (RD Session Host)-server eller Fjärrskrivbordsgateway, kan du använda samma certifikat när du signerar RDP-filer. Om användare ansluter till virtuella skrivbord från offentliga datorer eller hemdatorer måste du dock använda något av följande:

  • Ett certifikat från en allmän certifikatutfärdare som är med i programmet Microsoft Root Certificate Program Members (https://go.microsoft.com/fwlink/?LinkID=59547 (sidan kan vara på engelska)).

  • Om du använder en företagscertifikatutfärdare måste det certifikat som utfärdats även signeras av en allmän certifikatutfärdare som är med i programmet Microsoft Root Certification Program Members.

Använd följande procedur när du ska konfigurera det digitala certifikatet med vilket du ska signera RDP-filer för anslutningar till virtuella skrivbord.

Du måste minst vara medlem i den lokala gruppen Administratörer eller motsvarande på servern för anslutningsutjämning för fjärrskrivbord som du vill konfigurera, för att kunna slutföra den här proceduren. Studera närmare information om hur du använder lämpliga konton och gruppmedlemskap på https://go.microsoft.com/fwlink/?LinkId=83477.

Så här konfigurerar du det digitala certifikat som ska användas:
  1. Öppna anslutningshanteraren för fjärrskrivbord på servern för anslutningsutjämning för fjärrskrivbord. Du öppnar anslutningshanteraren för fjärrskrivbord genom att klicka på Start, peka på Administrationsverktyg, Fjärrskrivbordstjänster och sedan klicka på Anslutningshanteraren för fjärrskrivbord.

  2. Klicka på Värdservrar för virtualisering av fjärrskrivbord i den vänstra rutan, och sedan på Egenskaper på menyn Åtgärd.

  3. I dialogrutan Egenskaper för virtuella skrivbord, på fliken Digital signatur, markerar du kryssrutan Signera med ett digitalt certifikat.

  4. Klicka på Välj i rutan Information om digitalt certifikat.

  5. Markera det certifikat som du vill använda i dialogrutan Välj certifikat och klicka sedan på OK.

    OBS

    I dialogrutan Välj certifikat visas certifikat som finns i arkivet för certifikat på den lokala datorn eller i ditt personliga certifikatarkiv. Certifikatet som du vill använda måste finnas i något av de här arkiven.

  6. Klicka på OK för att stänga dialogrutan Egenskaper för virtuella skrivbord när du är klar.

Mer information om säkerhet för RemoteApp- och fjärrskrivbordsanslutning finns i Om säkerhet för RemoteApp- och fjärrskrivbordsanslutning.

Använda grupprincipinställningar för att ange åtgärder på klienten när en digitalt signerad RDP-fil öppnas

Du kan använda grupprinciper när du vill konfigurera klienter så att anslutningar till virtuella skrivbord från en viss utgivare alltid känns igen och anses vara betrodda. Du kan också konfigurera om klienterna ska blockera fjärrskrivbordsanslutningar från externa eller okända källor. Med hjälp av de här principinställningarna kan du minska antalet säkerhetsbeslut och förenkla för användarna. Detta minskar risken för att användarna ska utföra åtgärder som kan försvaga säkerheten.

De relevanta grupprincipinställningarna är:

  • Ange SHA1-stämplar för certifikat som avser betrodda RDP-utgivare

  • Tillåt RDP-filer från giltiga utgivare och användares RDP-standardinställningar

  • Tillåt RDP-filer från okända utgivare

Dessa grupprincipinställningar finns i Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Klient för Anslutning till fjärrskrivbord och Användarkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Fjärrskrivbordstjänster\Klient för Anslutning till fjärrskrivbord.

Dessa grupprincipinställningar kan konfigureras med hjälp av antingen Redigeraren för lokala grupprinciper eller konsolen Grupprinciphantering.

Mer information om grupprincipinställningar för fjärrskrivbordstjänster finns i Teknisk referens för Fjärrskrivbordstjänster på (https://go.microsoft.com/fwlink/?LinkId=138134).

Ytterligare referenser


Innehåll