RemoteApp ve Masaüstü Bağlantısı üzerinden sanal masaüstü bağlantıları için kullanılan .rdp dosyalarını imzalamak için dijital imza kullanabilirsiniz. Bu, sanal masaüstü havuzu ve kişisel sanal masaüstü bağlantıları için kullanılan .rdp dosyalarını kapsar.

Önemli

Dijital olarak imzalanmış bir .rdp dosyası kullanarak bir sanal masaüstüne bağlanmak için, istemci en düşük sürüm olarak Uzak Masaüstü İstemcisi (RDC) 6.1 çalıştırıyor olmalıdır. (RDC 6.1 istemcisi Uzak Masaüstü Protokolü 6.1'i destekler.)

Dijital sertifika kullanıyorsanız, .rdp dosyasındaki şifreleme imzası, yayımcısı olarak kimliğinize ilişkin doğrulanabilir bilgiler sağlar. İstemcilerin kuruluşunuzu sanal masaüstü bağlantısının kaynağı olarak tanımasına olanak tanır ve bağlantıyı başlatıp başlatmama konusunda bilgiye dayalı güven kararları almalarını sağlar. Kötü niyetli kullanıcıların değiştirdiği .rdp dosyalarının kullanımına karşı koruma sağlar.

Sanal masaüstü bağlantıları için kullanılan .rdp dosyalarını, Sunucu Kimlik Doğrulama sertifikası [Güvenli Yuva Katmanı (SSL) sertifikası], Kod İmzalama sertifikası veya özel olarak tanımlanmış Uzak Masaüstü Protokolü (RDP) İmzalama sertifikası kullanarak imzalayabilirsiniz. SSL ve Kod İmzalama sertifikalarını genel sertifika yetkililerinden (CA'lar) veya ortak anahtar altyapısı hiyerarşinizdeki kurumsal CA'dan edinebilirsiniz. RDP İmzalama sertifikası kullanmadan önce, RDP İmzalama sertifikaları yayınlayacak bir CA'yı kuruluşunuzda yapılandırmanız gerekir.

Uzak Masaüstü Oturum Ana Bilgisayarı (RD Oturum Ana Bilgisayarı) sunucusu veya RD Ağ Geçidi bağlantıları için önceden SSL sertifikası kullanıyorsanız, .rdp dosyalarını imzalamak için aynı sertifikayı kullanabilirsiniz. Ancak, kullanıcılar sanal masaüstlerine ortak bilgisayarlardan veya ev bilgisayarlarından bağlanıyorsa, aşağıdakilerden birini kullanmanız gerekir:

  • Microsoft Kök Sertifika Program Üyeleri programına katılan bir genel CA'dan sertifika (https://go.microsoft.com/fwlink/?LinkID=59547) (bu sayfa İngilizce içeriğe sahip olabilir).

  • Kurumsal CA kullanıyorsanız, kurumsal CA tarafından yayınlanan sertifikanızın Microsoft Kök Sertifika Program Üyeleri programına katılan bir genel CA tarafından ortak imzalanması gerekir.

Sanal masaüstü bağlantıları için .rdp dosyalarının imzalanacağı dijital sertifikayı yapılandırmak için aşağıdaki yordamı kullanın.

Bu yordamın tamamlanması için, yapılandırmayı planladığınız RD Bağlantı Aracısı sunucusunda yerel Administrators grubuna üyelik veya eşdeğeri gerekir. Uygun hesapları ve grup üyeliklerini kullanma ile ilgili bilgileri https://go.microsoft.com/fwlink/?LinkId=83477 adresinde bulabilirsiniz.

Kullanılacak dijital sertifikayı yapılandırmak için
  1. RD Bağlantı Aracısı sunucusunda, Uzak Masaüstü Bağlantı Yöneticisi'ni açın. Uzak Masaüstü Bağlantı Yöneticisi'ni açmak için, Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin, Uzak Masaüstü Hizmetleri'nin üzerine gelin ve ardından Uzak Masaüstü Bağlantı Yöneticisi'ni tıklatın.

  2. Sol bölmede RD Sanallaştırma Ana Bilgisayar Sunucuları'nı tıklatın ve Eylem menüsünde Özellikler'i tıklatın.

  3. Sanal Masaüstleri Özellikleri iletişim kutusundaki Dijital İmza sekmesinde Dijital sertifikayla imzala onay kutusunu işaretleyin.

  4. Dijital sertifika ayrıntıları kutusunda Seç'i tıklatın.

  5. Sertifika Seç iletişim kutusunda, kullanmak istediğiniz sertifikayı seçin ve Tamam'ı tıklatın.

    Not

    Sertifika Seç iletişim kutusunda, yerel bilgisayarın sertifika deposundaki veya kişisel sertifika deponuzdaki sertifikalar listelenir. Kullanmak istediğiniz sertifika bu depolardan birinde bulunmalıdır.

  6. İşlemi bitirdiğinizde, Sanal Masaüstü Özellikleri iletişim kutusunu kapatmak için Tamam'ı tıklatın.

RemoteApp ve Masaüstü Bağlantısı güvenliği hakkında daha fazla bilgi için, bkz. RemoteApp ve Masaüstü Bağlantısı Güvenliği Hakkında.

Dijital olarak imzalanmış bir .rdp dosyasını açarken istemci davranışını denetlemek için Grup İlkesi ayarlarını kullanma

İstemcileri, belirli bir yayımcıdan sanal masaüstü bağlantılarını her zaman güvenilir olarak tanıyacak şekilde yapılandırmak için Grup İlkesi'ni kullanabilirsiniz. İstemcilerin dış veya bilinmeyen kaynaklardan uzak masaüstü bağlantılarını engelleyip engellemeyeceğini de yapılandırabilirsiniz. Bu ilke ayarlarını kullanarak, kullanıcıların karşılaşacağı güvenlik kararlarının sayısını ve karmaşıklığını da azaltabilirsiniz. Böylece, kasıtsız kullanıcı işlemlerinin neden olabileceği güvenlik açığı ihtimallerini azaltırsınız.

İlgili Grup İlkesi ayarları aşağıda belirtilmiştir:

  • Güvenilir .rdp yayımcılarını gösteren sertifikaların SHA1 parmak izlerini belirt

  • Geçerli yayımcılardan ve kullanıcının varsayılan .rdp ayarlarından .rdp dosyalarına izin ver

  • Bilinmeyen yayımcılardan .rdp dosyalarına izin ver

Bu Grup İlkesi ayarları Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client ve User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client dizinlerinde bulunur.

Bu Grup İlkesi ayarları, Yerel Grup İlkesi Düzenleyicisi veya Grup İlkesi Yönetim Konsolu (GPMC) kullanılarak yapılandırılabilir.

Uzak Masaüstü Hizmetleri'ne yönelik Grup İlkesi ayarları hakkında daha fazla bilgi için, bkz. Uzak Masaüstü Hizmetleri Teknik Başvuru sayfası (https://go.microsoft.com/fwlink/?LinkId=138134). (Bu sayfa İngilizce içeriğe sahip olabilir.)

Ek başvurular


İçindekiler