您可以使用數位簽章來簽署 .rdp 檔案,以用於透過 RemoteApp 和桌面連線來連線到虛擬桌面。其中包含用於連線到虛擬桌面集區與個人虛擬桌面的 .rdp 檔案。
重要 | |
若要使用數位簽署的 .rdp 檔案連線到虛擬桌面,用戶端至少必須執行遠端桌面用戶端 (RDC) 6.1 (RDC 6.1 用戶端支援遠端桌面通訊協定 6.1)。 |
如果您使用數位憑證,則 .rdp 檔案上的加密編譯簽章會提供有關您身分的可驗證資訊,以做為其發行者。這樣可讓用戶端將您的組織辨識為虛擬桌面連線的來源,且讓用戶端在決定是否信任該來源並啟動連線時,能夠有更多的資訊。如此有助於防止使用遭惡意使用者變更的 .rdp 檔。
您可以使用伺服器驗證憑證 [安全通訊端層 (SSL) 憑證]、程式碼簽署憑證或特別定義的遠端桌面通訊協定 (RDP) 簽署憑證,來簽署用於虛擬桌面連線的 .rdp 檔案。您可以從公開憑證授權單位 (CA) 或是公開金鑰基礎結構階層中的企業 CA 取得 SSL 及程式碼簽署憑證。您必須先在企業中設定 CA 以簽發 RDP 簽署憑證,才能使用 RDP 簽署憑證。
如果您已將 SSL 憑證用於 遠端桌面工作階段主機 (RD 工作階段主機) 伺服器或 RD 閘道的連線,則可使用相同的憑證來簽署 .rdp 檔案。不過,如果使用者是從公用或家用電腦連線至虛擬桌面,您就必須使用下列其中一項:
- 已加入「Microsoft 根憑證計劃成員」計劃之公開 CA 所發行的憑證 (
https://go.microsoft.com/fwlink/?LinkID=59547 (可能為英文網頁) )。 - 如果您是使用企業 CA,則您的企業 CA 發行憑證必須由已加入「Microsoft 根憑證計劃成員」計劃的公開 CA 共同簽署。
請使用下列程序設定數位憑證,以簽署使用於虛擬桌面連線的 .rdp 檔案。
若要完成此程序,至少需要您計畫設定的 RD 連線代理人伺服器上之本機 Administrators 群組的成員資格或同等權限。 請參閱有關使用適當帳戶與群組成員資格的詳細資料,網址位於:
設定要使用的數位憑證 |
在 RD 連線代理人伺服器,開啟 [遠端桌面連線管理員]。若要開啟 [遠端桌面連線管理員],按一下 [開始],依序指向 [系統管理工具]、[遠端桌面服務],然後按一下 [遠端桌面連線管理員]。
在左窗格中,按一下 [RD 虛擬主機伺服器],然後在 [執行] 功能表上按一下 [內容]。
在 [虛擬桌面內容] 對話方塊的 [數位簽章] 索引標籤上,選取 [以數位憑證簽署] 核取方塊。
在 [數位憑證詳細資料] 方塊中,按一下 [選取]。
在 [選擇憑證] 對話方塊中,選取您要使用的憑證,然後按一下 [確定]。
附註 [選擇憑證] 對話方塊中會填入位在本機電腦憑證存放區或您個人憑證存放區中的憑證。您要使用的憑證必須位在上述其中一個存放區中。
完成之後,按一下 [確定] 以關閉 [虛擬桌面內容] 對話方塊。
如需 RemoteApp 和桌面連線安全性的相關資訊,請參閱關於 RemoteApp 和桌面連線安全性。
使用群組原則設定來控制開啟數位簽署的 .rdp 檔案時的用戶端行為
您可以使用群組原則,將用戶端設定為一律信任來自特定發行者的虛擬桌面連線。您也可以設定用戶端是否要封鎖來自外部或不明來源的遠端桌面連線。藉由使用這些原則設定,您可以減少使用者所要面對之安全性決定的數量和複雜性。如此可減少使用者動作無意間造成安全性弱點的機會。
相關群組原則設定如下:
- 指定代表受信任之 .rdp 發行者的 SHA1 憑證指紋
- 允許來自有效發行者的 .rdp 檔案以及使用者的預設 .rdp 設定
- 允許來自不明發行者的 .rdp 檔案
這些群組原則設定位於:電腦設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面連線用戶端,以及使用者設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面連線用戶端。
這些群組原則設定可以透過使用本機群組原則編輯器或群組原則管理主控台 (GPMC) 來設定。
如需遠端桌面服務群組原則設定的相關資訊,請參閱遠端桌面服務技術參照 (