Soubory RDP sloužící k připojení aplikace Vzdálená aplikace RemoteApp k serveru Hostitel relací vzdálené plochy (hostitel relací VP) je možné podepisovat pomocí digitálních podpisů. Týká se to souborů RDP používaných pro připojení pomocí programu Program RD Web Access k aplikacím Programy aplikací RemoteApp a k ploše serveru Hostitel relací VP.
Důležité informace | |
Aby se mohl klient připojit k aplikaci Program Vzdálená aplikace RemoteApp pomocí digitálně podepsaného souboru RDP, musí v něm být spuštěn klient Připojení ke vzdálené ploše (RDC) verze 6.1. (Klient Připojení ke vzdálené ploše 6.1 podporuje protokol Remote Desktop Protocol 6.1.) |
Použijete-li digitální certifikát, poskytne kryptografický podpis v souboru připojení ověřitelné informace o vaší totožnosti jako jeho vydavatele. To umožní klientům rozpoznat vaši organizaci jako zdroj aplikací Program Vzdálená aplikace RemoteApp nebo připojení ke vzdálené ploše, kvalifikovaně posoudit důvěryhodnost zdroje a rozhodnout, zda spustit připojení. Přispívá to k ochraně před použitím souborů RDP, které byly pozměněny uživatelem se zlými úmysly.
Soubory RDP používané k připojení aplikací Vzdálená aplikace RemoteApp je možné podepsat pomocí ověřovacího certifikátu serverů (certifikátu SSL (Secure Sockets Layer)), pomocí certifikátu pro podpis kódu nebo pomocí speciálně definovaného podpisového certifikátu protokolu RDP (Remote Desktop Protocol). Certifikáty SSL a certifikáty pro podpis kódu můžete získat od veřejných certifikačních autorit nebo od certifikační autority rozlehlé sítě ve vaší hierarchii infrastruktury veřejných klíčů. Chcete-li používat podpisové certifikáty protokolu RDP, musíte nejprve nakonfigurovat ve vaší rozlehlé síti certifikační autoritu pro vystavování podpisových certifikátů protokolu RDP.
Pokud již používáte certifikát SSL pro připojení serveru Hostitel relací VP nebo připojení služby Brána VP, můžete použít stejný certifikát k podepisování souborů RDP. Pokud se však uživatelé budou připojovat k aplikacím Programy aplikací RemoteApp z veřejných nebo domácích počítačů, je třeba použít některou z následujících možností:
- Certifikát vystavený veřejnou certifikační autoritou, která je účastníkem programu Microsoft Root Certificate Program Members (
https://go.microsoft.com/fwlink/?LinkID=59547 (stránka může být v angličtině) ). - Používáte-li certifikační autoritu rozlehlé sítě, musí být certifikát vystavený touto autoritou současně podepsán veřejnou certifikační autoritou, která je účastníkem programu Microsoft Root Certification Program Members.
Tento postup mohou provést pouze členové místní skupiny Administrators na hostitelském serveru relací VP, který chcete nakonfigurovat, nebo uživatelé s ekvivalentními oprávněními. Na adrese
Postup konfigurace digitálního certifikátu k použití |
Na hostitelském serveru relací vzdálené plochy spusťte Správce aplikací RemoteApp. Chcete-li spustit Správce aplikací RemoteApp, klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu, přejděte na položku Vzdálená plocha a potom klikněte na položku Správce aplikací RemoteApp.
V podokně Akce nástroje Správce aplikací RemoteApp klikněte na možnost Nastavení digitálního podpisu. (Můžete také kliknout v podokně Přehled u možnosti Nastavení digitálního podpisu na tlačítko Změnit.)
Zaškrtněte políčko Podepsat digitálním certifikátem.
V poli Podrobnosti o digitálním certifikátu klikněte na možnost Změnit.
V dialogovém okně Vybrat certifikát vyberte certifikát, který chcete použít, a klikněte na tlačítko OK.
Poznámka V dialogovém okně Vybrat certifikát se zobrazí certifikáty, které jsou umístěny v úložišti certifikátů místního počítače nebo v osobním úložišti certifikátů. Certifikát, který chcete použít, musí být umístěn v jednom z těchto úložišť.
Použití nastavení zásad skupiny k řízení chování klientů při otevření digitálně podepsaného souboru RDP
Pomocí zásad skupiny můžete nakonfigurovat klienty tak, aby vždy považovali aplikace Programy aplikací RemoteApp od určitého vydavatele za důvěryhodné. Můžete také nastavit, zda budou klienti blokovat aplikace Programy aplikací RemoteApp a připojení ke vzdálené ploše pocházející z externích nebo neznámých zdrojů. Pomocí těchto nastavení zásad můžete omezit množství a složitost rozhodování uživatelů týkajících se zabezpečení. Zmenší se tak možnost neúmyslných akcí uživatelů, které by mohly vést k ohrožení zabezpečení.
Příslušná nastavení zásad skupiny jsou následující:
- Zadat kryptografické otisky certifikátů SHA1 představující důvěryhodné vydavatele souborů RDP
- Povolit soubory RDP od platných vydavatelů a výchozí nastavení uživatele pro soubory RDP
- Povolit soubory RDP od neznámých vydavatelů
Tato nastavení zásad skupiny naleznete zde: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Klient Připojení ke vzdálené ploše a Konfigurace uživatele\Zásady\Šablony pro správu\Součásti systému Windows\Vzdálená plocha\Klient Připojení ke vzdálené ploše.
Tato nastavení zásad skupiny lze nakonfigurovat pomocí Editoru objektů místních zásad skupiny nebo pomocí Konzoly pro správu zásad skupiny (GPMC).
Další informace o nastavení zásad skupiny pro Vzdálenou plochu naleznete v technických odkazech pro Vzdálenou plochu (