Sie können eine digitale Signatur verwenden, um RDP-Dateien zu signieren, die für Verbindungen mit virtuellen Desktops über die RemoteApp und Remotedesktopverbindung verwendet werden. Hierzu gehören auch die RDP-Dateien, die für Verbindungen mit virtuellen Desktoppools und persönlichen virtuellen Desktops verwendet werden.

Wichtig

Wenn Sie mithilfe einer digital signierten RDP-Datei eine Verbindung mit einem virtuellen Desktop herstellen möchten, muss mindestens Remotedesktopclient 6.1 (Remote Desktop Client, RDC) auf dem Client ausgeführt werden. (Der RDC 6.1-Client unterstützt das Remotedesktopprotokoll 6.1.)

Wenn Sie ein digitales Zertifikat verwenden, stellt die kryptografische Signatur der RDP-Datei überprüfbare Informationen zu Ihrer Identität als deren Herausgeber bereit. Dadurch können Clients Ihr Unternehmen als Quelle der virtuellen Desktopverbindung identifizieren, und sie sind besser informiert, wenn sie darüber entscheiden, ob sie die Verbindung starten oder nicht. Auf diese Weise wird ein gewisser Schutz vor RDP-Dateien geboten, die von einem böswilligen Benutzer geändert wurden.

RDP-Dateien, die für virtuelle Desktopverbindungen verwendet werden, können mithilfe eines Serverauthentifizierungszertifikats (SSL-Zertifikat (Secure Sockets Layer)), eines Codesignaturzertifikats oder eines speziell definierten Remotedesktopprotokoll-Signaturzertifikats (Remote Desktop Protocol, RDP) signiert werden. SSL- und Codesignaturzertifikate können von öffentlichen Zertifizierungsstellen oder von einer Unternehmenszertifizierungsstelle in Ihrer PKI-Hierarchie (Public Key-Infrastruktur) abgerufen werden. Bevor Sie ein RDP-Signaturzertifikat verwenden können, müssen Sie eine Zertifizierungsstelle in Ihrem Unternehmen für das Ausstellen von RDP-Signaturzertifikaten konfigurieren.

Wenn Sie bereits ein SSL-Zertifikat für Verbindungen mit einem Server mit Host für Remotedesktopsitzungen oder RD-Gateway verwenden, können Sie dasselbe Zertifikat zum Signieren von RDP-Dateien verwenden. Wenn Benutzer jedoch über öffentliche oder private Computer Verbindungen mit virtuellen Desktops herstellen, müssen sie eines der folgenden Zertifikate verwenden:

  • Ein Zertifikat einer öffentlichen Zertifizierungsstelle, die am Microsoft-Programm für Stammzertifikate (möglicherweise in englischer Sprache) teilnimmt (https://go.microsoft.com/fwlink/?LinkID=59547).

  • Wenn Sie eine Unternehmenszertifizierungsstelle verwenden, muss das von der Unternehmenszertifizierungsstelle ausgestellte Zertifikat von einer öffentlichen Zertifizierungsstelle mitsigniert werden, die am Microsoft-Programm für Stammzertifikate teilnimmt.

Verwenden Sie das folgende Verfahren, um das digitale Zertifikat zu konfigurieren, mit dem RDP-Dateien für virtuelle Desktopverbindungen signiert werden.

Grundvoraussetzung zum Abschließen dieses Verfahrens ist die Mitgliedschaft in der lokalen Administratorgruppe oder eine entsprechende Mitgliedschaft auf dem RD-Verbindungsbrokerserver, den Sie konfigurieren möchten. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477.

So konfigurieren Sie das digitale Zertifikat für die Verwendung
  1. Öffnen Sie Remotedesktopverbindungs-Manager auf dem Remotedesktop-Verbindungsbrokerserver. Klicken Sie zum Öffnen von Remotedesktopverbindungs-Manager auf Start, zeigen Sie auf Verwaltung, zeigen Sie auf Remotedesktopdienste, und klicken Sie dann auf Remotedesktopverbindungs-Manager.

  2. Klicken Sie im linken Bereich auf Remotedesktop-Virtualisierungshostserver, und klicken Sie dann im Menü Aktion auf Eigenschaften.

  3. Aktivieren Sie im Dialogfeld Eigenschaften virtueller Desktops auf der Registerkarte Digitale Signatur das Kontrollkästchen Mit digitalem Zertifikat anmelden.

  4. Klicken Sie im Feld Details zu digitalem Zertifikat auf Auswählen.

  5. Wählen Sie im Dialogfeld Zertifikat auswählen das gewünschte Zertifikat aus, und klicken Sie dann auf OK.

    Hinweis

    Das Dialogfeld Zertifikat auswählen enthält Zertifikate, die sich im Zertifikatspeicher des lokalen Computers oder in Ihrem persönlichen Zertifikatspeicher befinden. Das Zertifikat, das Sie verwenden möchten, muss sich in einem dieser Speicher befinden.

  6. Wenn Sie fertig sind, klicken Sie auf OK, um das Dialogfeld Eigenschaften virtueller Desktops zu schließen.

Weitere Informationen zur Sicherheit der RemoteApp und Remotedesktopverbindung finden Sie unter Informationen zur Sicherheit der RemoteApp- und Desktopverbindung.

Verwenden von Gruppenrichtlinieneinstellungen zur Steuerung des Clientverhaltens beim Öffnen einer digital signierten RDP-Datei

Sie können die Gruppenrichtlinie verwenden, um Clients so zu konfigurieren, dass sie virtuelle Desktopverbindungen eines bestimmten Herausgebers als vertrauenswürdig einstufen. Außerdem können Sie konfigurieren, ob Clients Remotedesktopverbindungen von externen oder unbekannten Quellen blockieren sollen. Mithilfe dieser Richtlinieneinstellungen können Sie die Anzahl und Komplexität der Sicherheitsentscheidungen verringern, mit denen die Benutzer konfrontiert sind. Auf diese Weise wird auch die Wahrscheinlichkeit versehentlicher Benutzeraktionen vermindert, die zu einem Sicherheitsrisiko führen können.

Folgende Gruppenrichtlinieneinstellungen sind relevant:

  • SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen

  • RDP-Dateien von gültigen Herausgebern und standardmäßige RDP-Einstellungen des Benutzers zulassen

  • RDP-Dateien von unbekannten Herausgebern zulassen

Diese Gruppenrichtlinieneinstellungen befinden sich unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopverbindungs-Client und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponente\Remotedesktopdienste\Remotedesktopverbindungs-Client.

Diese Gruppenrichtlinieneinstellungen können mit dem Editor für lokale Gruppenrichtlinien oder der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) konfiguriert werden.

Weitere Informationen zu den Gruppenrichtlinieneinstellungen für Remotedesktopdienste finden Sie in der technischen Referenz für die Remotedesktopdienste unter https://go.microsoft.com/fwlink/?LinkId=138134 (möglicherweise in englischer Sprache).

Weitere Verweise


Inhaltsverzeichnis