Vous pouvez utiliser une signature numérique pour signer les fichiers .rdp servant aux connexions de RemoteApp au serveur Hôte de la session Bureau à distance. Les fichiers .rdp concernés sont notamment ceux utilisés pour les connexions via Accès Web aux services Bureau à distance aux Programmes RemoteApp et au Bureau d’un serveur Hôte de la session Bureau à distance.

Important

Pour se connecter à un Programme RemoteApp à l’aide d’un fichier .rdp numériquement signé, le client doit exécuter RDC (Remote Desktop Client) 6.1. (Le client RDC 6.1 prend en charge le protocole RDP (Remote Desktop Protocol) 6.1.)

Si vous utilisez un certificat numérique, la signature de chiffrement sur le fichier de connexion fournit des informations vérifiables sur votre identité en tant que son éditeur. Les clients peuvent ainsi reconnaître votre organisation en tant que source du Programme RemoteApp ou de la connexion Bureau à distance, et prendre des décisions mieux informées sur l’établissement ou non de la connexion. Cette précaution contribue à éviter d’utiliser des fichiers .rdp falsifiés par un utilisateur malveillant.

Vous pouvez signer les fichiers .rdp utilisés pour les connexions RemoteApp à l’aide d’un certificat d’authentification serveur [certificat SSL (Secure Sockets Layer)], d’un certificat de signature de code ou d’un certificat de signature RDP (Remote Desktop Protocol) spécialement défini. Vous pouvez obtenir des certificats SSL et de signature de code auprès d’autorités de certification publiques ou d’une autorité de certification d’entreprise dans votre hiérarchie d’infrastructure à clé publique. Pour pouvoir utiliser un certificat de signature RDP, vous devez configurer dans votre entreprise une autorité de certification qui émet des certificats de signature RDP.

Si vous utilisez déjà un certificat SSL pour le serveur Hôte de la session Bureau à distance ou les connexions de Passerelle Bureau à distance, vous pouvez utiliser le même pour signer les fichiers .rdp. Toutefois, si les utilisateurs se connectent aux Programmes RemoteApp depuis des ordinateurs publics ou à domicile, vous devez utiliser l’un des certificats suivants :

  • Certificat d’une autorité de certification publique membre du programme de certificat racine Microsoft (https://go.microsoft.com/fwlink/?LinkID=59547) (éventuellement en anglais)

  • Si vous utilisez une autorité de certification d’entreprise, le certificat qu’elle émet doit être cosigné par une autorité de certification publique membre du programme de certificat racine Microsoft.

Pour être autorisé à effectuer cette procédure, vous devez au minimum faire partie du groupe Administrateurs local, ou à un groupe équivalent, sur le serveur Hôte de la session Bureau à distance à configurer. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant : https://go.microsoft.com/fwlink/?LinkId=83477.

Pour configurer le certificat numérique à utiliser
  1. Sur le serveur hôte de la session Bureau à distance, ouvrez le Gestionnaire RemoteApp. Pour ouvrir le Gestionnaire RemoteApp, cliquez sur Démarrer, pointez sur Outils d’administration, Services Bureau à distance, puis cliquez sur Gestionnaire RemoteApp.

  2. Dans le volet Actions de Gestionnaire RemoteApp, cliquez sur Paramètres des signatures numériques. (D’une autre manière, dans le volet Vue d’ensemble à côté de Paramètres des signatures numériques, cliquez sur Modifier.)

  3. Activez la case à cocher Signer avec un certificat numérique.

  4. Dans la zone Détails des certificats numériques, cliquez sur Modifier.

  5. Dans la boîte de dialogue Sélectionner un certificat, choisissez le certificat à utiliser, puis cliquez sur OK.

    Remarques

    La boîte de dialogue Sélectionner un certificat contient les certificats situés dans le magasin de certificats de l’ordinateur local ou dans votre magasin de certificats personnel. Le certificat à utiliser doit être situé dans l’un de ces magasins.

Utilisation des paramètres de la stratégie de groupe pour contrôler le comportement du client à l’ouverture d’un fichier .rdp numériquement signé

Vous pouvez utiliser la stratégie de groupe pour configurer les clients de telle sorte qu’ils reconnaissent toujours les Programmes RemoteApp d’un éditeur particulier en tant que programmes approuvés. Vous pouvez également définir si les clients bloquent les Programmes RemoteApp et les connexions Bureau à distance provenant de sources externes ou inconnues. À l’aide de ces paramètres de stratégie, vous pouvez réduire le nombre et la complexité des décisions liées à la sécurité auxquelles sont confrontés les utilisateurs. Cette méthode réduit la probabilité d’action utilisateur accidentelle susceptible de produire une vulnérabilité de sécurité.

Les paramètres de stratégie de groupe applicables sont les suivants :

  • Spécifier les empreintes numériques SHA1 des certificats représentant des éditeurs .rdp approuvés

  • Autoriser les fichiers .rdp issus d’éditeurs valides et les paramètres .rdp par défaut de l’utilisateur

  • Autoriser les fichiers .rdp issus d’éditeurs inconnus

Ces paramètres de stratégie de groupe se trouvent dans Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Connexion Client Bureau à distance et Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Connexion Client Bureau à distance.

Ces paramètres de stratégie de groupe peuvent être configurés à l’aide de l’Éditeur de stratégie de groupe locale ou de la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console).

Pour plus d’informations sur les paramètres de stratégie de groupe pour les Services Bureau à distance, voir les références techniques relatives aux Services Bureau à distance, éventuellement en anglais (https://go.microsoft.com/fwlink/?LinkId=138134).

Références supplémentaires


Table des matières