Vous pouvez utiliser une signature numérique pour signer les fichiers .rdp servant aux connexions vers des bureaux virtuels par le biais de Connexions aux programmes RemoteApp et aux services Bureau à distance. Cela comprend les fichiers .rdp utilisés pour les connexions à des pools de bureaux virtuels et des bureaux virtuels personnels.

Important

Pour se connecter à un bureau virtuel à l’aide d’un fichier .rdp numériquement signé, le client doit exécuter au moins le client RDC (Remote Desktop Client) 6.1. (Le client RDC 6.1 prend en charge le protocole RDP (Remote Desktop Protocol) 6.1.)

Si vous utilisez un certificat numérique, la signature de chiffrement sur le fichier .rdp fournit des informations vérifiables sur votre identité en tant que son éditeur. Les clients peuvent ainsi reconnaître votre organisation en tant que source de la connexion de bureau virtuel et prendre des décisions mieux informées sur l’établissement ou non de la connexion. Cette précaution contribue à éviter d’utiliser des fichiers .rdp falsifiés par un utilisateur malveillant.

Vous pouvez signer les fichiers .rdp utilisés pour les connexions de bureau virtuel à l’aide d’un certificat d’authentification de serveur (certificat SSL [Secure Sockets Layer]), d’un certificat de signature de code ou d’un certificat de signature RDP (Remote Desktop Protocol) spécialement défini. Vous pouvez obtenir des certificats SSL et de signature de code auprès d’autorités de certification publiques ou d’une autorité de certification d’entreprise dans votre hiérarchie d’infrastructure à clé publique. Pour pouvoir utiliser un certificat de signature RDP, vous devez configurer dans votre entreprise une autorité de certification qui émet des certificats de signature RDP.

Si vous utilisez déjà un certificat SSL pour les connexions à un serveur Hôte de la session Bureau à distance ou un serveur de Passerelle Bureau à distance, vous pouvez utiliser le même certificat pour signer les fichiers .rdp. Toutefois, si des utilisateurs se connectent aux bureaux virtuels depuis des ordinateurs publics ou à domicile, vous devez utiliser l’un des certificats suivants :

  • Certificat d’une autorité de certification publique membre du programme de certificat racine Microsoft (https://go.microsoft.com/fwlink/?LinkID=59547) (éventuellement en anglais)

  • Si vous utilisez une autorité de certification d’entreprise, le certificat qu’elle émet doit être cosigné par une autorité de certification publique membre du programme de certificat racine Microsoft.

Appliquez la procédure suivante pour configurer le certificat numérique avec lequel signer des fichiers .rdp pour les connexions de bureau virtuel.

Pour être autorisé à effectuer cette procédure, vous devez au minimum faire partie du groupe Administrateurs local, ou à un groupe équivalent, sur le serveur Service Broker pour les connexions Bureau à distance à configurer. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant : https://go.microsoft.com/fwlink/?LinkId=83477.

Pour configurer le certificat numérique à utiliser
  1. Sur le serveur Service Broker pour les connexions Bureau à distance, ouvrez le Gestionnaire de connexions aux services Bureau à distance. Pour ouvrir le Gestionnaire de connexions aux services Bureau à distance, cliquez sur Démarrer, pointez sur Outils d’administration, Services Bureau à distance, puis cliquez sur Gestionnaire de connexions aux services Bureau à distance.

  2. Dans le volet gauche, cliquez sur Serveurs hôtes de virtualisation des services Bureau à distance puis, dans le menu Action, cliquez sur Propriétés.

  3. Dans la boîte de dialogue Propriétés des bureaux virtuels, sous l’onglet Signature numérique, activez la case à cocher Signer avec un certificat numérique.

  4. Dans la zone Détails des certificats numériques, cliquez sur Sélectionner.

  5. Dans la boîte de dialogue Sélectionner un certificat, choisissez le certificat à utiliser, puis cliquez sur OK.

    Remarques

    La boîte de dialogue Sélectionner un certificat contient les certificats stockés dans le magasin de certificats de l’ordinateur local ou dans votre magasin de certificats personnel. Le certificat à utiliser doit se trouver dans l’un de ces magasins.

  6. Une fois terminé, cliquez sur OK pour fermer la boîte de dialogue Propriétés des bureaux virtuels.

Pour plus d’informations sur la sécurité des Connexions aux programmes RemoteApp et aux services Bureau à distance, voir À propos de la sécurité de Connexions aux programmes RemoteApp et aux services Bureau à distance.

Utilisation des paramètres de la stratégie de groupe pour contrôler le comportement du client à l’ouverture d’un fichier .rdp numériquement signé

Vous pouvez utiliser la stratégie de groupe pour configurer les clients de telle sorte qu’ils reconnaissent toujours les connexions de bureau virtuel d’un éditeur particulier en tant que connexions approuvées. Vous pouvez également définir si les clients bloquent les connexions Bureau à distance provenant de sources externes ou inconnues. À l’aide de ces paramètres de stratégie, vous pouvez réduire le nombre et la complexité des décisions liées à la sécurité auxquelles sont confrontés les utilisateurs. Cette méthode réduit la probabilité d’action utilisateur accidentelle susceptible de produire une vulnérabilité de sécurité.

Les paramètres de stratégie de groupe pertinents sont les suivants :

  • Spécifier les empreintes numériques SHA1 des certificats représentant des éditeurs .rdp approuvés

  • Autoriser les fichiers .rdp issus d’éditeurs valides et les paramètres .rdp par défaut de l’utilisateur

  • Autoriser les fichiers .rdp issus d’éditeurs inconnus

Ces paramètres de stratégie de groupe se trouvent dans Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Client Connexion Bureau à distance et Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Client Connexion Bureau à distance.

Ces paramètres de stratégie de groupe peuvent être configurés à l’aide de l’Éditeur de stratégie de groupe locale ou de la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console).

Pour plus d’informations sur les paramètres de stratégie de groupe pour les Services Bureau à distance, voir les références techniques relatives aux Services Bureau à distance, éventuellement en anglais (https://go.microsoft.com/fwlink/?LinkId=138134).

Références supplémentaires


Table des matières