È possibile utilizzare una firma digitale per firmare file con estensione rdp utilizzati per connessioni RemoteApp al server Host sessione Desktop remoto. Sono inclusi i file con estensione rdp utilizzati per le connessioni tramite Accesso Web Desktop remoto a Programmi RemoteApp e al desktop di un server Host sessione Desktop remoto.

Importante

Per connettersi a un Programma RemoteApp utilizzando un file con estensione rdp con firma digitale, il client deve eseguire almeno Connessione Desktop remoto 6.1. Il client di Connessione Desktop remoto 6.1 supporta Remote Desktop Protocol 6.1.

Se si utilizza un certificato digitale, la firma crittografata sul file di connessione fornisce informazioni verificabili sull'identità dell'autore. In questo modo, i client possono riconoscere l'organizzazione come origine del Programma RemoteApp o della connessione desktop remoto e adottare decisioni relative all'attendibilità più consapevoli nel determinare se avviare la connessione. Questo consente di proteggersi dall'uso di file con estensione rdp modificati da un utente malintenzionato.

È possibile firmare i file con estensione rdp utilizzati per connessioni RemoteApp utilizzando un certificato di tipo Autenticazione server [certificato SSL (Secure Sockets Layer)], un certificato di firma codice o un certificato di firma RDP (Remote Desktop Protocol). È possibile ottenere certificati SSL e di firma codice da autorità di certificazione pubbliche o da un'autorità di certificazione dell'organizzazione (enterprise) nella gerarchia dell'infrastruttura a chiave pubblica. Prima di poter utilizzare un certificato di firma RDP, è necessario configurare un'autorità di certificazione nell'organizzazione per rilasciare certificati di firma RDP.

Se si utilizza già un certificato SSL per le connessioni al server Host sessione Desktop remoto o a Gateway Desktop remoto, è possibile utilizzare lo stesso certificato per firmare file con estensione rdp. Se, tuttavia, gli utenti si connettono a Programmi RemoteApp da computer pubblici o di casa, è necessario utilizzare una delle opzioni seguenti:

  • Un certificato di un'autorità di certificazione pubblica che partecipa al programma Microsoft Root Certificate (https://go.microsoft.com/fwlink/?LinkID=59547).

  • Se si sta utilizzando un'autorità di certificazione dell'organizzazione (enterprise), il certificato rilasciato da tale autorità deve essere cofirmato da un'autorità di certificazione pubblica che partecipa al programma Microsoft Root Certificate.

Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale oppure a un gruppo equivalente nel server Host sessione Desktop remoto che si intende configurare. Per ulteriori informazioni sull'utilizzo degli account e delle appartenenze di gruppo appropriati, vedere https://go.microsoft.com/fwlink/?LinkId=83477 (la pagina potrebbe essere in inglese).

Per configurare il certificato digitale da utilizzare

  1. Nel server Host sessione Desktop remoto aprire Gestione RemoteApp. A tale scopo, fare clic sul pulsante Start, scegliereStrumenti di amministrazione, Servizi Desktop remoto e quindi Gestione RemoteApp.

  2. Nel riquadro Azioni di Gestione RemoteApp fare clic su Impostazioni firma digitale (oppure, nel riquadro Generale fare clic su Cambia accanto a Impostazioni firma digitale).

  3. Selezionare la casella di controllo Firma con un certificato digitale.

  4. Nella casella Dettagli certificato digitale fare clic su Cambia.

  5. Nella finestra di dialogo Selezione certificato selezionare il certificato che si desidera utilizzare e quindi fare clic su OK.

    Nota

    La finestra di dialogo Selezione certificato è popolata da certificati presenti nell'archivio certificati del computer locale o nel proprio archivio certificati personali. Il certificato che si desidera utilizzare deve trovarsi in uno di questi archivi.

Utilizzare le impostazioni di Criteri di gruppo per controllare il comportamento dei client quando si apre un file con estensione rdp e firma digitale

È possibile utilizzare Criteri di gruppo per configurare i client in modo da riconoscere sempre come trusted i Programmi RemoteApp di un determinato autore. È inoltre possibile configurare se i client bloccheranno i Programmi RemoteApp e le connessioni desktop remoto di origini esterne o sconosciute. Utilizzando queste impostazioni dei criteri, è possibile ridurre il numero e la complessità delle decisioni di sicurezza che riguardano gli utenti, riducendo anche la possibilità di azioni involontarie degli utenti che potrebbero causare vulnerabilità di sicurezza.

Di seguito vengono indicate le impostazioni di Criteri di gruppo pertinenti:

  • Specifica identificazioni personali SHA1 dei certificati che rappresentano gli autori di file rdp attendibili

  • Consenti esecuzione dei file rdp di autori validi e impostazioni rdp predefinite dell'utente

  • Consenti esecuzione di file rdp di autori sconosciuti

Queste impostazioni di Criteri di gruppo sono disponibili in Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Client di Connessione Desktop remoto e Configurazione utente\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Client di Connessione Desktop remoto.

Queste impostazioni di Criteri di gruppo possono essere configurate utilizzando l'Editor Criteri di gruppo locali o Console Gestione Criteri di gruppo.

Per ulteriori informazioni sulle impostazioni di Criteri di gruppo per Servizi Desktop remoto, vedere la pagina relativa ai riferimenti tecnici per Servizi Desktop remoto all'indirizzo https://go.microsoft.com/fwlink/?LinkId=138134.

Ulteriori riferimenti

Argomenti della Guida