È possibile utilizzare una firma digitale per firmare i file con estensione rdp utilizzati per le connessioni a desktop virtuali tramite Connessione RemoteApp e desktop. Sono inclusi i file rdp utilizzati per le connessioni ai pool di desktop virtuali e ai desktop personali virtuali.
Importante | |
Per connettersi a un desktop virtuale utilizzando un file rdp con firma digitale, il client deve eseguire almeno Connessione desktop remoto 6.1. Il client di Connessione desktop remoto 6.1 supporta Remote Desktop Protocol 6.1. |
Se si utilizza un certificato digitale, la firma crittografata sul file rdp fornisce informazioni verificabili sull'identità dell'entità di pubblicazione. Questo consente ai client di riconoscere l'organizzazione come l'origine della connessione al desktop virtuale e di prendere decisioni più oculate sull'attendibilità per stabilire se avviare la connessione. Questo consente di proteggersi dall'uso di file con estensione rdp modificati da un utente malintenzionato.
È possibile firmare i file rdp utilizzati per le connessioni ai desktop virtuali utilizzando un certificato di autenticazione server [certificato SSL (Secure Sockets Layer)], un certificato di firma codice o uno speciale certificato di firma RDP (Remote Desktop Protocol). È possibile ottenere certificati SSL e di firma codice da autorità di certificazione pubbliche o da un'autorità di certificazione dell'organizzazione (enterprise) nella gerarchia dell'infrastruttura a chiave pubblica. Prima di poter utilizzare un certificato di firma RDP, è necessario configurare un'autorità di certificazione nell'organizzazione perché emetta certificati di firma RDP.
Se si sta già utilizzando un certificato SSL per le connessioni a un server Host sessione Desktop remoto o Gateway Desktop remoto, è possibile utilizzare lo stesso certificato per firmare i file con estensione rdp. Se tuttavia gli utenti si connettono a desktop virtuali da computer pubblici o di casa, è necessario utilizzare una delle opzioni seguenti:
- Un certificato di un'autorità di certificazione pubblica che partecipa al programma Microsoft Root Certificate (
https://go.microsoft.com/fwlink/?LinkID=59547 ). - Se si sta utilizzando un'autorità di certificazione dell'organizzazione (enterprise), il certificato emesso da tale autorità deve essere cofirmato da un'autorità di certificazione pubblica che partecipa al programma Microsoft Root Certificate.
Per configurare il certificato digitale con il quale firmare i file con estensione rdp per le connessioni a desktop virtuali, utilizzare la procedura seguente.
Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale oppure a un gruppo equivalente nel server Gestore connessione Desktop remoto che si intende configurare. Per ulteriori informazioni sull'utilizzo degli account e delle appartenenze di gruppo appropriati, vedere
Per configurare il certificato digitale da utilizzare |
Nel server Gestore connessione Desktop remoto aprire Gestione connessione Desktop remoto. A tale scopo, fare clic sul pulsante Start, scegliere Strumenti di amministrazione, Servizi Desktop remoto e quindi Gestione connessione Desktop remoto.
Nel riquadro sinistro fare clic su Server Host di virtualizzazione Desktop remoto e quindi scegliere Proprietà dal menu Azione.
Nella scheda Firma digitale della finestra di dialogo Proprietà desktop virtuali selezionare la casella di controllo Firma con un certificato digitale.
Nella casella Dettagli certificato digitale fare clic su Seleziona.
Nella finestra di dialogo Selezione certificato selezionare il certificato che si desidera utilizzare e quindi fare clic su OK.
Nota La finestra di dialogo Selezione certificato è popolata da certificati presenti nell'archivio certificati del computer locale o nel proprio archivio certificati personali. Il certificato che si desidera utilizzare deve trovarsi in uno di questi archivi.
Al termine fare clic su OK per chiudere la finestra di dialogo Proprietà desktop virtuali.
Per ulteriori informazioni sulla sicurezza di Connessione RemoteApp e desktop, vedere Informazioni sulla sicurezza di Connessione RemoteApp e desktop.
Utilizzare le impostazioni di Criteri di gruppo per controllare il comportamento dei client quando si apre un file con estensione rdp e firma digitale
È possibile utilizzare Criteri di gruppo per configurare i client a riconoscere sempre come trusted le connessioni ai desktop virtuali di una determinata entità di pubblicazione. È inoltre possibile configurare se i client bloccheranno le connessioni ai desktop virtuali da origini esterne o sconosciute. Utilizzando queste impostazioni dei criteri, è possibile ridurre il numero e la complessità delle decisioni di sicurezza che riguardano gli utenti, riducendo anche la possibilità di azioni involontarie degli utenti che potrebbero causare vulnerabilità di sicurezza.
Le impostazioni di Criteri di gruppo rilevanti sono:
- Specifica identificazioni personali SHA1 di certificati che rappresentano autori RDP attendibili
- Consenti file RDP di autori validi e impostazioni RDP predefinite dell'utente
- Consenti file RDP di autori sconosciuti
Queste impostazioni di Criteri di gruppo sono disponibili in Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Client di Connessione desktop remoto e in Configurazione utente\Criteri\Modelli amministrativi\Componenti di Windows\Servizi Desktop remoto\Client di Connessione desktop remoto.
Queste impostazioni di Criteri di gruppo possono essere configurate utilizzando l'Editor Criteri di gruppo locali o la Console Gestione Criteri di gruppo.
Per ulteriori informazioni sulle impostazioni di Criteri di gruppo per Servizi Desktop remoto, vedere la pagina relativa ai riferimenti tecnici per Servizi Desktop remoto all'indirizzo