Met een digitale handtekening kunt u RDP-bestanden ondertekenen die worden gebruikt voor verbindingen met virtuele bureaubladen via RemoteApp- en bureaubladverbindingen. Hieronder vallen ook de RDP-bestanden die worden gebruikt voor verbindingen met een pool met virtuele bureaubladen en een persoonlijk virtueel bureaublad.
Belangrijk | |
Op een clientcomputer die met een digitaal ondertekend RDP-bestand verbinding wil maken met een virtueel bureaublad, moet ten minste Remote Desktop Client (RDC) 6.1 worden uitgevoerd. (De RDC 6.1-client ondersteunt Remote Desktop Protocol 6.1.) |
Als u een digitaal certificaat gebruikt, bevat de cryptografische handtekening in het RDP-bestand informatie over uw identiteit als uitgever, die kan worden geverifieerd. Zo kunnen clients uw organisatie herkennen als de bron van de verbinding met het virtuele bureaublad en daardoor weten of zij de verbinding veilig kunnen starten. Dit biedt bescherming tegen het gebruik van RDP-bestanden die zijn veranderd door een kwaadwillende gebruiker.
RDP-bestanden die voor verbindingen met virtuele bureaubladen worden gebruikt, kunt u ondertekenen met een certificaat voor serververificatie [SSL-certificaat (Secure Sockets Layer)], een certificaat voor de ondertekening van programmacode of een speciaal gedefinieerd RDP-handtekeningcertificaat (Remote Desktop Protocol). SSL-certificaten en certificaten voor de ondertekening van programmacode kunt u verkrijgen bij openbare certificeringsinstanties (CA's) of een ondernemingscertificeringsinstantie in de hiërarchie van uw openbare-sleutelinfrastructuur. Voordat u een RDP-handtekeningcertificaat kunt gebruiken, moet u in uw onderneming een certificeringsinstantie configureren voor het uitgeven van RDP-handtekeningcertificaten.
Als u al een SSL-certificaat gebruikt voor verbindingen met een Extern bureaublad-sessiehost-server of RD-gateway, kunt u hetzelfde certificaat gebruiken voor het ondertekenen van RDP-bestanden. Als gebruikers echter verbinding met virtuele bureaubladen maken vanaf openbare computers of thuiscomputers, moet u een van de volgende certificaten gebruiken:
- Een certificaat van een openbare certificeringsinstantie die deelneemt aan het Microsoft Basiscertificaatprogramma voor leden (
https://go.microsoft.com/fwlink/?LinkID=59547 ). - Als u gebruikmaakt van een ondernemingscertificeringsinstantie, moet het certificaat dat door uw ondernemingscertificeringsinstantie is uitgegeven, ook zijn ondertekend door een openbare certificeringsinstantie die deelneemt aan het Microsoft Basiscertificaatprogramma voor leden.
Gebruik de volgende procedure om het digitale certificaat te configureren waarmee RDP-bestanden voor verbindingen met virtuele bureaubladen moeten worden ondertekend.
U kunt deze procedure alleen uitvoeren als u op de RD Connection Broker-server die u wilt configureren, minimaal lid bent van de lokale groep Administrators of over gelijkwaardige rechten beschikt. Bekijk de details over het gebruik van de juiste accounts en groeplidmaatschappen op
Het digitale certificaat configureren |
Open Extern bureaublad-verbindingsbeheer op de RD Connection Broker-server. U opent Extern bureaublad-verbindingsbeheer als volgt: klik op Start, ga naar Systeembeheer, ga naar Extern bureaublad-services en klik op Extern bureaublad-verbindingsbeheer.
Klik in het linkerdeelvenster op Extern bureaublad-virtualisatiehostservers en klik vervolgens in het menu Actie op Eigenschappen.
Schakel op het tabblad Digitale handtekening van het dialoogvenster Eigenschappen virtuele bureaubladen het selectievakje Ondertekenen met een digitaal certificaat in.
Klik in het vak Details van digitaal certificaat op Selecteren.
Selecteer in het dialoogvenster Certificaat selecteren het certificaat dat u wilt gebruiken en klik vervolgens op OK.
Opmerking In het dialoogvenster Certificaat selecteren worden de certificaten ingevuld die zich bevinden in het certificaatarchief van de lokale computer of in uw persoonlijk certificaatarchief. Het certificaat dat u wilt gebruiken, moet zich in een van deze twee archieven bevinden.
Als u klaar bent, klikt u op OK om het dialoogvenster Eigenschappen virtuele bureaubladen te sluiten.
Zie De beveiliging van RemoteApp- en bureaubladverbinding voor meer informatie over de beveiliging van RemoteApp- en bureaubladverbindingen.
Het gedrag van een client bij het openen van een digitaal ondertekend RDP-bestand bepalen met groepsbeleidsinstellingen
Met Groepsbeleid kunt u clients zodanig configureren dat ze verbindingen met virtuele bureaubladen van een bepaalde uitgever altijd als vertrouwd herkennen. U kunt ook configureren dat clients verbindingen met virtuele bureaubladen van externe of onbekende bronnen blokkeren. Als u deze beleidsinstellingen gebruikt, kunnen gebruikers eenvoudiger beslissen of een verbinding veilig is. Hierdoor wordt de kans dat onopzettelijke acties van gebruikers tot beveiligingsproblemen leiden, verminderd.
De relevante groepsbeleidsinstellingen zijn:
- SHA1-vingerafdrukken opgeven van certificaten die vertrouwde RDP-uitgevers vertegenwoordigen
- RDP-bestanden van geldige uitgevers en de standaard-RDP-instellingen van de gebruiker toestaan
- RDP-bestanden van onbekende uitgevers toestaan
Deze groepsbeleidsinstellingen zijn te vinden in Computerconfiguratie\Beleid\Beheersjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-client en Gebruikersconfiguratie\Beleid\Beheersjablonen\Windows-onderdelen\Extern bureaublad-services\Extern bureaublad-client.
Deze groepsbeleidsinstellingen kunnen worden geconfigureerd met de editor voor lokaal groepsbeleid of de console Groepsbeleidsbeheer.
Ga naar de technische naslaginformatie van Extern bureaublad-services (