Za pomocą podpisu cyfrowego można podpisywać pliki .rdp używane dla połączeń w trybie RemoteApp z serwerem Host sesji usług pulpitu zdalnego. Dotyczy to również plików .rdp używanych dla połączeń z elementami Programy RemoteApp i z pulpitem serwera Host sesji usług pulpitu zdalnego za pośrednictwem programu Dostęp w sieci Web do usług pulpitu zdalnego.

Ważne

Aby klient mógł łączyć się z elementem Program RemoteApp, używając podpisanego cyfrowo pliku .rdp, na kliencie musi być uruchomiony program Podłączanie pulpitu zdalnego w wersji co najmniej 6.1. (Klient usługi Podłączanie pulpitu zdalnego w wersji 6.1 obsługuje protokół RDP w wersji 6.1).

Jeśli jest używany certyfikat cyfrowy, zawarty w pliku połączenia podpis kryptograficzny dostarczy podlegających sprawdzeniu informacji dotyczących użytkownika jako wydawcy pliku. Umożliwia to klientom rozpoznanie danej organizacji jako źródła elementu Program RemoteApp lub połączenia usług pulpitu zdalnego oraz pozwala na podjęcie decyzji o nawiązaniu połączenia na podstawie bardziej wiarygodnych informacji o zaufaniu. Ułatwia to ochronę przed plikami rdp zmienionymi przez złośliwych użytkowników.

Pliki .rdp używane do połączeń w trybie RemoteApp można podpisywać, używając certyfikatu uwierzytelniania serwera (certyfikatu SSL), certyfikatu podpisywania kodu lub specjalnie zdefiniowanego certyfikatu podpisywania protokołu RDP (Remote Desktop Protocol). Certyfikaty SSL i certyfikaty podpisywania kodu można uzyskać z publicznych urzędów certyfikacji lub z urzędu certyfikacji przedsiębiorstwa w hierarchii infrastruktury kluczy publicznych. Zanim będzie można użyć certyfikatu podpisywania protokołu RDP, należy skonfigurować urząd certyfikacji w przedsiębiorstwie do wystawiania certyfikatów podpisywania protokołu RDP.

Jeśli dla serwera Host sesji usług pulpitu zdalnego lub połączeń usługi Brama usług pulpitu zdalnego jest już używany certyfikat SSL, można użyć tego certyfikatu do podpisywania plików .rdp. Jeśli jednak użytkownicy będą łączyć się z elementami Programy RemoteApp z komputerów publicznych lub prywatnych, należy użyć jednego z następujących certyfikatów:

  • Certyfikat z publicznego urzędu certyfikacji biorący udział w programie certyfikatów głównych firmy Microsoft (https://go.microsoft.com/fwlink/?LinkID=59547) (strona może zostać wyświetlona w języku angielskim).

  • Jeśli jest używany urząd certyfikacji przedsiębiorstwa, certyfikat wystawiony przez urząd certyfikacji przedsiębiorstwa musi być także podpisany przez urząd certyfikacji biorący udział w programie certyfikatów głównych firmy Microsoft.

Członkostwo lokalnej grupy Administratorzy lub równoważnej na serwerze hosta sesji usług pulpitu zdalnego, który ma zostać skonfigurowany, stanowi minimum wymagane do wykonania tej procedury. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie https://go.microsoft.com/fwlink/?LinkId=83477.

Aby skonfigurować certyfikat cyfrowy do używania
  1. Na serwerze hosta sesji usług pulpitu zdalnego otwórz Menedżera programów RemoteApp. Aby otworzyć Menedżera programów RemoteApp, kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, wskaż polecenie Usługi pulpitu zdalnego, a następnie kliknij polecenie Menedżer programów RemoteApp.

  2. W okienku Akcje narzędzia Menedżer programów RemoteApp kliknij łącze Ustawienia podpisu cyfrowego. (Można także kliknąć pozycję Zmień obok pozycji Ustawienia podpisu cyfrowego w okienku Przegląd).

  3. Zaznacz pole wyboru Podpisz certyfikatem cyfrowym.

  4. W polu Szczegóły certyfikatu cyfrowego kliknij przycisk Zmień.

  5. W oknie dialogowym Wybieranie certyfikatu zaznacz certyfikat, którego chcesz użyć, a następnie kliknij przycisk OK.

    Uwaga

    Okno dialogowe Wybieranie certyfikatu jest zapełniane certyfikatami znajdującymi się w magazynie certyfikatów komputera lokalnego lub w magazynie certyfikatów osobistych. Certyfikaty, które mają zostać użyte, muszą znajdować się w jednym z tych magazynów.

Kontrolowanie zachowania klientów podczas otwierania podpisanych cyfrowo plików rdp za pomocą zasad grupy

Zasady grupy umożliwiają takie skonfigurowanie klientów, aby elementy Programy RemoteApp od określonego wydawcy były zawsze rozpoznawane jako zaufane. Można także określić, czy klienci mają blokować elementy Programy RemoteApp i połączenia usług pulpitu zdalnego z zewnętrznych lub nieznanych źródeł. Używając tych ustawień zasad, można ograniczyć liczbę i złożoność decyzji dotyczących zabezpieczeń, które muszą podejmować użytkownicy. Zmniejsza to ryzyko wystąpienia luk w zabezpieczeniach spowodowanych przez nieumyślne działania użytkowników.

Odpowiednie ustawienia zasad grupy to:

  • Określ odciski palców SHA1 certyfikatów reprezentujących zaufanych wydawców plików rdp

  • Zezwalaj na pliki rdp pochodzące od prawidłowych wydawców oraz na ustawienia domyślne plików rdp użytkownika

  • Zezwalaj na pliki rdp pochodzące od nieznanych wydawców

Te ustawienia zasad grup są umieszczone w folderze Konfiguracja komputera\Zasady\Szablony administracyjne\Usługi pulpitu zdalnego\Klient połączeń pulpitu zdalnego i Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Klient połączeń pulpitu zdalnego.

Powyższe ustawienia zasad grupy można skonfigurować za pomocą Edytora lokalnych zasad grupy lub Konsoli zarządzania zasadami grupy.

Aby uzyskać więcej informacji na temat ustawień zasad grupy dotyczących Usług pulpitu zdalnego, zobacz dokumentację techniczną Usług pulpitu zdalnego (https://go.microsoft.com/fwlink/?LinkId=138134, strona może zostać wyświetlona w języku angielskim).

Dodatkowe informacje


Spis treści