Za pomocą podpisu cyfrowego można podpisywać pliki rdp używane do połączeń z pulpitami wirtualnymi za pomocą funkcji Połączenia programów RemoteApp i pulpitu. Dotyczy to plików rdp używanych do połączeń z pulami pula pulpitów wirtualnych i pulpitami osobisty pulpit wirtualny.

Ważne

W celu łączenia się z pulpitem wirtualnym przy użyciu podpisanego cyfrowo pliku rdp na kliencie musi być uruchomiony program Podłączanie pulpitu zdalnego w wersji 6.1 lub nowszej. (Klient programu Podłączanie pulpitu zdalnego w wersji 6.1 obsługuje protokół RDP w wersji 6.1).

Jeśli jest używany certyfikat cyfrowy, podpis kryptograficzny pliku rdp dostarcza możliwych do zweryfikowania informacji o tożsamości wydawcy pliku. Umożliwia to klientom rozpoznanie danej organizacji jako źródła połączenia pulpitu wirtualnego oraz pozwala na podjęcie decyzji o nawiązaniu połączenia na podstawie bardziej wiarygodnych informacji o zaufaniu. Ułatwia to ochronę przed plikami rdp zmienionymi przez złośliwych użytkowników.

Pliki rdp używane do połączeń pulpitów wirtualnych można podpisywać za pomocą certyfikatu uwierzytelniania serwera (certyfikatu SSL), certyfikatu podpisywania kodu lub specjalnie zdefiniowanego certyfikatu podpisywania protokołu RDP (Remote Desktop Protocol). Certyfikaty SSL i certyfikaty podpisywania kodu można uzyskać z publicznych urzędów certyfikacji lub z urzędu certyfikacji przedsiębiorstwa w hierarchii infrastruktury kluczy publicznych. Zanim będzie można użyć certyfikatu podpisywania protokołu RDP, należy skonfigurować urząd certyfikacji w przedsiębiorstwie do wystawiania certyfikatów podpisywania protokołu RDP.

Jeśli przy połączeniach z serwerem Host sesji usług pulpitu zdalnego lub serwerem usługi Brama usług pulpitu zdalnego jest już używany certyfikat SSL, można użyć tego certyfikatu do podpisywania plików rdp. Jeśli jednak użytkownicy łączą się z pulpitami wirtualnymi z komputerów publicznych lub domowych, należy użyć jednego z następujących certyfikatów:

Poniższa procedura służy do konfigurowania certyfikatu cyfrowego do podpisywania plików rdp dla połączeń pulpitów wirtualnych.

Członkostwo lokalnej grupy Administratorzy lub równoważnej na serwerze brokera połączeń usług pulpitu zdalnego, który ma zostać skonfigurowany, stanowi minimum wymagane do wykonania tej procedury. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie https://go.microsoft.com/fwlink/?LinkId=83477.

Aby skonfigurować certyfikat cyfrowy do użycia
  1. Na serwerze brokera połączeń usług pulpitu zdalnego otwórz Menedżera połączeń usług pulpitu zdalnego. Aby otworzyć Menedżera połączeń usług pulpitu zdalnego, kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, wskaż polecenie Usługi pulpitu zdalnego, a następnie kliknij polecenie Menedżer połączeń usług pulpitu zdalnego.

  2. W lewym okienku kliknij pozycję Serwery hosta wirtualizacji pulpitu zdalnego, a następnie w menu Akcja kliknij polecenie Właściwości.

  3. W oknie dialogowym Właściwości pulpitów wirtualnych, na karcie Podpis cyfrowy zaznacz pole wyboru Podpisz certyfikatem cyfrowym.

  4. W polu Szczegóły certyfikatu cyfrowego kliknij przycisk Wybierz.

  5. W oknie dialogowym Wybieranie certyfikatu zaznacz certyfikat, którego chcesz użyć, a następnie kliknij przycisk OK.

    Uwaga

    Okno dialogowe Wybieranie certyfikatu jest wypełniane certyfikatami znajdującymi się w magazynie certyfikatów komputera lokalnego lub osobistym magazynie certyfikatów. Certyfikaty, które mają zostać użyte, muszą znajdować się w jednym z tych magazynów.

  6. Po zakończeniu kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości pulpitów wirtualnych.

Aby uzyskać więcej informacji na temat zabezpieczeń funkcji Połączenia programów RemoteApp i pulpitu, zobacz temat Informacje o zabezpieczeniach funkcji Połączenia programów RemoteApp i pulpitu.

Używanie zasad grupy do kontrolowania sposobu działania klientów podczas otwierania podpisanych cyfrowo plików rdp

Zasady grupy umożliwiają takie skonfigurowanie klientów, aby połączenia pulpitów wirtualnych od określonego wydawcy były zawsze rozpoznawane jako zaufane. Można także określić, czy klienci mają blokować połączenia usług pulpitu zdalnego z zewnętrznych lub nieznanych źródeł. Używając tych ustawień zasad, można ograniczyć liczbę i złożoność decyzji dotyczących zabezpieczeń, które muszą podejmować użytkownicy. Zmniejsza to ryzyko wystąpienia luk w zabezpieczeniach spowodowanych przez nieumyślne działania użytkowników.

Odpowiednie ustawienia zasad grupy są następujące:

  • Określ odciski palców SHA1 certyfikatów reprezentujących zaufanych wydawców plików rdp

  • Zezwalaj na pliki rdp pochodzące od prawidłowych wydawców oraz na ustawienia domyślne plików rdp użytkownika

  • Zezwalaj na pliki rdp pochodzące od nieznanych wydawców

Te ustawienia zasad grupy znajdują się w folderze Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Klient połączeń Pulpitu zdalnego i Konfiguracja użytkownika\Zasady\Szablony administracyjne\Składniki systemu Windows\Usługi pulpitu zdalnego\Klient połączeń Pulpitu zdalnego.

Powyższe ustawienia zasad grupy można skonfigurować za pomocą Edytora lokalnych zasad grupy lub Konsoli zarządzania zasadami grupy.

Aby uzyskać więcej informacji na temat ustawień zasad grupy dotyczących Usług pulpitu zdalnego, zobacz dokumentację techniczną Usług pulpitu zdalnego (https://go.microsoft.com/fwlink/?LinkId=138134, strona może zostać wyświetlona w języku angielskim).

Informacje dodatkowe


Spis treści