Pode utilizar uma assinatura digital para assinar ficheiros .rdp que são utilizados para ligações de RemoteApp ao servidor de Anfitrião de Sessões de Ambiente de Trabalho Remoto (Anfitrião de Sessões de RD). Isto inclui os ficheiros .rdp que são utilizados para ligações através de Acesso Web RD para Programas RemoteApp e para o ambiente de trabalho de um servidor de Anfitrião de Sessões de RD.
Importante | |
Para ligar a um Programa RemoteApp utilizando um ficheiro .rdp assinado digitalmente, o cliente tem de ter, no mínimo, o Cliente de Ambiente de Trabalho Remoto (RDC) 6.1. (O cliente RDC 6.1 suporta o protocolo RDP (Remote Desktop Protocol) 6.1. |
Se utilizar um certificado digital, a assinatura criptográfica no ficheiro de ligação proporciona informações verificáveis sobre a sua identidade como o seu fabricante. Isto permite aos clientes reconhecer a sua organização como a origem do Programa RemoteApp ou da ligação de ambiente de trabalho remoto, e permite-lhes tomar decisões de fidedignidade mais informadas sobre iniciar a ligação. Isto ajuda a proteger contra a utilização de ficheiros .rdp que foram alterados por um utilizador malicioso.
É possível assinar ficheiros .rdp que são utilizados para ligações RemoteApp utilizando um certificado de autenticação de servidor [certificado SSL (Secure Sockets Layer)], um certificado de Assinatura de Código ou um certificado de assinatura de protocolo RDP (Remote Desktop Protocol) definido especialmente. É possível obter certificados SSL e de Assinatura de Código de autoridades de certificação públicas (AC) ou de uma AC empresarial na sua hierarquia de infra-estrutura de chaves públicas. Antes de poder utilizar um certificado de assinatura RDP, tem de configurar uma AC na sua empresa para emitir certificados de assinatura RDP.
Se já estiver a utilizar um certificado SSL para o servidor de Anfitrião de Sessões de RD ou ligações de Gateway de RD, pode utilizar o mesmo certificado para assinar ficheiros .rdp. Contudo, se os utilizadores estabelecerem ligação a Programas RemoteApp a partir de computadores públicos ou domésticos, tem de utilizar um dos seguintes:
- Um certificado de uma AC pública que participe no programa de Membros do Microsoft Root Certificate Program (
https://go.microsoft.com/fwlink/?LinkID=59547 (pode estar em inglês) ). - Se estiver a utilizar uma AC empresarial, o seu certificado emitido por uma AC empresarial tem de ser assinado conjuntamente por uma AC pública que participe no programa de Membros do Microsoft Root Certification Program.
Pertencer ao grupo Administradores local, ou equivalente, no servidor de Anfitrião de Sessões de RD que pretende configurar é o requisito mínimo para concluir este procedimento. Consulte os detalhes sobre como utilizar as contas adequadas e associações a grupos em
Para configurar o certificado digital a utilizar |
No servidor de Anfitrião de Sessões de RD, abra o Gestor de Programas RemoteApp. Para abrir o Gestor de Programas RemoteApp, clique em Iniciar, aponte para Ferramentas Administrativas, aponte para Serviços de Ambiente de Trabalho Remoto e clique em Gestor de Programas RemoteApp.
No painel Acções do Gestor de Programas RemoteApp, clique em Definições da Assinatura Digital. (Ou, no painel Descrição Geral, junto de Definições da Assinatura Digital, clique em Alterar.)
Seleccione a caixa de verificação Assinar com um certificado digital.
Na caixa Detalhes do certificado digital, clique em Alterar.
Na caixa de diálogo Seleccionar Certificado, seleccione o certificado que pretende utilizar e, em seguida, clique em OK.
Nota A caixa de diálogo Seleccionar Certificado é povoada por certificados que se encontram no arquivo de certificados do computador local ou no seu arquivo de certificados pessoais. O certificado que pretende utilizar deve estar num destes dois arquivos.
Utilizar as definições da Política de Grupo para controlar o comportamento do cliente ao abrir um ficheiro .rdp assinado digitalmente
Pode utilizar a Política de Grupo para configurar clientes para reconhecer sempre os Programas RemoteApp de um determinado fabricante como fidedignos. Também pode configurar se os clientes irão bloquear os Programas RemoteApp e as ligações de ambiente de trabalho remoto de origens externas ou desconhecidas. Utilizando estas definições de política, é possível reduzir o número e a complexidade das decisões de segurança com que os utilizadores se deparam. Isto reduz as hipóteses de acções do utilizador inadvertidas que podem levar a vulnerabilidades de segurança.
As definições de Política de Grupo relevantes são:
- Especificar thumbprints SHA1 de certificados que representam publicadores de .rdp fidedignos
- Permitir ficheiros .rdp de fabricantes válidos e predefinições de .rdp do utilizador
- Permitir ficheiros .rdp de fabricantes desconhecidos
Estas definições de Política de Grupo estão localizadas em Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Ambiente de Trabalho Remoto\Cliente de Ligação ao Ambiente de Trabalho Remoto e Configuração do Utilizador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Ambiente de Trabalho Remoto\Cliente de Ligação ao Ambiente de Trabalho Remoto.
Estas definições de Política de Grupo podem ser configuradas utilizando o Editor de Políticas de Grupo Local ou a Consola de Gestão de Políticas de Grupo (GPMC).
Para mais informações sobre definições da Política de Grupo para Serviços de Ambiente de Trabalho Remoto, consulte a Referência Técnica dos Serviços de Ambiente de Trabalho Remoto (