É possível utilizar uma assinatura digital para assinar ficheiros .rdp utilizados para ligações a ambientes de trabalho remoto virtuais através da Ligação de Programas RemoteApp e Ambientes de Trabalho Remotos. Isto inclui os ficheiros .rdp utilizados para ligações a conjuntos de ambientes de trabalho virtuais e ambientes de trabalho virtuais pessoais.

Importante

Para ligar a um ambiente de trabalho virtual utilizando um ficheiro .rdp assinado digitalmente, o cliente deve ter, pelo menos, o Cliente de Ambiente de Trabalho Remoto (RDC) 6.1. (O cliente RDC 6.1 suporta o protocolo RDP (Remote Desktop Protocol) 6.1.

Se utilizar um certificado digital, a assinatura criptográfica no ficheiro .rdp irá fornecer informações, que poderão ser verificadas, sobre a sua identidade como publicador. Isto permite aos clientes reconhecer a sua organização como a origem da ligação de ambiente de trabalho virtual e permite-lhes tomar decisões de fidedignidade mais informadas sobre se devem iniciar ou não a ligação. Isto ajuda a proteger contra a utilização de ficheiros .rdp que foram alterados por um utilizador malicioso.

É possível assinar ficheiros .rdp utilizados para ligações de ambiente de trabalho virtuais utilizando um certificado de Autenticação de Servidor [certificado SSL (Secure Sockets Layer)], um certificado de Assinatura de Código ou um certificado de Assinatura de Protocolo RDP (Remote Desktop Protocol) definido especialmente. É possível obter certificados SSL e de Assinatura de Código de autoridades de certificação públicas (AC) ou de uma AC empresarial na sua hierarquia de infra-estrutura de chaves públicas. Antes de poder utilizar um certificado de Assinatura RDP, tem de configurar uma AC na sua empresa para emitir certificados de Assinatura RDP.

Se já utiliza um certificado SSL para ligações a um servidor de Anfitrião de Sessões de Ambiente de Trabalho Remoto (Anfitrião de Sessões de RD) ou Gateway de RD, pode utilizar o mesmo certificado para assinar ficheiros .rdp. No entanto, se os utilizadores ligarem a ambientes de trabalho virtuais a partir de computadores públicos ou domésticos, terá de utilizar um dos seguintes certificados:

  • Um certificado de uma AC pública que participe no programa para Membros do programa Microsoft Root Certificate Program (https://go.microsoft.com/fwlink/?LinkID=59547 (pode estar em inglês)).

  • Se utiliza uma AC empresarial, o certificado emitido por uma AC empresarial tem de ser assinado conjuntamente por uma AC pública que participe no programa para Membros do programa Microsoft Root Certificate Program.

Utilize o seguinte procedimento para configurar o certificado digital com o qual irá assinar os ficheiros .rdp para ligações de ambiente de trabalho virtual.

Pertencer ao grupo Administradores local, ou equivalente, no servidor de Mediador de Ligações de RD que pretende configurar é o requisito mínimo para concluir este procedimento. Consulte os detalhes sobre como utilizar as contas adequadas e associações a grupos em https://go.microsoft.com/fwlink/?LinkId=83477.

Para configurar o certificado digital a utilizar
  1. No servidor de Mediador de Ligações de RD, abra o Gestor de Ligações de Ambientes de Trabalho Remoto. Para abrir o Gestor de Ligações de Ambientes de Trabalho Remoto, clique em Iniciar, aponte para Ferramentas Administrativas, aponte para Serviços de Ambiente de Trabalho Remoto e clique em Gestor de Ligações de Ambientes de Trabalho Remoto.

  2. No painel esquerdo, clique em Servidores de Anfitrião de Virtualização de RD e, em seguida, no menu Acção, clique em Propriedades.

  3. Na caixa de diálogo Propriedades de Ambientes de Trabalho Virtuais, no separador Assinatura Digital, seleccione a caixa de verificação Assinar com um certificado digital.

  4. Na caixa Detalhes do certificado digital, clique em Seleccionar.

  5. Na caixa de diálogo Seleccionar Certificado, seleccione o certificado que pretende utilizar e, em seguida, clique em OK.

    Nota

    A caixa de diálogo Seleccionar Certificado é povoada por certificados que se encontram no arquivo de certificados do computador local ou no seu arquivo de certificados pessoais. O certificado que pretende utilizar deve estar num destes dois arquivos.

  6. Quando tiver concluído, clique em OK para fechar a caixa de diálogo Propriedades de Ambientes de Trabalho Virtuais.

Para mais informações sobre a segurança da Ligação de Programas RemoteApp e Ambientes de Trabalho Remotos, consulte Acerca da Segurança da Ligação de Programas RemoteApp e Ambientes de Trabalho Remotos.

Utilizar as definições da Política de Grupo para controlar o comportamento do cliente ao abrir um ficheiro .rdp assinado digitalmente

Pode utilizar a Política de Grupo para configurar clientes para reconhecer sempre como fidedignas as ligações de ambiente de trabalho virtual de determinado publicador. Também pode configurar se os clientes devem bloquear ligações de ambiente de trabalho remoto de origens externas ou desconhecidas. Utilizando estas definições de política, é possível reduzir o número e a complexidade das decisões de segurança com que os utilizadores se deparam. Isto reduz as hipóteses de acções do utilizador inadvertidas que podem levar a vulnerabilidades de segurança.

As definições de Política de Grupo relevantes são:

  • Especificar thumbprints SHA1 de certificados que representam publicadores de .rdp fidedignos

  • Permitir ficheiros .rdp de publicadores válidos e predefinições de .rdp do utilizador

  • Permitir ficheiros .rdp de publicadores desconhecidos

Estas definições de Política de Grupo estão localizadas em Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Ambiente de Trabalho Remoto\Cliente de Ligação ao Ambiente de Trabalho Remoto e Configuração do Utilizador\Políticas\Modelos Administrativos\Componentes do Windows\Serviços de Ambiente de Trabalho Remoto\Cliente de Ligação ao Ambiente de Trabalho Remoto.

Estas definições de Política de Grupo podem ser configuradas utilizando o Editor de Políticas de Grupo Local ou a Consola de Gestão de Políticas de Grupo (GPMC).

Para mais informações sobre definições de Política de Grupo para Serviços de Ambiente de Trabalho Remoto, consulte a Referência Técnica dos Serviços de Ambiente de Trabalho Remoto (https://go.microsoft.com/fwlink/?LinkId=138134 (pode estar em inglês)).

Referências adicionais


Sumário