Для RDP-файлов, используемых для подключений к виртуальным рабочим столам через Подключения к удаленным рабочим столам и приложениям RemoteApp, можно использовать цифровую подпись. К этим файлам относятся RDP-файлы, которые используются для подключений к пул виртуальных рабочих столов и к персональный виртуальный рабочий стол.

Важно!

Чтобы подключиться к виртуальному рабочему столу с помощью RDP-файла, имеющего цифровую подпись, на клиентском компьютере должен использоваться клиент удаленного рабочего стола (RDC) версии не ниже 6.1. (Клиент RDC 6.1 поддерживает протокол удаленного рабочего стола версии 6.1.)

Если используется цифровой сертификат, криптографическая подпись на RDP-файле предоставляет проверяемые сведения об удостоверении пользователя как лица, его опубликовавшего. Это помогает клиентам распознавать организацию как источник подключения к виртуальному рабочему столу, а также обеспечивает более полными сведениями, необходимыми при принятии решения о доверии при запуске подключения. Таким образом обеспечивается защита от использования подозрительных RDP-файлов.

Можно подписывать RDP-файлы, используемые для подключений к виртуальным рабочим столам, с помощью сертификата проверки подлинности сервера [Secure Sockets Layer (SSL) certificate], сертификата подписи кода или специально определенного сертификата подписи протокола удаленного рабочего стола (RDP). Получить сертификаты подписи кода и протокола SSL можно в общественных центрах сертификации (CA) или в центре сертификации предприятия в иерархии инфраструктуры открытых ключей. Перед использованием сертификата подписи RDP необходимо настроить центр сертификации на предприятии для выпуска сертификатов подписи RDP.

Если для подключений к серверу Узел сеансов удаленных рабочих столов или к Шлюз удаленных рабочих столов уже используется SSL-сертификат, его также можно использовать и для подписи RDP-файлов. Однако, если пользователи будут подключаться к виртуальным рабочим столам с общедоступных или домашних компьютеров, необходимо использовать один из следующих сертификатов:

  • Сертификат общественного центра сертификации, принимающего участие в программе корневых сертификатов корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkID=59547).

  • Если используется центр сертификации предприятия, то выпущенные на корпоративном уровне сертификаты также должны быть подписаны общественным центром сертификации, который принимает участие в программе корневых сертификатов корпорации Майкрософт.

Чтобы настроить цифровой сертификат, используемый для подписи RDP-файлов для подключений к виртуальным рабочим столам, используйте следующую процедуру.

Для выполнения этой процедуры пользователь, по меньшей мере, должен быть членом локальной группы Администраторы или аналогичной группы на сервере посредника подключений к удаленному рабочему столу. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477.

Настройка цифрового сертификата для использования
  1. На сервере посредника подключений к удаленному рабочему столу откройте диспетчер подключений к удаленным рабочим столам. Чтобы открыть диспетчер подключений к удаленным рабочим столам, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер подключений к удаленным рабочим столам.

  2. В левой области выберите компонент Хост-серверы виртуализации удаленных рабочих столов, а затем в меню Действие выберите пункт Свойства.

  3. В диалоговом окне Свойства виртуальных рабочих столов на вкладке Цифровая подпись установите флажок Подписать с помощью цифрового сертификата.

  4. В поле Сведения о цифровом сертификате щелкните Выбрать.

  5. В диалоговом окне Выбор сертификата выберите сертификат, который необходимо использовать, а затем нажмите кнопку ОК.

    Примечание

    Диалоговое окно Выбор сертификата содержит сертификаты, расположенные в хранилище сертификатов локального компьютера или в личном хранилище сертификатов. Сертификат, который необходимо использовать, должен находиться в одном из этих хранилищ.

  6. Закончив, закройте диалоговое окно Свойства виртуальных рабочих столов, нажав кнопку ОК.

Дополнительные сведения о безопасности Подключения к удаленным рабочим столам и приложениям RemoteApp см. в разделе О безопасности подключения к удаленным рабочим столам и приложениям RemoteApp.

Использование параметров групповой политики для управления поведением клиента при открытии RDP-файла, имеющего цифровую подпись

С помощью групповой политики можно установить, чтобы клиенты всегда распознавали подключения к виртуальным рабочим столам определенного издателя как доверенные. Также можно указать, будут ли клиенты блокировать подключения к удаленному рабочему столу из внешних или неизвестных источников. Используя параметры политики, можно сократить количество и понизить сложность решений, касающихся безопасности, с которыми сталкиваются пользователи. Это уменьшит возможность непреднамеренных действий пользователей, которые могут привести к уязвимости.

Соответствующие параметры групповой политики следующие:

  • Указать SHA1-отпечатки сертификатов, отражающие доверенных RDP-издателей

  • Разрешить RDP-файлы допустимых издателей, а также пользовательские параметры RDP-файлов по умолчанию

  • Разрешить RDP-файлы от неизвестных издателей

Эти параметры групповой политики расположены в папках Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу.

Для настройки этих параметров групповой политики можно использовать редактор локальной групповой политики или консоль управления групповыми политиками.

Дополнительные сведения о параметрах групповой политики для служб удаленных рабочих столов см. в техническом справочнике по службам удаленных рабочих столов (может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=138134).

Дополнительные источники информации


Содержание