可以使用数字签名为用于将 RemoteApp连接到远程桌面会话主机(RD 会话主机)服务器的 .rdp 文件签名。其中包括用于通过 RD Web 访问连接到 RemoteApp 程序和 RD 会话主机服务器桌面的 .rdp 文件。

重要

若要使用已进行数字签名的 .rdp 文件连接到 RemoteApp 程序,客户端运行的远程桌面客户端 (RDC) 版本不得低于 6.1。(RDC 6.1 客户端支持远程桌面协议 6.1。)

如果使用数字证书,连接文件上的加密签名将提供有关您作为其发布者的身份的可验证信息。这样,客户端可以将您的组织识别为 RemoteApp 程序或远程桌面连接的源,使客户端可以对是否启动连接做出更合理的信任决定。这样可以防止使用恶意用户已篡改的 .rdp 文件。

可以使用服务器身份验证证书 [安全套接字层 (SSL) 证书]、代码签名证书或特别定义的远程桌面协议 (RDP) 签名证书,为用于 RemoteApp连接的 .rdp 文件签名。可以从公用证书颁发机构 (CA) 或您的公钥基础结构层次结构中的某个企业 CA 获取 SSL 证书和代码签名证书。若要使用 RDP 签名证书,必须先将您的企业中的某个 CA 配置为颁发 RDP 签名证书。

如果已在对 RD 会话主机服务器连接或 RD 网关连接使用 SSL 证书,可以使用同一个证书为 .rdp 文件签名。但是,如果用户将从公用计算机或家用计算机连接到 RemoteApp 程序,则必须使用下列任一证书:

  • 参与 Microsoft 根证书程序成员计划的公用 CA 颁发的证书 (https://go.microsoft.com/fwlink/?LinkID=59547)。

  • 如果使用的是企业 CA,必须由参与 Microsoft 根证书程序成员计划的公用 CA 为企业 CA 颁发的证书共同签名。

计划配置的 RD 会话主机服务器上的本地 Administrators 组的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文链接)。

若要配置要使用的数字证书,请执行下列操作:
  1. 在 RD 会话主机服务器中,打开“RemoteApp 管理器”。要打开“RemoteApp 管理器”,请单击「开始」,依次指向“管理工具”、“远程桌面服务”,然后单击“RemoteApp 管理器”。

  2. 在 RemoteApp 管理器的“操作”窗格中,单击“数字签名设置”。(或者,在“概述”窗格中,单击“数字签名设置”旁边的“更改”。)

  3. 选中“使用数字证书签名”复选框。

  4. “数字证书详细信息”框中,单击“更改”

  5. “选择证书”对话框中,选择要使用的证书,然后单击“确定”

    注意

    “选择证书”对话框由本地计算机的证书存储区或您的个人证书存储区中的证书填充。要使用的证书必须位于这两个存储区的任一存储区中。

使用组策略设置控制打开已进行数字签名的 .rdp 文件时的行为

可以使用组策略配置客户端,使其始终将来自特定发布者的 RemoteApp 程序识别为可信程序。还可以配置客户端是否将阻止来自外部源或未知源的 RemoteApp 程序和远程桌面连接。通过使用这些策略设置,可以减少用户需要做的安全决策,并降低安全决策的复杂程度。这样,可以降低用户的意外操作导致产生安全漏洞的机率。

相关的组策略设置有:

  • 指定代表可信 .rdp 发行者的证书的 SHA1 指纹

  • 允许来自有效发行者的 .rdp 文件以及用户的默认 .rdp 设置

  • 允许来自未知发行者的 .rdp 文件

这些组策略设置位于“计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面连接客户端”“用户配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面连接客户端”中。

这些组策略设置可以使用本地组策略编辑器或组策略管理控制台 (GPMC) 进行配置。

有关远程桌面服务的组策略设置的详细信息,请参阅“远程桌面服务技术参考”(https://go.microsoft.com/fwlink/?LinkId=138134)(可能为英文网页)。

其他参考