可以使用数字签名为 .rdp 文件签名,然后使用这些文件通过 RemoteApp 和桌面连接与虚拟机连接。其中包括用来与虚拟机池和个人虚拟机连接的 .rdp 文件。

重要

若要使用已进行数字签名的 .rdp 文件连接虚拟机,客户端必须至少运行远程桌面客户端 (RDC) 6.1。(RDC 6.1 客户端支持远程桌面协议 6.1。)

如果使用数字证书,.rdp 文件上的加密签名将提供有关您作为其发布者的身份的可验证信息。这样可以使客户端将您的组织视为虚拟机连接的源,从而对是否启动连接做出更合理的信任决定。这样可以防止使用已被恶意用户篡改的 .rdp 文件。

可以通过下列方式为用于虚拟机连接的 .rdp 文件签名:使用服务器身份验证证书 [安全套接字层 (SSL) 证书]、代码签名证书或特别定义的远程桌面协议 (RDP) 签名证书。可以从公用证书颁发机构 (CA) 或您的公钥基础结构层次结构中的某个企业 CA 获取 SSL 证书和代码签名证书。若要使用 RDP 签名证书,必须先将您的企业中的某个 CA 配置为颁发 RDP 签名证书。

如果已将 SSL 证书用于连接远程桌面会话主机(RD 会话主机)服务器或 RD 网关,可以使用同一个证书为 .rdp 文件签名。但是,如果用户从公用计算机或家庭计算机连接到虚拟机,则必须使用下列任一证书:

  • 参与 Microsoft 根证书程序成员计划的公用 CA 颁发的证书 (https://go.microsoft.com/fwlink/?LinkID=59547)(可能为英文网页)。

  • 如果使用的是企业 CA,必须由参与 Microsoft 根证书程序成员计划的公用 CA 为企业 CA 颁发的证书共同签名。

可以使用以下过程配置为虚拟机连接的 .rdp 文件签名的数字证书。

在计划配置的 RD 连接代理服务器上具有本地管理员组中的成员身份或同等身份,是完成此过程的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文链接)。

配置要使用的数字证书的步骤
  1. 在 RD 连接代理服务器上,打开“远程桌面连接管理器”。要打开“远程桌面连接管理器”,请单击「开始」,依次指向“管理工具”、“远程桌面服务”,然后单击“远程桌面连接管理器”。

  2. 在左窗格中,单击“RD 虚拟化主机服务器”,然后在“操作”菜单上,单击“属性”

  3. “虚拟机属性”对话框中的“数字签名”选项卡上,选中“使用数字证书签名”复选框。

  4. “数字证书详细信息”框中,单击“选择”

  5. “选择证书”对话框中,选择要使用的证书,然后单击“确定”

    注意

    “选择证书”对话框由本地计算机的证书存储区或您的个人证书存储区中的证书填充。要使用的证书必须位于这些存储区的任一存储区中。

  6. 完成后,单击“确定”关闭“虚拟机属性”对话框。

有关 RemoteApp 和桌面连接安全的详细信息,请参阅关于 RemoteApp 和桌面连接安全

使用组策略设置控制打开已进行数字签名的 .rdp 文件时的客户端行为

可以使用组策略将客户端配置为始终将来自特定发布者的虚拟机连接视为可信任连接。还可以配置客户端是否阻止来自外部源或未知源的远程桌面连接。通过使用这些策略设置,可以减少用户所面临的安全决策的数量和复杂性。这样,可以降低由于用户的意外操作而导致安全漏洞的机率。

相关的组策略设置包括:

  • 指定代表受信任的 .rdp 发布者的证书的 SHA1 指纹

  • 允许来自有效发布者的 .rdp 文件以及用户的默认 .rdp 设置

  • 允许来自未知发布者的 .rdp 文件

这些组策略设置位于“计算机配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面连接客户端”“用户配置\策略\管理模板\Windows 组件\远程桌面服务\远程桌面连接客户端”中。

可以使用本地组策略编辑器或组策略管理控制台 (GPMC) 对这些组策略设置进行配置。

有关远程桌面服务的组策略设置的详细信息,请参阅“远程桌面服务技术参考”(https://go.microsoft.com/fwlink/?LinkId=138134)(可能为英文网页)。

其他参考


目录