您可以使用數位簽章來簽署用於讓 RemoteApp 連線至 遠端桌面工作階段主機 (RD 工作階段主機) 伺服器的 .rdp 檔。其中包括用於透過 RD Web 存取連線至 RemoteApp 程式以及 RD 工作階段主機 伺服器桌面的 .rdp 檔。

重要

若要使用數位簽署的 .rdp 檔案連線至 RemoteApp 程式,用戶端至少必須執行遠端桌面用戶端 (RDC) 6.1。(RDC 6.1 用戶端支援遠端桌面通訊協定 6.1)。

如果您使用數位憑證,則連線檔案上的加密編譯簽章會提供有關您身分的可驗證資訊,以作為其發行者。這樣可以讓用戶端將您的組織辨識為 RemoteApp 程式或遠端桌面連線的來源,並可讓他們在決定是否信任該來源並啟動連線時,能夠有更多的資訊。如此有助於防止使用遭惡意使用者變更的 .rdp 檔。

您可以使用伺服器驗證憑證 [安全通訊端層 (SSL) 憑證]、程式碼簽署憑證或特別定義的遠端桌面通訊協定 (RDP) 簽署憑證來簽署 .rdp 檔,以用於 RemoteApp 連線。您可以從公開憑證授權單位 (CA) 或是公開金鑰基礎結構階層中的企業 CA 取得 SSL 及程式碼簽署憑證。您必須先在企業中設定 CA 以簽發 RDP 簽署憑證,才能使用 RDP 簽署憑證。

如果您已將 SSL 憑證用於 RD 工作階段主機 伺服器或 RD 閘道連線,則可使用相同的憑證來簽署 .rdp 檔。不過,如果使用者將從公用或家用電腦連線至 RemoteApp 程式,則您必須使用下列其中一項:

若要完成此程序,至少需要您計劃設定之 RD 工作階段主機伺服器上的本機 Administrators 群組或等同群組的成員資格。 請參閱有關使用適當帳戶與群組成員資格的詳細資料,網址位於:https://go.microsoft.com/fwlink/?LinkId=83477 (可能為英文網頁)。

設定要使用的數位憑證
  1. 在 [RD 工作階段主機] 伺服器上,開啟 [RemoteApp 管理員]。若要開啟 [RemoteApp 管理員],按一下 [開始],依序指向 [系統管理工具][遠端桌面服務],然後按一下 [RemoteApp 管理員]

  2. 在 RemoteApp 管理員的 [動作] 窗格中,按一下 [數位簽章設定]。(或是在 [概觀] 窗格中的 [數位簽章設定] 旁,按一下 [變更])。

  3. 選取 [以數位憑證簽署] 核取方塊。

  4. [數位憑證詳細資料] 方塊中,按一下 [變更]

  5. [選擇憑證] 對話方塊中,選取您要使用的憑證,然後按一下 [確定]

    附註

    [選擇憑證] 對話方塊中會填入位在本機電腦憑證存放區或您個人憑證存放區中的憑證。您要使用的憑證必須位在上述其中一個存放區中。

使用群組原則設定來控制開啟數位簽署的 .rdp 檔案時的用戶端行為

您可以使用群組原則設定用戶端一律信任特定發行者提供的 RemoteApp 程式。您也可以設定用戶端是否要封鎖來自外部或不明來源的 RemoteApp 程式及遠端桌面連線。藉由使用這些原則設定,您可以減少使用者所要面對之安全性決定的數量和複雜性。如此可減少使用者動作無意間造成安全性弱點的機會。

相關群組原則設定如下:

  • 指定代表受信任之 .rdp 發行者的 SHA1 憑證指紋

  • 允許來自有效發行者的 .rdp 檔案以及使用者的預設 .rdp 設定

  • 允許來自不明發行者的 .rdp 檔案

這些群組原則設定位於:電腦設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面連線用戶端,以及使用者設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面連線用戶端

這些群組原則設定可以透過使用本機群組原則編輯器或群組原則管理主控台 (GPMC) 來設定。

如需遠端桌面服務群組原則設定的相關資訊,請參閱遠端桌面服務技術參照 (https://go.microsoft.com/fwlink/?LinkId=138134)。

其他參考資料