Для RDP-файлів, які використовуються для підключень до віртуальних робочих столів через Підключення до віддалених робочих столів і програм RemoteApp, можна використовувати цифровий підпис. До цих файлів відносяться RDP-файли, які використовуються для підключень до пул віртуальних робочих столів і до персональний віртуальний робочий стіл.
Щоб підключитися до віртуального робочого столу за допомогою RDP-файлу, що має цифровий підпис, на клієнтському комп'ютері повинен використовуватися клієнт віддаленого робочого столу (RDC) версії не нижче 6.1. (Клієнт RDC 6.1 підтримує протокол віддаленого робочого стола версії 6.1.)
Можна підписувати RDP-файли, які використовуються для підключень до віртуальних робочих столів, за допомогою сертифіката перевірки автентичності сервера [Secure Sockets Layer (SSL) certificate], сертифіката підпису коду або спеціально визначеного сертифіката підпису протоколу віддаленого робочого столу (RDP). Отримати сертифікати підпису коду і протоколу SSL можна в громадських центрах сертифікації (CA) або в центрі сертифікації підприємства в ієрархії інфраструктури відкритих ключів. Перед використанням сертифіката підпису RDP необхідно налаштувати центр сертифікації на підприємстві для випуску сертифікатів підпису RDP.
Якщо для підключень до сервера Вузол сеансів віддалених робочих столів або до Шлюз віддалених робочих столів уже використовується SSL-сертифікат, його також можна використовувати і для підпису RDP-файлів. Однак, якщо користувачі будуть підключатися до віртуальних робочих столів з загальнодоступних або домашніх комп'ютерів, необхідно використовувати один з таких сертифікатів:
Щоб налаштувати цифровий сертифікат, який використовується для підпису RDP-файлів для підключень до віртуальних робочих столів, використовуйте наступну процедуру.
Налаштування цифрового сертифікату для використанняНа сервері посередника підключень до віддаленого робочого столу відкрийте диспетчер підключень до віддалених робочих столів. Щоб відкрити диспетчер підключень до віддалених робочих столів, натисніть кнопку Пуск. потім послідовно виберіть пункти Адміністрування. Служби віддалених робочих столів і Диспетчер підключень до віддалених робочих столів.
У лівій області виберіть компонент Хост-сервери віртуалізації віддалених робочих столів. а потім в меню Дія виберіть пункт Властивості.
У діалоговому вікні Властивості віртуальних робочих столів на вкладці Цифровий підпис встановіть прапорець Підписати за допомогою цифрового сертифікату.
В поле Відомості про цифровому сертифікаті клацніть Вибрати.
У діалоговому вікні Вибір сертифіката виберіть сертифікат, який необхідно використовувати, а потім натисніть кнопку ОК.
Діалогове вікно Вибір сертифіката містить сертифікати, розташовані в сховище сертифікатів локального комп'ютера або в особистому сховище сертифікатів. Сертифікат, який необхідно використовувати, повинен знаходитися в одному з цих сховищ.
Закінчивши, закрийте діалогове вікно Властивості віртуальних робочих столів. натиснувши кнопку ОК.
Додаткові відомості про безпеку Підключення до віддалених робочих столів і програм RemoteApp см. В розділі Про безпеку підключення до віддалених робочих столів і програм RemoteApp.
Використання параметрів групової політики для управління поведінкою клієнта при відкритті RDP-файлу, що має цифровий підпис
За допомогою групової політики можна встановити, щоб клієнти завжди розпізнавали підключення до віртуальних робочих столів певного видавця як довірені. Також можна вказати, чи будуть клієнти блокувати підключення до віддаленого робочого столу з зовнішніх або невідомих джерел. Використовуючи параметри політики, можна скоротити кількість і знизити складність рішень, що стосуються безпеки, з якими стикаються користувачі. Це зменшить можливість ненавмисних дій користувачів, які можуть привести до уразливості.
Відповідні параметри групової політики наступні:
- Вказати SHA1-відбитки сертифікатів, що відображають довірених RDP-видавців
Ці параметри групової політики розташовані в папках Конфігурація комп'ютера \ Політики \ Адміністративні шаблони \ Компоненти Windows \ Служби віддалених робочих столів \ Клієнт підключення до віддаленого робочого столу і Конфігурація користувача \ Політики \ Адміністративні шаблони \ Компоненти Windows \ Служби віддалених робочих столів \ Клієнт підключення до віддаленого робочому столу.
Додаткові джерела інформації