Не удалось проверить цифровую подпись этого rdp файла
Для RDP-файлов, используемых для подключений RemoteApp к серверу Узел сеансов удаленных рабочих столов, можно использовать цифровую подпись. К ним относятся RDP-файлы, используемые для подключения через Веб-доступ к удаленным рабочим столам к программы RemoteApp, а также к рабочему столу сервера Узел сеансов удаленных рабочих столов.
Чтобы подключиться к программа RemoteApp с помощью RDP-файла, имеющего цифровую подпись, на клиентском компьютере должен быть запущен клиент удаленного рабочего стола (RDC) версии 6.1 или выше. (Клиент RDC 6.1 поддерживает протокол удаленного рабочего стола 6.1.)
Если используется цифровой сертификат, криптографическая подпись на файле подключения предоставляет проверяемые сведения об удостоверении пользователя как лица, его опубликовавшего. Она помогает клиентам распознавать организацию как источник программа RemoteApp или подключения к удаленному рабочему столу, а также содержит более полные сведения, необходимые при принятии решения о доверии при запуске подключения. Это обеспечивает защиту от использования подозрительных RDP-файлов.
Можно подписывать RDP-файлы, используемые для подключений RemoteApp, с помощью сертификата проверки подлинности сервера (SSL-сертификат), сертификата подписи кода или специально определенного сертификата подписи протокола удаленного рабочего стола (RDP). Получить сертификаты подписи кода и протокола SSL можно в общественных центрах сертификации (CA) или в центре сертификации предприятия в иерархии инфраструктуры открытых ключей. Перед использованием сертификата подписи RDP необходимо настроить центр сертификации на предприятии для выпуска сертификатов подписи RDP.
Если для сервера Узел сеансов удаленных рабочих столов или подключений Шлюз удаленных рабочих столов уже используется SSL-сертификат, его также можно использовать и для подписи RDP-файлов. Однако если пользователи будут подключаться к программы RemoteApp с общественных или домашних компьютеров, необходимо использовать один из следующих сертификатов.
На сервере узла сеансов удаленных рабочих столов откройте диспетчер удаленных приложений RemoteApp. Чтобы открыть диспетчер удаленных приложений RemoteApp, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер удаленных приложений RemoteApp.
В области Действия Диспетчер удаленных приложений RemoteApp нажмите кнопку Параметры цифровой подписи. (Или в области Обзор, рядом с Параметры цифровой подписи, щелкните Сменить.)
Установите флажок Подписать с цифровым сертификатом.
В списке Сведения о цифровом сертификате выберите Сменить.
В диалоговом окне Выбор сертификата выберите сертификат, который необходимо использовать, а затем нажмите кнопку ОК.
Диалоговое окно Выбор сертификата содержит сертификаты, расположенные в хранилище сертификатов локального компьютера или в личном хранилище сертификатов. Сертификат, который необходимо использовать, должен находиться в одном из этих хранилищ.
Использование параметров групповой политики для управления поведением клиента при открытии RDP-файла, имеющего цифровую подпись.
С помощью групповой политики можно задать, чтобы клиенты всегда распознавали программы RemoteApp определенного издателя как доверенные. Также можно указать, будут ли клиенты блокировать программы RemoteApp и подключения к удаленному рабочему столу из внешних или неизвестных источников. Используя параметры политики, можно сократить количество и понизить сложность решений, касающихся безопасности, с которыми сталкиваются пользователи. Это сократит возможность непреднамеренных действий пользователей, которые могут привести к уязвимости.
Соответствующие параметры групповой политики.
-
Указать SHA1-отпечатки сертификатов, отражающие доверенных RDP-издателей.
Эти параметры групповой политики расположены в папках Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу.
Для настройки этих параметров групповой политики можно использовать редактор локальных групповых политик или консоль управления групповыми политиками.
Не удалось проверить цифровую подпись этого RDP-файла. Удаленное подключение не может быть начато.
Ошибка RDP-клиента: Не удалось проверить цифровую подпись этого RDP-файла. Удаленное подключение не может быть начато. Возможно некоторые столкнулись с такой проблемой и долго ломали голову как ее решить. Вроде все было хорошо и уже созданный RDP файл для запуска определенного ПО показывает ошибку и подключение не проходит, а при создании нового все хорошо. Проблема кроется вот где: (далее…)
Имеется сервер RDP на базе раскуроченной Windows 7.
Так уж вышло, что на сервере, для правильной работы одного хитрого приложения, пришлось выставить системную дату на 2017 год (дабы избавиться от назойливых попапов с просьбой обновиться).
В связи с этим, поскольку системная дата на сервере отстает аж на 3 года, при подключении по RDP клиент ругается, что сертификат бука бяка, просрочен и так далее. Собственно если взглянуть на сертификат, принимаемый от сервера, то да: выпущен в 2017 году. заканчивается в 2018 году, а в реальности на клиенте 2020 год. Просрочен.
Вопрос: как на сервере перекурочить сертификат (и где он вообще лежит и как генерируется) таким образом, чтобы он жил не тужил хотя бы лет 5. Возможно ли это?
Другой вариант извращений - если предложте, буду рад и благодарен!
Простой 3 комментария
Нужно найти старый/новый сертификат буки бяки и втянуть его клиенту (или серверу).
Раскурочить сертификат вы не сможете. Точнее раскурочить можно, но он тут же станет не валидным, т.к. сертификат подписывается ЭЦП. Это же криптография. Поэтому нет никакого смысла его курочить.
Если вы имеете ввиду самоподписанный сертификат RDS, то в принципе его можно попытаться перевыпустить с более широким диапазоном дат и подсунуть RDSу. Как это сделать - я не в курсе, но скорее всего это возможно, т.к. на серверной винде есть возможность подсовывать свой сертификат RDSу вполне легально. Значит и на десктопной винде это сделать можно, только для этого нет интерфейса (инструментов), поэтому делать это придется через реестр/политики.
Другой вариант - отключить проверку подлинности сертификатов клиента/сервера. Соответсвующая настройка должна быть где-то в реестре винды зарыта (или возможно в групповых политиках). Гуглите. Эта настройка будет влият на любые подключения RDP на клиенте/сервере.
res2001, Спасибо за совет, да я скорее всего забью уже на эту муру. юзеры предупрждены, серверу доверяют. лишний клик думаю не проблема. Попробую, но убиваться в сопли не буду. Спасибо!
Никита Шинкевич, Можно добавить сертификат в доверенные/доверенные корневые центры сертификации на клиенте. Но проблему с датами это не закроет, конечно.
Проблема решилась правкой клиентского RDP файла. Предупреждение о сертификате отвалилось. Отключив предупреждение о проверке подлинности получилось решить проблему. Все равно работа по VPN идет, это не критично.
8 мая 2018 г. Microsoft выпустило обновление, которое предотвращает удаленное выполнение кода с помощью уязвимости в протоколе CreedSSP.
После установки данного обновление пользователи не могут подключиться к удаленным ресурсам посредством RDP или RemoteApp. При подключении происходит такая ошибка:
Рисунок 1 - Ошибка проверки подлинности RDP
Появление ошибки обусловлено установкой данных обновлений безопасности:
- Windows Server 2016 — обновление KB4103723
- Windows 10 1609 — обновление KB4103723
- Windows 10 1703 — обновление KB4103731
- Windows 10 1709 — обновление KB4103727
- Windows 10 1803 — обновление KB4103721
- Windows 7 / Windows Server 2008 R2 — обновление KB4103718
- Windows 8.1 / Windows Server 2012 R2 — обновление KB4103725
В данной статье мы рассмотрим варианты исправления данной ошибки.
Вариант №1: Убираем проверку подлинности.
Заходим в свойства компьютера, переходим на вкладку Удаленный доступ и снимаем галку с чекбокса.
Рисунок 2 - Проверка подлинности
Вариант №2 (рекомендуемый): Обновление клиентских и серверных ОС.
Устанавливаем специально выпущенные патчи обновления, которые закрыли уязвимость в RDP-клиенте. Данные обновления можно посмотреть на сайте Microsoft. После установки данного обновления, мы обновляем CredSSP.
Вариант №3: Через групповые политики.
Локально заходим в групповые политики устройства, к которому пытаемся подключиться. Для того чтобы открыть редактор групповых политик выполним следующее действие: Нажимаете Win+R, а затем введите gpedit.msc. Переходите по данному пути: Конфигурация компьютера > Административные шаблоны > Система > Передача учетных данных > Защита от атак с использованием криптографического оракула.
В свойствах данной политики выбираем пункт Включено и ниже в параметрах выбираем уровень защиты Оставить уязвимость.
После того, как данные действия выполнены, необходимо зайти в командную строку от имени администратора и выполнить данную команду:
Вариант №4. Редактирование реестра.
Локально заходим на устройство, к которому пытаемся подключиться и нажимаем Win+R. Вводим regedit. После того, как откроется редактор реестра идем по следующему пути:
Затем находим параметр AllowEncryptionOracle, открываем его и ставим значение 2.
После выполнения данных действий с реестром выполняем перезагрузку устройства.
Для RDP-файлов, используемых для подключений к виртуальным рабочим столам через Подключения к удаленным рабочим столам и приложениям RemoteApp, можно использовать цифровую подпись. К этим файлам относятся RDP-файлы, которые используются для подключений к пул виртуальных рабочих столов и к персональный виртуальный рабочий стол.
Чтобы подключиться к виртуальному рабочему столу с помощью RDP-файла, имеющего цифровую подпись, на клиентском компьютере должен использоваться клиент удаленного рабочего стола (RDC) версии не ниже 6.1. (Клиент RDC 6.1 поддерживает протокол удаленного рабочего стола версии 6.1.)
Если используется цифровой сертификат, криптографическая подпись на RDP-файле предоставляет проверяемые сведения об удостоверении пользователя как лица, его опубликовавшего. Это помогает клиентам распознавать организацию как источник подключения к виртуальному рабочему столу, а также обеспечивает более полными сведениями, необходимыми при принятии решения о доверии при запуске подключения. Таким образом обеспечивается защита от использования подозрительных RDP-файлов.
Можно подписывать RDP-файлы, используемые для подключений к виртуальным рабочим столам, с помощью сертификата проверки подлинности сервера [Secure Sockets Layer (SSL) certificate], сертификата подписи кода или специально определенного сертификата подписи протокола удаленного рабочего стола (RDP). Получить сертификаты подписи кода и протокола SSL можно в общественных центрах сертификации (CA) или в центре сертификации предприятия в иерархии инфраструктуры открытых ключей. Перед использованием сертификата подписи RDP необходимо настроить центр сертификации на предприятии для выпуска сертификатов подписи RDP.
Если для подключений к серверу Узел сеансов удаленных рабочих столов или к Шлюз удаленных рабочих столов уже используется SSL-сертификат, его также можно использовать и для подписи RDP-файлов. Однако, если пользователи будут подключаться к виртуальным рабочим столам с общедоступных или домашних компьютеров, необходимо использовать один из следующих сертификатов:
Чтобы настроить цифровой сертификат, используемый для подписи RDP-файлов для подключений к виртуальным рабочим столам, используйте следующую процедуру.
На сервере посредника подключений к удаленному рабочему столу откройте диспетчер подключений к удаленным рабочим столам. Чтобы открыть диспетчер подключений к удаленным рабочим столам, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер подключений к удаленным рабочим столам.
В левой области выберите компонент Хост-серверы виртуализации удаленных рабочих столов, а затем в меню Действие выберите пункт Свойства.
В диалоговом окне Свойства виртуальных рабочих столов на вкладке Цифровая подпись установите флажок Подписать с помощью цифрового сертификата.
В поле Сведения о цифровом сертификате щелкните Выбрать.
В диалоговом окне Выбор сертификата выберите сертификат, который необходимо использовать, а затем нажмите кнопку ОК.
Диалоговое окно Выбор сертификата содержит сертификаты, расположенные в хранилище сертификатов локального компьютера или в личном хранилище сертификатов. Сертификат, который необходимо использовать, должен находиться в одном из этих хранилищ.
Закончив, закройте диалоговое окно Свойства виртуальных рабочих столов, нажав кнопку ОК.
Дополнительные сведения о безопасности Подключения к удаленным рабочим столам и приложениям RemoteApp см. в разделе О безопасности подключения к удаленным рабочим столам и приложениям RemoteApp.
cmak или автоматическое создание vpn
Автоматическое создание VPN с помощью Cmak (Connection Manager Administration Kit).
Как и предыдущие версии Windows Server, Windows Server 2008 включает отличный пакет управления подключениями Connection Manager Administration Kit (CMAK), который можно использовать для создания объектов подключения (connectoids) VPN, которые пользователи могут использовать для подключения к вашему Windows Server 2008 VPN серверу. На самом деле можно использовать эти объекты для подключения к любому Windows VPN серверу, если использовать поддерживаемые протоколы. Преимущество использования CMAK заключается в том, что вы можете создавать исполняемые файлы, которые пользователи смогут загружать с веб сайтов. Затем, все, что им нужно будет сделать, это дважды нажать на этом файле, и объект подключения, который вы для них настроили, будет автоматически установлен на их компьютеры. Затем пользователям нужно будет дважды нажать на объект подключения в папке «Сетевые подключения», чтобы вызвать ваше VPN соединение. Этот метод значительно проще, чем пытаться научить ваших пользователей тому, как создавать собственные VPN соединения. (далее…)
Использование параметров групповой политики для управления поведением клиента при открытии RDP-файла, имеющего цифровую подпись.
С помощью групповой политики можно задать, чтобы клиенты всегда распознавали программы RemoteApp определенного издателя как доверенные. Также можно указать, будут ли клиенты блокировать программы RemoteApp и подключения к удаленному рабочему столу из внешних или неизвестных источников. Используя параметры политики, можно сократить количество и понизить сложность решений, касающихся безопасности, с которыми сталкиваются пользователи. Это сократит возможность непреднамеренных действий пользователей, которые могут привести к уязвимости.
Соответствующие параметры групповой политики.
-
Указать SHA1-отпечатки сертификатов, отражающие доверенных RDP-издателей.
Эти параметры групповой политики расположены в папках Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу.
Для настройки этих параметров групповой политики можно использовать редактор локальных групповых политик или консоль управления групповыми политиками.
Установка принтера по умолчанию через VBS и CMD
Как автоматизировать установку принтера по умолчанию (к примеру пользователям в терминальном сервере)?
Изначально, конечно правильнее это сделать через GPO (групповые политики), если изначально пользователи разбиты на группы. Каждой группе пользователей назначить отдельно сетевой принтер в отделе и все как бы хорошо. Но в этой статье речь пойдет не совсем об этом, ситуация такая: Есть терминальный сервер Windows Server 2008 R2 Sp1, пользователи как и положено разбиты на группы, но есть нюансы, не все пользователи в группе используют один и тот же принтер, по этому было принято решение, скриптом при логоне (или просто через автозагрузку), подложить этот самый скрипт который для каждого пользователя в отдельно (таких у меня было всего 6 уникальных 🙂 ), проставить выбор нужного принтера по умолчанию Вот собственно сам скриптос: cscript C:\Windows\SysWOW64\Printing_Admin_Scripts\ru-RU\prnmngr.vbs -t -p "Xerox WorkCentre 3220 PS" Все очень просто, указываем в конце имя принтера который должен устанавливаться поумолчнию и вуаля, все готово. А чтобы не наступить на грабли, именуйте все принтеры латиницей.
Использование параметров групповой политики для управления поведением клиента при открытии RDP-файла, имеющего цифровую подпись
С помощью групповой политики можно установить, чтобы клиенты всегда распознавали подключения к виртуальным рабочим столам определенного издателя как доверенные. Также можно указать, будут ли клиенты блокировать подключения к удаленному рабочему столу из внешних или неизвестных источников. Используя параметры политики, можно сократить количество и понизить сложность решений, касающихся безопасности, с которыми сталкиваются пользователи. Это уменьшит возможность непреднамеренных действий пользователей, которые могут привести к уязвимости.
Соответствующие параметры групповой политики следующие:
-
Указать SHA1-отпечатки сертификатов, отражающие доверенных RDP-издателей
Эти параметры групповой политики расположены в папках Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу.
Для настройки этих параметров групповой политики можно использовать редактор локальной групповой политики или консоль управления групповыми политиками.
Читайте также: