Windowsの更新で、デジタル署名が無いRDPファイルでリモートデスクトップ接続した場合に接続画面に警告が表示されるようになりました。rdpsignツールで有効な証明書で署名をする方法で対処できたので手順を備忘録的に投稿しておきます。
通常の署名とは異なる
リモートデスクトップ接続を行う場合に利用できるRDPファイル(拡張子.rdp)はメモ帳などで開くと分かりますが、テキストファイルです。
なのでコードサイニングなどで利用する署名ツールは使えません。なので[rdpsign]を使うことになります。
通常は、こんな感じで署名ができます。
rdpsign /sha1 XXX... "C:\rdp\machine_name.rdp"XXXの部分は、証明書マネージャーなどの画面で表示される有効な証明書の[拇印]を指定します。
接続時の警告バナーを非表示にする
更新後にセキュリティが強化された場合に、.rdpファイルを使ってリモートデスクトップ接続時に[警告:不明なリモート接続]バナーが表示されます。
.rdpファイルにデジタル署名を行い、警告を非表示にできます。
具体的には次の手順で行います。
1.[証明書マネージャー]で[SHA256]で作成されたデジタル証明書を探します。
2. リモート接続時の[公開元]に[発行先]のテキストが表示されますが、気にならなければ[信頼されたルート証明機関|証明書]で有効な証明書であれば、特に問題ないと思います。(私の場合はIISのセルフ証明書があったので、それを使いました)
3. [詳細]タブの[署名ハッシュ アルゴリズム]の値に “sha256″ が表示されるのを確認します。(他のアルゴリズムではこの後に署名が出来なくなるので、”sha256” の証明書が必要になります)
4. [詳細]タブの[拇印]を選択して表示された値(数字と英数字)をコピーします。
5. [コマンド プロンプト]や[PowerShell]を開いて、次のコマンドを実行します。
rdpsign /sha256 XXX... "C:\rdp\machine_name.rdp"XXXの部分には前の手順でコピーした拇印を指定します(スペースが途中にある場合には削除します)
すべての rdp ファイルが正常に署名されました。が表示されれば署名が完了します。
6. 署名を行った .rdp ファイルを実行して接続を行うと警告が非表示になります。
([リモートデスクトップ接続]画面の発行元に署名に使った証明書の[発行元]が表示されます)
セキュリティ警告を非表示にする
グループポリシーの設定で署名した .rdp ファイルの場合は[セキュリティ警告]画面を非表示にできます。
具体的には次の手順で行います。
1.[ローカル グループ ポリシー エディタ]を表示して[ローカル コンピューター ポリシー|コンピューターの構成|管理用テンプレート|Windows コンポーネント|リモート デスクトップ サービス|リモート デスクトップ接続クライアント]の順に選択します。
2. 表示された設定の一覧から[信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する]を選択します。
3. 表示された[信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する]画面の[有効]オプションに変更して[オプション]の[SHA1 信頼済み証明書の拇印のカンマ区切り一覧]に、署名で使った証明書の拇印を設定します。(複数ある場合はカンマで区切ります)
4.[適用](または[OK])ボタンをクリックします。
5. [コマンド プロンプト]や[PowerShell]を開いて、次のコマンドを実行します。
gpupdate /forceグループポリシーの更新後に、署名をした .rdp ファイルでリモートデスクトップ接続するとセキュリティ警告画面が表示されなくなります。
まとめ
今回は、デジタル署名が無いRDPファイルでリモートデスクトップ接続した場合に接続画面に表示される警告バナーを rdpsignツールで有効な証明書で非表示にする方法について紹介しました。
[SHA256]で作成された証明書が必要になりますが、.rdp ファイルに署名を行うことで警告画面を非表示にできます。
.rdpでリモートデスクトップ接続する際に、警告画面が表示される人の参考になれば幸いです。
スポンサーリンク
最後までご覧いただき、ありがとうございます。