Windowsの更新で、デジタル署名が無いRDPファイルでリモートデスクトップ接続した場合に接続画面に警告が表示されるようになりました。rdpsignツールとグループポリシーで有効な証明書で署名された接続ではセキュリティ警告を表示させたくない場合の手順を備忘録的に投稿しておきます。
.rdp ファイルに署名が必要
リモートデスクトップ接続を行う場合に利用できるRDPファイル(拡張子.rdp)はメモ帳などで開くと分かりますが、テキストファイルです。
なのでコードサイニングなどで利用する署名ツールは使えません。なので[rdpsign]を使うことになります。
通常は、こんな感じで署名ができます。
rdpsign /sha256 XXX... "C:\rdp\machine_name.rdp"XXXの部分は、証明書マネージャーなどの画面で表示される有効な証明書の[拇印]を指定します。
証明書がSHA1で作成されている場合には、rdpsignツールでは署名が成功しない場合があるので注意してください。詳細な内容については別記事をご覧ください。
接続時の警告バナーを非表示にする
署名を行う前は、.rdpファイルを使ってリモートデスクトップ接続時に[警告:不明なリモート接続]バナーが表示されます。
適切な署名を行った .rdp ファイルを実行すると警告バナーが変更され[確認する]に変更されます。
この状態で、署名した[拇印]を使ってグループポリシーで確認画面を非表示にできます。
具体的には次の手順で行います。
1.[ローカル グループ ポリシー エディタ]を表示して[ローカル コンピューター ポリシー|コンピューターの構成|管理用テンプレート|Windows コンポーネント|リモート デスクトップ サービス|リモート デスクトップ接続クライアント]の順に選択します。
2. 表示された設定の一覧から[信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する]を選択します。(SHA1と限定されていますが、SHA256の拇印でも利用できます)
3. 表示された[信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する]画面の[有効]オプションに変更して[オプション]の[SHA1 信頼済み証明書の拇印のカンマ区切り一覧]に、署名で使った証明書の拇印を設定します。(複数ある場合はカンマで区切ります)
4.[適用](または[OK])ボタンをクリックします。
5. [コマンド プロンプト]や[PowerShell]を開いて、次のコマンドを実行します。
gpupdate /forceグループポリシーの更新後に、署名をした .rdp ファイルでリモートデスクトップ接続するとセキュリティ警告画面が表示されなくなります。
まとめ
今回は、rdpsignツールとグループポリシーで有効な証明書で署名された接続ではセキュリティ警告を表示させたくない方法について紹介しました。
[SHA256]で作成された証明書が必要になりますが、.rdp ファイルに署名を行いグループポリシー エディターで適切な設定を有効化すると[リモートデスクトップ接続のセキュリティ警告]画面を非表示にできます。
.rdpでリモートデスクトップ接続する際に、確認画面が表示される人の参考になれば幸いです。
スポンサーリンク
最後までご覧いただき、ありがとうございます。