Не удалось проверить цифровую подпись этого rdp файла
Исправление ошибки 0xc0000428 при запуске Windows 10
В случаях появления ошибки «Не удалось проверить цифровую подпись этого файла» с кодом 0xc0000428 при запуске системы (при условии, что до этого Windows 10 запускалась нормально) среди причин можно предположить:
- Установку неподписанных драйверов устройств, в том числе виртуальных, которые может устанавливать стороннее прикладное ПО.
- Модификацию или замену системных файлов Windows 10, загрузчика системы, например, при использовании различных твиков системы, установке второй ОС на компьютер или ноутбук.
Если указанные шаги не помогли или варианты загрузки по F8 не работают, попробуйте выполнить восстановление загрузчика Windows 10, используя загрузочную флешку с системой (при ее отсутствии придется создать где-то на другом компьютере).
Также можно попробовать использовать точки восстановления системы при их наличии: загрузитесь с загрузочной флешки Windows 10, на экране после выбора языка внизу справа нажмите «Восстановление системы» и найдите точки восстановления в параметрах.
Примечание: если ошибка вызвана файлом oem-drv64.sys и вы решили его удалить (напомню, на нелицензионных ОС после этого возможны дополнительные проблемы), удалите также раздел реестра
Ошибка 0xc0000428 при установке Windows 10
Причины появления рассматриваемой ошибки при установке Windows 10 на компьютер обычно диагностируются сложнее. Распространенными случаями являются следующие:
- Ошибка происходит при загрузке с установочной флешки — может возникать при использовании мультизагрузочных флешек и накопителей с загрузчиком Grub4DOS (такие, например, получаются при использовании WinSetupFromUSB). Попробуйте записать флешку другим образом, например с помощью Rufus. Также может помочь отключение Secure Boot в БИОС компьютера или ноутбука.
- Ошибка возникает при первой перезагрузке после начала установки. Здесь можно попробовать: если на компьютере стояла другая ОС, удалить раздел с загрузчиком от неё и заново запустить установку. Если установка выполняется на чистый диск, можно попробовать другой образ и отключение Secure Boot.
А вдруг и это будет интересно:
24.08.2019 в 15:23
У меня такая же проблема но вместо f8 и ESC написано нажмите на f1 чтобы попасть в среду восстановления
Но когда я нажимаю на эти клавиши ноут выключается
Что делать?
25.08.2019 в 09:07
10.07.2021 в 14:06
У меня такой же синий экран но проблема файла winload.efi ещё у меня когда нажимаю f8 fn+f8 ничего не происходит
12.10.2021 в 19:44
Здравствуйте, ошибка появилась после отказа работать монитора, лампа горит, комп пашет, а картинки нет. Поначалу картинка была пару секунд теперь и не появляется. Я НЕ ПЫТАЛСЯ переустановить операционную систему, но пк так не думает.
27.09.2019 в 05:41
27.09.2019 в 12:21
Здравствуйте.
А обе системы в одном режиме установлены? И там и там Legacy на диск MBR?
Можно попробовать без EasyBCD, а через bootrec /scanos добавить 7-ку после установки 10-ки.
17.11.2019 в 04:56
В моём случае я поменял оперативную память на материнке GA-E3000N, долго не мог понять в чем дело (устанавливал винду), в итоге дошло, что на эту мать далеко не каждая память подходит и для тех, что подходят (в число которых новая планка не входила) в списке была пометка, что частота снижается до 1333, собственно в биос я и опустил вручную частоту и заработало как полагается
21.05.2020 в 04:57
Так же для HP пользователей нужно отключать
3)Legacy Support.
20.06.2020 в 05:49
У меня ошибка 428 но когда я нажимаю f1 у меня ошибка 221
07.11.2020 в 00:48
Добрый вечер спасибо за помощь, я посмотрел последний ваш ответ, вроде помогло пока вот пытаюсь установить винду, спасибо)
22.12.2020 в 21:37
Здравствуйте, а что делать, если ниже (в синем экране) не появляются кнопки F8, ВВОД и ESC?
23.12.2020 в 10:35
Здравствуйте. И дополнительных параметров и ничего? А в какой момент ошибка появляется?
23.12.2020 в 13:05
Вообще ничего ниже ошибки нету. Возникает в момент запуска компьютера
09.03.2021 в 21:01
Таже самая проблема. Вы ее смогли починить? Если да, то как?)
03.06.2021 в 08:53
Здравствуйте, у меня появляется это ошибка при загрузке системы Sys WOW64 или, что то подобное, при попытке отключить проверку подписи драйверов система запускается, не охотно, но запускается, однако в рандомное время происходит Bsod с ошибкой 0x00000109 может через 5 минут, а может через час, аппаратные проблемы я уже исключил так как на другом жёстком диске (SSD) стоит Windows 10 и не жалуется ни на что может ли Bsod быть из за этого драйвера? SFC выполнить невозможно так как Bsod не даёт его завершить, что можно сделать? Через Windows 10 проверял логических ошибок нет, Не то что мне эта Семёрка нужна, а работаю по десяткой, но жалко все таки, собираюсь скачать BlueScreenView а потом посмотрим, сносить или возиться дальше, будут какие то рекомендации?
11.07.2021 в 19:01
Если у тебя написано нажмёшь на f1 заходишь в среду восстановления и если нажмёшь на ESC для доступа к параметрам встроенного ПО UEFI
Для RDP-файлов, используемых для подключений RemoteApp к серверу Узел сеансов удаленных рабочих столов, можно использовать цифровую подпись. К ним относятся RDP-файлы, используемые для подключения через Веб-доступ к удаленным рабочим столам к программы RemoteApp, а также к рабочему столу сервера Узел сеансов удаленных рабочих столов.
Чтобы подключиться к программа RemoteApp с помощью RDP-файла, имеющего цифровую подпись, на клиентском компьютере должен быть запущен клиент удаленного рабочего стола (RDC) версии 6.1 или выше. (Клиент RDC 6.1 поддерживает протокол удаленного рабочего стола 6.1.)
Если используется цифровой сертификат, криптографическая подпись на файле подключения предоставляет проверяемые сведения об удостоверении пользователя как лица, его опубликовавшего. Она помогает клиентам распознавать организацию как источник программа RemoteApp или подключения к удаленному рабочему столу, а также содержит более полные сведения, необходимые при принятии решения о доверии при запуске подключения. Это обеспечивает защиту от использования подозрительных RDP-файлов.
Можно подписывать RDP-файлы, используемые для подключений RemoteApp, с помощью сертификата проверки подлинности сервера (SSL-сертификат), сертификата подписи кода или специально определенного сертификата подписи протокола удаленного рабочего стола (RDP). Получить сертификаты подписи кода и протокола SSL можно в общественных центрах сертификации (CA) или в центре сертификации предприятия в иерархии инфраструктуры открытых ключей. Перед использованием сертификата подписи RDP необходимо настроить центр сертификации на предприятии для выпуска сертификатов подписи RDP.
Если для сервера Узел сеансов удаленных рабочих столов или подключений Шлюз удаленных рабочих столов уже используется SSL-сертификат, его также можно использовать и для подписи RDP-файлов. Однако если пользователи будут подключаться к программы RemoteApp с общественных или домашних компьютеров, необходимо использовать один из следующих сертификатов.
На сервере узла сеансов удаленных рабочих столов откройте диспетчер удаленных приложений RemoteApp. Чтобы открыть диспетчер удаленных приложений RemoteApp, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер удаленных приложений RemoteApp.
В области Действия Диспетчер удаленных приложений RemoteApp нажмите кнопку Параметры цифровой подписи. (Или в области Обзор, рядом с Параметры цифровой подписи, щелкните Сменить.)
Установите флажок Подписать с цифровым сертификатом.
В списке Сведения о цифровом сертификате выберите Сменить.
В диалоговом окне Выбор сертификата выберите сертификат, который необходимо использовать, а затем нажмите кнопку ОК.
Диалоговое окно Выбор сертификата содержит сертификаты, расположенные в хранилище сертификатов локального компьютера или в личном хранилище сертификатов. Сертификат, который необходимо использовать, должен находиться в одном из этих хранилищ.
Использование параметров групповой политики для управления поведением клиента при открытии RDP-файла, имеющего цифровую подпись.
С помощью групповой политики можно задать, чтобы клиенты всегда распознавали программы RemoteApp определенного издателя как доверенные. Также можно указать, будут ли клиенты блокировать программы RemoteApp и подключения к удаленному рабочему столу из внешних или неизвестных источников. Используя параметры политики, можно сократить количество и понизить сложность решений, касающихся безопасности, с которыми сталкиваются пользователи. Это сократит возможность непреднамеренных действий пользователей, которые могут привести к уязвимости.
Соответствующие параметры групповой политики.
-
Указать SHA1-отпечатки сертификатов, отражающие доверенных RDP-издателей.
Эти параметры групповой политики расположены в папках Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Клиент подключения к удаленному рабочему столу.
Для настройки этих параметров групповой политики можно использовать редактор локальных групповых политик или консоль управления групповыми политиками.
Проверка состояния протокола RDP
Проверка состояния протокола RDP на локальном компьютере
Сведения о том, как проверить и изменить состояние протокола RDP на локальном компьютере, см. в разделе How to enable Remote Desktop (Как включить удаленный рабочий стол).
Проверка состояния протокола RDP на удаленном компьютере
В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.
Чтобы проверить и изменить состояние протокола удаленного рабочего стола на удаленном компьютере, используйте подключение сетевого реестра:
- Сначала откройте меню Пуск и выберите Выполнить. В появившемся текстовом поле введите regedt32.
- В редакторе реестра нажмите Файл и выберите пункт Подключить сетевой реестр.
- В диалоговом окне Выбор: "Компьютер" введите имя удаленного компьютера, выберите Проверить имена и нажмите кнопку ОК.
- Перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server и в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
- Если раздел fDenyTSConnections имеет значение 0, значит протокол RDP включен.
- Если раздел fDenyTSConnections имеет значение 1, значит протокол RDP отключен.
- Чтобы включить протокол RDP, для fDenyTSConnections замените значение 1 на 0.
Проверка блокировки объектом групповой политики протокола RDP на локальном компьютере
Если не удается включить протокол RDP в пользовательском интерфейсе или для fDenyTSConnections возвращается значение 1 после его изменения, объект групповой политики может переопределять параметры на уровне компьютера.
Чтобы проверить конфигурацию групповой политики на локальном компьютере, откройте окно командной строки с правами администратора и введите следующую команду:
Когда команда будет выполнена, откройте файл gpresult.html. Выберите Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения и найдите политику Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов.
Если для параметра этой политики задано значение Включено, групповая политика не блокирует подключения по протоколу RDP.
Если же для параметра этой политики задано значение Отключено, проверьте результирующий объект групповой политики. Ниже показано, какой объект групповой политики блокирует подключения по протоколу RDP.
Проверка блокировки объектом групповой политики протокола RDP на удаленном компьютере
Чтобы проверить конфигурацию групповой политики на удаленном компьютере, нужно выполнить почти такую же команду, что и для локального компьютера.
В файле (gpresult-<computer name>.html), который создается после выполнения этой команды, используется такой же формат данных, как в версии файла для локального компьютера (gpresult.html).
Изменение блокирующего объекта групповой политики
Эти параметры можно изменить в редакторе объектов групповой политики (GPE) и консоли управления групповыми политиками (GPM). Дополнительные сведения об использовании групповой политики см. в статье Advanced Group Policy Management (Расширенное управление групповыми политиками).
Чтобы изменить блокирующую политику, используйте один из следующих методов.
- В GPE укажите определенный уровень для объекта групповой политики (локальный или доменный) и выберите Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Подключения > Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов.
- Задайте для политики значение Включена или Не задана.
- На затронутых компьютерах откройте окно командной строки с правами администратора и выполните команду gpupdate /force.
- В GPM перейдите к подразделению, в котором блокирующая политика применяется к соответствующим компьютерам, и удалите эту политику.
Проверка состояния служб RDP
На локальном компьютере (клиентском) и удаленном компьютере (целевом) должны быть запущены следующие службы:
- службы удаленных рабочих столов (TermService);
- перенаправитель портов пользовательского режима служб удаленного рабочего стола (UmRdpService).
Для локального или удаленного управления службами можно использовать оснастку MMC. Вы также можете использовать PowerShell для управления службами в локальном или удаленном расположении (если удаленный компьютер настроен для приема удаленных командлетов PowerShell).
На любом компьютере запустите одну или обе службы, если они запущены.
Если вы запускаете службу удаленных рабочих столов, нажмите кнопку Да, чтобы служба перенаправителя портов пользовательского режима служб удаленного рабочего стола перезапустилась автоматически.
Проверка состояния прослушивателя протокола RDP
В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.
Проверка состояния прослушивателя RDP
Для выполнения этой процедуры используйте экземпляр PowerShell с разрешениями администратора. На локальном компьютере также можно использовать командную строку с разрешениями администратора. Но для этой процедуры используется PowerShell, так как одни и те же командлеты выполняются локально и удаленно.
Чтобы подключиться к удаленному компьютеру, выполните следующий командлет:
Введите qwinsta.
Если в списке содержится rdp-tcp с состоянием Listen, прослушиватель протокола удаленного рабочего стола работает. Перейдите к разделу Проверка порта прослушивателя протокола RDP. В противном случае перейдите к шагу 4.
Экспортируйте конфигурацию прослушивателя RDP с рабочего компьютера.
- Войдите на компьютер с той же версией операционной системы, что и у затронутого компьютера, и получите доступ к реестру компьютера (например, с помощью редактора реестра).
- Перейдите к следующей записи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - Экспортируйте запись в REG-файл. Например, в редакторе реестра щелкните запись правой кнопкой мыши, выберите пункт Экспортировать, а затем введите имя файла для экспортируемых параметров.
- Скопируйте экспортированный REG-файл на затронутый компьютер.
Чтобы импортировать конфигурацию прослушивателя протокола RDP, откройте окно PowerShell с разрешениями администратора на затронутом компьютере (или откройте окно PowerShell и подключитесь к этому компьютеру из удаленного расположения).
Чтобы создать резервную копию для существующей записи реестра, воспользуйтесь таким командлетом:
Чтобы удалить резервную копию для существующей записи реестра, воспользуйтесь таким командлетом:
Чтобы импортировать новую запись реестра и перезапустить службу, воспользуйтесь такими командлетами:
Замените <filename> именем экспортированного REG-файла.
Проверьте конфигурацию, попытавшись еще раз подключиться к удаленному рабочему столу. Если подключиться все равно не удается, перезагрузите затронутый компьютер.
Проверка состояния самозаверяющего сертификата протокола RDP
- Если подключиться так и не удалось, откройте оснастку MMC "Сертификаты". Когда будет предложено выбрать хранилище сертификатов для управления, выберите Учетная запись компьютера и затронутый компьютер.
- В папке Сертификаты в разделе Удаленный рабочий стол удалите самозаверяющий сертификат протокола RDP.
- На затронутом компьютере выполните следующие действия, чтобы перезапустить службу удаленных рабочих столов.
- Обновите оснастку диспетчера сертификатов.
- Если самозаверяющий сертификат протокола RDP не был создан повторно, проверьте разрешения для папки MachineKeys.
Проверка разрешений для папки MachineKeys
- На затронутом компьютере откройте проводник и перейдите к папке C:\ProgramData\Microsoft\Crypto\RSA\ .
- Щелкните правой кнопкой мыши папку MachineKeys, а затем выберите Свойства, Безопасность и Дополнительно.
- Убедитесь, что настроены следующие разрешения:
- Builtin\Администраторы: Полный доступ
- Все: чтение и запись.
Проверка порта прослушивателя протокола RDP
На локальном компьютере (клиентском) и удаленном компьютере (целевом) прослушиватель протокола RDP должен ожидать передачи данных через порт 3389. Другие приложения не должны использовать этот порт.
В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.
Чтобы проверить или изменить порт протокола RDP, используйте редактор реестра:
- Откройте меню Пуск, выберите Выполнить и введите regedt32 в появившемся текстовом поле.
- Чтобы подключиться к удаленному компьютеру, в редакторе реестра щелкните Файл и выберите пункт Подключить сетевой реестр.
- В диалоговом окне Выбор: "Компьютер" введите имя удаленного компьютера, выберите Проверить имена и нажмите кнопку ОК.
- Откройте реестр и перейдите к записи HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener> .
- Если PortNumber имеет значение, отличное от 3389, укажите значение 3389.
Для управления службами удаленного рабочего стола можно использовать другой порт. Но мы не рекомендуем делать это. В этой статье не описано, как устранять проблемы, связанные с этим типом конфигурации.
Проверка того, что другое приложение не пытается использовать тот же порт
Для выполнения этой процедуры используйте экземпляр PowerShell с разрешениями администратора. На локальном компьютере также можно использовать командную строку с разрешениями администратора. Но для этой процедуры используется PowerShell, так как одни и те же командлеты выполняются локально и удаленно.
Откройте окно PowerShell. Чтобы подключиться к удаленному компьютеру, введите Enter-PSSession -ComputerName <computer name> .
Введите следующую команду:
Найдите запись для TCP-порта 3389 (или назначенного RDP-порта) с состоянием Ожидает вызова.
Идентификатор процесса службы или процесса, использующих этот порт, отобразится в столбце "Идентификатор процесса".
Чтобы определить, какое приложение использует порт 3389 (или назначенный порт протокола RDP), введите следующую команду:
Найдите запись для номера процесса, связанного с портом (в выходных данных netstat). Службы или процессы, связанные с этим идентификатором процесса, отобразятся в столбце справа.
Если порт используется приложением или службой, отличающейся от служб удаленных рабочих столов (TermServ.exe), устранить конфликт можно с помощью одного из следующих методов:
- В настройках такого приложения или службы укажите другой порт (рекомендуется).
- Удалите другое приложение или службу.
- В настройках протокола RDP укажите другой порт, а затем перезапустите службы удаленных рабочих столов (не рекомендуется).
Проверка блокировки порта протокола RDP брандмауэром
С помощью средства psping проверьте, доступен ли затронутый компьютер через порт 3389.
Откройте окно командной строки с правами администратора, перейдите в каталог, где установлено средство psping, и введите следующую команду:
Проверьте выходные данные команды psping на наличие таких результатов:
- Подключение к <computer IP>: удаленный компьютер доступен.
- (0% loss) (0 % потерь): все попытки подключения выполнены успешно.
- The remote computer refused the network connection (Удаленный компьютер отклонил сетевое подключение): удаленный компьютер недоступен.
- (100% loss) (100 % потерь): не удалось выполнить подключение.
Запустите psping на нескольких компьютерах, чтобы проверить возможность подключения к затронутому компьютеру.
Проверьте, блокирует ли этот компьютер подключения от всех остальных компьютеров, некоторых других компьютеров или только одного компьютера.
В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.
Предупреждение о самоподписанном сертификате RDP
По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный
сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:
При этом отпечаток RDP сертификата сохраняется на клиенте в параметре CertHash в ветке реестра с историей RDP подключений (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Если вы скрыли уведомление о невозможности проверить подлинность RDP сервера, чтобы сбросить настройки, удалите ключ с отпечатком сертификата из реестра.
Создаем шаблон RDP сертификата в центре сертификации (CA)
Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.
Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.
Настройка групповой политики для выдачи RDP сертификатов
Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.
Предполагается, что все компьютеры домена доверяют корпоративному центру сертификации, т.е. корневой сертификат через GPO добавлен в доверенные корневые центры сертификации.- Откройте консоль управления доменными групповыми политиками gpmc.msc, создайте новый объект GPO и назначьте его на OU с RDP/RDS серверами или компьютерами, для которых нужно автоматически выдавать TLS сертификаты для защиты RDP подключения;
- Перейдите в раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security. Включите политику Server Authentication Certificate Template. Укажите имя шаблона CA, который вы создали ранее (RDPTemplate);
- Затем в этом же разделе GPO включите политику Require use of specific security layer for remote (RDP) connections и установите для нее значение SSL;
- Для автоматического продления RDP сертификата, перейдите в раздел GPO Computer configuration -> Windows settings -> Security Settings -> Public Key Policies и включите политику Certificate Services Client – Auto-Enrollment Properties. Выберите опции “Renew expired certificates, update pending certificates and remove revoked certificates” и “Update certificates that use certificate templates”;
- Если вы хотите, чтобы клиенты всегда проверяли сертификат RDP сервера, вам нужно настроить политику Configure Authentication for Client = Warn me if authentication fails (секция GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client);
- Если нужно, можете через политики файервола открыть входящий RDP порт TCP/UDP 3389;
- Осталось обновить политики на клиенте, запустить консоль сертификатов компьютера (Certlm.msc), и проверить, что в разделе Personal -> Certificates появился сертификат для Remote Desktop Authentication, выданный вашим CA.
Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:
Get-Service TermService -ComputerName msk-dc01| Restart-Service –force –verbose
Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:
Теперь сравните полученные данные с отпечатком сертификата, который используется службой Remote Desktop Service. Вы можете посмотреть значение отпечатка сертификата службы RDS в реестре (ветка HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations, параметр TemplateCertificate) или командой PowerShell: Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash
Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.
Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата
Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.
Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:
Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select|select SSLCertificateSHA1Hash
Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:
rdpsign.exe /sha256 65A27B2987702281C1FAAC26D155D78DEB2B8EE2 "C:\Users\root\Desktop\rdp.rdp"
Теперь через GPO добавим этот отпечаток сертификата в доверенные у пользователей. Укажите отпечатки (через точку с запятою) в политике Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP) в секции Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client.
Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).
Читайте также: