RDP - unbekannte Remoteverbindung Sicherheitswarnung (CU 04/2026)

[mcdaniels 33]

Hallo zusammen,

ich habe hier einen Terminalserver aktiv, der über den FQDN angesteuert wird. SRV-TERMINAL.DOMAIN.LOCAL.

 

Nachdem nun für .rdp - Verknüpfungen neue (und meiner Meinung nach sinnvolle) zusätzliche Sicherheitsrichtlinien gelten (CU April 2026), wirft das Öffnen der .RDP Verknüpfung zum Server eine Sicherheitswarnung. 

Vorsicht: UNBEKANNTE REMOTEVERBINDUNG

Publisher: unbekannter Herausgeber

Remotecomputer: Srv-terminal.domain.local



Der Remotecomputer kann auf folgende Ressourcen dieses Computers zugreifen (Liste, die anzuhaken ist):

Smartcards

Webauth

Zwischenablage

Drucker

 

Ich habe keine lokale Zertifizierungsstelle mit der ich z.B. über das AD Zertifikate ausstellen könnte und habe gelesen, dass die .RDP Verbindung signiert sein muss und der Fingerprint  dann z.b. per GPO auf die Clients ausgerollt werden muss.

 

Ich frage mich nun, wie ich das anstelle, wenn ich keine eigene CA habe. 

 

Ich hatte zuletzt versucht, ein auf meinem Client erstelltes Code Signing Zertifikat zu verwenden, um die .RDP Verknüpfung zu signieren und habe dann den Fingerprint (des Code Signing Zertifikats) auf meinen Client ausgerollt (GPO: Administrative Vorlagen\\Windows-Komponenten\\Remotedesktopdienste\\Remotedesktopverbindungs-Client\\SHA1-Fingerabdrücke)

 

Das hat aber nicht geklappt. Die Meldung kommt noch immer.

 

Gibt es hier eine empfohlene Vorgangsweise bzw. ein How To für "nicht so ganz Zertifikats-Affine"?

 

Danke!

bearbeitet 20. April von mcdaniels

[testperson 1.988]

Moin,

 

selbst signiertes Zertifikat erstellen, exportieren, (importieren) und RDP Datei signieren:

$cert = New-SelfSignedCertificate -KeyUsage DigitalSignature `
    -Subject "My Code Signing Certificate" `
    -CertStoreLocation "Cert:\CurrentUser\My" `
    -KeySpec Signature `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -Type CodeSigningCert

Export-Certificate -Cert $Cert `
    -FilePath "C:\tmp\cert.crt"

# Ggfs. am Test Rechner auch in die trusted Roots importieren
Import-Certificate -FilePath "C:\tmp\cert.crt" `
    -CertStoreLocation "Cert:\LocalMachine\Root"

rdpsign.exe /sha256 $cert.Thumbprint "C:\tmp\Test.rdp"

 

Das exportierte Zertifikat ("C:\tmp\cert.crt") nehmen und bspw. per Gruppenrichtlinie auf die PCs in die trusted Roots bringen und den Thumbprint ($cert.Thumbprint) bspw. per GPO an diese Stelle (GPS: Specify SHA1 thumbprints of certificates representing trusted .rdp publishers) auf die Clients bringen. Das signierte RDP File natürlich auch noch auf die Clients bringen. 

 

Das selbst signierte Zertifikat wäre so ein Jahr gültig. Ggfs. noch mit dem Parameter -NotAfter (New-SelfSignedCertificate (pki) | Microsoft Learn) die Gültigkeit erhöhen.

 

HTH

Jan

 

 

 

bearbeitet 20. April von testperson

[mcdaniels 33]

Hi,

perfekt - am Testrechner hat es schon mal funktioniert.  Ich hätte ja wetten können, dass ich das bereits so gemacht hatte (manuell - ohne Script mit GPO), aber mit deinem Script und der GPO Ausrollung läuft das.

 

DANKE!