WinITPro.ru  /  Windows 10  /  Windows 11  /  Предупреждение при открытии RDP-файлов в Windows

Предупреждение при открытии RDP-файлов в Windows

date
directory Windows 10, Windows 11
comments Комментариев пока нет

Последние обновления для Windows 11 и Windows 10 изменили поведение системы по умолчанию при подключении к рабочему столу удаленного компьютера через сохраненный *.rdp файл. Теперь при первом запуске RDP-файла появляется однократное уведомление, объясняющее назначение RDP-файлов и возможные риски, связанные с их использованием. Затем при каждом открытии RDP файла перед подключением к удаленному хосту, будет появляться предупреждение безопасности с предложением выбрать локальные ресурсы, которые нужно пробросить в Remote Desktop сессию на удаленный компьютер.

Microsoft сообщает, что цель нововведения – усилить защиту Windows от широко используемого в последнее время вектора использования RDP файлов для фишинговых атак. В сценарии такой атаки жертве отправляют специальный RDP файл, которая открывает его и подключается к серверу злоумышленника с проброшенными в терминальную сессию локальными ресурсами (локальные диски, буфер обмена, перенаправленные принтеры, смарт карты, микрофон, PnP устройства и прочее). В результате злоумышленник, контролирующий удаленный хост, может получить доступ к этим ресурсам.

После установки апрельских кумулятивных обновлений 2026 года для Windows 11 (KB5083769 или KB5082052) и Windows 10 (KB5082200 — в рамках расширенных обновлений безопасности), при открытии RDP файл по умолчанию будут применены следующие меры защиты:

  • Перед удаленным подключением к рабочему столу будет появляться подробное предупреждение о целевой системе
  • Перенаправление локальных ресурсов в удаленную RDP сессию по умолчанию отключено и пользователю предлагается явно выбрать, какие локальные ресурсы он хочет перенаправить в свою сессию

При первом запуске RDP файла, появляется уведомление:

Opening Remote Desktop Connection
You are opening an RDP file which will establish a connection to another computer. Connecting to any remote system can expose your PC and data to security risks. Learn more.

Чтобы продолжить подключение, нужно явно отметить чекбокс:

I understand and allow RDP files to open on this device for my account.

Предупреждение при открытии RDP файла

Далее появляется окно с предупреждением, текст которого зависит от того, подписан ли RDP файл или нет.

Если RDP файл не подписан цифровой подписью и Windows не может проверить его, появляется баннер с предупреждением:

Remote Desktop Connection Security warning
Caution: Unknown remote connection
This remote connection could harm the local or remote computer and may be used to steal passwords or files. We could not verify the publisher of this remote connection. Stop now unless you are certain you trust this connection.
Publisher: Unknown publisher

Если вы хотите подключиться, нужно выбрать нужные вам в RDP сессии локальные пробрасываемые ресурсы и нажать Connect.

Недовершённый издатель предупреждение при запуске неподписанного RDP файла

Если RDP файл подписан цифровой подписью, в окне предупреждения появится информация об издателе.

Verify the publisher of this remote connection.

Но пользователю все равно будет предложено проверить легитимность подключения и выбрать пробрасываемые в сессию ресурсы.

Verify the publisher of this remote connection. - выберите ресурсы которые пробросить в удаленную сессию

Обратите внимание, что новые меры безопасности применяются только к соединениям через сохраненные RDP файлы. Если вручную указывает имя удаленного RDP/RDS хоста в клиенте mstsc.exe , или запускаете его из командной строки в формате mstsc /v:myrdpsrv1 , предупреждения не появляются.

подключение mstsc из командной строки

Таким образом, теперь встроенный клиент удаленного рабочего стола игнорирует настройки редиректа локальных ресурсов в сохраненном RDP файле и всегда запрашивает у пользователя какие локальные ресурсы пробросить.

Чтобы временно (это не безопасно!) отключить новую меру безопасности для RDP файлов, администратор может создать на компьютере параметр реестра RedirectionWarningDialogVersion со значением 1. Этот параметр реестра можно создать вручную указанной ниже командой или распространиться на клиентов через групповые политики (Управление параметрами реестра через GPO)

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /v "RedirectionWarningDialogVersion" /t REG_DWORD /d "1" /F

RedirectionWarningDialogVersion - отключить предупреждение безопасности при открытии RDP файлов в Windows

Чтобы отключить первое предупреждение, создайте для пользователя параметр реестра:

REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client" /v "RdpLaunchConsentAccepted" /t REG_DWORD /d "1" /F

Более безопасное решение – самостоятельно подписать нужные RDP файлы доверенной цифровой подписью. Для этого нам потребуется специальный тип сертификата для подписывания кода ( CodeSigningCert ). Запросите такой сертификат у своего CA, а я создам самоподписанный сертификат с помощью PowerShell:

New-SelfSignedCertificate -Subject "Cert for Code Signing” -Type CodeSigningCert -CertStoreLocation cert:\LocalMachine\My

Копируем значение отпечатка сертификата и подписываем RDP файл с помощью утилиты RDPSign.exe:

rdpsign.exe /v /sha256 7AEB1F39BDEF57A5B137B028EF5FC0EC6D5705B3 .\Desktop\srv.rdp 

All rdp file(s) have been succesfully signed.

Подписать RDP файл доверенным сертификатом через rdpsign.exe

Чтобы клиент доверял этом сертификату, нужно поместить сертификат в доверенные. Можно вручную открыть консоль certlm.msc и скопировать сертификат в раздел доверенных корневых сертификатов (Trusted Root Certification Authorities). Или экспортируйте используемый для подписи сертификат в CER файл и установите сертификат на клиентские компьютеры через GPO.

Доверенный сертификат для подписания кода

Затем добавьте отпечаток сертификата в параметр GPO Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP) в разделе Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client.

Параметр GPO - указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP

Подробнее о настройке сертификатов для RDP.

После обновления настроек групповых политик, клиент будет запускать подписанный RDP файл без предупреждений.

Если вы выбрали (забыли выбрать) некоторые опции редиректа локальных устройств для подключения к доверенному хосту, сохраненные настройки подключения и выбора опция можно сбросить через реестр (здесь хранится история RDP подключений). Откройте ветку HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client и руками удалите записи для имени или IP вашего RDP хоста в разделах Default и Servers.

История RDP подключений в реестре

Предыдущая статья Следующая статья
Читайте далее в разделе Windows 10 Windows 11
page
Как принудительно удалить программу, которая не удаляется штатно?
page
Добавление Wi-Fi профилей на устройства Windows: импорт/экспорт, групповые политики
page
Нет значка сети (Wi-Fi) на экране входа (блокировки) Windows
версия windows 10 iot enterprise ltsc Конвертируем Windows 10 в LTSC редакцию без потери данных и переустановки
Перенаправленные принтеры в сессии пользователя на терминальном сервере Настройка печати из RDP сессии и проброс принтеров RD Easy Print
Командлет Remove-Service доступен в PowerShell Core Как корректно удалить службу в Windows?
Компьютер Windows 10 будет бесплатно получать обновления безопасности до 13 октября 2026 г Как получать обновления Windows 10 после окончания поддержки (End-Of-Life)?
Комментариев: 0 Оставить комментарий
Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)