Подробный гайд: Как убрать «RDP-файлы в вашей организации не подписаны» в Windows
Проблема с предупреждениями о неподписанных RDP-файлах стала массовой после выхода апрельского обновления безопасности Windows (KB5083769). Microsoft внедрила новые меры защиты для файлов удаленного рабочего стола (.rdp), чтобы предотвратить перехват сессий злоумышленниками.
Теперь при открытии неподписанного файла система выдает предупреждение о том, что издатель не может быть проверен, а также требует ручного подтверждения перенаправления ресурсов (буфера обмена, дисков, принтеров)
Ниже представлен подробный гайд с двумя путями решения: правильным (корпоративным) с использованием цифровой подписи и быстрым (временным) через отключение предупреждений.
Способ 1. Безопасный: Цифровая подпись RDP-файлов (Рекомендуется для организаций)
Чтобы Windows перестала выдавать предупреждения и полностью доверяла файлам, их нужно подписать сертификатом подписи кода (Code Signing Certificate), выданным вашим внутренним удостоверяющим центром (Enterprise CA) или доверенным публичным CA.
Шаг 1. Создание или получение сертификата
Если у вас нет готового сертификата, для теста можно создать самоподписанный сертификат через PowerShell (от имени администратора):
New-SelfSignedCertificate -Subject "RDP Code Signing" -Type CodeSigningCert -CertStoreLocation cert:\LocalMachine\My
Скопируйте отпечаток (Thumbprint) полученного сертификата.
Шаг 2. Подпись RDP-файла
Используйте встроенную утилиту rdpsign.exe.
Откройте командную строку или PowerShell от имени администратора и выполните:
rdpsign.exe /sha256 <ОТПЕЧАТОК_СЕРТИФИКАТА> "C:\Путь\К\Вашему\Файлу.rdp"
Важно:
любые изменения в .rdp файле после подписи сбросят цифровую подпись, файл придется подписывать заново
Шаг 3. Настройка доверия на клиентских машинах через GPO
Чтобы компьютеры в вашей сети доверяли этому сертификату, его нужно массово распространить и указать его отпечаток в политиках.
1. Распространение самого сертификата:
- Откройте
gpmc.msc(Управление групповыми политиками).
- Создайте или отредактируйте GPO и перейдите по пути:
Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики открытых ключей -> Доверенные издатели (Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies -> Trusted Publishers).
- Импортируйте туда ваш .cer файл. Если сертификат самоподписанный, продублируйте его также в Доверенные корневые центры сертификации (Trusted Root Certification Authorities).
2. Указание отпечатка сертификата для RDP-клиента:
В том же GPO перейдите по пути:
`Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленным рабочим столам`.
- Найдите политику «Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP» (Specify SHA1 thumbprints of certificates representing trusted .rdp publishers)
- Включите политику (Enabled) и впишите в поле отпечаток вашего сертификата.
После применения gpupdate /force клиенты будут запускать подписанные файлы без предупреждений.
Способ 2. Быстрый: Отключение предупреждений через Реестр / GPO
Если вам нужно срочно убрать раздражающие окна, Microsoft предусмотрела временные параметры реестра.
Внимание:
Microsoft официально предупреждает, что эти "костыли" могут быть удалены в будущих обновлениях безопасности
1. Отключение окна подтверждения перенаправления ресурсов (при каждом запуске)
Это окно, где система спрашивает разрешение на использование буфера обмена, дисков и принтеров.
Создайте параметр реестра RedirectionWarningDialogVersion (тип DWORD) со значением 1 по пути:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
Команда для PowerShell / CMD (запускать от имени Администратора):
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /v "RedirectionWarningDialogVersion" /t REG_DWORD /d "1" /F
В доменной среде это можно массово развернуть через GPO Preferences -> Registry.
2. Отключение образовательного окна при первом запуске (для каждого пользователя)
Окно с текстом «Файлы подключения к удаленному рабочему столу могут навредить вашему устройству», которое появляется один раз у каждого пользователя после обновления.
Создайте параметр RdpLaunchConsentAccepted (тип DWORD) со значением 1 по пути:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client
Команда для выполнения в контексте пользователя (или через скрипт входа):
REG ADD "HKCU\Software\Microsoft\Terminal Server Client" /v "RdpLaunchConsentAccepted" /t REG_DWORD /d "1" /F
Важно
- Для продакшена и доменной среды:
Однозначно используйте Способ 1. Подпишите файлы через rdpsign.exe и раздайте сертификат через GPO. Это обеспечит безопасность и избавит пользователей от лишних кликов навсегда
- Для локальной домашней сети или срочного фикса:
Используйте Способ 2, чтобы просто скрыть новые окна предупреждений, но имейте в виду, что в будущих патчах Windows этот метод может перестать работать
Мы делимся этой технической информацией, чтобы помочь вам в решении задач — используйте её с пониманием. Статья носит рекомендательный характер, поэтому, пожалуйста, применяйте описанные методы осмотрительно.