Подробный гайд: Предупреждения RDP после обновления Windows 11 (KB5083769, апрель 2026)

Гайд по предупреждениям RDP в Windows 11 после обновлений: настройка, отключение, подпись файлов, групповые политики и решение проблем с подключением

2026.04.25                  

Подробный гайд: Предупреждения RDP после обновления Windows 11 (KB5083769, апрель 2026)Подробный гайд: Предупреждения RDP после обновления Windows 11 (KB5083769, апрель 2026) После установки апрельских обновлений безопасности для Windows 11 (версии 24H2/25H2, KB5083769) Microsoft внедрила новые меры защиты против фишинговых атак через файлы .rdp. Ниже — полное руководство по пониманию, настройке и управлению этими предупреждениями.

Что изменилось и почему появляются предупреждения?

Новые механизмы безопасности:

  • Первое предупреждение при запуске: При первом открытии .rdp-файла после обновления появляется уведомление о рисках подключения к удалённому компьютеру.
  • Диалог подтверждения ресурсов: Перед каждым подключением через файл .rdp система запрашивает явное разрешение на перенаправление локальных ресурсов (буфер обмена, диски, принтеры, микрофон и т.д.).
  • Проверка подписи файла:
    • Если файл не подписан — отображается предупреждение «Caution: Unknown publisher» с рекомендацией не продолжать подключение.
    • Если файл подписан — показывается имя издателя, но пользователь всё равно должен подтвердить подключение и выбрать ресурсы.

Важно:

  • Эти изменения затрагивают только запуск через файлы .rdp. При ручном вводе адреса в mstsc.exe или запуске через командную строку (mstsc /v:server) предупреждения не появляются.

Цель изменений:

Защита от атак типа CVE-2026-26151, когда злоумышленники рассылают вредоносные .rdp-файлы для получения доступа к локальным ресурсам жертвы.

Как управлять предупреждениями

Вариант 1: Быстрое отключение (не рекомендуется для продакшена)

Внимание:

  • Отключение снижает уровень безопасности. Используйте только в доверенных внутренних сетях.

Отключить диалог подтверждения ресурсов:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /v RedirectionWarningDialogVersion /t REG_DWORD /d "1" /F

Отключить первое предупреждение о запуске .rdp:

REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client" /v RdpLaunchConsentAccepted /t REG_DWORD /d "1" /F

После применения перезапустите mstsc.exe или выполните gpupdate /force для применения политик.

Вариант 2: Подпись .rdp-файлов (рекомендуемый способ)

Это безопасный метод, позволяющий сохранить предупреждения для неподписанных файлов, но автоматически доверять вашим собственным.

Шаг 1: Создайте сертификат для подписи кода

New-SelfSignedCertificate -Subject "My RDP Signing Cert" -Type CodeSigningCert -CertStoreLocation cert:\LocalMachine\My

Запомните отпечаток (thumbprint) созданного сертификата.

Шаг 2: Подпишите файл .rdp

rdpsign.exe /v /sha256 <ВАШ_ОТПЕЧАТОК> "путь\к\файлу.rdp"

Пример:

rdpsign.exe /v /sha256 73FD89DCA644FF7A9CE90FDB1B4786B83851F380 "C:\RDP\office.rdp"

Шаг 3: Настройте доверие на клиентских машинах

  1. Экспортируйте сертификат в формате .cer.
  2. Импортируйте его в хранилище Доверенные корневые центры сертификации (certlm.msc) на всех клиентских ПК.
3. Через групповую политику (gpedit.msc) настройте:
   Конфигурация компьютера → Административные шаблоны → 
   Компоненты Windows → Службы удалённых рабочих столов → 
   Клиент подключения к удалённому рабочему столу
  • Включите: «Указать отпечатки SHA1 сертификатов доверенных издателей .rdp» и добавьте ваш отпечаток.
  • Убедитесь, что включена политика: «Разрешить файлы .rdp от доверенных издателей и использовать настройки пользователя по умолчанию».

Вариант 3: Групповые политики для корпоративной среды

Для централизованного управления в домене:

  1. Откройте gpedit.msc или «Управление групповой политикой».
2. Перейдите по пути:
   Computer Configuration → Administrative Templates → 
   Windows Components → Remote Desktop Services → 
   Remote Desktop Connection Client
3. Настройте:
  • Allow .rdp files from valid publishers → Включено
  • Specify SHA1 thumbprints of trusted .rdp publishers → Включено + список отпечатков
  • RedirectionWarningDialogVersion (через реестр, как в Варианте 1) — при необходимости.

Дополнительные проблемы RDP после обновлений 24H2

Помимо предупреждений, пользователи сообщают о:

  • Разрывах соединения через 65 секунд при использовании UDP.
  • Зависаниях при повторном подключении к сессии.

Решения:

Отключить UDP для RDP (если возникают разрывы):

:: Через реестр
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client" /v fClientDisableUDP /t REG_DWORD /d 1 /f

:: Или через Групповую политику:
:: Конфигурация компьютера → Административные шаблоны → 
:: Компоненты Windows → Службы удалённых рабочих столов → 
:: Клиент подключения → "Выбор протоколов транспорта RDP" → "Использовать только TCP"

Отключить сетевое обнаружение (при зависаниях):

:: Batch-файл для применения на хосте (сервере):
@echo off
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fServerNetworkDetect /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fTurnOffTimeDetect /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fTurnOffNetworkDetect /t REG_DWORD /d 1 /f
gpupdate /force
echo Готово.
pause

Применяйте эти настройки на сервере/хосте, а не на клиенте.

Чеклист: Что делать при появлении предупреждения

Ситуация Действие
Первое открытие .rdp Поставьте галочку «I understand and allow...» для продолжения
Предупреждение «Unknown publisher» Проверьте источник файла. Если доверяете — выберите нужные ресурсы и нажмите Connect
Частые разрывы соединения Отключите UDP для RDP (см. выше)
Зависание при входе Примените настройки отключения сетевого обнаружения на хосте
Нужно массовое развёртывание Используйте подпись .rdp + групповые политики

Полезные команды для диагностики

# Проверить установленные обновления
wmic qfe list | findstr "KB5083769"

# Просмотреть журнал RDP-подключений
eventvwr.msc → Журналы приложений и служб → Microsoft → Windows → TerminalServices-*

# Сбросить кэш сохранённых подключений (удалить историю)
reg delete "HKCU\Software\Microsoft\Terminal Server Client\Default" /f
reg delete "HKCU\Software\Microsoft\Terminal Server Client\Servers" /f

Рекомендация:

  • Не отключайте предупреждения глобально. Лучше настройте подпись собственных .rdp-файлов и распространяйте сертификаты через домен — это сохранит безопасность и удобство.

Если предупреждения мешают в доверенной среде — используйте реестр для временного отключения, но планируйте переход на подписанные файлы в долгосрочной перспективе.

×

Полный размер Слайдшоу Предыдущий Следующий