Где хранится мой сертификат сервера RDP?

Учитывая недавние проблемы атак типа «человек посередине», я фактически обратил внимание на предупреждение, которое я получаю при подключении к серверу:

Выбрав Просмотр сертификата , я собирался проверить SHA1 отпечаток :

Кому выдано : корсар
эмитированных : корсар
Действительно с : 9/5/2013 до 3/7/2014
Отпечатков (SHA1): ‎e9 c5 d7 17 95 95 fd ba 09 88 37 d8 9f 49 5e b8 02 ac 2b e2

и убедитесь, что он соответствует тому, что на сервере. Я подключился в любом случае, затем с помощью certmgr.msc поиска сертификата (то есть «выдан Corsair» ):

Вот он, единственный на машине. Но подождите, это не тот ключ:

Сертификат, который я представляю через RDP, отличается от сертификата на сервере:

Кому выдано : корсар
эмитированных : корсар
Действительно с : 4/6/2013 до 8/7/3012
Отпечатков (SHA1): ‎c5 b4 12 0d f6 4f b3 e7 a8 59 cd 4d e4 0e cb 5b 18 a1 42 92

Либо уже существует Man-in-the-Middle, заменяющий поддельные сертификаты для соединений RDP, либо сертификат, представленный сервером RDP, не виден в certmgr.msc .

Предполагая, что у меня нет CSIS, контролирующего мою (не доменную) локальную сеть: где я могу найти сертификат, который RDP представит подключающимся клиентам?

Сервер: Windows Server 2012 Standard

Примечание . Также относится к Windows 8. Также может применяться к Windows 7 и более ранним версиям, а также к Windows Server 2008 R2 и более ранним версиям. Потому что, хотя сейчас я подключаюсь к серверу; я также подключаюсь к своему настольному ПК с Windows 7 из Интернета — и хочу подтвердить, что я вижу свой настоящий рабочий стол.

Ключевые слова : Как изменить мой сертификат SSL для подключения к удаленному рабочему столу Windows 8? Как указать мой сертификат удаленного рабочего стола?

Принудить службы удаленных рабочих стола в Windows 7 использовать пользовательский сертификат проверки подлинности сервера для TLS

В этой статье приводится решение проблемы, из-за которой автоматически создается самозаверяемый сертификат проверки подлинности сервера для поддержки TLS при под подключением служб удаленных рабочих стола (RDS) к компьютеру с Windows 7.

Исходная версия продукта: Windows 7 Пакет обновления 1
Исходный номер КБ: 2001849

Симптомы

При создании подключения RDS к компьютеру с Windows 7 автоматически создается самозаверяемый сертификат проверки подлинности сервера для поддержки TLS. Это позволяет шифровать данные между компьютерами. Данные шифруются только в том случае, если на целевом компьютере включен следующий параметр групповой политики, для параметра SSL (TLS 1.0):

Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security:Require use of specific security layer for remote (RDP) connections

Причина

В Windows Vista и Windows 7 разработка самозаверяющего сертификата для TLS через подключение RDS включена.

Решение

Сертификаты проверки подлинности сервера поддерживаются в Windows Vista и Windows 7. Чтобы использовать пользовательский сертификат для RDS, выполните следующие действия:

Установка сертификата проверки подлинности сервера из сертификационного органа.

Создайте следующее значение реестра, содержащее хеш SHA1 сертификата, чтобы настроить этот пользовательский сертификат для поддержки TLS, а не использовать самозаверяемый сертификат по умолчанию.

• Расположение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
• Имя значения: SSLCertificateSHA1Hash
• Тип значения: REG_BINARY
• Данные значения:

Значением должен быть отпечаток сертификата, разделенный запятыми (,) без пробелов. Например, если экспортировать этот ключ реестра, значение SSLCertificateSHA1Hash будет выглядеть так:

Необходимо изменить реестр напрямую, так как для настройки сертификата сервера в клиентских надстройки Windows нет пользовательского интерфейса.

Служба host Services удаленного рабочего стола выполняется под учетной записью NETWORK SERVICE. Поэтому необходимо установить список управления доступом для файла ключа, используемого RDS (на который ссылается сертификат, именуется в значении реестра SSLCertificateSHA1Hash), чтобы включить NETWORK SERVICE с разрешениями на чтение. Чтобы изменить разрешения, выполните следующие действия:

Откройте оснастку «Сертификаты» для локального компьютера:

1. Нажмите кнопку «Начните»,выберите «Выполнить»,«Введите MMC» и нажмите кнопку «ОК».
2. В меню «Файл» выберите пункт «Добавить или удалить оснастку».
3. В диалоговом окне «Добавление и удаление оснастки» в списке «Доступные оснастки» щелкните «Сертификаты» и нажмите кнопку «Добавить».
4. В диалоговом окне оснастки «Сертификаты» щелкните «Учетная запись компьютера» и нажмите кнопку «Далее».
5. В диалоговом окне «Выбор компьютера» щелкните «Локальный компьютер» (компьютер, на который запущена эта консоль) и нажмите кнопку «Готово».
6. В диалоговом окне «Добавление и удаление оснастки» нажмите кнопку «ОК».
7. В оснастке «Сертификаты» в дереве консоли разйдите «Сертификаты ( локальный компьютер)», «Личные» и перейдите к SSL-сертификату, который вы хотите использовать.
8. Щелкните сертификат правой кнопкой мыши, выберите «Все задачи» и выберите «Управление закрытыми ключами».
9. В диалоговом окне «Разрешения» нажмите кнопку «Добавить», «Введите NETWORK SERVICE»,«ОК», «Чтение» в области «Разрешить» и нажмите кнопку «ОК».

Дополнительные сведения

Дополнительные сведения о программной настройке параметров шифрования RDP см. в Win32_TSGeneralSetting класса.

RDP: Установка SSL сертификата

Сайт является не обновляемой с 20.07.2019 копией сайта alex-white.ru

Задача: Установить свой SSL сертификат полученный в wosign.com. Так что-бы при подключении к Win серверу\десктоп компьютеру по RDP не появлялось сообщение о том, что сертификату не стоит доверять.

Решение: Получаем сертификат. Как это сделать, описал в другой статье или тут почитать. Далее по инструкции от MS или тут или здесь.

1 В групповых политиках

Computer Policy > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host, and then > Security.

Включаем политику «Require use of specific security layer for remote (RDP) connections» указав значение SSL (TLS 1.0) . Теперь сервер будет устанавливать соединение только по SSL (TLS 1.0).

Далее импортируем сертификат. Открываем mmc и добавляем сертификаты локального компьютера. Открываем раздел «Personal» и импортируем полученный сертификат. Иконка сертификата должна быть с ключиком. Нам нужен Thumbprint нашего сертификата. Добавляем NETWORK SERVICE (права Чтение).

Копируем его. Для удаления скрытых символов вставим в открытое окно CMD. Скопируем из CMD без лишнего и формируем команду для добавления записи в реестр

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=» THUMBPRINT »

Где « THUMBPRINT » = без пробелов.

3 Нужно применить групповые политики для этого выполним

Удалим старый сертификат который находится в хранилище сертификатов «Remoter Desktop» перезагрузимся (вроде не обязательно). Сертификат в хранилище «Remoter Desktop» сгенерируется заново, но использоваться будет новый, thumbprint которого будет указан в реестре

Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Value name: SSLCertificateSHA1Hash
Value type: REG_BINARY
Value data: certificate thumbprint

Установка своего сертификата для RDP

Чисто для себя заметка

Можно ли каким-то образом, в клиентской винде не входящей в AD, для сервера удалённых рабочих столов установить свой сертификат?

Немного подробнее:
После запуска службы (или если она у вас запущена, то после установки соответствующей галки на вкладке «Удалённый доступ» ) «Службы удаленных рабочих столов» создаётся самоподписанный сертификат (который помещается в хранилище Удалённый рабочий стол > Сертификаты) — хотелось бы его заменить на свой.

Чего только не перепробовал, но после удаления сертификата и перезапуска «Службы удаленных рабочих столов» создаётся новый самоподписанный сертификат, а все мои игнорируются.

1. Идем (gpedit.msc) по пути PC Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security: Require use of specific security layer for remote (RDP) connections выбираем SSL (TLS 1.0).
2. Импортируем сертификат в «Сертификаты (локальный компьютер)\Personal\Registry\Certificates. Сертификат должен быть в формате PKCS12 (.p12). Выбираем, щелчок — All Tasks — Manage Private Keys. Добавляем NETWORK SERVICE (права Чтение). Сохраняем.
3. Идем в реестр «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp», добавляем Binary Value (Value name: SSLCertificateSHA1Hash ; Value data: ). Сохраняем.
4. Идем в «Сертификаты (локальный компьютер)»\Remote Desktop\Registry\Certificates. Удаляем сертификат ПК. Перезагружаем ПК. (Сертификат ПК создастся заново автоматом (после рестарта компьютера), но использоваться уже не будет).
Собственно все!

Цитата:
Добавляем NETWORK SERVICE (права Чтение).
Про это я не знал!

Цитата:
Идем в реестр . добавляем Binary Value (Value name: SSLCertificateSHA1Hash ; Value data: ).
Для этого дела есть скрипт — запускать с такими параметрами:

Код:
cscript rdconfig.js

(если лень пробелы их хеша убирать, то можно в кавычки его)

Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений

В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.

Предупреждение о самоподписанном сертификате RDP

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:

Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».

При этом отпечаток RDP сертификата сохраняется на клиенте в параметре CertHash в ветке реестра с историей RDP подключений (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Если вы скрыли уведомление о невозможности проверить подлинность RDP сервера, чтобы сбросить настройки, удалите ключ с отпечатком сертификата из реестра.

Создаем шаблон RDP сертификата в центре сертификации (CA)

Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.

Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.

1. Запустите консоль Certificate Authority и перейдите в секцию Certificate Templates;
2. Сделайте копию шаблона сертификата Computer (Certificate Templates -> Manage -> Computer -> Duplicate);
   
3. На вкладке General укажите имя нового шаблона сертификата – RDPTemplate. Убедитесь, что значение поля Template Name полностью совпадает с Template display name;
   
4. На вкладке Compatibility укажите минимальную версию клиентов в вашем домене (например, Windows Server 2008 R2 для CA и Windows 7 для клиентов). Тем самым будут использоваться более стойкие алгоритмы шифрования;
5. Теперь на вкладке Extensions в политике приложений (Application policy) нужно ограничить область использования такого сертификата только для Remote Desktop Authentication (укажите следующий object identifier — 1.3.6.1.4.1.311.54.1.2). Нажмите Add -> New, создайте новую политику и выберите ее;
   
6. В настройках шаблона сертификата (Application Policies Extension) удалите все политики кроме Remote Desktop Authentication;
7. Чтобы использовать данный шаблон RDP сертификатов на контролерах домена, откройте вкладку Security, добавьте группу Domain Controllers и включите для нее опцию Enroll и Autoenroll;
   
8. Сохраните шаблон сертификата;
9. Теперь в оснастке Certificate Authority, щёлкните по папке Certificate Templates, выберите New ->Certificate Template to Issue -> выберите созданный шаблон RDPTemplate.
   

Настройка групповой политики для выдачи RDP сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

1. Откройте консоль управления доменными групповыми политиками gpmc.msc, создайте новый объект GPO и назначьте его на OU с RDP/RDS серверами или компьютерами, для которых нужно автоматически выдавать TLS сертификаты для защиты RDP подключения;
2. Перейдите в раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security. Включите политику Server Authentication Certificate Template. Укажите имя шаблона CA, который вы создали ранее (RDPTemplate);
   
3. Затем в этом же разделе GPO включите политику Require use of specific security layer for remote (RDP) connections и установите для нее значение SSL;
4. Для автоматического продления RDP сертификата, перейдите в раздел GPO Computer configuration -> Windows settings -> Security Settings -> Public Key Policies и включите политику Certificate Services Client – Auto-Enrollment Properties. Выберите опции “Renew expired certificates, update pending certificates and remove revoked certificates” и “Update certificates that use certificate templates”;
   
5. Если вы хотите, чтобы клиенты всегда проверяли сертификат RDP сервера, вам нужно настроить политику Configure Authentication for Client = Warn me if authentication fails (секция GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client);
6. Если нужно, можете через политики файервола открыть входящий RDP порт TCP/UDP 3389;
7. Осталось обновить политики на клиенте, запустить консоль сертификатов компьютера (Certlm.msc), и проверить, что в разделе Personal -> Certificates появился сертификат для Remote Desktop Authentication, выданный вашим CA.

Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:

Get-Service TermService -ComputerName msk-dc01| Restart-Service –force –verbose

Теперь при RDP подключении к серверу перестанет появляться запрос на доверие сертификату (чтобы появился запрос о доверии сертификату, подключитесь к серверу по IP адресу вместо FQDN имени сервера, для которого выпущен сертификат). Нажмите кнопку “Посмотреть сертификат”, перейдите на вкладку “Состав”, скопируйте значение поля “Отпечаток сертификата”.

Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:

Теперь сравните полученные данные с отпечатком сертификата, который используется службой Remote Desktop Service. Вы можете посмотреть значение отпечатка сертификата службы RDS в реестре (ветка HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations, параметр TemplateCertificate) или командой PowerShell: Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash

Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.

Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace root\cimv2\terminalservices|select|select SSLCertificateSHA1Hash

Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:

rdpsign.exe /sha256 65A27B2987702281C1FAAC26D155D78DEB2B8EE2 «C:\Users\root\Desktop\rdp.rdp»

Теперь через GPO добавим этот отпечаток сертификата в доверенные у пользователей. Укажите отпечатки (через точку с запятою) в политике Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP) в секции Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client.

Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).