RDP & Certificate Warning

By Andrei Ungureanu - Last updated: Monday, December 2, 2013 - Save & Share - Leave a Comment

Banuiesc ca vi se intampla des sa vedeti mesajul “The identity of the remote computer cannot be verified. Do you want to connect anyway?”, insa din instinct dati click pe Yes si nu va intrebati care este rostul acestui mesaj.

image

Mesajul apare deoarece protocolul de criptare pe RDP este TLS/SSL by default si doar in caz de nevoie se face fallback pe RDP Encryption. Iar asta inseamna ca in secventa dintre client si server se va prezenta un certificat. Iar acest certificat este generat automat pe serverul de RDP si este de tip self signed, ceea ce inseamna ca nimeni nu are cum sa verifice acest certificat by default (decat daca si-l instaleaza local).

image

Certificatele self signed pentru RDP le gasiti in Certificates (Local Computer) – Remote Desktop.

Deci solutia ca sa nu ne mai lovim de acest prompt ar fi sa instalam un certificat trusted. Iar asta o facem din consola Remote Desktop Session Host Configuration:

image

image

Dupa cum vedeti mai sus, Security Layer este pus pe Negociate ceea ce inseamna ca SSL va fi folosit primul si apoi se va face fallback pe RDP Encryption. Iar din acest tab puteti selecta si certificatul pentru RDP (care trebuie sa fie deja instalat pe server).

Dar daca vrem sa facem lucrul acesta pe toate serverele din domeniu atunci avem nevoie de alta solutie. iar vestea buna este ca se poate face din GPO.

image

image

Gasim setarea Server Authentication Certificate Template in Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security.

Ca sa o putem implementa bineinteles ca avem nevoie si de un Enterprise Certification Authority.

PS: Tineti minte ca folosirea corecta a certificatelor si rezolvarea acestor warninguri este o buna metoda de a preveni atacurile de tip man in the middle.

Posted in Windows Server • Tags: , Top Of Page

Write a comment