Как отключить окно при подключении по RDP Windows 11?

Question

[Darken2019]

Кто может подсказать что это за шляпа после последнего обновления Windows 11 начала вылезать и как её отключить?

Comments

[res2001]

Это стандартное сообщение при проверке сертификата RDP сервера. Обычно на RDP сервере используется самоподписанный сертификат, который, конечно никакие проверки не проходит.
Это сообщение было всегда, возможно оно немного видоизменилось в новой версии, не более того.
Раньше внизу была галка, что-то типа "сохранить выбор" или "всегда доверять этому сертификату", формулировку не помню, нажимаете ее в первый раз и далее уже не будет этих вопросов.

На вашем скрине этой галки нет. Вероятно это и есть происки последнего обновления. У себя на винде, каких-то изменений в этом плане не замечал, вроде бы все как обычно. Но возможно, ко мне еще не все обновления прилетели.
Как вариант, при обновлении в винду добавили/изменили значение какой-то групповой политики, влияющей на возможность сохранения сертификатов и галка перестала отображаться в окне. Если политику отменить - то она снова появиться. Не знаю, существует ли такая политика, это в качестве гипотезы для дальнейшего исследования.

Но можно и без галки. Есть несколько вариантов, которые приходят в голову сразу:
1. использовать на сервере официальный сертификат, подписанный широко известным ЦС, например Letsencrypt и т.п.
2. Развернуть собственный корпоративный ЦС, выдать в нем сертификат для RDP сервера, на всех клиентах установить сертификат ЦС в хранилище "доверенные корневые ЦС", тогда сертификат сервера будет проходить проверку успешно.
3. Извлечь самоподписанный сертификат сервера, раздать его клиентам, чтоб они так же установили его в "доверенные сертификаты".

По последнему варианту - стандартный виндовый RDP клиент сохраняет сертификаты серверов в реестре. Но не уверен, что при отсутствии вышеописанной галки он это делает, надо проверять. Из реестра теоретически можно экспортировать сертификат и установить его в хранилище сертификатов. Так же, если есть доступ к RDP серверу, то сертификат можно извлечь на нем и раздать клиентам.
Распространение сертификатов на клиентские устройства - это не дыра в безопасности, этот же сертификат вы в любом случае получаете при установке RDP подключения, а так же в сертификате содержиться открытый ключ, который и так предназначен для распространения между пользователями.

[Кот Абсолютный]

res2001, Ох, если бы так просто было поставить на rdp свой или LE сертификат. Как я ни пытался, сколько манов ни перечитал, в какие только бубны ни бил - винда кладет на мой сертфиикат огромный железобетонный болт и выпускает свой...

Есть свой CA, сертификат выпущу с какими угодно данными...

[res2001]

Кот Абсолютный, В свое время ставил сертификат на Windows Server RDP с собственного ЦС без проблем.
Там были какие-то тонкости (связанные, кажется, с использованием сертификата - надо было правильно выставить в запросе), но все решалось легким гуглежом.
Это было еще во времена WIn Server 2008/20012. Сейчас давно уже не в теме.
На Letsencrypts, скорее всего, за бесплатно подходящий сертификат не дадут, но за деньги, думаю, что можно в любом ЦС выпустить правильный.

[Keffer]

Кот Абсолютный, там этот болт захардкожен по бешеному, винда выпускает свой как ни крути. Решается это только если на AD есть роль ЦС и все компы тогда подтянут корневой rootCA себе через GPO. Тогда все RDP будут типа защищены. Но опять же подключение не с доменного компа к доменному - видим болт

[Кот Абсолютный]

Keffer, Жив еще у меня виндовый CA, хотя не выпускаю в нем сертификаты лет уже десять как. Но надо будет чиста ради интереса попробовать выпустить в виндовом CA. Я перечитал кучу манов, перепробовал кучу вариантов, даже научился запихивать в сертификат ссылку на виндовый шаблон - похрен, кладет болт. Пока приучил всех что если rdp спрашивает про сертификат - соглашаться.

[Ziptar]

Обновление последнее передает привет, это при использовании рдп файлов вылезает теперь, подтверждение требует один раз (по идее, хотя почему-то иногда перезапрашивает)

Answer 1

[Dmitry]

reg add "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /v RedirectionWarningDialogVersion /t REG_DWORD /d 1 /f

https://habr.com/ru/news/1023666/

Answer 2

[Михаил Лялин]

1. Microsoft усилила защиту Windows от вредоносных RD...
2. попробовать mRemoteNG или другие менеджеры подключений к удалённым системам

Comments

[res2001]

Теперь еще и rdp файлы предлагают подписывать. Не знал.
Даже утилиту сделали для подписи: https://learn.microsoft.com/ru-ru/windows-server/a...

Answer 3

[say_TT_plz]

вы серьёзно? Если вы не админ, то попросите админа настроить сертификаты.
Если вы админ, то настройте их уже.
Если это на домашнем компе к домашнему компу, то дерните серт и добавьте в доверенные

Comments

[Довольный Айтишникъ]

Не дёрнет, нет там серта)))

[pilligrimm]

Дело не только в сертификате. Необходимо подписать rdp-файл.