17
RDP Zertifikatswarnung obwohl "Verbinden und keine Warnung anzeigen" eingestellt ist
Hallo zusammen,
ich habe manuell über "Remotedesktopverbindung" eine .rdp Datei abgespeichert - vorher habe ich in den Einstellungen (Erweitert) bei "Serverauthentifizierung" "Verbinden und keine Warnung anzeigen" eingestellt.
Wenn ich diese Datei nochmal manuell über "Remotedesktopverbindung" öffne, wird das auch so übernommen.
Wenn ich dann die Verbindung herstellen möchte, erscheint trotzdem folgende Warnung:
Weiß jemand woran das liegen könnte?
LG!
ich habe manuell über "Remotedesktopverbindung" eine .rdp Datei abgespeichert - vorher habe ich in den Einstellungen (Erweitert) bei "Serverauthentifizierung" "Verbinden und keine Warnung anzeigen" eingestellt.
Wenn ich diese Datei nochmal manuell über "Remotedesktopverbindung" öffne, wird das auch so übernommen.
Wenn ich dann die Verbindung herstellen möchte, erscheint trotzdem folgende Warnung:
Weiß jemand woran das liegen könnte?
LG!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 363532
Url: https://administrator.de/contentid/363532
Printed on: April 16, 2024 at 16:04 o'clock
17 Comments
Latest comment
Moin..
ja, die Zertifikatswarnung ist richtig, kannst du aber etwas weiter unten abschalten!
Frank
ja, die Zertifikatswarnung ist richtig, kannst du aber etwas weiter unten abschalten!
Frank
Hi,
du meinst keine weiteren Warnungen für diesen PC anzeigen?
Ich würde es am liebsten in die .rdp Datei integrieren, damit man das nicht jedes mal machen muss... genau dafür sollte doch auch die Einstellung "Keine Warnung anzeigen und Verbinden" da sein??
du meinst keine weiteren Warnungen für diesen PC anzeigen?
Ich würde es am liebsten in die .rdp Datei integrieren, damit man das nicht jedes mal machen muss... genau dafür sollte doch auch die Einstellung "Keine Warnung anzeigen und Verbinden" da sein??
du meinst keine weiteren Warnungen für diesen PC anzeigen?
ja genau
ja genau
Weiß jemand, weshalb die Einstellung "keine warnungen anzeigen" ignoriert wird?
weil dein zertifikat nicht stimmt...
Frank
Frank
Es ist am lokalen PC nicht in den vertrauenswürdigen Zertifikaten - dennoch sollte ja keine Warnung wegen besagter einstellung angezeigt werden
Dieser Text wird afair sogar angezeigt, wenn ein gültiges Zertifikat vorhanden ist. Es gibt noch eine "richtige" Warnung, die in einem zusätzlichen Popup angezeigt wird - diese kannst Du deaktivieren. Dier hier gezeigte Warnung ist eher ein "Hinweis" an den Anwender: Er soll nachdenken, ob es sich tatsächlich um eine reguläre Anwendung handelt. Der Grund ist einfach:
Ein böser Admin könnte eine RemoteApp bauen und einem ahnungslosen Anwender "unterschieben". Da der böse Admin kann seine RemoteApp von einer anerkannten Zertifizierungsstelle signieren lassen. Der Name ist völlig egal, wenn das Zertifikat von GoDaddy, VeriSign etc. ausgestellt wurde. Ob eine RemoteApp zertifiziert wurde, sagt im Grunde vorerst nichts über den Herausgeber der RemoteApp aus, jedenfalls nicht einem Anwender ;) Aus diesem Grund existiert dieser Hinweis.
Ich glaube aber, dass man einen Haken setzen kann und bei zukünftigen Verbindungen den Hinweis nicht mehr sieht.
Ein böser Admin könnte eine RemoteApp bauen und einem ahnungslosen Anwender "unterschieben". Da der böse Admin kann seine RemoteApp von einer anerkannten Zertifizierungsstelle signieren lassen. Der Name ist völlig egal, wenn das Zertifikat von GoDaddy, VeriSign etc. ausgestellt wurde. Ob eine RemoteApp zertifiziert wurde, sagt im Grunde vorerst nichts über den Herausgeber der RemoteApp aus, jedenfalls nicht einem Anwender ;) Aus diesem Grund existiert dieser Hinweis.
Ich glaube aber, dass man einen Haken setzen kann und bei zukünftigen Verbindungen den Hinweis nicht mehr sieht.
Ja, diesen Haken kann man setzen - trotzdem kommt erst mal jeder Nutzer zu mir gerannt^^
Ja, diesen Haken kann man setzen - trotzdem kommt erst mal jeder Nutzer zu mir gerannt^^
richtig...
frank
Moin,
Gruß,
Dani
Ein böser Admin könnte eine RemoteApp bauen und einem ahnungslosen Anwender "unterschieben". Da der böse Admin kann seine RemoteApp von einer anerkannten Zertifizierungsstelle signieren lassen. Der Name ist völlig egal, wenn das Zertifikat von GoDaddy, VeriSign etc. ausgestellt wurde. Ob eine RemoteApp zertifiziert wurde, sagt im Grunde vorerst nichts über den Herausgeber der RemoteApp aus, jedenfalls nicht einem Anwender ;) Aus diesem Grund existiert dieser Hinweis.
es kann auch ganz einfach eine eigene PKI sein, welcher alle Domänencomputer vertrauen. Wenn man es richtig aufbaut und sogar konfiguriert, erscheint diese Meldung überhaupt nicht. Warnungen sind dazu da, damit diese bei berechtigten Gründen erscheint und den Benutzer somit mitteilt, dass etwas nicht stimmt. Sprich der Helpdesk wird anrufen/angeschrieben.Gruß,
Dani
Das stimmt nicht. Der Hinweis bedeutet, dass der Anwender nicht blind der RemoteApp vertrauen soll. Der Hinweis kommt sowohl bei vertrauenswürdigen Zertifikaten einer externen CA sowie bei vertrauenswürdigen Zertifikaten einer in AD integrierten CA.
Wenn ein Angreifer eine "böse" RemoteApp baut, dann kann er doch diese einfach mit einem von einer öffentlichen CA erworbenen Zertifikat signieren. Und schon wäre die RemoteApp "sicher" bzw. "gültig", denn unsere Systeme vertrauen ja von Haus aus den bekannten öffentlichen CAs.
Das ist also kein Fehler - "Works as designed". Wenn ein Anwender den Hinweis nicht mehr lesen will, dann soll er den Haken setzen-
Wenn ein Angreifer eine "böse" RemoteApp baut, dann kann er doch diese einfach mit einem von einer öffentlichen CA erworbenen Zertifikat signieren. Und schon wäre die RemoteApp "sicher" bzw. "gültig", denn unsere Systeme vertrauen ja von Haus aus den bekannten öffentlichen CAs.
Das ist also kein Fehler - "Works as designed". Wenn ein Anwender den Hinweis nicht mehr lesen will, dann soll er den Haken setzen-
Hallo,
Gruß,
Dani
Das stimmt nicht.
was genau an meiner letzten Antwort stimmt nicht?Gruß,
Dani
Habe ich doch (mehrfach) gesagt - im Grunde stimmt nichts an Deiner Antwort. Der Hinweis erscheint auch bei korrekt konfigurierter PKI.
Moin,
meine Antwort war evtl. etwas oberflächlich.
a) Zertifikate von einer Zertifizierungsstelle, wo du genannt hast oder von der eigenen.
b) Zertifikat muss mit dem DNS-Namen (evtl. Alias) 100% übereinstimmen
c) Das Zertifikat der Zertifizierungsstelle muss dem Client bekannt sein (Stichwort: Vertrauenswürdige Stammzerifizierungstellen)
d) Zertifikat den entsprechenden RDS-Rollendienste zuweisen
e) Den SHA1 Fingerprint des Zertifikats für die RDS WebApp - Rolle über GPO den Clients bekannt machen
=> Somit erscheint die Warnung nur noch, wenn das Zertifikat ungültig, abgelaufen oder getauscht wurde ohne den Fingerprint anzupassen.
Gruß,
Dani
meine Antwort war evtl. etwas oberflächlich.
Wenn man es richtig aufbaut und sogar konfiguriert, erscheint diese Meldung überhaupt nicht.
Damit meinte icha) Zertifikate von einer Zertifizierungsstelle, wo du genannt hast oder von der eigenen.
b) Zertifikat muss mit dem DNS-Namen (evtl. Alias) 100% übereinstimmen
c) Das Zertifikat der Zertifizierungsstelle muss dem Client bekannt sein (Stichwort: Vertrauenswürdige Stammzerifizierungstellen)
d) Zertifikat den entsprechenden RDS-Rollendienste zuweisen
e) Den SHA1 Fingerprint des Zertifikats für die RDS WebApp - Rolle über GPO den Clients bekannt machen
=> Somit erscheint die Warnung nur noch, wenn das Zertifikat ungültig, abgelaufen oder getauscht wurde ohne den Fingerprint anzupassen.
Gruß,
Dani
Du verwechselst Warnung und Hinweis. Der Hinweis kommt immer, die Erklärung für dieses Verhalten habe ich bereits mehrfach in diesem Thread abgegeben.
Wenn man den Haken setzt für Hinweis nicht mehr anzeigen, hält das leider auch nur 6 Monate, da dann das Zertifikat erneuert wird.
Ist es irgendwie möglich das Zertifikat unbegrenzt zu halten?
Ist es irgendwie möglich das Zertifikat unbegrenzt zu halten?
@Matsushita
Gruß,
Dani
Du verwechselst Warnung und Hinweis. Der Hinweis kommt immer, die Erklärung für dieses Verhalten habe ich bereits mehrfach in diesem Thread abgegeben.
Der Hinweis erscheint bei uns, unter Berücksichtung der von mir geschilderten Schritte, an keinem Arbeitsplatz. Hab extra nochmals unsere Doku gelesen. Nein, wir wenden keinen Registryhack o.ä. an.Gruß,
Dani