RDP安全警告---2026年4月的安全更新的变化
RDP安全警告---2026年4月的安全更新的变化
科控物联
发布于 2026-04-22 20:43:33
发布于 2026-04-22 20:43:33
RDP现在是卡的越来越严了,看来后续微软要开始收费了😄请用且珍惜吧。
一、什么是RDP文件?
RDP文件是一种配置文件,告诉远程桌面连接应用如何连接到远程计算机。它就像是一张"连接地图",包含了连接所需的各种设置。
为什么需要了解RDP文件?
- 方便快捷:保存连接设置,下次直接双击即可连接
- 功能丰富:可以配置各种连接选项,如显示设置、音频设置等
- 存在风险:恶意攻击者可能通过钓鱼邮件发送恶意RDP文件
二、2026年4月安全更新带来的变化
从2026年4月的安全更新开始,当你打开RDP文件时,远程桌面连接应用会显示新的安全警告。这些警告是为了保护你免受网络钓鱼攻击。
A screenshot of the first-launch experience
为什么会有这些新警告?
恶意攻击者会通过钓鱼邮件发送RDP文件,当你打开这些文件时,你的设备会静默连接到攻击者控制的服务器,并共享本地资源,从而让攻击者访问你的文件、凭据等敏感信息。
三、如何安全处理RDP文件
核心安全原则
⚠️ 重要提醒:永远不要打开你不期望收到的RDP文件,即使邮件看起来很合法。如果有疑问,请联系你的IT部门。
在点击前暂停思考是防范钓鱼攻击的最有效方法。以下是具体步骤:
- 不要打开意外的RDP文件:如果你收到了一个你不期望的RDP文件,不要打开它——即使邮件看起来很合法。通过其他渠道(如电话)与发件人核实。
- 检查远程计算机地址:如果你不认识对话框中的计算机名称或地址,不要连接。
- 只启用你需要的重定向:保留其他所有选项为未选中状态。
- 注意对话框和发布者验证:即使文件已签名,也要验证发布者。
- 向IT安全团队报告可疑的RDP文件。
四、安全对话框详解
首次打开RDP文件
安装此更新后,你第一次打开RDP文件时,会出现一个教育性对话框。它会解释什么是RDP文件以及钓鱼风险。在这个对话框中允许RDP文件连接后,你的账户就不会再出现这个对话框。
A screenshot of the connection security dialog when the publisher of the RDP file cannot be verified
每次打开RDP文件
每次打开RDP文件时,在建立任何连接之前,都会出现一个安全对话框。它会显示远程计算机地址以及该文件想要访问的每个本地资源的复选框。默认情况下,对所有这些资源的访问都是关闭的——你必须明确启用每个资源。
两种安全对话框
- 未签名的RDP文件
⚠️ 警告:未签名的RDP文件可能来自任何人。请极其谨慎地对待它,尤其是如果你通过电子邮件收到它或从互联网下载它。
- 无法验证谁创建了它或它是否被篡改
- 安全对话框显示标题为"警告:未知远程连接"
- 发布者字段设置为"未知发布者"
- 已签名的RDP文件
ℹ️ 注意:签名确认了创建文件的实体的身份以及文件自签名以来未被篡改。但它并不能保证文件是安全的。网络攻击者可能会使用与合法组织非常相似的名称签名文件——例如,使用"Contoso Security"而不是"Contoso Ltd."。请始终仔细阅读发布者名称,并验证它与你期望的组织匹配。
- 签名确认了谁创建或分发了它
- 发布者的名称会出现在对话框中
- 标题为"验证此远程连接的发布者"
A screenshot of the connection security dialog when the publisher of the RDP file can be verified
五、了解RDP重定向
当你打开RDP文件时,它可以请求访问你本地设备上的资源。这些请求被称为"重定向",它们会与远程计算机共享你本地设备的部分内容。更新后,RDP文件请求的所有重定向默认都是关闭的,除非你选择启用它们。
常见重定向类型及风险
重定向类型 | 功能 | 风险 |
|---|---|---|
本地驱动器 | 使远程计算机可以访问你的本地驱动器(硬盘、USB驱动器、网络映射驱动器) | 攻击者可以:- 窃取本地驱动器中的文件- 在本地驱动器上植入恶意软件- 访问映射为驱动器的网络共享 |
剪贴板 | 在本地设备和远程计算机之间共享剪贴板内容 | 攻击者可以:- 读取你在本地设备上复制的任何内容(包括密码)- 在你的剪贴板中放置恶意内容 |
智能卡 | 允许远程计算机使用你在本地设备上连接或配置的智能卡或Windows Hello for Business凭据 | 攻击者可以使用你的凭据在远程系统或可从远程计算机访问的其他系统上以你的身份进行身份验证 |
WebAuthn | 允许远程计算机使用你的本地FIDO2安全密钥或密码来完成Web身份验证挑战 | 身份验证提示可能会从恶意远程会话重定向到本地设备并用于网络钓鱼 |
音频录制 | 与远程计算机共享你的本地麦克风和音频录制设备 | 攻击者可以窃听你的对话、会议或环境中的其他音频 |
摄像头 | 与远程计算机共享你的本地摄像头和视频捕获设备 | 攻击者可以看到你的周围环境、阅读你桌上的文档、观察你的屏幕或进行视觉监控 |
位置 | 与远程计算机共享你的设备的地理位置 | 攻击者可以确定你的物理位置,这可能根据你的角色或环境而敏感 |
打印机 | 使远程计算机可以使用你的本地打印机 | 攻击者可以向你的打印机发送打印作业,可能浪费资源或打印看起来是本地的误导性文档 |
串行/并行端口 | 与远程计算机共享你的本地串行(COM)和并行(LPT)端口 | 攻击者可以访问连接到这些端口的设备,例如专用硬件或 legacy 外设 |
即插即用设备 | 与远程计算机共享其他支持的即插即用设备,包括各种USB和其他外设 | 攻击者可能读取数据、与设备交互或将其用作进一步攻击的支点 |
RemoteFX USB | 通过使用RemoteFX USB重定向在低级别与远程计算机共享支持的USB设备 | 攻击者可以利用这种访问来与敏感USB设备交互,绕过典型的应用层保护 |
六、常见问题解答
1. 为什么我看到"发布者无法验证"的警告?
这意味着你组织的RDP文件未签名。请联系你的IT部门——他们可以对文件进行签名,以便它们显示其发布者。
2. 此更新是否影响直接在远程桌面连接中键入计算机名称的情况?
不。此更新仅影响通过打开RDP文件启动的连接。如果你直接在远程桌面连接中键入计算机名称,体验不变。
3. 连接到Azure虚拟桌面和Windows 365等Microsoft服务时会怎样?
来自Microsoft服务的RDP文件通常由Microsoft签名。连接到这些服务时,你不应看到新的安全对话框。如果你看到了,请不要继续——联系你的IT部门进行调查。
4. 对于依赖远程桌面ActiveX控件的应用程序,有什么选项?
如果你使用的应用程序依赖于远程桌面ActiveX控件(mstscax.dll),你可以使用IMsRdpExtendedSettings属性来控制对话框行为。RedirectionWarningDialogVersion属性允许你配置是否在更新后禁用新版本的安全对话框。
七、临时回退选项
⚠️ 警告:如果你不正确使用注册表编辑器,可能会导致严重问题,可能需要重新安装操作系统。Microsoft不能保证你可以解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。
如果更新在你的环境中造成临时中断,你可以通过设置注册表值来恢复到以前的对话框行为:
选择开始,键入注册表编辑器,然后打开它。
转到并修改以下键:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
添加以下值:
- 名称:RedirectionWarningDialogVersion
- 类型:REG_DWORD
- 数据:1
⚠️ 警告:未来的Windows更新可能会删除对此设置的支持,即使在旧版本的Windows上也是如此。计划将你的环境过渡到使用新的安全对话框。
八、总结
RDP文件是连接远程计算机的便捷方式,但也存在安全风险。通过了解新的安全警告和采取适当的预防措施,你可以安全地使用RDP文件,同时保护自己免受网络钓鱼攻击。
安全使用RDP文件的关键要点
- 谨慎对待RDP文件:只打开来自可信来源的RDP文件
- 验证连接信息:检查远程计算机地址是否正确
- 最小化资源共享:只启用你真正需要的重定向
- 验证发布者:即使文件已签名,也要确认发布者身份
- 及时报告可疑文件:向IT安全团队报告任何可疑的RDP文件
通过遵循这些指南,你可以安全地使用RDP文件,享受远程连接的便利,同时保护你的设备和数据安全。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-04-19,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号