Vysvětlení upozornění zabezpečení při otevírání souborů Vzdálená plocha (RDP)

Od aktualizace zabezpečení z dubna 2026 zobrazuje aplikace Vzdálená plocha Connection nová upozornění zabezpečení, když otevřete soubory RDP. Tento článek vysvětluje, co tato upozornění znamenají a jak na ně bezpečně reagovat.

Co je Vzdálená plocha?

Vzdálená plocha umožňuje připojit se k počítači v jiném umístění, jako je váš pracovní počítač, přes síťové připojení, jako je internet. Můžete vidět obrazovku vzdáleného počítače, otevírat soubory, spouštět aplikace a používat myš a klávesnici, jako byste seděli před ním.

Rizika souborů RDP

Soubor RDP informuje aplikaci Vzdálená plocha Connection, jak se připojit ke vzdálenému počítači. V závislosti na svém nastavení může soubor také sdílet části vašeho místního zařízení, jako je schránka, disky nebo kamera, se vzdáleným počítačem.

Aktéři se zlými úmysly tuto funkci zneužívají odesláním souborů RDP prostřednictvím phishingových e-mailů. Když oběť soubor otevře, zařízení se bezobslužně připojí k serveru řízenému útočníkem a sdílí místní prostředky, čímž útočníkovi udělí přístup k souborům, přihlašovacím údajům a dalším prostředkům.

Důležité

Nikdy neotevřete soubor RDP, který jste neočekávali, ani když e-mail vypadá legitimní. Pokud máte pochybnosti, obraťte se na it oddělení.

Jak zůstat v bezpečí

Zastavení a přemýšlení, než kliknete, je jedinou nejúčinnější obranou proti phishingu. Tady jsou praktické kroky:

• Neotevírejte neočekávané soubory RDP. Pokud dostanete ten, který jste neočekávali, neotevírejte ho – i když e-mail vypadá legitimní. Ověřte u odesílatele prostřednictvím samostatného kanálu (třeba telefonního hovoru).
• Zkontrolujte adresu vzdáleného počítače. Pokud v dialogovém okně nerozpoznáte název nebo adresu počítače, nepřipojujte se.
• Povolte jenom přesměrování, které potřebujete. Nechejte všechny ostatní nezaškrtnuté.
• Věnujte pozornost dialogu a tomu, jestli je možné ověřit vydavatele. Ověřte vydavatele, i když je soubor podepsaný.
• Nahlašujte podezřelé soubory protokolu RDP vašemu týmu zabezpečení IT.

Dialogové okno pro první spuštění

Při prvním otevření souboru RDP po instalaci této aktualizace se zobrazí vzdělávací dialogové okno. Vysvětluje, co jsou soubory RDP a varují před útoky phishing. Po povolení připojení přes RDP v tomto dialogovém okně už se pro váš účet znovu nezobrazí.

Dialogové okno zabezpečení připojení

Pokaždé, když otevřete soubor RDP, zobrazí se před vytvořením jakéhokoli připojení dialogové okno zabezpečení. Zobrazuje adresu vzdáleného počítače a zaškrtávací políčko pro každý místní prostředek, ke které má soubor přístup. Přístup ke všem těmto prostředkům je ve výchozím nastavení vypnutý – musíte je explicitně povolit.

Toto dialogové okno existuje ve dvou verzích v závislosti na tom, jestli je možné ověřit vydavatele souboru RDP.

Soubory RDP bez ověřitelného vydavatele

Pokud soubor RDP není digitálně podepsaný, neexistuje způsob, jak ověřit, kdo ho vytvořil nebo jestli se s ním manipuloval. V tomto případě se v dialogovém okně zabezpečení zobrazí banner s názvem Caution: Neznámé vzdálené připojení a nastaví pole Publisher na Neznámý publisher, jak ukazuje následující obrázek.

Výstraha

Soubor RDP nepodepsaný může pocházet od kohokoli. Zacházejte s extrémní opatrností, zejména pokud jste ji dostali e-mailem nebo si ji stáhli z internetu.

Soubory RDP s ověřitelným vydavatelem

Když vydavatel digitálně podepíše soubor RDP, podpis potvrdí, kdo ho vytvořil nebo distribuoval. Jméno vydavatele se zobrazí v dialogovém okně a banner má název "Ověřit vydavatele tohoto vzdáleného připojení", jak ukazuje následující obrázek.

Podpis potvrzuje identitu entity, která vytvořila soubor, a že se soubor od podepsání nezfalšoval. Nezaručuje, že je soubor bezpečný. Cyberattackers může podepisovat soubory pomocí názvů, které se podobají legitimním organizacím – například "Zabezpečení Společnosti Contoso" místo "Contoso Ltd". Vždy si pečlivě přečtěte název vydavatele a ověřte, že odpovídá očekávané organizaci.

Poznámka:

Vaše IT oddělení může váš počítač nakonfigurovat tak, aby důvěřoval konkrétním vydavatelům. Když je soubor RDP podepsaný důvěryhodným vydavatelem, prostředí se může lišit v závislosti na zásadách vaší organizace.

Principy přesměrování

Když otevřete soubor RDP, může požádat o přístup k prostředkům na místním zařízení. Tyto požadavky se nazývají přesměrování. Sdílejí části místního zařízení se vzdáleným počítačem. Po této aktualizaci jsou všechna přesměrování požadovaná soubory RDP ve výchozím nastavení vypnutá, pokud je nezapnete.

Následující seznam vysvětluje jednotlivé typy přesměrování a riziko, které představuje. Starší verze Windows podporují jinou sadu přesměrování, takže na vašem zařízení nemusí být všechny dostupné.

Drives

• Co to dělá: Zpřístupňuje vaše místní disky (pevné disky, USB disky, síťové mapované jednotky) ze vzdáleného počítače. Vzdálený počítač může číst soubory z místních jednotek a zapisovat do nich soubory.
• Riziko: Toto přesměrování je jedním z nejnebezpečnějších. Útočník může:
  • Krádež souborů z místních disků, včetně dokumentů, databází a přihlašovacích údajů uložených na disku.
  • Vložte malware na místní disky. Útočník může například napsat škodlivý program do spouštěcí složky, která se spustí při příštím přihlášení.
  • Získejte přístup ke sdíleným složkám sítě, které jsou namapované jako jednotky na vašem zařízení, a potenciálně tak získáte přístup k jiným systémům ve vaší organizaci.

Schránka

• Co to dělá: Sdílí obsah schránky (cokoli, co zkopírujete a vložíte) mezi zařízením a vzdáleným počítačem.
• Riziko: Cyberattacker může číst cokoli, co kopírujete na místním zařízení – včetně hesel, citlivého textu nebo důvěrných informací. Cyberattacker může také umístit škodlivý obsah do schránky, který pak můžete vložit do místní aplikace.

Čipové karty nebo Windows Hello pro firmy

• Co to dělá: Umožňuje vzdálenému počítači používat čipové karty nebo Windows Hello pro firmy přihlašovací údaje, které připojíte nebo nakonfigurujete na místním zařízení.
• Risk: Útočník může použít přesměrovanou čipovou kartu nebo Windows Hello pro firmy přihlašovací údaje k ověření ve vzdáleném systému nebo v jiných systémech přístupných ze vzdáleného počítače. Tato akce může vést k neoprávněnému přístupu k prostředkům vaší organizace pomocí vaší identity.

WebAuthn (Windows Hello nebo klíče zabezpečení)

• Co to dělá: Umožňuje vzdálenému počítači používat vaše místní bezpečnostní klíče FIDO2 nebo přístupové klíče k dokončení výzev webového ověřování.
• Riziko: Výzvy k ověření můžou být přesměrovány ze vzdálené relace se zlými úmysly na místní zařízení a používají se k útoku phishing.

Poznámka:

Když se požadavek WebAuthn přesměruje přes vzdálenou relaci, Windows tyto informace zobrazí ve výzvě k ověření. Pokud se zobrazí informace o tom, že požadavek pochází ze vzdáleného připojení a neočekávejte, neschvalujte žádost.

Mikrofony a další zařízení pro záznam zvuku

• Co to dělá: Sdílí místní mikrofon a zařízení pro záznam zvuku se vzdáleným počítačem, aby vzdálené aplikace mohly nahrávat zvuk z vašeho prostředí.
• Riziko: Díky přístupu k mikrofonu může útočník odposlouchnout konverzace, schůzky nebo jiný zvuk ve vašem prostředí bez vašeho vědomí.

Kamery a další zařízení pro zachytávání videí

• Co to dělá: Sdílí místní kamery a zařízení pro zachytávání videí se vzdáleným počítačem, aby vzdálené aplikace mohly zaznamenávat video z vašeho prostředí.
• Riziko: Útočník s přístupem k vaší kameře může vidět vaše okolí, číst dokumenty na stole, sledovat obrazovku nebo provádět vizuální dohled bez vašeho vědomí.

Location

• Co to dělá: Sdílí zeměpisné umístění zařízení se vzdáleným počítačem.
• Riziko: Útočník může určit vaši fyzickou polohu, což může být citlivé v závislosti na vaší roli nebo kontextu (například vojenský personál, donucovací orgány nebo vedoucí funkcionáři).

Tiskárny

• Co to dělá: Zpřístupňuje místní tiskárny ze vzdáleného počítače, aby vzdálené aplikace mohly tisknout na místní tiskárny.
• Riziko: Útočník, který řídí vzdálenou relaci, může posílat tiskové úlohy na tiskárny, potenciálně plýtvat prostředky nebo tisknout zavádějící dokumenty, které vypadají jako místní.

Ports

• Co to dělá: Sdílí místní sériové porty (COM) a paralelní (LPT) se vzdáleným počítačem.
• Riziko: Útočník by mohl přistupovat k zařízením připojeným k těmto portům, jako je specializovaný hardware nebo starší periferní zařízení, a potenciálně prostřednictvím nich číst nebo odesílat data.

Zařízení typu point-of-service

• Co to dělá: Sdílí zařízení typu point-of-service (POS), jako jsou skenery čárových kódů a tiskárny účtenek, které se připojují k místnímu zařízení.
• Riziko: Útočník by mohl pracovat s posílajícím zařízením, potenciálně zasahoval do transakcí nebo četl finanční data z připojených zařízení.

Další podporovaná zařízení technologie Plug and Play (PnP)

• Co dělá: Sdílí další podporovaná technologie Plug and Play zařízení se vzdáleným počítačem, včetně široké škály USB a dalších periferních zařízení.
• Riziko: V závislosti na zařízení může útočník číst data, pracovat se zařízením nebo ho používat jako bod pro další útoky.

Další podporovaná zařízení USB RemoteFX

• Co to dělá: Sdílí podporovaná zařízení USB se vzdáleným počítačem na nízké úrovni pomocí přesměrování USB RemoteFX. Vzdálený počítač získá více přímého přístupu k zařízení než standardní přesměrování.
• Riziko: RemoteFX USB přesměrování poskytuje hlubší přístup k zařízením USB. Útočník by mohl tento přístup využít k interakci s citlivými zařízeními USB, jako jsou ověřovací tokeny, úložné zařízení nebo specializovaný hardware, na úrovni, která obchází typické ochrany aplikační vrstvy.

Nejčastější dotazy

Co když soubory protokolu RDP mojí organizace zobrazují upozornění s neznámým vydavatelem?

Toto upozornění znamená, že soubory protokolu RDP vaší organizace jsou nepodepsané. Obraťte se na it oddělení – můžou soubory podepsat, aby místo toho zobrazili svého vydavatele.

Má tato aktualizace vliv na připojení, která spouštím ručně z připojení Vzdálená plocha?

Ne. Tato aktualizace má vliv pouze na připojení spuštěná otevřením souboru RDP. Pokud zadáte název počítače přímo do Připojení ke vzdálené ploše, zážitek se nezmění.

Zobrazuje se mi toto upozornění z Azure Virtual Desktop nebo Windows 365. Je to bezpečné?

Soubory RDP z služby Microsoft jako Azure Virtual Desktop a Windows 365 jsou obvykle podepsané Microsoft. Při připojování k těmto službám byste neměli vidět nové dialogové okno zabezpečení. Pokud ano, nepokračujte – obraťte se na it oddělení a požádejte ho, aby ho prošetřilo.

Jsem vývojář aplikací. Moje aplikace používá ovládací prvek Vzdálená plocha ActiveX. Jak se dá toto dialogové okno ovládat?

Pokud se vaše aplikace spoléhá na Vzdálená plocha ovládací prvek ActiveX (mstscax.dll), můžete k řízení chování dialogového okna použít IMsRdpExtendedSettings. Tato RedirectionWarningDialogVersion vlastnost umožňuje nakonfigurovat, jestli se má po aktualizaci zakázat nová verze dialogového okna zabezpečení.

Jsem správce IT. Jak dočasně obnovím nové dialogové okno zabezpečení?

Výstraha

Pokud používáte Editor registru nesprávně, může dojít k vážným problémům, které by mohly vyžadovat přeinstalaci operačního systému. Microsoft nemůže zaručit, že můžete vyřešit problémy, které vyplývají z nesprávného použití Editoru registru. Editor registru používejte na vlastní nebezpečí.

Pokud aktualizace způsobí dočasné přerušení ve vašem prostředí, můžete se vrátit k předchozímu chování dialogového okna nastavením hodnoty registru.

1. Vyberte Start, zadejte Editor registru a otevřete ho.

2. Přejděte na klíč a upravte ho: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client s následujícími hodnotami:

   • Název: RedirectionWarningDialogVersion

   • Typ: REG_DWORD

   • Data: 1

Výstraha

Budoucí aktualizace Windows může odebrat podporu tohoto nastavení, a to i ve starších verzích Windows. Naplánujte přechod prostředí tak, aby fungovalo s novým dialogem zabezpečení.