Informacje o ostrzeżeniach dotyczących zabezpieczeń podczas otwierania plików Remote Desktop (RDP)

Począwszy od aktualizacja zabezpieczeń z kwietnia 2026 r. aplikacja Remote Desktop Connection wyświetla nowe ostrzeżenia dotyczące zabezpieczeń podczas otwierania plików RDP. W tym artykule wyjaśniono, co oznaczają te ostrzeżenia i jak bezpiecznie reagować na nie.

Co to jest Remote Desktop?

Remote Desktop umożliwia nawiązanie połączenia z komputerem w innej lokalizacji, takiej jak komputer służbowy, za pośrednictwem połączenia sieciowego, takiego jak Internet. Możesz zobaczyć ekran komputera zdalnego, otworzyć pliki, uruchomić aplikacje i użyć myszy i klawiatury tak, jakby siedział przed nim.

Ryzyko związane z plikami RDP

Plik RDP informuje aplikację Remote Desktop Connection, jak nawiązać połączenie z komputerem zdalnym. W zależności od jego ustawień plik może również udostępniać części urządzenia lokalnego, takie jak schowek, dyski lub aparat fotograficzny, z komputerem zdalnym.

Złośliwe podmioty nadużywają tej możliwości, wysyłając pliki RDP za pośrednictwem wiadomości e-mail wyłudzających informacje. Gdy ofiara otworzy plik, urządzenie w trybie dyskretnym łączy się z serwerem kontrolowanym przez osobę atakującą i udostępnia zasoby lokalne, zapewniając atakującemu dostęp do plików, poświadczeń i nie tylko.

Ważna

Nigdy nie otwieraj pliku RDP, którego nie spodziewano się, nawet jeśli wiadomość e-mail wygląda zgodnie z prawem. W razie wątpliwości skontaktuj się z działem IT.

Jak zachować bezpieczeństwo

Zatrzymywanie się na chwilę, aby pomyśleć przed kliknięciem, jest najskuteczniejszą obroną przed phishingiem. Oto praktyczne kroki:

  • Nie otwieraj nieoczekiwanych plików RDP. Jeśli otrzymasz wiadomość, której nie spodziewasz się, nie otwieraj jej — nawet jeśli wiadomość e-mail wygląda na legalną. Zweryfikuj z nadawcą za pośrednictwem oddzielnego kanału (na przykład połączenia telefonicznego).
  • Sprawdź adres komputera zdalnego. Jeśli nie rozpoznasz nazwy komputera lub adresu w oknie dialogowym, nie nawiąż połączenia.
  • Włącz tylko potrzebne przekierowania. Pozostaw wszystkie inne niezaznaczone.
  • Zwróć uwagę na okno dialogowe i informację, czy można zweryfikować wydawcę. Sprawdź wydawcę, nawet jeśli plik jest podpisany.
  • Zgłoś podejrzane pliki RDP zespołowi ds. zabezpieczeń IT.

Okno dialogowe pierwszego uruchamiania

Po pierwszym otwarciu pliku RDP po zainstalowaniu tej aktualizacji zostanie wyświetlone okno dialogowe edukacyjne. Wyjaśnia, czym są pliki RDP i ostrzegają o ryzyku wyłudzania informacji. Po zezwoleniu na połączenia plików RDP w tym oknie dialogowym, nie będzie ono wyświetlane ponownie dla Twojego konta.

Zrzut ekranu przedstawiający doświadczenie z pierwszego uruchomienia

Okno dialogowe zabezpieczeń połączenia

Za każdym razem, gdy otwierasz plik RDP, przed nawiązaniem jakiegokolwiek połączenia zostanie wyświetlone okno dialogowe zabezpieczeń. Zawiera on adres komputera zdalnego i pole wyboru dla każdego zasobu lokalnego, do którego plik chce uzyskać dostęp. Dostęp do wszystkich tych zasobów jest domyślnie wyłączony — musisz jawnie włączyć każdy z nich.

To okno dialogowe istnieje w dwóch wersjach w zależności od tego, czy można zweryfikować wydawcę pliku RDP.

Pliki RDP bez weryfikowalnego wydawcy

Jeśli plik RDP nie jest podpisany cyfrowo, nie ma możliwości sprawdzenia, kto go utworzył lub czy został naruszony. W tym przypadku w oknie dialogowym zabezpieczeń wyświetlany jest baner zatytułowany Ostrzeżenie: Nieznane połączenie zdalne i pole Wydawca jest ustawione na "Nieznany wydawca", jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający okno dialogowe zabezpieczeń połączenia, gdy nie można zweryfikować wydawcy pliku RDP

Ostrzeżenie

Niepodpisany plik RDP może pochodzić od każdego użytkownika. Traktuj go z ekstremalną ostrożnością, zwłaszcza jeśli otrzymano go pocztą e-mail lub pobrano go z Internetu.

Pliki RDP z weryfikowalnym wydawcą

Gdy wydawca podpisuje cyfrowo plik RDP, podpis potwierdza, kto go utworzył lub rozpowszechnił. Nazwa wydawcy jest wyświetlana w oknie dialogowym, a baner nosi tytuł "Verify the publisher of this remote connection" (Sprawdź wydawcę tego połączenia zdalnego), jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający okno dialogowe zabezpieczeń połączenia po zweryfikowaniu wydawcy pliku RDP

Podpis potwierdza tożsamość jednostki, która utworzyła plik, i że plik nie został naruszony, ponieważ został podpisany. Nie gwarantuje, że plik jest bezpieczny. Cyberataki mogą podpisywać pliki przy użyciu nazw, które są ściśle podobne do legalnych organizacji — na przykład "Contoso Security" zamiast "Contoso Ltd". Zawsze uważnie odczytaj nazwę wydawcy i sprawdź, czy jest zgodna z oczekiwaną organizacją.

Uwaga / Notatka

Dział IT może skonfigurować komputer tak, aby ufał określonym wydawcom. Kiedy plik RDP jest podpisany przez godnego zaufania wydawcę, sposób korzystania z systemu może się różnić w zależności od zasad organizacji.

Informacje o przekierowaniach

Po otwarciu pliku RDP może on zażądać dostępu do zasobów na urządzeniu lokalnym. Te żądania są nazywane przekierowaniami. Współużytkują one części urządzenia lokalnego z komputerem zdalnym. Po tej aktualizacji wszystkie przekierowania żądane przez pliki RDP są domyślnie wyłączone , chyba że zdecydujesz się na nie.

Na poniższej liście opisano każdy typ przekierowania i ryzyko, jakie stwarza. Starsze wersje Windows obsługują inny zestaw przekierowań, więc nie wszystkie te wersje mogą być dostępne na urządzeniu.

Drives

  • Co to robi: Sprawia, że dyski lokalne (dyski twarde, dyski USB, dyski zmapowane przez sieć) są dostępne z komputera zdalnego. Komputer zdalny może odczytywać pliki z dysków lokalnych i zapisywać je na dyskach lokalnych.
  • Ryzyko: To przekierowanie jest jednym z najbardziej niebezpiecznych. Osoba atakująca może:
    • Kradzież plików z dysków lokalnych, w tym dokumentów, baz danych i poświadczeń przechowywanych na dysku.
    • Posadzić złośliwe oprogramowanie na dyskach lokalnych. Na przykład osoba atakująca może napisać złośliwy program do folderu Start, który jest uruchamiany przy następnym logowaniu.
    • Uzyskaj dostęp do udziałów sieciowych, które są mapowane jako dyski na Twoim urządzeniu, co może umożliwiać dostęp do innych systemów w Twojej organizacji.

Schowek

  • Co to robi: Udostępnia zawartość schowka (to, co kopiujesz i wklejasz) między twoim urządzeniem a komputerem zdalnym.
  • Ryzyko: Cyberatak może odczytywać wszystkie elementy kopii na urządzeniu lokalnym, w tym hasła, poufny tekst lub poufne informacje. Cyberatakujący może również umieścić złośliwą zawartość w schowku, którą możesz następnie wkleić do lokalnej aplikacji.

Karty inteligentne lub Windows Hello dla biznesu

  • W tym, co robi: Umożliwia komputerowi zdalnemu używanie kart inteligentnych lub Windows Hello dla biznesu poświadczeń, które łączysz lub konfigurujesz na urządzeniu lokalnym.
  • Ryzyko: Osoba atakująca może użyć przekierowanej karty inteligentnej lub poświadczeń Windows Hello dla biznesu, aby uwierzytelnić się w systemie zdalnym lub w innych systemach dostępnych z komputera zdalnego. Ta akcja może prowadzić do nieautoryzowanego dostępu do zasobów organizacji przy użyciu tożsamości.

WebAuthn (Windows Hello lub klucze zabezpieczeń)

  • Co to robi: Umożliwia komputerowi zdalnemu używanie lokalnych kluczy zabezpieczeń FIDO2 lub kluczy dostępu w celu ukończenia wyzwań związanych z uwierzytelnianiem internetowym.
  • Ryzyko: Żądania uwierzytelniania mogą być przekierowywane ze złośliwej sesji zdalnej do urządzenia lokalnego i używane do ataków phishingowych.

Uwaga / Notatka

Gdy żądanie WebAuthn jest przekierowywane za pośrednictwem sesji zdalnej, Windows wyświetla te informacje w wierszu polecenia uwierzytelniania. Jeśli widzisz wskazanie, że żądanie pochodzi z połączenia zdalnego, a Ty się go nie spodziewałeś, nie zatwierdzaj żądania.

zrzut ekranu przedstawiający monit uwierzytelniania z komunikatem "Żądano z sesji zdalnej przez Połączenie pulpitu zdalnego (Microsoft Windows)"

Mikrofony i inne urządzenia do nagrywania dźwięku

  • Co to robi: Udostępnia lokalne urządzenia do nagrywania mikrofonu i audio z komputerem zdalnym, dzięki czemu aplikacje zdalne mogą nagrywać dźwięk ze środowiska.
  • Ryzyko: Dzięki dostępowi do mikrofonu osoba atakująca może podsłuchiwać konwersacje, spotkania lub inny dźwięk w twoim środowisku bez twojej wiedzy.

Kamery i inne urządzenia do przechwytywania wideo

  • Co to robi: Udostępnia lokalne kamery i urządzenia do przechwytywania wideo z komputerem zdalnym, dzięki czemu aplikacje zdalne mogą nagrywać wideo ze środowiska.
  • Ryzyko: Osoba atakująca mająca dostęp do kamery może zobaczyć otoczenie, odczytywać dokumenty na biurku, obserwować ekran lub przeprowadzać nadzór wizualny bez świadomości.

Lokalizacja

  • Co to robi: Udostępnia lokalizację geograficzną urządzenia komputerowi zdalnemu.
  • Ryzyko: Osoba atakująca może określić lokalizację fizyczną, która może być wrażliwa w zależności od twojej roli lub kontekstu (na przykład wojskowych, organów ścigania lub personelu wykonawczego).

Printers

  • Co to robi: Udostępnia drukarki lokalne z komputera zdalnego, dzięki czemu aplikacje zdalne mogą drukować na drukarkach lokalnych.
  • Ryzyko: Cyberatak, który kontroluje sesję zdalną, może wysyłać zadania drukowania do drukarek, potencjalnie marnować zasoby lub drukować wprowadzające w błąd dokumenty, które wydają się być lokalne.

Ports

  • Co to robi: Udostępnia lokalne porty szeregowe (COM) i równoległe (LPT) komputerowi zdalnemu.
  • Ryzyko: Osoba atakująca może uzyskać dostęp do urządzeń połączonych z tymi portami, takich jak wyspecjalizowany sprzęt lub starsze urządzenia peryferyjne, oraz potencjalnie odczytywać lub wysyłać dane za ich pośrednictwem.

Urządzenia typu punkt-usługa

  • Co to robi: Udostępnia urządzenia punktu sprzedaży (POS), takie jak skanery kodów kreskowych i drukarki paragonów, które można podłączyć do urządzenia lokalnego.
  • Ryzyko: Osoba atakująca może wchodzić w interakcje ze sprzętem poS, potencjalnie zakłócać transakcje lub odczytywać dane finansowe z połączonych urządzeń.

Inne obsługiwane urządzenia Plug and Play (PnP)

  • W tym, co robi: Udostępnia inne obsługiwane urządzenia Plug and Play z komputerem zdalnym, w tym szeroką gamę urządzeń USB i innych urządzeń peryferyjnych.
  • Ryzyko: W zależności od urządzenia osoba atakująca może odczytywać dane, korzystać z niego lub używać go jako punktu przestawnego w celu dalszych ataków.

Inne obsługiwane urządzenia USB RemoteFX

  • Co robi: Udostępnia obsługiwane urządzenia USB zdalnemu komputerowi na niskim poziomie, korzystając z przekierowania USB RemoteFX. Komputer zdalny uzyskuje bardziej bezpośredni dostęp do urządzenia niż standardowe przekierowanie.
  • Ryzyko: Przekierowywanie USB RemoteFX zapewnia głębszy dostęp do urządzeń USB. Osoba atakująca może wykorzystać ten dostęp do interakcji z poufnymi urządzeniami USB, takimi jak tokeny uwierzytelniania, urządzenia magazynujące lub wyspecjalizowany sprzęt, na poziomie, który pomija typowe zabezpieczenia warstwy aplikacji.

Często zadawane pytania

Co zrobić, jeśli pliki RDP mojej organizacji wyświetlają ostrzeżenie z nieznanym wydawcą?

To ostrzeżenie oznacza, że pliki RDP organizacji są niepodpisane. Skontaktuj się z działem IT — mogą podpisać pliki tak, aby zamiast tego wyświetlały wydawcę.

Czy ta aktualizacja ma wpływ na połączenia, które uruchamiam ręcznie z aplikacji Podłączanie pulpitu zdalnego?

Nie. Ta aktualizacja ma wpływ tylko na połączenia uruchomione przez otwarcie pliku RDP. Jeśli wpiszesz nazwę komputera bezpośrednio w Połączeniu Pulpitu Zdalnego, środowisko pozostanie niezmienione.

Widzę to ostrzeżenie z Azure Virtual Desktop lub Windows 365. Czy jest to bezpieczne?

Pliki RDP z usługi firmy Microsoft, takie jak Azure Virtual Desktop i Windows 365, są zwykle podpisane przez Microsoft. Nowe okno dialogowe zabezpieczeń nie powinno być widoczne podczas nawiązywania połączenia z tymi usługami. Jeśli to zrobisz, nie kontynuuj — skontaktuj się z działem IT, aby zbadać problem.

Jestem deweloperem aplikacji. Moja aplikacja używa Remote Desktop kontrolki ActiveX. Jak mogę kontrolować to okno dialogowe?

Jeśli aplikacja korzysta z Remote Desktop kontrolki ActiveX (mstscax.dll), możesz użyć IMsRdpExtendedSettings Property aby kontrolować zachowanie okna dialogowego. Właściwość RedirectionWarningDialogVersion umożliwia skonfigurowanie, czy po aktualizacji wyłączyć nową wersję okna dialogowego zabezpieczeń.

Jestem administratorem IT. Jak tymczasowo przywrócić nowe okno dialogowe zabezpieczeń?

Ostrzeżenie

Jeśli używasz edytora rejestru niepoprawnie, może to spowodować poważne problemy, które mogą wymagać ponownej instalacji systemu operacyjnego. Microsoft nie może zagwarantować, że możesz rozwiązać problemy wynikające z nieprawidłowego używania Edytora rejestru. Użyj Edytora rejestru na własne ryzyko.

Jeśli aktualizacja powoduje tymczasowe zakłócenia w środowisku, możesz przywrócić poprzednie zachowanie okna dialogowego, ustawiając wartość rejestru.

  1. Wybierz pozycję Start, wpisz Edytor rejestru, a następnie otwórz go.

  2. Przejdź do i zmodyfikuj klucz: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client przy użyciu następujących wartości:

    • Nazwa: RedirectionWarningDialogVersion

    • Typ: REG_DWORD

    • Dane: 1

Ostrzeżenie

Przyszła aktualizacja Windows może usunąć obsługę tego ustawienia, nawet w starszych wersjach Windows. Zaplanuj przekształcenie środowiska, aby pracować z nowym oknem dialogowym zabezpieczeń.

  • Last updated on