U trzech klientów obsługiwanych przez nasz zespół zadzwoniły telefony 14 kwietnia 2026. 180 stacji nagle pokazywało ostrzeżenie „Nieznany wydawca” przy każdym pliku RDP otwieranym przez użytkowników. Aktualizacja Windows z tego dnia (CVE-2026-26151) zmieniła zasady gry dla każdego administratora, który dystrybuuje pliki .rdp w organizacji. W tym poradniku pokazuję, jak podpisać plik RDP narzędziem rdpsign krok po kroku – na bazie wdrożenia, które przeprowadziliśmy w zeszłym tygodniu.
TL;DR: Aktualizacja KB5083769 z 14.04.2026 wprowadza ostrzeżenie „Caution: Unknown remote connection” dla niepodpisanych plików RDP. Naprawa: podpisz pliki komendą rdpsign /sha256 z certyfikatem code signing. Według Microsoft MSRC kwietniowy Patch Tuesday załatał 167 podatności, w tym dwa zero-day.
Co się zmieniło w plikach RDP po kwietniowej aktualizacji
Po instalacji KB5083769 (Windows 11 25H2/24H2) i KB5082052 (23H2) klient pulpitu zdalnego pokazuje nowy dialog bezpieczeństwa za każdym razem, gdy otwierasz plik .rdp. Niepodpisany plik wyświetla czerwony baner „Caution: Unknown remote connection”. Wszystkie przekierowania zasobów lokalnych (schowek, dyski, mikrofon, kamera) są domyślnie wyłączone.
Microsoft wprowadził tę zmianę w odpowiedzi na falę ataków phishingowych z 2024 roku, w których spreparowane pliki .rdp wysyłane mailem dawały atakującemu dostęp do dysków lokalnych ofiary. CVE-2026-26151 to identyfikator bazowy dla całej zmiany. Ostrzeżenie nie pojawia się przy ręcznym wpisywaniu adresu w mstsc.exe – dotyczy tylko plików .rdp.
W naszym środowisku testowym zaobserwowaliśmy też uboczny bug: na stacji z dwoma monitorami o różnym skalowaniu (100% i 125%) okno ostrzeżenia renderowało się z nakładającym się tekstem. Microsoft naprawił ten problem dopiero w aktualizacji KB5083631 z 30 kwietnia 2026.
Niepodpisany plik RDP może pochodzić od każdego użytkownika. Traktuj go z ekstremalną ostrożnością, zwłaszcza jeśli otrzymano go pocztą e-mail lub pobrano z internetu.- Microsoft Learn, 2026
Jak podpisać plik RDP narzędziem rdpsign krok po kroku
Microsoft od lat dostarcza w Windows narzędzie rdpsign.exe do cyfrowego podpisywania plików .rdp. Składnia: rdpsign /sha256 <thumbprint> <ścieżka.rdp>. Wymaganie: certyfikat z rozszerzonym użyciem klucza Code Signing (OID 1.3.6.1.5.5.7.3.3) zaimportowany w magazynie certyfikatów użytkownika lub komputera.
Procedura wygląda tak. Najpierw zdobądź thumbprint certyfikatu – otwórz przystawkę Certificates (Win+R, certmgr.msc), znajdź swój certyfikat code signing, otwórz zakładkę Details, skopiuj wartość pola Thumbprint do notatnika i usuń wszystkie spacje oraz niewidoczne znaki. Ten ostatni szczegół wywala konsultantów częściej niż cokolwiek innego.
- Otwórz wiersz polecenia z uprawnieniami administratora
- Przejdź do folderu z plikiem .rdp komendą cd
- Wpisz:
rdpsign /sha256 a1b2c3...xyz mojplik.rdp - Zweryfikuj sukces komunikatem „Successfully signed file”
- Otwórz plik .rdp w notatniku – na końcu znajdziesz nową sekcję signature:s:
Po podpisaniu plik nie może być już modyfikowany – każda zmiana parametru unieważnia podpis. W praktyce ten wymóg oznacza, że pliki .rdp generujesz raz, podpisujesz, dystrybuujesz przez SCCM, GPO logon scripts albo deploy script PowerShell. Ręczna edycja w notatniku po stronie użytkownika to przeszłość.
Trzy metody podpisywania – którą wybrać dla MSP
Wybór certyfikatu zależy od skali wdrożenia i tego, kto otrzymuje pliki .rdp. Dla labu wystarczy self-signed. W firmie z Active Directory Certificate Services standardem jest certyfikat z Enterprise CA – ufa się mu automatycznie w całej domenie. Komercyjny CA (DigiCert, Sectigo, GlobalSign) wybierasz tylko przy dystrybucji poza organizację.
W naszej praktyce 90% klientów obsługujemy przez Enterprise CA. Jeśli klient ma kontroler domeny i AD CS, wystawienie certyfikatu code signing zajmuje 15 minut. Self-signed używamy tylko w środowiskach testowych albo gdy klient nie ma własnej infrastruktury PKI. Komercyjny CA pojawia się raz na kwartał – zwykle u klientów dystrybuujących RemoteApp do partnerów zewnętrznych.
| Metoda | Kiedy użyć | Koszt |
|---|---|---|
| Self-signed | Lab, testy, pojedynczy admin | 0 zł |
| Enterprise CA (AD CS) | Firma z domeną AD, dystrybucja wewnętrzna | 0 zł, jeśli AD CS już działa |
| Komercyjny CA | Dystrybucja do partnerów zewnętrznych | 300-1500 zł rocznie |
Dodatkowy krok dla Enterprise CA: po podpisaniu pliku rozprowadź thumbprint certyfikatu przez GPO. Ścieżka: Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → „Specify SHA1 thumbprints of certificates representing trusted .rdp publishers”. Dialog ostrzeżenia znika wtedy całkowicie nawet dla podpisanych plików.
Najczęstsze błędy przy podpisywaniu – sprawdź to przed wezwaniem pomocy
Najczęstsza przyczyna komunikatu o nieudanym podpisie to użycie parametru /sha1 zamiast /sha256 na Windows Server 2016+, Windows 10 i 11. Druga: niewidoczne znaki ASCII skopiowane razem z thumbprint z okna Certificates. Trzecia: certyfikat bez EKU Code Signing – rdpsign go zignoruje, mimo że jest poprawny dla innych zastosowań.
Pełna lista pułapek z 12 wdrożeń, które zrobiliśmy w ostatnim miesiącu:
- Parametr
/sha1zamiast/sha256– na nowszych Windows nie zadziała, mimo że dokumentacja sprzed 2015 roku tak każe - Niewidoczne znaki Unicode w thumbprint – skopiuj string do notatnika, wykasuj wszystko między cyframi i literami, potem przeklej
- Brak rozszerzenia EKU 1.3.6.1.5.5.7.3.3 – certyfikat SSL/TLS nie wystarczy
- Certyfikat nie znajduje się w „Trusted Root Certification Authorities” na kliencie – dialog pokaże publisher, ale nadal jako niezweryfikowany
- Modyfikacja pliku .rdp po podpisaniu – każda zmiana parametru (np. nazwa hosta) unieważnia signature i wymaga ponownego podpisania
Dla MSP zarządzających wieloma klientami dobrym wzorcem jest skrypt PowerShell, który podpisuje wszystkie pliki .rdp w danym folderze pojedynczą komendą.
Podsumowanie
Podpisywanie plików .rdp przestało być opcjonalne – po 14 kwietnia 2026 roku to nowy baseline higieny dla każdego środowiska z dystrybucją plików zdalnego pulpitu. Trzy decyzje przed administratorem: jaki certyfikat (Enterprise CA dla większości), jak rozproszyć thumbprint (GPO), jak zautomatyzować podpisywanie (skrypt PowerShell).
Kluczowe wnioski:
- Komunikat „Nieznany wydawca” znika tylko po podpisaniu pliku, a nie po obejściu rejestru
- Parametr /sha256 jest obowiązkowy dla Windows 10/11 i Server 2016+
- Enterprise CA z dystrybucją thumbprint przez GPO usuwa dialog całkowicie
Jeśli zarządzasz infrastrukturą RDP w firmie i potrzebujesz wdrożyć podpisywanie w produkcji, skontaktuj się z nami.
FAQ
Czym różni się podpisany plik RDP od podpisanego serwera RDP?
Podpisany plik .rdp to konfiguracja połączenia z cyfrową sygnaturą, która potwierdza, kto plik utworzył. Podpisany serwer RDP to host pulpitu zdalnego z certyfikatem TLS na porcie 3389 – certyfikat chroni samą sesję przed atakami man-in-the-middle. To dwa niezależne mechanizmy. Wdrażasz je równolegle, nie zamiennie.
Czy aktualizacja kwietniowa 2026 dotyczy też Windows 10?
Tak. Microsoft wydał odpowiednie aktualizacje kumulatywne dla Windows 10 22H2 w ramach programu ESU. Jeśli twoja organizacja nadal korzysta z Windows 10, sprawdź KB dla swojej wersji w katalogu Microsoft Update. Mechanizm ostrzeżenia działa identycznie jak w Windows 11.
Ile kosztuje certyfikat do podpisywania plików RDP?
Certyfikat code signing z komercyjnego CA kosztuje 300-1500 zł rocznie w zależności od wystawcy (Sectigo, DigiCert, GlobalSign). W firmie z Active Directory Certificate Services wystawienie certyfikatu z Enterprise CA jest darmowe – infrastruktura PKI już działa. Dla wdrożenia wewnętrznego ten drugi wariant jest standardem.
