Windows : comment signer les fichiers .rdp avec rdpsign ?

16 avril 2026
Windows Server

Windows : comment signer les fichiers .rdp avec rdpsign ?

Si vous avez installé les mises à jour d’avril 2026 sur Windows, vous avez sûrement eu une mauvaise surprise en lançant une connexion Bureau à distance depuis un fichier : un nouvel avertissement de sécurité perturbant pour les utilisateurs. Comment renforcer la sécurité des fichiers .rdp pour être en conformité avec les recommandations de Microsoft ? Réponse dans ce tutoriel.

Pour en savoir plus sur cette nouvelle problématique (et expérience utilisateur) rencontrée par les utilisateurs et les administrateurs, consultez cet article :

Signer les fichiers .rdp sur Windows : comment ça marche ?

Pour signer les fichiers .rdp que vous utilisez sur vos postes de travail, vous devez disposer d’un certificat de signature de code. Dans cet exemple, nous verrons comment l’obtenir à partir d’une autorité de certification AD CS. Le fichier .rdp en lui-même doit ensuite être signé à l’aide de ce certificat et de l’outil , disponible par défaut sur Windows.

Création du modèle de certificat de signature

Pour signer les fichiers RDP, nous avons besoin d’un certificat capable de faire de la “Signature de code”. Nous allons créer un modèle personnalisé sur notre Autorité de certification (CA).

Connectez-vous sur votre serveur AD CS et ouvrez la console “Modèles de certificats” (). Vous pouvez aussi passer par la console principale AD CS.

Faites un clic droit sur le modèle “Signature du code” et choisissez “Dupliquer le modèle“. Dans l’onglet “Général“, nommez-le explicitement. Pour ma part, j’ai retenu ce nom : “Accès RDP – Signature fichier RDP“.

Allez dans l’onglet “Nom du sujet” et sélectionnez l’option “Fournir dans la requête“.

Attention : cette option permet de choisir le nom (CN) affiché sur le certificat, car sinon ce sera le nom de l’utilisateur à l’origine de la demande. Pour éviter toute usurpation d’identité, allez impérativement dans l’onglet “Sécurité” de ce modèle, décochez le droit d’inscription au groupe “Utilisateurs authentifiés“, et accordez ce droit uniquement à un groupe restreint (vous pouvez cibler un groupe d’admins IT dédié). L’objectif étant d’éviter que n’importe qui puisse faire une demande pour obtenir un certificat de ce type !

Validez avec OK.

Note : ici nous n’autorisons pas l’export de la clé privée des certificats qui seront obtenus via ce modèle. Cela peut être une contrainte si vous souhaitez que plusieurs personnes partagent le même certificat pour signer des fichiers RDP.

Ouvrez la console Autorité de certification (), allez dans “Modèles de certificats“, faites un clic droit dans la zone : Nouveau > Modèle de certificat à délivrer et sélectionnez votre modèle fraîchement créé !

    Demande du certificat pour signer les .rdp

    Maintenant que le modèle est prêt, nous allons générer notre certificat de signature depuis notre poste d’administration.

    Sur votre poste de travail, ouvrez le magasin de certificats dans le contexte de l’utilisateur via une console MMC ou directement .

    Déroulez : Personnel > Certificats. Ensuite, effectuez un clic droit : Toutes les tâches > Demander un nouveau certificat. Un assistant va se lancer. Vous devez rechercher les modèles disponibles dans les stratégies d’inscription Active Directory.

    Votre modèle doit apparaître dans la liste. Sous son nom, il y a un avertissement avec un lien bleu (“L’inscription pour obtenir ce certificat nécessite des informations supplémentaires.”). Cliquez dessus.

    Dans l’onglet “Sujet“, ajoutez un Nom Commun (CN). C’est ce nom qui apparaîtra comme “Éditeur” du fichier quand la connexion Bureau à distance sera lancée. Ici, j’ai pris la décision de mettre le nom du serveur cible (par exemple : ). Vous pouvez mettre autre chose, cela dépend comment vous souhaitez organiser vos signatures (une signature par serveur, une globale, etc.). Sur de petits environnements, les fichiers RDP pointent généralement vers un nombre d’hôtes réduits.

    Validez et inscrivez le certificat.

      Il est désormais disponible dans le magasin des certificats de votre utilisateur !

      Récupérer l’empreinte (thumbprint)

      Pour signer le fichier RDP, l’outil en ligne de commande aura besoin de l’empreinte de ce certificat. Toujours sur la même machine (celle qui a le certificat), ouvrez une invite PowerShell et lancez ceci :

      

      Repérez la valeur de  de votre nouveau certificat dans la liste et copiez cette valeur.
      

      Signer le fichier .rdp avec rdpsign.exe
      

      Préparez votre fichier  (avec tous vos paramètres : redirection d’écrans, de presse-papiers, etc.). Attention, la signature verrouille certaines propriétés, notamment les redirections. Quand il est prêt, enregistrez-le sous le nom de votre choix.
      

      Toujours dans la console, utilisez l’outil natif  pour signer le raccourci RDP :
      

      

      Si la commande réussit, l’outil retourne le message suivant : “Tous les fichiers rdp ont été signés”. 
      

      Ce qui donne :
      

      

      Vous pouvez d’ailleurs ouvrir votre fichier  avec le Bloc-notes pour y voir les lignes de signature cryptographique ajoutées à la fin. Par curiosité, voici un exemple :
      

      

      Tester la connectivité (et la sécurité)
      

      Récupérez le fichier .rdp signé et positionnez-le sur un poste de travail. On va vérifier si notre configuration est opérationnelle.
      

      Lancez la connexion, vous devriez obtenir un résultat similaire à celui présenté sur l’image ci-dessous. L’éditeur sera spécifié (récupéré depuis la signature). Surtout, sur un fichier RDP signé, une nouvelle option est indiquée : “Mémoriser mes choix pour les connexions à distance à partir de cet éditeur“. Donc, si vous cochez la redirection du “Presse-papiers” et que vous relancez la connexion plus tard, ce choix sera mémorisé (ce qui n’était pas le cas avant).
      

      

      Il est important de savoir qu’en l’état actuel, cette fenêtre s’affichera à chaque connexion à ce serveur via ce raccourci RDP ! Comment faire pour l’éliminer ?
      

      Peaufiner la configuration avec une GPO
      

      Pour éliminer cet avertissement, une stratégie de groupe (GPO) doit être configurée et appliquée sur les postes de travail. Vous devez indiquer l’empreinte de votre certificat ( pour ma part) en tant que valeur de ce paramètre de GPO :
      

        

      • Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Services Bureau à distance > Client Connexion Bureau à distance > Spécifier les empreintes numériques SHA1 des certificats représentant des éditeurs .rdp approuvés
        • 

      

      Vous pouvez indiquer plusieurs valeurs séparées par des virgules.
      

      

      Appliquez la stratégie de groupe sur vos machines, redémarrez, et désormais l’avertissement RDP ne s’affichera plus ! Ce paramètre de GPO n’est pas nouveau, mais avec ce changement opéré par Microsoft, il sera surement plus utilisé qu’avant…
      

      Pour aller encore plus loin, au même endroit, vous pouvez désactiver le paramètre nommé “Autoriser les fichiers .rdp issus d’éditeurs inconnus” afin de bloquer les fichiers potentiellement malveillants. Mais cette configuration additionnelle doit être effectuée à la fin, une fois que tous vos fichiers RDP sont signés.
      

      

      

      Conclusion
      

      En combinant un certificat TLS valide côté serveur et une signature cryptographique côté fichier , vous renforcez la sécurité de vos connexions Bureau à distance ! En plus, vous en finissez avec les clics compulsifs pour ignorer les avertissements ! Pour ce premier point non couvert par ce tutoriel, je vous encourage à consulter celui-ci :
      


      

      SOURCE