2026年4月のセキュリティ更新プログラムによって、リモートデスクトップ接続にセキュリティ強化のための対策が追加されました。それは、RDPファイル(.rdp)を使用したリモートコンピューターやアプリケーションへの接続開始のエクスペリエンスを大きく悪化させるものでした。
4月の更新後、RDPファイルを使用した初めての接続時に...
2026年4月以降の品質更新プログラムをインストール後、初めてRDPファイルを使用したリモートコンピューターへの接続を開始したとき、次のような警告ダイアログボックスが表示されるようになりました(画面1)。
リモートデスクトップ接続を開いています。
別のPCへの接続を確立するRDPファイルを開いています。リモートPCに接続すると、ご使用のPCとデータがセキュリティリスクにさらされる恐れがあります。
□ このデバイスで自分のアカウントでRDPファイルを開くことを理解し、許可します。
このダイアログボックスは、RDPファイルを使用することのリスクを周知するための教育用のダイアログボックスであり、一度「このデバイスで自分のアカウントでRDPファイルを開くことを理解し、許可します。」をチェックすれば、以後、表示されないようになります。
画面1 2026年4月のセキュリティ更新プログラムのインストール後、初めてのRDPファイルの使用で表示される周知目的のダイアログボックス
不明な発行元の警告、ローカルリソースの許可は既定でオフ
次に、これは毎回の表示になるのですが、RDPファイルに改ざん防止のための署名がない、あるいは署名を信頼できない場合に、「リモートデスクトップ接続のセキュリティ警告」ダイアログボックスに「警告: 不明なリモート接続」と表示されます。また、RDPファイルに設定があるなしに関係なく、リモートコンピューターにアクセスを許可する(リモートセッションで使用する)ローカルリソースのチェックボックスが既定ですべてオフの状態で表示されます。例えば、リモートとコピー&ペーストするためのクリップボード共有を使用可能にするには、明示的に「クリップボード」をチェックして接続を開始する必要があります(画面2)。
画面2 RDPファイルの発行元を確認できない場合のセキュリティ警告ダイアログボックス。ローカルリソースの使用は既定ですべてオフになっている
警告対象のRDPファイルは、インターネットからダウンロードしたものであるかどうかに関係ありません。例えば、ローカルに自分で作成し、保存したRDPファイルも対象です(画面3)。せっかく詳細にローカルリソースの共有設定を保存していたとしても、すべてオフの状態から接続することになります。
画面3 ローカルに自分で保存したRDPファイルも警告の対象
署名されていても警告あり、ローカルリソースの許可も既定でオフ
RDPファイルが適切な証明書で署名されている場合(RDPファイルの中に改ざん防止のためのデジタル署名が存在する場合)でも、「リモートデスクトップ接続のセキュリティ警告」ダイアログボックスは表示されます。ただし、今回は「リモートの発行元を確認する」と表示され、「この発行元からのリモート接続に関する接続を記憶する」オプションが利用可能になります(画面4)。既定では、ローカルリソースは既定ですべてオフですが、オン/オフ状態はこのオプションで記憶させることができます。
画面4 署名されたRDPファイルの場合のセキュリティ警告ダイアログボックス。ローカルリソースの使用は既定ですべてオフなのは同じ。記憶は可能
これらの変更は、RDPファイルから接続を開始した場合に適用されます。前述したようにインターネットから取得したRDPファイルだけでなく、企業内で配布したRDPファイルや、個人でローカルディスクに設定を保存したRDPファイルも対象です(画面4)。「リモートデスクトップ接続」アプリ(mstsc.exe)を開いて接続を開始する場合、この新しいセキュリティ警告ダイアログボックスが表示されることはありません。
ちなみに、Windows Serverのリモートデスクトップサービスで展開したリモートデスクトップ(RD)Web経由のセッションコレクションへの接続やRemoteAppプログラムへの接続でも、RD WebからダウンロードできるRDPファイルは適切な証明書で署名済みですが、この新しいセキュリティ警告ダイアログボックスは表示されました。なお、Azure Virtual DesktopやWindows 365 Cloud PCは、Microsoftによる署名がRDPファイルになされており、新しいセキュリティ警告ダイアログボックスは表示されないそうです。
元の挙動に戻すには(非推奨)
新しいセキュリティ警告ダイアログボックスは、RDPファイルを悪用したセキュリティ侵害のリスクを大幅に削減できるでしょう。しかし、リスクを軽減する代わりに、利用者はリモートデスクトップ接続のためにひと手間増えてしまいます。
RDPファイルによる接続を開始するデバイス側で、以下のレジストリ設定を追加すると、以前の挙動に戻すことができますが(画面5)、せっかくのセキュリティ強化の利点を得られなくなってしまうため、お勧めしません。
| キー | HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services\Client |
| 値 | RedirectionWarningDialogVersion |
| 型 | REG_DWORD |
| 値のデータ | 1 |
画面5 レジストリを追加して元の挙動に戻すこともできるが、推奨しない
証明書の拇印を信頼済みリストに追加することで、警告ダイアログボックスをバイパスできた
適切に署名されていても、セキュリティ警告ダイアログボックスが表示されるこの新しい仕様は、企業での利用にあまりにも大きな影響があると思います。Azure Virtual DesktopやWindows 365 Cloud PCでは出ないというのが、ずるいような気がしました。そこで、セキュリティレベルを落とすことなく、新しいセキュリティ警告ダイアログボックスの表示を抑制することはできないか、いろいろと試してみました。
その結果、以下のポリシーを有効にし、拇印のリストにカンマ区切りで信頼したい拇印を登録したところ、新しいセキュリティ警告ダイアログボックスが出現することなく接続できることがわかりました(画面6、画面7)。なお、証明書の拇印は、署名にしようした証明書があればそこから確認できますが、セキュリティ警告ダイアログボックスの発行元のリンク(証明書を表示)から確認することもできます。
| コンピューターの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ接続クライアント\信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する |
画面6 署名の証明書の拇印(ちなみにこの署名はSHA256)を確認し、「信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する」の信頼済みリストに追加する
画面7 新しいセキュリティ警告ダイアログボックスなしで、認証ダイアログボックスに到達した
なお、RDPファイルへの署名は、リモートデスクトップサービスを使用してRDPファイルを発行する以外に、RDPSIGNコマンドを使用して署名する方法があります。
rdpsign|Windows Server(Microsoft Learn)
