Microsoft добавляет новые средства защиты, чтобы уберечь вас от атак с использованием удалённого рабочего стола.

Дядя Влад

Компания Microsoft выпустила одно из самых полезных с практической точки зрения обновлений безопасности за последнее время, и если вы работаете в среде, где файлы удаленного рабочего стола регулярно передаются, на это обновление стоит обратить внимание. Накопительные обновления за апрель 2026 года для Windows 10 и Windows 11 включают в себя набор новых средств защиты, предназначенных для предотвращения использования злоумышленниками файлов RDP в качестве бэкдора для проникновения в вашу систему.

Проблема с файлами RDP

Файлы протокола удаленного рабочего стола (RDP) являются неотъемлемой частью корпоративных сред. Они позволяют администраторам предварительно настраивать подключения к удаленным системам, что звучит достаточно безобидно, пока вы не поймете, что ту же функциональность можно довольно легко использовать в злонамеренных целях. Откройте неправильный файл RDP, и ваше устройство сможет незаметно подключиться к серверу, контролируемому злоумышленником, предоставив доступ к вашим локальным дискам, содержимому буфера обмена и учетным данным аутентификации, даже не подозревая об этом.

Компьютер, электроника, ноутбук
Изображение из фотобанка Adobe

Это не теоретическая угроза. Российская хакерская группа APT29, спонсируемая государством, уже использовала именно этот метод в реальных фишинговых кампаниях, используя поддельные RDP-файлы для незаметного извлечения данных и учетных данных у жертв. Атака эффективна именно потому, что на первый взгляд не выглядит подозрительно. Это всего лишь файл, а файлы чувствуют себя в безопасности.

Если RDP-файл не подписан, Windows отображает предупреждение « Внимание: Неизвестное удаленное подключение » и помечает издателя как неизвестного. Таким образом Microsoft сообщает вам, что нет способа проверить, кто создал файл и для чего он на самом деле предназначен. Даже если файл имеет цифровую подпись, Windows все равно запрашивает подтверждение легитимности издателя перед подключением. Подписание файла не делает его автоматически надежным, и Microsoft разумно не рассматривает это как таковое.

Что изменила компания Microsoft

Новая защита работает в несколько уровней. При первом открытии RDP-файла после установки обновления Windows отобразит одноразовое обучающее сообщение, объясняющее, что на самом деле делают RDP-файлы и какие риски они представляют. Вы подтверждаете это и нажимаете ОК.

Файл, Страница, Текст
Облако V2

С этого момента каждая попытка открыть файл по протоколу RDP будет вызывать диалоговое окно безопасности перед установлением соединения. Это диалоговое окно сообщает, подписан ли файл цифровой подписью проверенного издателя, показывает адрес удаленной системы, к которой вы собираетесь подключиться, и перечисляет все локальные ресурсы, которые файл пытается перенаправить, включая диски, доступ к буферу обмена и подключенные устройства. Важно отметить, что все эти перенаправления по умолчанию отключены, то есть ничего не передается, если вы активно не разрешите это.

Хотя эти средства защиты срабатывают только при прямом открытии RDP-файла, подключения, установленные через сам клиент удаленного рабочего стола Windows, не затрагиваются этим обновлением, поэтому работа с ним остается неизменной. Администраторы, которым необходимо временно отключить эти предупреждения, могут сделать это через ключ реестра, но, учитывая историю злоупотреблений RDP-файлами в реальных атаках, настоятельно рекомендуется оставить средства защиты включенными. Это один из тех случаев, когда неудобство, связанное с дополнительным диалоговым окном, с лихвой компенсируется предоставляемой им пользой для безопасности.