Windows 11 で RDP ファイルを開くときのセキュリティ警告
<本文>
Windows 11 および Windows 10 の最新のセキュリティ更新プログラムにより、保存された *.rdp ファイルを介してリモート コンピューターのデスクトップに接続するときのデフォルトのシステム動作が変更されました。ユーザーが初めて RDP ファイルを開くと、RDP ファイルの目的とその使用に伴う潜在的なリスクを説明する 1 回限りの通知が表示されます。ユーザーがリモート ホストとの接続を確立する前に RDP ファイルを開くたびに、セキュリティ警告が表示され、手動で接続を承認し、リモート デスクトップ セッションにリダイレクトする必要があるローカル リソースを選択するよう求められます。
最新の Microsoft アップデートにより、RDP ファイルに関する警告が追加されました
Windows 11 (KB5083769 または KB5082052 ) および Windows 10 (Windows 10 の拡張セキュリティ更新プログラムの一部として KB5082200 ) の 2026 年 4 月の累積的な更新プログラムをインストールすると、RDP ファイルを開くときに次の保護がデフォルトで適用されます。
- リモート デスクトップ接続が確立される前に、ターゲット システムに関する詳細な警告が表示されます。
- デフォルトでは、ローカル リソースのリモート RDP セッションへのリダイレクトは無効になっており、ユーザーはセッションにリダイレクトするリソースを明示的に選択するように求められます。
フィッシング攻撃のための RDP ファイルの広範な使用。このタイプの攻撃では、攻撃者は被害者に特別な *.rdp ファイルを送信します。被害者がファイルを開くと、攻撃者のリモート デスクトップ サーバーとの接続が確立され、ユーザーのローカル リソースがターミナル セッションにリダイレクトされます。その結果、リモート ホストを制御する攻撃者は、これらのリソース (ローカル ドライブを含む) にアクセスできるようになります。Microsoft は、この技術革新の目的は、Windows のセキュリティを強化することであると述べています。このタイプの攻撃では、攻撃者は被害者に特別なファイルを送信します。被害者がそのファイルを開くと、攻撃者のリモート デスクトップ サーバーとの接続が確立され、ユーザーのローカル リソースがターミナル セッションにリダイレクトされます。その結果、リモート ホストを制御する攻撃者は、これらのリソース (ローカル ドライブを含む) にアクセスできるようになります。ドライブ、クリップボード、スマート カード、リダイレクトされたプリンタ、マイク、PnP デバイスなど)。
RDP ファイルを初めて開くと、次の通知が表示されます。
Opening Remote Desktop ConnectionYou are opening an RDP file which will establish a connection to another computer. Connecting to any remote system can expose your PC and data to security risks. Learn more.
リモート デスクトップ接続を続行するには、ユーザーは明示的にボックスにチェックを入れる必要があります。
I understand and allow RDP files to open on this device for my account.

その後、セキュリティ警告が表示されます。この警告のテキストは、RDP ファイルが署名されているかどうかによって異なります。
RDP ファイルがデジタル署名されていない場合、または Windows がそれを検証できない場合は、警告が表示されます。
Remote Desktop Connection Security warningCaution: Unknown remote connectionThis remote connection could harm the local or remote computer and may be used to steal passwords or files. We could not verify the publisher of this remote connection. Stop now unless you are certain you trust this connection.Publisher: Unknown publisher
ユーザーが引き続き接続したい場合は、RDP セッションで必要なローカル リダイレクトされたリソースを選択し、接続 をクリックする必要があります。

RDP ファイルがデジタル署名されている場合、警告には発行者に関する情報が表示されます。
Verify the publisher of this remote connection.
ただし、ユーザーは接続の正当性を確認し、リモート セッションにリダイレクトするローカル リソースを選択するよう求められます。

保存された RDP ファイルを介して開始された接続にのみ適用されます。 「 mstsc.exe 」クライアントにリモート RDP/RDS ホストの名前を手動で入力する場合、またはコマンド「 mstsc/v:woshubsrv1 」を使用してコマンド プロンプトから実行する場合、セキュリティ警告は表示されません。
これらの新しいセキュリティ制限に注意してください。クライアントにリモート RDP/RDS ホストの名前を手動で入力する場合、またはコマンド プロンプトから次のコマンドを使用してリモート RDP/RDS ホストを実行する場合、セキュリティ警告は表示されません。

したがって、組み込みのリモート デスクトップ接続クライアントは、保存された RDP ファイルに指定されたローカル リソースのリダイレクト設定を無視し、リダイレクトするローカル リソースを選択するよう常にユーザーに要求するようになりました。
RDP ファイルを開くときにリモート デスクトップ接続のセキュリティ警告を無効にする方法
RDP ファイルの新しいセキュリティ対策を一時的に無効にするには (これは安全ではありません!)、管理者は値 1 の RedirectionWarningDialogVersion レジストリ パラメータを作成できます。このレジストリ項目は、以下のコマンドを使用して手動で作成することも、グループ ポリシー経由でクライアントに展開することもできます (「GPO 経由でレジストリ項目を作成および構成する方法」を参照)。
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\ Terminal Services\Client"/v RedirectionWarningDialogVersion/t REG\_DWORD/d "1"/F

最初の RDP セキュリティ警告は、ユーザーに対して次のレジストリ オプションを作成することで無効にできます。
REG ADD "HKEY\_CURRENT\_USER\Software\Microsoft\ターミナルサーバークライアント"/v RdpLaunchConsentAccepted/t REG\_DWORD/d "1"/F
RDPSign.exe を使用して RDP ファイルに署名する方法
信頼できるデジタル署名を使用して必要な RDP ファイルに署名する方が安全です。これには、特殊なコード署名証明書タイプ (「拡張キー使用法、EKU=Code Signing」) を使用する必要があります。このような証明書を CA に要求します。ただし、私の場合は、PowerShell を使用して自己署名証明書を作成します。
New-SelfSignedCertificate-Subject "WOSHUB Cert for Code Signing"-Type CodeSigningCert-CertStoreLocation cert:\LocalMachine\My
証明書のサムプリント値をコピーし、組み込みの RDPSign.exe ツールを使用して RDP ファイルに署名します。
rdpsign.exe/v/sha256 73FD89DCA644FF7A9CE90FDB1B4786B83851F380.\Desktop\my\_rdp\_app.rdp
All rdp file(s) have been succesfully signed.

クライアントがこの証明書を信頼するには、この証明書を信頼されたルート証明書ストアに配置する必要があります。管理者は、「certlm.msc」コンソールを手動で開き、証明書を信頼されたルート証明機関にコピーできます。または、RDP ファイルの署名に使用される証明書を CER ファイルとしてエクスポートし、GPO 経由でクライアント コンピューターに証明書をインストールします。

次に、証明書のサムプリントを GPO オプション「trusted.rdp 発行者を表す証明書の SHA1 サムプリントを指定する」に追加します (コンピューターの構成-> ポリシー-> 管理用テンプレート-> Windows コンポーネント-> リモート デスクトップ サービス-> リモート デスクトップ接続クライアント)。
![]()
新しいグループ ポリシー設定を適用すると、クライアントは警告を表示せずに署名付き RDP ファイルを開きます。
ユーザーが信頼できる RDP ホストに接続するときにローカル デバイスをリダイレクトするためのオプションを選択して保存した場合、これらの保存されたリダイレクトされたデバイス オプションはレジストリを通じてリセットできます。 HKEY\_CURRENT\_USER\SOFTWARE\Microsoft\ Terminal Server Client レジストリ キー (RDP 接続履歴はここに保存されます) を開き、RDP ホストの名前または IP アドレスのエントリを デフォルト セクションと サーバー セクションから手動で削除します。

*️⃣ 出典リンク:
Windows 10 の拡張セキュリティ更新プログラム、、、、、、、クリップボード、リダイレクトされたプリンター、GPO 経由でレジストリ項目を作成および構成する方法、PowerShell を使用した自己署名証明書の作成、信頼されたルート証明書、GPO 経由でクライアント コンピューターに証明書をインストールする、新しいグループ ポリシー設定の適用、RDP 接続履歴、