Avisos de Segurança RDP

|
TSplus Brasil – Correção Pop-ups RDP | Connection Client Beta
TSPLUS BRASIL · WIKI DE SUPORTE

Correção de Pop-ups de Aviso RDP após Atualizações do Windows de Abril — Connection Client Beta

Categoria: Connection Client · TSplus Remote Access · Assinatura Digital RDP
Aplicável a: Connection Client (todas as versões afetadas) · Windows 10, Windows 11, Windows Server 2016 a 2025
Status: Versão Beta — uso e testes internos antes de distribuição a clientes
⚠️ Versão Beta — Teste Internamente Antes de Distribuir Esta correção está em versão beta. Antes de repassar a clientes, realize testes internos completos e confirme que todos os cenários foram resolvidos. Após a validação, o instalador será publicado oficialmente.

Resumo

As atualizações de segurança do Windows distribuídas em abril de 2025 passaram a exibir novos pop-ups de aviso sempre que o usuário inicia arquivos .rdp não assinados digitalmente. Esse comportamento afeta diretamente os arquivos gerados pelo TSplus Connection Client.

Uma correção definitiva foi implementada na versão beta do Connection Client. A solução consiste em assinar criptograficamente os arquivos .rdp gerados, utilizando um certificado confiável instalado localmente. Com isso, o Windows reconhece o arquivo como seguro e suprime os avisos.

Download da Versão Beta

O instalador beta está disponível no link abaixo. Ele incorpora todas as alterações descritas nesta página.

Setup-ConnectionClient.exe — Build SC-30152 Autor: Benjamin Verbeke · Canal de desenvolvimento interno TSplus
⬇️  Baixar Setup-ConnectionClient.exe
⚠️ Requisito de Rede A estação de trabalho deve ter acesso ao host licenseapi.dl-files.com na porta 443 (HTTPS) para que o processo de assinatura e o download do certificado funcionem corretamente. Verifique regras de firewall e proxy antes de instalar.

O que Foi Alterado no Instalador

Esta versão beta introduz três mudanças no comportamento do instalador do Connection Client:

  1. Instalação do certificado de assinatura RDP
    O instalador passa a instalar automaticamente o novo certificado de assinatura TSplus no repositório de Autoridades de Certificação Raiz Confiáveis (Trusted Root CAs) da máquina, tornando-o reconhecido como confiável pelo Windows.
  2. Registro do thumbprint como editor de .rdp confiável
    O thumbprint (impressão digital) do certificado é registrado no sistema como um editor de .rdp confiável. Esta operação exige privilégios de administrador e não pode ser realizada por um usuário padrão.
  3. Assinatura automática dos arquivos .rdp
    Ao iniciar um arquivo .connect ou uma conexão RemoteApp pelo portal web, o Connection Client agora assina digitalmente o arquivo .rdp gerado antes de enviá-lo ao cliente RDP nativo do Windows — eliminando o pop-up de aviso.

Modos de Instalação

O comportamento do instalador varia conforme o modo de instalação escolhido:

Modo Perfil Cert. instalado automaticamente Solicita elevação (UAC) Tela "Configure Now"
Para Todos os Usuários
For All Users		 Administrador ✓ Sim ✗ Não ✗ Não aparece
Apenas para Mim
For You Only		 Usuário Padrão ✗ Não (automático) ⚠ Sim ⚠ Aparece

Sobre a tela "Configure Now"

Quando o Connection Client é instalado no modo For You Only por um usuário padrão (sem privilégios de administrador), uma nova tela de configuração é exibida ao final da instalação com o botão "Configure Now".

Ao clicar, o UAC do Windows será acionado solicitando credenciais de administrador. Essa elevação é obrigatória, pois registrar o thumbprint de um certificado para assinatura de RDP não é possível como usuário comum.

Esta tela não aparece quando o instalador é executado no modo For All Users, pois este modo já inicia com privilégios de administrador — instalando e registrando o certificado automaticamente, sem necessidade de interação adicional.

Requisitos de Rede

O processo de assinatura e o download do certificado dependem de acesso externo ao servidor de licenças TSplus. Certifique-se de que os endpoints abaixo estão liberados:

Finalidade Endpoint Porta
Assinatura remota do arquivo .rdp (primeira execução de cada .connect) licenseapi.dl-files.com 443 (HTTPS)
Download do certificado de assinatura pelo instalador licenseapi.dl-files.com/cert/signer.crt 443 (HTTPS)
🚫 Atenção — Firewall e Proxy Corporativo Se a estação de trabalho não conseguir alcançar licenseapi.dl-files.com na porta 443, o certificado não será baixado e os arquivos .rdp não serão assinados — mantendo os pop-ups de aviso do Windows. Verifique regras de firewall, proxy e inspeção SSL antes de instalar.

Checklist de Teste Interno Antes de Distribuir

Valide todos os pontos abaixo em ambiente interno antes de publicar ou repassar o instalador a qualquer cliente:

  • Instalar no modo For All Users (como administrador) e verificar se o certificado é instalado automaticamente no repositório Trusted Root CAs sem interação adicional.
  • Instalar no modo For You Only (usuário padrão) e confirmar que a tela "Configure Now" aparece, que o UAC é acionado ao clicar no botão e que o certificado é devidamente instalado após a elevação.
  • Após instalação, iniciar uma conexão via arquivo .connect ou pelo portal RemoteApp e confirmar que nenhum pop-up de aviso RDP é exibido pelo Windows.
  • Verificar as propriedades do arquivo .rdp gerado e confirmar que está assinado digitalmente com o certificado TSplus.
  • Confirmar conectividade com licenseapi.dl-files.com:443 no ambiente de teste e que o download de signer.crt é bem-sucedido.
  • Executar os testes em máquinas com as atualizações de abril de 2025 já aplicadas, reproduzindo o cenário real dos ambientes afetados.
  • Verificar no registro do Windows se o thumbprint foi corretamente registrado:
    HKLM\SOFTWARE\Microsoft\Terminal Server Client\TrustedPublishers
✓ Confirmação e Publicação Após todos os itens acima validados sem falhas, comunicar a equipe para publicação oficial do instalador. Somente então o executável poderá ser repassado a clientes.

Perguntas Frequentes

Por que é necessário instalar como Administrador?

O registro do thumbprint do certificado como editor de .rdp confiável escreve chaves no escopo do sistema (HKEY_LOCAL_MACHINE), o que exige privilégios elevados. Usuários padrão não têm permissão para realizar essa operação, por isso o UAC é solicitado.

O que acontece se eu não tiver acesso ao licenseapi.dl-files.com?

Sem acesso ao servidor de licenças na porta 443, duas coisas falham: o download do certificado pelo instalador e o processo de assinatura remota dos arquivos .rdp na primeira execução de cada novo .connect. Nesses casos, os arquivos permanecem não assinados e os pop-ups de aviso continuam sendo exibidos.

Preciso reinstalar em todas as estações dos clientes?

Sim. A correção é aplicada pelo componente Connection Client instalado localmente na estação. Apenas gerar um novo cliente pelo portal não é suficiente — é necessário desinstalar o Connection Client antigo e instalar a nova versão em cada estação afetada.

Quando posso distribuir para os clientes?

Somente após a validação interna completa de todos os itens do checklist e a confirmação da equipe técnica. O instalador provavelmente será publicado em canal oficial após os testes. Não distribua a versão beta diretamente a clientes.

Referências

Em caso de dúvidas sobre a aplicação desta correção em seu ambiente, entre em contato com o suporte TSplus Brasil.

TSplus Brasil · Wiki de Suporte · Correção SC-30152 — Assinatura de Arquivos .rdp · Componente: Connection Client · Status: Beta

REMOTE ACCESS