1. Введите в строке поиска в панели задач Certification Authority и откройте локальный Центр сертификации.
2. Откройте контекстное меню папки Шаблоны сертификатов и выберите Управление.

3. Откройте контекстное меню шаблона Computer и выберите Скопировать шаблон.

4. Выберите вкладку Общие и укажите название нового шаблона сертификата в поле Отображаемое имя шаблона и Имя шаблона. Названия должны совпадать.

5. Выберите вкладку Совместимость и укажите минимальную версию клиентов в вашем домене. Чем выше указанная версия Windows, тем более стойкие алгоритмы шифрования будут использоваться.

6. Выберите вкладку Расширения, нажмите Использование ключа → Изменить.

7. Нажмите Создать, чтобы добавить новую политику.
8. Введите в поле Имя название политики Remote Desktop Authentication, а в поле Идентификатор ключа субъекта — номер 1.3.6.1.4.1.311.54.1.2. Нажмите ОК.

9. Выберите в списке политик Remote Desktop Authentication и нажмите ОК.

10. Удалите все политики, кроме Remote Desktop Authentication в блоке Описание Политики применения. Нажмите ОК.
11. Откройте контекстное меню папки Шаблоны сертификатов и выберите Создать → Выдаваемый шаблон сертификата.

12. Выберите созданный шаблон и нажмите ОК.

Убедитесь, что корневой сертификат добавлен в папку Доверенные корневые центры сертификации.

Настройте доменную политику, которая будет автоматически назначать сертификат RDP-компьютерам или серверам по настроенному шаблону:

1. Введите в строке поиска в панели задач gpmc.msc и откройте консоль управления доменными групповыми политиками.
2. Откройте контекстное меню нужного домена или части домена с RDP-машинами, для которых нужно автоматически выдавать TLS-сертификаты. Выберите Создать объект групповой политики в этом домене и связать его.

3. Задайте имя новому объекту групповой политики и нажмите ОК.
4. Откройте контекстное меню созданного объекта и выберите Принудительный, чтобы его активировать.

5. Снова откройте контекстное меню созданного объекта и выберите Изменить.

6. Перейдите в Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Безопасность и откройте политику Шаблон сертификата проверки подлинности сервера.
7. Выберите Enabled и в поле Имя шаблона сертификата укажите имя шаблона Центра сертификации, который вы создали ранее. Нажмите ОК.

8. Откройте политику Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP.
9. Выберите Enabled, в раскрывающемся списке Уровень безопасности выберите SSL (TLS 1.0) и нажмите ОК.

Откройте командную строку на каждой машине и выполните команду:

gpupdate

Если вы увидели сообщение «User Policy update has completed successfully», политики успешно обновлены.

Чтобы использовать созданный сертификат при подключении к удаленной машине, выгрузите его из хранилища сертификатов на локальной машине и загрузите в Kaspersky Security Center по инструкции.

Чтобы проверить, что машины получили новые сертификаты, воспользуйтесь инструкцией.

1. Введите в строке поиска в панели задач certlm.msc и откройте консоль сертификатов компьютера.
2. Перейдите в Личное → Сертификаты и проверьте, что в папке появился сертификат для политики Remote Desktop Authentication, выданный вашим Центром сертификации на основе выбранного шаблона.

Например, так будет выглядеть окно для машины с полным доменным именем remotewin10.ksrw.ru, которой выдан сертификат для политики Remote Desktop Authentication на основе шаблона RDPTemplate3.

Убедитесь, что в папке находится только нужный сертификат. Другие сертификаты мы рекомендуем удалить.