Sommaire

1. Contexte : CVE-2026-26151 et Patch Tuesday avril 2026
2. Les deux types d'avertissements
3. Étape 1 — Vérifier le certificat RDP du serveur
4. Étape 2 — Créer un nouveau certificat adapté
5. Étape 3 — Lier le certificat au rôle RDP
6. Étape 4 — Exporter le certificat public
7. Étape 5 — Préparer et signer les fichiers .rdp
8. Étape 6 — Script de déploiement sur les postes clients
9. Points techniques importants
10. Résumé des échéances

Ce changement de comportement se situe côté client (postes Windows 10/11), et non côté serveur. Tous les serveurs RDS sont concernés quelle que soit leur version (2016, 2019, 2022, 2025), dès lors que les clients ont installé la mise à jour.

Premier avertissement affiché lors de la première ouverture d'un fichier .rdp après la mise à jour d'avril 2026 — Source : IT-Connect

Nouvelle boîte de dialogue de connexion RDP avec un fichier non signé — bannière rouge "Connexion distante inconnue" — Source : IT-Connect

Boîte de dialogue avec fichier .rdp signé — l'éditeur est vérifié et l'option "Mémoriser mes choix" est disponible — Source : IT-Connect

Pour supprimer définitivement l'avertissement : (1) un certificat valide côté serveur, (2) des fichiers .rdp signés numériquement, (3) le certificat importé dans les autorités de confiance des postes clients, et optionnellement (4) la clé de registre pour désactiver la boîte de dialogue.

# Voir le hash du certificat lié au rôle RDP
Get-WmiObject -Class "Win32_TSGeneralSetting" `
    -Namespace root\cimv2\terminalservices | Select-Object SSLCertificateSHA1Hash

# Chercher le certificat dans tous les stores
$hash = (Get-WmiObject -Class "Win32_TSGeneralSetting" `
    -Namespace root\cimv2\terminalservices).SSLCertificateSHA1Hash

Get-ChildItem -Path Cert:\LocalMachine\* -Recurse -ErrorAction SilentlyContinue | Where-Object {
    $_.Thumbprint -eq $hash
} | Select-Object PSPath, Subject, Issuer, NotBefore, NotAfter

Si la connexion se fait par adresse IP mais que le certificat est émis pour un nom DNS, le certificat ne correspondra jamais — l'avertissement sera permanent. Il faut inclure l'IP dans le SAN du certificat ou utiliser le FQDN dans le fichier .rdp.

Créer un certificat avec une durée de 10 ans pour éviter de refaire l'opération et de redéployer sur tous les postes régulièrement.

full address:s:VALEUR_ICI

# Adapter les valeurs DnsName selon votre environnement
$cert = New-SelfSignedCertificate `
    -DnsName "serveur.mondomaine.fr", "NOM_COURT" `
    -CertStoreLocation "Cert:\LocalMachine\My" `
    -NotAfter (Get-Date).AddYears(10) `
    -KeyUsage DigitalSignature, KeyEncipherment `
    -FriendlyName "RDP-SERVEUR-2036"

# Vérifier
$cert | Select-Object Subject, NotBefore, NotAfter, Thumbprint

Le paramètre -IPAddress n'est pas disponible sur Windows Server 2019. Pour inclure une IP dans le SAN, la passer comme valeur dans -DnsName — cela fonctionne avec le client RDP Windows.

$thumbprint = "VOTRE_THUMBPRINT_ICI"

$path = (Get-WmiObject -Class "Win32_TSGeneralSetting" `
    -Namespace root\cimv2\terminalservices `
    -Filter "TerminalName='RDP-tcp'").__path

Set-WmiInstance -Path $path -Argument @{SSLCertificateSHA1Hash=$thumbprint}

# Vérifier
Get-WmiObject -Class "Win32_TSGeneralSetting" `
    -Namespace root\cimv2\terminalservices | Select-Object SSLCertificateSHA1Hash, CertificateName

Il n'est pas nécessaire de redémarrer le service TermService. Le nouveau certificat est pris en compte pour les nouvelles connexions sans interrompre les sessions actives en cours.

# Export clé publique uniquement (sans clé privée)
Export-Certificate `
    -Cert "Cert:\LocalMachine\My\VOTRE_THUMBPRINT_ICI" `
    -FilePath "C:\temp\rdp-cert.cer" -Force

La ligne full address:s: est obligatoire dans le fichier pour que rdpsign.exe fonctionne. Sans elle, le fichier sera considéré comme corrompu après signature. La ligne alternate full address seule ne suffit pas.

full address:s:serveur.mondomaine.fr:3389
screen mode id:i:2
use multimon:i:0
dynamic resolution:i:1
session bpp:i:32
compression:i:1
keyboardhook:i:2
audiocapturemode:i:0
videoplaybackmode:i:1
connection type:i:7
networkautodetect:i:1
bandwidthautodetect:i:1
displayconnectionbar:i:1
autoreconnection enabled:i:1
authentication level:i:0
prompt for credentials:i:0
negotiate security layer:i:1
remoteapplicationmode:i:0
redirectprinters:i:1
redirectclipboard:i:1
redirectcomports:i:0
redirectsmartcards:i:0
redirectposdevices:i:0
audiomode:i:0
alternate shell:s:
shell working directory:s:
gatewayhostname:s:
gatewayusagemethod:i:4
gatewaycredentialssource:i:4
gatewayprofileusagemethod:i:0
promptcredentialonce:i:0
use redirection server name:i:0
rdgiskdcproxy:i:0
kdcproxyname:s:

rdpsign.exe /sha256 VOTRE_THUMBPRINT_ICI "C:\temp\connexion-mono.rdp"
rdpsign.exe /sha256 VOTRE_THUMBPRINT_ICI "C:\temp\connexion-multi.rdp"

REM Vérifier les signatures
rdpsign.exe /verify "C:\temp\connexion-mono.rdp"
rdpsign.exe /verify "C:\temp\connexion-multi.rdp"

Dans un environnement AD, distribuer le certificat via GPO (Configuration ordinateur → Autorités de certification racines de confiance) et la clé de registre via GPO. Les fichiers .rdp signés peuvent être distribués via le dossier de scripts de connexion ou un partage SYSVOL.

@echo off
CLS
net session >nul 2>&1
if %errorLevel% neq 0 (
    copy /Y "%~f0" "%TEMP%\deploy-rdp.bat" >nul 2>&1
    powershell -ExecutionPolicy Bypass -Command "Start-Process '%TEMP%\deploy-rdp.bat' -Verb RunAs"
    exit
)

chcp 65001 >nul
CLS
echo =====================================================================================
echo ATTENTION : Supprimez les ANCIENS fichiers RDP du serveur avant de continuer !
echo             Une fenetre de recherche va s'ouvrir - supprimez les anciens fichiers
echo             puis revenez ici et appuyez sur une touche pour continuer.
echo =====================================================================================
echo.

REM -- Recherche des anciens fichiers RDP (remplacer NOM_SERVEUR par votre terme)
explorer "search-ms:query=NOM_SERVEUR System.FileExtension:rdp&crumb=location:c:\users"

color F4
timeout /t 1 >nul
color 07
timeout /t 1 >nul
color F4
timeout /t 1 >nul
color 07
timeout /t 1 >nul
color F4
echo Supprimez les anciens fichiers RDP dans la fenetre de recherche puis...
pause
color 07

REM -- Autoriser l'acces guest SMB (necessaire depuis Windows 10 1709)
echo Configuration acces reseau...
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v AllowInsecureGuestAuth /t REG_DWORD /d 1 /f

REM -- Import du certificat dans les racines de confiance de l'ordinateur
echo Import du certificat en cours...
powershell.exe -ExecutionPolicy Bypass -Command "Import-Certificate -FilePath '\\SERVEUR\PARTAGE\rdp-cert.cer' -CertStoreLocation Cert:\LocalMachine\Root"
if %errorLevel% neq 0 (
    echo ERREUR : Import du certificat echoue.
    pause
    exit /b 1
)
echo Certificat importe avec succes.

REM -- Desactiver la boite de dialogue CVE-2026-26151 (optionnel)
echo Configuration securite RDP...
reg add "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /v RedirectionWarningDialogVersion /t REG_DWORD /d 1 /f
echo Registre mis a jour.

REM -- Copie des fichiers RDP signes sur le bureau public
echo Copie des fichiers RDP en cours...
copy /Y "\\SERVEUR\PARTAGE\*.rdp" "%PUBLIC%\Desktop\"
if %errorLevel% neq 0 (
    echo ERREUR : Impossible de copier les fichiers RDP.
    pause
    exit /b 1
)
echo Fichiers RDP copies avec succes.

REM -- Recuperer l'utilisateur connecte (et non l'admin UAC)
for /f "tokens=2 delims=\" %%i in ('powershell -NoProfile -Command "(Get-WmiObject Win32_ComputerSystem).UserName"') do set REALUSER=%%i

REM -- Recuperer le nom de l'admin ayant valide l'UAC
powershell -NoProfile -Command "$p = Get-WmiObject Win32_Process -Filter 'name=''cmd.exe'''; $p | ForEach-Object { $_.GetOwner().User } | Select-Object -First 1 | Out-File '%TEMP%\admin.txt' -Encoding ASCII"
set /p ADMIN=<"%TEMP%\admin.txt"

REM -- Recuperer le nom complet de l'utilisateur
for /f "delims=" %%i in ('powershell -NoProfile -Command "(Get-LocalUser -Name '%REALUSER%').FullName"') do set FRIENDLY=%%i
if "%FRIENDLY%"=="" set FRIENDLY=%REALUSER%

REM -- Journalisation centralisee sur le partage
set "LOGLINE=%date%;%time:~0,8%;%COMPUTERNAME%;%REALUSER%;%FRIENDLY%;%ADMIN%"
powershell -NoProfile -Command "Add-Content -Path '\\SERVEUR\PARTAGE\deploy-rdp-log.txt' -Value '%LOGLINE%' -Encoding UTF8"
echo Log enregistre.

REM -- Refermer l'acces guest SMB
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v AllowInsecureGuestAuth /t REG_DWORD /d 0 /f
echo Acces guest SMB referme.

REM -- Nettoyage des fichiers temporaires
del "%TEMP%\deploy-rdp.bat" >nul 2>&1
del "%TEMP%\admin.txt" >nul 2>&1

echo.
echo =====================================================================================
echo  Installation terminee avec succes - Vous pouvez fermer cette fenetre
echo =====================================================================================
pause

HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
Valeur : RedirectionWarningDialogVersion = 1 (DWORD)

Ne pas appliquer cette clé sur des postes exposés à des fichiers .rdp reçus de sources externes (email, téléchargement). Elle supprime la protection mise en place par Microsoft contre CVE-2026-26151.

La procédure décrite dans cet article permet de traiter le problème de manière propre et durable, avec un seul déploiement sur les postes clients valable pour 10 ans. Elle est applicable aussi bien dans les environnements avec Active Directory (via GPO) que sans AD, en adaptant simplement la méthode de distribution.

Sources

• →Microsoft Learn — Understanding security warnings when opening Remote Desktop (RDP) files
• →BleepingComputer — Microsoft adds Windows protections for malicious Remote Desktop files
• →Tenable — Microsoft's April 2026 Patch Tuesday Addresses 163 CVEs
• →Neowin — Microsoft details Windows 11 KB5083769 Remote Desktop changes
• →Help Net Security — Windows is getting stronger RDP file protections to fight phishing attacks
• →Microsoft MSRC — CVE-2026-26151