Pro vzdálenou plochu (remote desktop services, terminal services) byste měli mít SSL/TLS certifikáty. Když je na server, nebo i stanici, nainstalujete, RDP připojení bude moci používat právě tento standardní protokol.
Od Windows 2008 a Windows Vista si služba Remote Desktop Configuration generuje self-signed certifikát sama. Stačí když vzdálenou plochu jen zapnete a ona si ho sama vytvoří. Problém je, že certifikát není důvěryhodný.
Pokud chcete, můžete si vydávat vlastní certifikáty z vlastní certifikační autority (AD CS, active directory certificate services). Certifikát může být buď normální Server Authentication certifikát, nebo můžete použít úplně speciální, jen pro vzdálenou plochu. To je lepší. Nebude se to plést s normálními serverovými certifikáty a přitom to krásně pojede.
Jen do těch certifikátů musíte dát místo použití Server Authentication něco jiného. Do Enhanced Key Usage (EKU) rozšíření a Application Policies dejte použití Remote Desktop Authentication. Musíte si ho ale nadefinovat sami. Zadejte tam OID (object ID) s hodnotou 1.3.6.1.4.1.311.54.1.2.
Udělal bych kopii šablony Computer (certificate template) například. Jen bych vyměnil Server Authentication za to Remote Desktop Authentication (OID 1.3.6.1.4.1.311.54.1.2).
Pak už stačí přes Group Policy přinutit všechny počítače, aby si takový certifikát vyžádali:
Computer Configuration - Policies - Administrative Templates - Windows Components - Remote Desktop Services - Remote Desktop Session Host - Security - Server Authentication Certificate Template
PS: a jen dobrá rada, jméno šablony zadejte bez mezer.