Compare commits
9 Commits
efaceaa528
..
main
| Author | SHA1 | Date | |
|---|---|---|---|
| 69e9e81df8 | |||
| f90a12f7f1 | |||
| 81870bcdcf | |||
| 2225abed9d | |||
| 8e6dffa229 | |||
| 9534e8f7d2 | |||
| ab2bb0735b | |||
| cbdfafef24 | |||
| a22732d38f |
+6
-4
@@ -153,7 +153,8 @@
|
||||
<h2 id="hvad-install.ps1-gør">Hvad Install.ps1 gør</h2>
|
||||
<ol type="1">
|
||||
<li>Finder målskrivebord(e) — offentligt skrivebord som standard, alle
|
||||
brugeres skriveborde med <code>-AllUsers</code></li>
|
||||
brugeres skriveborde med <code>-AllUsers</code>. Med <code>-AllUsers</code>
|
||||
søges 2 mapper ned så OneDrive-omdirigeret Desktop også fanges</li>
|
||||
<li>Kopierer alle <code>.rdp</code>-filer fra <code>.\rdp-files\</code>
|
||||
til de fundne skrivebord(e)</li>
|
||||
<li>Søger efter eksisterende selvsigneret certifikat
|
||||
@@ -180,9 +181,10 @@
|
||||
standard — uden <code>-AllUsers</code> — køres alle scripts kun mod det
|
||||
<strong>offentlige skrivebord</strong>
|
||||
(<code>C:\Users\Public\Desktop</code>). Når <code>-AllUsers</code>
|
||||
angives, itererer scriptet i stedet over alle brugerprofiler under
|
||||
<code>C:\Users\</code> og behandler hver brugers
|
||||
<code>Desktop</code>-mappe.
|
||||
angives, søger scriptet i stedet på tværs af alle brugerprofiler under
|
||||
<code>C:\Users\</code> (ekskl. <code>Public</code>/<code>Default</code>).
|
||||
Der søges 2 mapper ned (<code>-Depth 2</code>) for at fange både standard
|
||||
<code>Desktop</code> og OneDrive-omdirigeret <code>Desktop</code>.
|
||||
</p>
|
||||
<div class="sourceCode" id="cb2">
|
||||
<pre
|
||||
|
||||
@@ -1,214 +1,214 @@
|
||||
# RDP - IntuneWin Pakke
|
||||
|
||||
> Denne pakke installerer og signerer RDP-genveje på skrivebordet via et selvsigneret certifikat, så brugerne ikke får en sikkerhedsadvarsel ved åbning.
|
||||
> Som standard arbejder alle scripts mod det **offentlige skrivebord** (`C:\Users\Public\Desktop`).
|
||||
> Brug `-AllUsers` switchen for at køre mod alle brugeres individuelle skriveborde i stedet.
|
||||
|
||||
---
|
||||
|
||||
## Indhold
|
||||
|
||||
- [Pakkens indhold](#pakkens-indhold)
|
||||
- [Intune App Konfiguration](#intune-app-konfiguration)
|
||||
- [Hvad Install.ps1 gør](#hvad-installps1-gør)
|
||||
- [Sådan opsætter du Detect.ps1](#sådan-opsætter-du-detectps1)
|
||||
- [AllUsers Switch](#allusers-switch)
|
||||
- [Registry-ændringer](#registry-ændringer)
|
||||
- [Logning og fejlfinding](#logning-og-fejlfinding)
|
||||
- [SignOnly Intune App Konfiguration](#signonly-intune-app-konfiguration)
|
||||
- [Øvrige scripts i pakken](#øvrige-scripts-i-pakken)
|
||||
|
||||
---
|
||||
|
||||
## Pakkens indhold
|
||||
|
||||
| Fil | Formål |
|
||||
|-----|--------|
|
||||
| `Install.ps1` | Kopierer RDP-filer til skrivebord(e), opretter selvsigneret certifikat og signerer alle RDP-filer. Understøtter `-AllUsers` switch. |
|
||||
| `Detect.ps1` | Tjekker at specifikke forventede .rdp-filer (defineret i `$expectedFiles` array) eksisterer på skrivebord(e). Understøtter `-AllUsers` switch. |
|
||||
| `Uninstall.ps1` | Fjerner RDP-filer fra skrivebord(e). Understøtter `-AllUsers` switch. |
|
||||
| `SignOnly.ps1` | Signerer eksisterende RDP-filer på skrivebord(e) — ingen filkopiering. Understøtter `-AllUsers` switch. |
|
||||
| `SignOnly_detect.ps1` | Registrerer om certifikat er til stede og alle RDP-filer på skrivebord(e) er signerede. Understøtter `-AllUsers` switch. |
|
||||
| `Clearsigning.ps1` | Fjerner signaturer fra RDP-filer og rydder op i certifikat og registry (til oprydning/debug). Understøtter `-AllUsers` switch. |
|
||||
| `sandbox.ps1` | Kombineret install + detect script til lokal sandkasse-test. Understøtter `-AllUsers` switch. |
|
||||
| `rdp-files\*.rdp` | Kilde-RDP-filer der installeres på skrivebord(e) |
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Sådan opsætter du Detect.ps1
|
||||
|
||||
Før du uploader `Detect.ps1` til Intune som registreringsregel, skal du åbne filen og udfylde `$expectedFiles` array med de `.rdp` filnavne der ligger i `.\\rdp-files\\`:
|
||||
|
||||
```powershell
|
||||
$expectedFiles = @(
|
||||
"Server1.rdp",
|
||||
"Server2.rdp",
|
||||
"DesktopApp.rdp"
|
||||
)
|
||||
```
|
||||
|
||||
Når scriptet kører:
|
||||
- Uden `-AllUsers`: tjekker at alle filer i `$expectedFiles` findes på det offentlige skrivebord (`C:\Users\Public\Desktop`)
|
||||
- Med `-AllUsers`: tjekker alle filer i `$expectedFiles` på tværs af alle brugeres skriveborde
|
||||
- Returnerer `exit 0` = installeret (alle filer fundet)
|
||||
- Returnerer `exit 1` = ikke installeret (en eller flere filer mangler)
|
||||
|
||||
> **Vigtigt:** Husk at opdatere `$expectedFiles` hver gang du tilføjer eller fjerner `.rdp` filer i pakken, ellers vil detekteringen være forkert.
|
||||
|
||||
---
|
||||
|
||||
## Intune App Konfiguration
|
||||
|
||||
### Program
|
||||
- **Installationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1`
|
||||
- **Installationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers`
|
||||
- **Afinstallationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1`
|
||||
- **Afinstallationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1 -AllUsers`
|
||||
- **Installationsadfærd:** System
|
||||
|
||||
### Registreringsregel
|
||||
Brug et brugerdefineret registreringsscript:
|
||||
- **Scriptfil:** `Detect.ps1`
|
||||
- **Kør script som 32-bit proces på 64-bit klienter:** Nej
|
||||
- **Gennemtving scriptsignaturkontrol:** Nej
|
||||
|
||||
Registreringslogik:
|
||||
- Uden `-AllUsers`: tjekker at alle `.rdp`-filer er til stede på det offentlige skrivebord (`C:\Users\Public\Desktop`)
|
||||
- Med `-AllUsers`: tjekker alle brugeres skriveborde under `C:\Users\`
|
||||
- Returnerer `exit 0` = installeret
|
||||
- Returnerer `exit 1` = ikke installeret
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Hvad Install.ps1 gør
|
||||
|
||||
1. Finder målskrivebord(e) — offentligt skrivebord som standard, alle brugeres skriveborde med `-AllUsers`
|
||||
2. Kopierer alle `.rdp`-filer fra `.\rdp-files\` til de fundne skrivebord(e)
|
||||
3. Søger efter eksisterende selvsigneret certifikat (`CN=RDPSign`) i `Cert:\LocalMachine\My`
|
||||
4. Opretter et nyt selvsigneret kodesigneringscertifikat hvis intet findes (gyldigt i 25 år, ikke-eksporterbart)
|
||||
5. Tilføjer certifikatet til `Trusted Root` og `Trusted Publishers` i den lokale maskines certifikatstore
|
||||
6. Tilføjer certifikatets thumbprint til registry-nøglen `TrustedCertThumbprints`
|
||||
7. Signerer alle `.rdp`-filer på skrivebord(e) med `rdpsign.exe /sha256`
|
||||
8. Sætter `RedirectionWarningDialogVersion = 1` i registry for at undertrykke RDP-advarselsdialoger
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## AllUsers Switch
|
||||
|
||||
Alle scripts understøtter `-AllUsers` switchen. Som standard — uden `-AllUsers` — køres alle scripts kun mod det **offentlige skrivebord** (`C:\Users\Public\Desktop`). Når `-AllUsers` angives, itererer scriptet i stedet over alle brugerprofiler under `C:\Users\` og behandler hver brugers `Desktop`-mappe.
|
||||
|
||||
```powershell
|
||||
# Kun offentligt skrivebord (standard)
|
||||
.\Install.ps1
|
||||
|
||||
# Alle brugeres skriveborde
|
||||
.\Install.ps1 -AllUsers
|
||||
```
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Registry-ændringer
|
||||
|
||||
| Sti | Værdi | Type | Data |
|
||||
|-----|-------|------|------|
|
||||
| `HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services` | `TrustedCertThumbprints` | String | Certifikatets thumbprint |
|
||||
| `HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client` | `RedirectionWarningDialogVersion` | DWORD | `1` |
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Logning og fejlfinding
|
||||
|
||||
| Script | Logfil |
|
||||
|--------|--------|
|
||||
| `Install.ps1` | `C:\Intune\DesktopShortcuts.log` |
|
||||
| `Detect.ps1` | `C:\Intune\DesktopShortcuts.log` |
|
||||
| `Uninstall.ps1` | `C:\Intune\DesktopShortcuts.log` |
|
||||
| `SignOnly.ps1` | `C:\Intune\RDPSign.log` |
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## SignOnly Intune App Konfiguration
|
||||
|
||||
### Program
|
||||
- **Installationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1`
|
||||
- **Installationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers`
|
||||
- **Afinstallationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1`
|
||||
- **Afinstallationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsers`
|
||||
- **Installationsadfærd:** System
|
||||
|
||||
### Registreringsregel
|
||||
Brug et brugerdefineret registreringsscript:
|
||||
- **Scriptfil:** `SignOnly_detect.ps1`
|
||||
- **Kør script som 32-bit proces på 64-bit klienter:** Nej
|
||||
- **Gennemtving scriptsignaturkontrol:** Nej
|
||||
|
||||
Registreringslogik:
|
||||
- Tjekker at `CN=RDPSign`-certifikatet findes i `My`, `Root` og `TrustedPublisher` stores
|
||||
- Tjekker at thumbprint er til stede i registry
|
||||
- Uden `-AllUsers`: tjekker at alle `.rdp`-filer på det offentlige skrivebord er signerede
|
||||
- Med `-AllUsers`: tjekker alle `.rdp`-filer på tværs af alle brugeres skriveborde
|
||||
- Returnerer `exit 0` + `"Detected"` = installeret
|
||||
- Returnerer `exit 1` = ikke installeret
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Øvrige scripts i pakken
|
||||
|
||||
> **Bemærk:** Alle PowerShell-scripts er pakket ind i samme IntuneWin-pakke. Det betyder at man altid kan kalde på et vilkårligt script direkte fra Intune eller manuelt, f.eks.:
|
||||
>
|
||||
> ```powershell
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsers
|
||||
> ```
|
||||
> osv. for alle scripts i pakken.
|
||||
|
||||
### `SignOnly.ps1`
|
||||
Signerer alle eksisterende `.rdp`-filer på skrivebord(e) uden at kopiere filer. Nyttigt til gensignering efter en opdatering eller hvis filer allerede er installeret. Kør som administrator. Understøtter `-AllUsers` switch.
|
||||
|
||||
### `SignOnly_detect.ps1`
|
||||
Registreringsscript til brug med `SignOnly.ps1` som Intune-pakke. Tjekker:
|
||||
- Certifikat findes i `My`, `Root` og `TrustedPublisher` stores
|
||||
- Thumbprint er til stede i registry
|
||||
- Alle `.rdp`-filer på skrivebord(e) indeholder en gyldig signatur
|
||||
|
||||
Understøtter `-AllUsers` switch.
|
||||
|
||||
### `Clearsigning.ps1`
|
||||
Fjerner alle signeringsartefakter. Nyttigt til test eller oprydning. Kør som administrator. Understøtter `-AllUsers` switch.
|
||||
- Fjerner `signscope`- og `signature`-linjer fra alle `.rdp`-filer på skrivebord(e)
|
||||
- Fjerner `CN=RDPSign`-certifikatet fra `My`, `Root` og `TrustedPublisher` stores
|
||||
- Fjerner `TrustedCertThumbprints` fra registry
|
||||
- Fjerner `RedirectionWarningDialogVersion` fra registry
|
||||
|
||||
### `sandbox.ps1`
|
||||
Kombinerer install og detect i ét script til lokal sandkasse-test. Understøtter `-AllUsers` switch.
|
||||
Kør fra mappen der indeholder `rdp-files\` som administrator.
|
||||
Output skrives til både konsollen og `C:\Intune\DesktopShortcuts.log`.
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
# RDP - IntuneWin Pakke
|
||||
|
||||
> Denne pakke installerer og signerer RDP-genveje på skrivebordet via et selvsigneret certifikat, så brugerne ikke får en sikkerhedsadvarsel ved åbning.
|
||||
> Som standard arbejder alle scripts mod det **offentlige skrivebord** (`C:\Users\Public\Desktop`).
|
||||
> Brug `-AllUsers` switchen for at køre mod alle brugeres individuelle skriveborde i stedet.
|
||||
|
||||
---
|
||||
|
||||
## Indhold
|
||||
|
||||
- [Pakkens indhold](#pakkens-indhold)
|
||||
- [Intune App Konfiguration](#intune-app-konfiguration)
|
||||
- [Hvad Install.ps1 gør](#hvad-installps1-gør)
|
||||
- [Sådan opsætter du Detect.ps1](#sådan-opsætter-du-detectps1)
|
||||
- [AllUsers Switch](#allusers-switch)
|
||||
- [Registry-ændringer](#registry-ændringer)
|
||||
- [Logning og fejlfinding](#logning-og-fejlfinding)
|
||||
- [SignOnly Intune App Konfiguration](#signonly-intune-app-konfiguration)
|
||||
- [Øvrige scripts i pakken](#øvrige-scripts-i-pakken)
|
||||
|
||||
---
|
||||
|
||||
## Pakkens indhold
|
||||
|
||||
| Fil | Formål |
|
||||
|-----|--------|
|
||||
| `Install.ps1` | Kopierer RDP-filer til skrivebord(e), opretter selvsigneret certifikat og signerer alle RDP-filer. Understøtter `-AllUsers` switch. |
|
||||
| `Detect.ps1` | Tjekker at specifikke forventede .rdp-filer (defineret i `$expectedFiles` array) eksisterer på skrivebord(e). Understøtter `-AllUsers` switch. |
|
||||
| `Uninstall.ps1` | Fjerner RDP-filer fra skrivebord(e). Understøtter `-AllUsers` switch. |
|
||||
| `SignOnly.ps1` | Signerer eksisterende RDP-filer på skrivebord(e) — ingen filkopiering. Understøtter `-AllUsers` switch. |
|
||||
| `SignOnly_detect.ps1` | Registrerer om certifikat er til stede og alle RDP-filer på skrivebord(e) er signerede. Understøtter `-AllUsers` switch. |
|
||||
| `Clearsigning.ps1` | Fjerner signaturer fra RDP-filer og rydder op i certifikat og registry (til oprydning/debug). Understøtter `-AllUsers` switch. |
|
||||
| `sandbox.ps1` | Kombineret install + detect script til lokal sandkasse-test. Understøtter `-AllUsers` switch. |
|
||||
| `rdp-files\*.rdp` | Kilde-RDP-filer der installeres på skrivebord(e) |
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Sådan opsætter du Detect.ps1
|
||||
|
||||
Før du uploader `Detect.ps1` til Intune som registreringsregel, skal du åbne filen og udfylde `$expectedFiles` array med de `.rdp` filnavne der ligger i `.\\rdp-files\\`:
|
||||
|
||||
```powershell
|
||||
$expectedFiles = @(
|
||||
"Server1.rdp",
|
||||
"Server2.rdp",
|
||||
"DesktopApp.rdp"
|
||||
)
|
||||
```
|
||||
|
||||
Når scriptet kører:
|
||||
- Uden `-AllUsers`: tjekker at alle filer i `$expectedFiles` findes på det offentlige skrivebord (`C:\Users\Public\Desktop`)
|
||||
- Med `-AllUsers`: tjekker alle filer i `$expectedFiles` på tværs af alle brugeres skriveborde
|
||||
- Returnerer `exit 0` = installeret (alle filer fundet)
|
||||
- Returnerer `exit 1` = ikke installeret (en eller flere filer mangler)
|
||||
|
||||
> **Vigtigt:** Husk at opdatere `$expectedFiles` hver gang du tilføjer eller fjerner `.rdp` filer i pakken, ellers vil detekteringen være forkert.
|
||||
|
||||
---
|
||||
|
||||
## Intune App Konfiguration
|
||||
|
||||
### Program
|
||||
- **Installationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1`
|
||||
- **Installationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers`
|
||||
- **Afinstallationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1`
|
||||
- **Afinstallationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Uninstall.ps1 -AllUsers`
|
||||
- **Installationsadfærd:** System
|
||||
|
||||
### Registreringsregel
|
||||
Brug et brugerdefineret registreringsscript:
|
||||
- **Scriptfil:** `Detect.ps1`
|
||||
- **Kør script som 32-bit proces på 64-bit klienter:** Nej
|
||||
- **Gennemtving scriptsignaturkontrol:** Nej
|
||||
|
||||
Registreringslogik:
|
||||
- Uden `-AllUsers`: tjekker at alle `.rdp`-filer er til stede på det offentlige skrivebord (`C:\Users\Public\Desktop`)
|
||||
- Med `-AllUsers`: tjekker alle brugeres skriveborde under `C:\Users\`
|
||||
- Returnerer `exit 0` = installeret
|
||||
- Returnerer `exit 1` = ikke installeret
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Hvad Install.ps1 gør
|
||||
|
||||
1. Finder målskrivebord(e) — offentligt skrivebord som standard, alle brugeres skriveborde med `-AllUsers`. Med `-AllUsers` søges 2 mapper ned så OneDrive-omdirigeret Desktop også fanges
|
||||
2. Kopierer alle `.rdp`-filer fra `.\rdp-files\` til de fundne skrivebord(e)
|
||||
3. Søger efter eksisterende selvsigneret certifikat (`CN=RDPSign`) i `Cert:\LocalMachine\My`
|
||||
4. Opretter et nyt selvsigneret kodesigneringscertifikat hvis intet findes (gyldigt i 25 år, ikke-eksporterbart)
|
||||
5. Tilføjer certifikatet til `Trusted Root` og `Trusted Publishers` i den lokale maskines certifikatstore
|
||||
6. Tilføjer certifikatets thumbprint til registry-nøglen `TrustedCertThumbprints`
|
||||
7. Signerer alle `.rdp`-filer på skrivebord(e) med `rdpsign.exe /sha256`
|
||||
8. Sætter `RedirectionWarningDialogVersion = 1` i registry for at undertrykke RDP-advarselsdialoger
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## AllUsers Switch
|
||||
|
||||
Alle scripts understøtter `-AllUsers` switchen. Som standard — uden `-AllUsers` — køres alle scripts kun mod det **offentlige skrivebord** (`C:\Users\Public\Desktop`). Når `-AllUsers` angives, søger scriptet i stedet på tværs af alle brugerprofiler under `C:\Users\` (ekskl. `Public`/`Default`). Der søges 2 mapper ned (`-Depth 2`) for at fange både standard `Desktop` og OneDrive-omdirigeret `Desktop`.
|
||||
|
||||
```powershell
|
||||
# Kun offentligt skrivebord (standard)
|
||||
.\Install.ps1
|
||||
|
||||
# Alle brugeres skriveborde
|
||||
.\Install.ps1 -AllUsers
|
||||
```
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Registry-ændringer
|
||||
|
||||
| Sti | Værdi | Type | Data |
|
||||
|-----|-------|------|------|
|
||||
| `HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services` | `TrustedCertThumbprints` | String | Certifikatets thumbprint |
|
||||
| `HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client` | `RedirectionWarningDialogVersion` | DWORD | `1` |
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Logning og fejlfinding
|
||||
|
||||
| Script | Logfil |
|
||||
|--------|--------|
|
||||
| `Install.ps1` | `C:\Intune\DesktopShortcuts.log` |
|
||||
| `Detect.ps1` | `C:\Intune\DesktopShortcuts.log` |
|
||||
| `Uninstall.ps1` | `C:\Intune\DesktopShortcuts.log` |
|
||||
| `SignOnly.ps1` | `C:\Intune\RDPSign.log` |
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## SignOnly Intune App Konfiguration
|
||||
|
||||
### Program
|
||||
- **Installationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1`
|
||||
- **Installationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers`
|
||||
- **Afinstallationskommando:**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1`
|
||||
- **Afinstallationskommando (alle brugeres skriveborde):**
|
||||
`powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsers`
|
||||
- **Installationsadfærd:** System
|
||||
|
||||
### Registreringsregel
|
||||
Brug et brugerdefineret registreringsscript:
|
||||
- **Scriptfil:** `SignOnly_detect.ps1`
|
||||
- **Kør script som 32-bit proces på 64-bit klienter:** Nej
|
||||
- **Gennemtving scriptsignaturkontrol:** Nej
|
||||
|
||||
Registreringslogik:
|
||||
- Tjekker at `CN=RDPSign`-certifikatet findes i `My`, `Root` og `TrustedPublisher` stores
|
||||
- Tjekker at thumbprint er til stede i registry
|
||||
- Uden `-AllUsers`: tjekker at alle `.rdp`-filer på det offentlige skrivebord er signerede
|
||||
- Med `-AllUsers`: tjekker alle `.rdp`-filer på tværs af alle brugeres skriveborde
|
||||
- Returnerer `exit 0` + `"Detected"` = installeret
|
||||
- Returnerer `exit 1` = ikke installeret
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
---
|
||||
|
||||
## Øvrige scripts i pakken
|
||||
|
||||
> **Bemærk:** Alle PowerShell-scripts er pakket ind i samme IntuneWin-pakke. Det betyder at man altid kan kalde på et vilkårligt script direkte fra Intune eller manuelt, f.eks.:
|
||||
>
|
||||
> ```powershell
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Install.ps1 -AllUsers
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\SignOnly.ps1 -AllUsers
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1
|
||||
> powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File .\Clearsigning.ps1 -AllUsers
|
||||
> ```
|
||||
> osv. for alle scripts i pakken.
|
||||
|
||||
### `SignOnly.ps1`
|
||||
Signerer alle eksisterende `.rdp`-filer på skrivebord(e) uden at kopiere filer. Nyttigt til gensignering efter en opdatering eller hvis filer allerede er installeret. Kør som administrator. Understøtter `-AllUsers` switch.
|
||||
|
||||
### `SignOnly_detect.ps1`
|
||||
Registreringsscript til brug med `SignOnly.ps1` som Intune-pakke. Tjekker:
|
||||
- Certifikat findes i `My`, `Root` og `TrustedPublisher` stores
|
||||
- Thumbprint er til stede i registry
|
||||
- Alle `.rdp`-filer på skrivebord(e) indeholder en gyldig signatur
|
||||
|
||||
Understøtter `-AllUsers` switch.
|
||||
|
||||
### `Clearsigning.ps1`
|
||||
Fjerner alle signeringsartefakter. Nyttigt til test eller oprydning. Kør som administrator. Understøtter `-AllUsers` switch.
|
||||
- Fjerner `signscope`- og `signature`-linjer fra alle `.rdp`-filer på skrivebord(e)
|
||||
- Fjerner `CN=RDPSign`-certifikatet fra `My`, `Root` og `TrustedPublisher` stores
|
||||
- Fjerner `TrustedCertThumbprints` fra registry
|
||||
- Fjerner `RedirectionWarningDialogVersion` fra registry
|
||||
|
||||
### `sandbox.ps1`
|
||||
Kombinerer install og detect i ét script til lokal sandkasse-test. Understøtter `-AllUsers` switch.
|
||||
Kør fra mappen der indeholder `rdp-files\` som administrator.
|
||||
Output skrives til både konsollen og `C:\Intune\DesktopShortcuts.log`.
|
||||
|
||||
[↑ Tilbage til toppen](#rdp---intunewin-pakke)
|
||||
|
||||
@@ -1,10 +1,8 @@
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.1 - Added -AllUsers switch to remove signatures from RDP
|
||||
# files on all user desktops instead of only the public
|
||||
# desktop.
|
||||
# Added Get-DesktopPaths helper function.
|
||||
# v1.0 - Initial version, clears signing on public desktop only.
|
||||
# v1.2 - Get-DesktopPaths: Depth 2 search for OneDrive Desktop
|
||||
# v1.1 - AllUsers switch + Get-DesktopPaths helper
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
@@ -13,15 +11,14 @@ param(
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory | ForEach-Object {
|
||||
$path = Join-Path $_.FullName "Desktop"
|
||||
if (Test-Path $path) { $path }
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory -Exclude "Public","Default" | ForEach-Object {
|
||||
Get-ChildItem $_.FullName -Directory -Filter "Desktop" -Depth 2 -ErrorAction SilentlyContinue |
|
||||
Select-Object -ExpandProperty FullName
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
}
|
||||
}
|
||||
|
||||
$certSubject = "CN=RDPSign"
|
||||
|
||||
# 1. Unsign RDP files
|
||||
|
||||
+7
-15
@@ -1,17 +1,9 @@
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.2 - Checks for specific expected .rdp filenames instead
|
||||
# of just "any .rdp file exists on desktop".
|
||||
# v1.1 - Added -AllUsers switch to check all user desktops
|
||||
# instead of only the public desktop.
|
||||
# Added Get-DesktopPaths helper function.
|
||||
# v1.0 - Initial version, checks public desktop only.
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
[switch]$AllUsers
|
||||
)
|
||||
|
||||
# v1.3 - Get-DesktopPaths: Depth 2 search for OneDrive Desktop
|
||||
# v1.2 - Detect by expected filename list
|
||||
# v1.1 - AllUsers switch + Get-DesktopPaths helper
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
# Update this list whenever .rdp files are added or removed
|
||||
# from the rdp-files\\ folder.
|
||||
@@ -39,9 +31,9 @@ function Write-Log {
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory | ForEach-Object {
|
||||
$path = Join-Path $_.FullName "Desktop"
|
||||
if (Test-Path $path) { $path }
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory -Exclude "Public","Default" | ForEach-Object {
|
||||
Get-ChildItem $_.FullName -Directory -Filter "Desktop" -Depth 2 -ErrorAction SilentlyContinue |
|
||||
Select-Object -ExpandProperty FullName
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
|
||||
+6
-9
@@ -1,9 +1,8 @@
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.1 - Added -AllUsers switch to deploy to all user desktops
|
||||
# instead of only the public desktop.
|
||||
# Added Get-DesktopPaths helper function.
|
||||
# v1.0 - Initial version, deploys to public desktop only.
|
||||
# v1.2 - Get-DesktopPaths: Depth 2 search for OneDrive Desktop
|
||||
# v1.1 - AllUsers switch + Get-DesktopPaths helper
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
@@ -34,16 +33,14 @@ function Write-Log {
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
# Return desktop path for each user profile found
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory | ForEach-Object {
|
||||
$path = Join-Path $_.FullName "Desktop"
|
||||
if (Test-Path $path) { $path }
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory -Exclude "Public","Default" | ForEach-Object {
|
||||
Get-ChildItem $_.FullName -Directory -Filter "Desktop" -Depth 2 -ErrorAction SilentlyContinue |
|
||||
Select-Object -ExpandProperty FullName
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
}
|
||||
}
|
||||
|
||||
try {
|
||||
$desktopPaths = Get-DesktopPaths
|
||||
Write-Log "Running in mode: $(if ($AllUsers) { 'All Users' } else { 'Public Desktop' })"
|
||||
|
||||
+6
-8
@@ -1,9 +1,8 @@
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.1 - Added -AllUsers switch to sign RDP files on all user
|
||||
# desktops instead of only the public desktop.
|
||||
# Added Get-DesktopPaths helper function.
|
||||
# v1.0 - Initial version, signs on public desktop only.
|
||||
# v1.2 - Get-DesktopPaths: Depth 2 search for OneDrive Desktop
|
||||
# v1.1 - AllUsers switch + Get-DesktopPaths helper
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
@@ -34,15 +33,14 @@ function Write-Log {
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory | ForEach-Object {
|
||||
$path = Join-Path $_.FullName "Desktop"
|
||||
if (Test-Path $path) { $path }
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory -Exclude "Public","Default" | ForEach-Object {
|
||||
Get-ChildItem $_.FullName -Directory -Filter "Desktop" -Depth 2 -ErrorAction SilentlyContinue |
|
||||
Select-Object -ExpandProperty FullName
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
}
|
||||
}
|
||||
|
||||
try {
|
||||
$certSubjectName = "RDPSign"
|
||||
$certSubject = "CN=$certSubjectName"
|
||||
|
||||
+89
-37
@@ -1,61 +1,113 @@
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.1 - Added -AllUsers switch to check certificate and signed
|
||||
# RDP files across all user desktops instead of only the
|
||||
# public desktop.
|
||||
# Added Get-DesktopPaths helper function.
|
||||
# v1.0 - Initial version, checks public desktop only.
|
||||
# v1.3 - Added detailed logging for detect failures
|
||||
# v1.2 - Get-DesktopPaths: Depth 2 search for OneDrive Desktop
|
||||
# v1.1 - AllUsers switch + Get-DesktopPaths helper
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
[switch]$AllUsers
|
||||
)
|
||||
|
||||
# Setup logging
|
||||
$baseFolder = Join-Path $env:SystemDrive "Intune"
|
||||
$logFile = Join-Path $baseFolder "RDPSign.log"
|
||||
|
||||
if (-not (Test-Path $baseFolder)) {
|
||||
New-Item -Path $baseFolder -ItemType Directory -Force | Out-Null
|
||||
}
|
||||
|
||||
function Write-Log {
|
||||
param($Message)
|
||||
$logMessage = "$(Get-Date -Format 'dd-MM-yyyy HH:mm'): $Message"
|
||||
Add-Content -Path $logFile -Value $logMessage
|
||||
Write-Host $logMessage
|
||||
}
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory | ForEach-Object {
|
||||
$path = Join-Path $_.FullName "Desktop"
|
||||
if (Test-Path $path) { $path }
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory -Exclude "Public","Default" | ForEach-Object {
|
||||
Get-ChildItem $_.FullName -Directory -Filter "Desktop" -Depth 2 -ErrorAction SilentlyContinue |
|
||||
Select-Object -ExpandProperty FullName
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
}
|
||||
}
|
||||
|
||||
$certSubject = "CN=RDPSign"
|
||||
try {
|
||||
Write-Log "=== SignOnly Detect START ==="
|
||||
Write-Log "Running in mode: $(if ($AllUsers) { 'All Users' } else { 'Public Desktop' })"
|
||||
|
||||
# Check certificate exists in all three stores
|
||||
$certInMy = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -eq $certSubject }
|
||||
$certInRoot = Get-ChildItem Cert:\LocalMachine\Root | Where-Object { $_.Subject -eq $certSubject }
|
||||
$certInPub = Get-ChildItem Cert:\LocalMachine\TrustedPublisher | Where-Object { $_.Subject -eq $certSubject }
|
||||
$certSubject = "CN=RDPSign"
|
||||
|
||||
if (-not $certInMy -or -not $certInRoot -or -not $certInPub) {
|
||||
exit 1
|
||||
}
|
||||
# Check certificate exists in all three stores
|
||||
Write-Log "Checking certificate: $certSubject..."
|
||||
$certInMy = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -eq $certSubject }
|
||||
$certInRoot = Get-ChildItem Cert:\LocalMachine\Root | Where-Object { $_.Subject -eq $certSubject }
|
||||
$certInPub = Get-ChildItem Cert:\LocalMachine\TrustedPublisher | Where-Object { $_.Subject -eq $certSubject }
|
||||
|
||||
# Check registry thumbprint
|
||||
$gpoPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
|
||||
$thumbprintValue = (Get-ItemProperty -Path $gpoPath -Name "TrustedCertThumbprints" -ErrorAction SilentlyContinue).TrustedCertThumbprints
|
||||
if ([string]::IsNullOrWhiteSpace($thumbprintValue)) {
|
||||
exit 1
|
||||
}
|
||||
|
||||
# Check that all RDP files on desktop(s) are signed
|
||||
foreach ($desktopPath in (Get-DesktopPaths)) {
|
||||
$rdpFiles = Get-ChildItem -Path $desktopPath -Filter "*.rdp" -ErrorAction SilentlyContinue
|
||||
|
||||
if ($rdpFiles.Count -eq 0) {
|
||||
$certOk = $true
|
||||
if (-not $certInMy) {
|
||||
Write-Log "FAIL: Certificate not found in LocalMachine\My"
|
||||
$certOk = $false
|
||||
}
|
||||
if (-not $certInRoot) {
|
||||
Write-Log "FAIL: Certificate not found in LocalMachine\Root"
|
||||
$certOk = $false
|
||||
}
|
||||
if (-not $certInPub) {
|
||||
Write-Log "FAIL: Certificate not found in LocalMachine\TrustedPublisher"
|
||||
$certOk = $false
|
||||
}
|
||||
if (-not $certOk) {
|
||||
exit 1
|
||||
}
|
||||
Write-Log "OK: Certificate found in all stores"
|
||||
|
||||
foreach ($file in $rdpFiles) {
|
||||
$content = Get-Content $file.FullName -ErrorAction SilentlyContinue
|
||||
$hasSig = $content | Where-Object { $_ -match "^signature:s:" }
|
||||
if (-not $hasSig) {
|
||||
exit 1
|
||||
}
|
||||
# Check registry thumbprint
|
||||
Write-Log "Checking registry thumbprint..."
|
||||
$gpoPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
|
||||
$thumbprintValue = (Get-ItemProperty -Path $gpoPath -Name "TrustedCertThumbprints" -ErrorAction SilentlyContinue).TrustedCertThumbprints
|
||||
if ([string]::IsNullOrWhiteSpace($thumbprintValue)) {
|
||||
Write-Log "FAIL: TrustedCertThumbprints not found in registry"
|
||||
exit 1
|
||||
}
|
||||
}
|
||||
Write-Log "OK: Thumbprint found in registry"
|
||||
|
||||
Write-Host "Detected"
|
||||
exit 0
|
||||
# Check that all RDP files on desktop(s) are signed
|
||||
Write-Log "Checking RDP file signatures..."
|
||||
$desktopsChecked = 0
|
||||
$filesChecked = 0
|
||||
|
||||
foreach ($desktopPath in (Get-DesktopPaths)) {
|
||||
$rdpFiles = Get-ChildItem -Path $desktopPath -Filter "*.rdp" -ErrorAction SilentlyContinue
|
||||
|
||||
if ($rdpFiles.Count -eq 0) {
|
||||
Write-Log "Skip: No .rdp files on $desktopPath"
|
||||
continue
|
||||
}
|
||||
|
||||
Write-Log "Found $($rdpFiles.Count) file(s) to check on: $desktopPath"
|
||||
|
||||
foreach ($file in $rdpFiles) {
|
||||
$filesChecked++
|
||||
$content = Get-Content $file.FullName -ErrorAction SilentlyContinue
|
||||
$hasSig = $content | Where-Object { $_ -match "^signature:s:" }
|
||||
if (-not $hasSig) {
|
||||
Write-Log "FAIL: $($file.Name) on $desktopPath is not signed"
|
||||
exit 1
|
||||
}
|
||||
}
|
||||
$desktopsChecked++
|
||||
}
|
||||
|
||||
Write-Log "OK: All $filesChecked file(s) across $desktopsChecked desktop(s) are signed"
|
||||
Write-Log "=== SignOnly Detect END - Installed ==="
|
||||
exit 0
|
||||
}
|
||||
catch {
|
||||
Write-Log "Error: $_"
|
||||
exit 1
|
||||
}
|
||||
|
||||
+6
-8
@@ -1,9 +1,8 @@
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.1 - Added -AllUsers switch to remove files from all user
|
||||
# desktops instead of only the public desktop.
|
||||
# Added Get-DesktopPaths helper function.
|
||||
# v1.0 - Initial version, removes from public desktop only.
|
||||
# v1.2 - Get-DesktopPaths: Depth 2 search for OneDrive Desktop
|
||||
# v1.1 - AllUsers switch + Get-DesktopPaths helper
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
@@ -27,15 +26,14 @@ function Write-Log {
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory | ForEach-Object {
|
||||
$path = Join-Path $_.FullName "Desktop"
|
||||
if (Test-Path $path) { $path }
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory -Exclude "Public","Default" | ForEach-Object {
|
||||
Get-ChildItem $_.FullName -Directory -Filter "Desktop" -Depth 2 -ErrorAction SilentlyContinue |
|
||||
Select-Object -ExpandProperty FullName
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
}
|
||||
}
|
||||
|
||||
try {
|
||||
$desktopPaths = Get-DesktopPaths
|
||||
Write-Log "Running in mode: $(if ($AllUsers) { 'All Users' } else { 'Public Desktop' })"
|
||||
|
||||
+3
-43
@@ -2,49 +2,9 @@
|
||||
# INSTALL + DETECT - Sandbox test script
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.1 - Added -AllUsers switch to deploy and detect across all
|
||||
# user desktops instead of only the public desktop.
|
||||
# Added Get-DesktopPaths helper function.
|
||||
# v1.0 - Initial version, public desktop only.
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
[switch]$AllUsers
|
||||
)
|
||||
|
||||
# Setup logging
|
||||
$baseFolder = Join-Path $env:SystemDrive "Intune"
|
||||
$logFile = Join-Path $baseFolder "DesktopShortcuts.log"
|
||||
|
||||
# Check if Sysnative exists (means script is running in 32-bit mode on x64 OS)
|
||||
if (Test-Path "$($env:windir)\Sysnative") {
|
||||
$rdpSignPath = "$($env:windir)\Sysnative\rdpsign.exe"
|
||||
} else {
|
||||
$rdpSignPath = "$($env:windir)\System32\rdpsign.exe"
|
||||
}
|
||||
|
||||
if (-not (Test-Path $baseFolder)) {
|
||||
New-Item -Path $baseFolder -ItemType Directory -Force | Out-Null
|
||||
}
|
||||
|
||||
function Write-Log {
|
||||
param($Message)
|
||||
$logMessage = "$(Get-Date -Format 'dd-MM-yyyy HH:mm'): $Message"
|
||||
Add-Content -Path $logFile -Value $logMessage
|
||||
Write-Host $logMessage
|
||||
}
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory | ForEach-Object {
|
||||
$path = Join-Path $_.FullName "Desktop"
|
||||
if (Test-Path $path) { $path }
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
}
|
||||
}
|
||||
|
||||
# v1.2 - Get-DesktopPaths: Depth 2 search for OneDrive Desktop
|
||||
# v1.1 - AllUsers switch + Get-DesktopPaths helper
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
# INSTALL
|
||||
# ============================================================
|
||||
|
||||
@@ -0,0 +1,234 @@
|
||||
# ============================================================
|
||||
# SIGNONLY + DETECT - Sandbox test script
|
||||
# ============================================================
|
||||
# CHANGELOG
|
||||
# v1.0 - Initial
|
||||
# ============================================================
|
||||
|
||||
param(
|
||||
[switch]$AllUsers
|
||||
)
|
||||
Start-Sleep -Seconds 10
|
||||
# Setup logging
|
||||
$baseFolder = Join-Path $env:SystemDrive "Intune"
|
||||
$logFile = Join-Path $baseFolder "RDPSign.log"
|
||||
|
||||
# Check if Sysnative exists (means script is running in 32-bit mode on x64 OS)
|
||||
if (Test-Path "$($env:windir)\Sysnative") {
|
||||
$rdpSignPath = "$($env:windir)\Sysnative\rdpsign.exe"
|
||||
} else {
|
||||
$rdpSignPath = "$($env:windir)\System32\rdpsign.exe"
|
||||
}
|
||||
|
||||
if (-not (Test-Path $baseFolder)) {
|
||||
New-Item -Path $baseFolder -ItemType Directory -Force | Out-Null
|
||||
}
|
||||
|
||||
function Write-Log {
|
||||
param($Message)
|
||||
$logMessage = "$(Get-Date -Format 'dd-MM-yyyy HH:mm'): $Message"
|
||||
Add-Content -Path $logFile -Value $logMessage
|
||||
Write-Host $logMessage
|
||||
}
|
||||
|
||||
function Get-DesktopPaths {
|
||||
if ($AllUsers) {
|
||||
Get-ChildItem "$env:SystemDrive\Users" -Directory -Exclude "Public","Default" | ForEach-Object {
|
||||
Get-ChildItem $_.FullName -Directory -Filter "Desktop" -Depth 2 -ErrorAction SilentlyContinue |
|
||||
Select-Object -ExpandProperty FullName
|
||||
}
|
||||
} else {
|
||||
[Environment]::GetFolderPath("CommonDesktopDirectory")
|
||||
}
|
||||
}
|
||||
|
||||
# ============================================================
|
||||
# SIGNONLY
|
||||
# ============================================================
|
||||
Write-Log "=== START SIGNONLY ==="
|
||||
Write-Log "Running in mode: $(if ($AllUsers) { 'All Users' } else { 'Public Desktop' })"
|
||||
|
||||
try {
|
||||
$certSubjectName = "RDPSign"
|
||||
$certSubject = "CN=$certSubjectName"
|
||||
|
||||
Write-Log "Searching for existing certificate: $certSubjectName..."
|
||||
$existingCert = Get-ChildItem Cert:\LocalMachine\My |
|
||||
Where-Object { $_.Subject -eq $certSubject } |
|
||||
Select-Object -First 1
|
||||
|
||||
if ($existingCert) {
|
||||
Write-Log "Found existing certificate with Thumbprint: $($existingCert.Thumbprint)"
|
||||
$thumbprint = $existingCert.Thumbprint
|
||||
} else {
|
||||
Write-Log "No existing certificate found. Creating new one..."
|
||||
|
||||
$cert = New-SelfSignedCertificate `
|
||||
-Subject $certSubject `
|
||||
-CertStoreLocation "Cert:\LocalMachine\My" `
|
||||
-Type CodeSigningCert `
|
||||
-KeyExportPolicy NonExportable `
|
||||
-NotAfter (Get-Date).AddYears(25)
|
||||
|
||||
$thumbprint = $cert.Thumbprint
|
||||
|
||||
# Add to Trusted Root
|
||||
$rootStore = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root", "LocalMachine")
|
||||
$rootStore.Open("ReadWrite")
|
||||
$rootStore.Add($cert)
|
||||
$rootStore.Close()
|
||||
|
||||
# Add to Trusted Publishers
|
||||
$pubStore = New-Object System.Security.Cryptography.X509Certificates.X509Store("TrustedPublisher", "LocalMachine")
|
||||
$pubStore.Open("ReadWrite")
|
||||
$pubStore.Add($cert)
|
||||
$pubStore.Close()
|
||||
|
||||
# Add thumbprint to RDP trusted certs in registry
|
||||
$gpoPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
|
||||
$keyName = "TrustedCertThumbprints"
|
||||
|
||||
if (-not (Test-Path $gpoPath)) {
|
||||
New-Item -Path $gpoPath -Force | Out-Null
|
||||
}
|
||||
|
||||
$currentValue = (Get-ItemProperty -Path $gpoPath -Name $keyName -ErrorAction SilentlyContinue).$keyName
|
||||
|
||||
if ($currentValue -notmatch [regex]::Escape($thumbprint)) {
|
||||
$newValue = if ([string]::IsNullOrWhiteSpace($currentValue)) { $thumbprint } else { "$currentValue,$thumbprint" }
|
||||
|
||||
if ($null -eq $currentValue) {
|
||||
New-ItemProperty -Path $gpoPath -Name $keyName -Value $newValue -PropertyType String -Force | Out-Null
|
||||
} else {
|
||||
Set-ItemProperty -Path $gpoPath -Name $keyName -Value $newValue
|
||||
}
|
||||
Write-Log "Updated TrustedCertThumbprints registry value."
|
||||
} else {
|
||||
Write-Log "Thumbprint already exists in registry. Skipping update."
|
||||
}
|
||||
|
||||
Write-Log "Certificate created and trusted successfully."
|
||||
}
|
||||
|
||||
$successCount = 0
|
||||
$failCount = 0
|
||||
|
||||
foreach ($desktopPath in (Get-DesktopPaths)) {
|
||||
$rdpFiles = Get-ChildItem -Path $desktopPath -Filter "*.rdp" -Recurse -ErrorAction SilentlyContinue
|
||||
|
||||
if ($rdpFiles.Count -eq 0) {
|
||||
Write-Log "Skip: No .rdp files on $desktopPath"
|
||||
continue
|
||||
}
|
||||
|
||||
Write-Log "Found $($rdpFiles.Count) file(s) to sign on: $desktopPath"
|
||||
|
||||
foreach ($rdpFile in $rdpFiles) {
|
||||
Write-Log "Signing: $($rdpFile.Name)"
|
||||
& $rdpSignPath /sha256 $thumbprint $rdpFile.FullName
|
||||
|
||||
if ($LASTEXITCODE -eq 0) {
|
||||
Write-Log " [OK] $($rdpFile.Name)"
|
||||
$successCount++
|
||||
} else {
|
||||
Write-Log " [FAILED] $($rdpFile.Name) - rdpsign exit code: $LASTEXITCODE"
|
||||
$failCount++
|
||||
}
|
||||
}
|
||||
}
|
||||
|
||||
# Set registry key to suppress RDP warning dialogs
|
||||
reg add "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /v RedirectionWarningDialogVersion /t REG_DWORD /d 1 /f
|
||||
|
||||
if ($failCount -eq 0) {
|
||||
Write-Log "All $successCount file(s) signed successfully."
|
||||
} else {
|
||||
Write-Log "$successCount file(s) signed successfully, $failCount file(s) failed."
|
||||
}
|
||||
|
||||
} catch {
|
||||
Write-Log "SIGNONLY error: $_"
|
||||
}
|
||||
|
||||
# ============================================================
|
||||
# DETECT
|
||||
# ============================================================
|
||||
Write-Log "=== START DETECT ==="
|
||||
|
||||
try {
|
||||
$certSubject = "CN=RDPSign"
|
||||
|
||||
Write-Log "Checking certificate: $certSubject..."
|
||||
$certInMy = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -eq $certSubject }
|
||||
$certInRoot = Get-ChildItem Cert:\LocalMachine\Root | Where-Object { $_.Subject -eq $certSubject }
|
||||
$certInPub = Get-ChildItem Cert:\LocalMachine\TrustedPublisher | Where-Object { $_.Subject -eq $certSubject }
|
||||
|
||||
$certOk = $true
|
||||
if (-not $certInMy) {
|
||||
Write-Log "FAIL: Certificate not found in LocalMachine\My"
|
||||
$certOk = $false
|
||||
}
|
||||
if (-not $certInRoot) {
|
||||
Write-Log "FAIL: Certificate not found in LocalMachine\Root"
|
||||
$certOk = $false
|
||||
}
|
||||
if (-not $certInPub) {
|
||||
Write-Log "FAIL: Certificate not found in LocalMachine\TrustedPublisher"
|
||||
$certOk = $false
|
||||
}
|
||||
if (-not $certOk) {
|
||||
Write-Log "DETECT [FAIL]: Certificate missing"
|
||||
} else {
|
||||
Write-Log "OK: Certificate found in all stores"
|
||||
}
|
||||
|
||||
# Check registry thumbprint
|
||||
Write-Log "Checking registry thumbprint..."
|
||||
$gpoPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
|
||||
$thumbprintValue = (Get-ItemProperty -Path $gpoPath -Name "TrustedCertThumbprints" -ErrorAction SilentlyContinue).TrustedCertThumbprints
|
||||
if ([string]::IsNullOrWhiteSpace($thumbprintValue)) {
|
||||
Write-Log "FAIL: TrustedCertThumbprints not found in registry"
|
||||
$certOk = $false
|
||||
} else {
|
||||
Write-Log "OK: Thumbprint found in registry"
|
||||
}
|
||||
|
||||
# Check that all RDP files on desktop(s) are signed
|
||||
Write-Log "Checking RDP file signatures..."
|
||||
$desktopsChecked = 0
|
||||
$filesChecked = 0
|
||||
$allSigned = $true
|
||||
|
||||
foreach ($desktopPath in (Get-DesktopPaths)) {
|
||||
$rdpFiles = Get-ChildItem -Path $desktopPath -Filter "*.rdp" -ErrorAction SilentlyContinue
|
||||
|
||||
if ($rdpFiles.Count -eq 0) {
|
||||
Write-Log "Skip: No .rdp files on $desktopPath"
|
||||
continue
|
||||
}
|
||||
|
||||
Write-Log "Found $($rdpFiles.Count) file(s) to check on: $desktopPath"
|
||||
|
||||
foreach ($file in $rdpFiles) {
|
||||
$filesChecked++
|
||||
$content = Get-Content $file.FullName -ErrorAction SilentlyContinue
|
||||
$hasSig = $content | Where-Object { $_ -match "^signature:s:" }
|
||||
if (-not $hasSig) {
|
||||
Write-Log "FAIL: $($file.Name) on $desktopPath is not signed"
|
||||
$allSigned = $false
|
||||
}
|
||||
}
|
||||
$desktopsChecked++
|
||||
}
|
||||
|
||||
if ($allSigned -and $certOk) {
|
||||
Write-Log "DETECT [OK]: $filesChecked file(s) across $desktopsChecked desktop(s) - all signed and configured"
|
||||
exit 0
|
||||
} else {
|
||||
Write-Log "DETECT [FAIL]: Check log for details"
|
||||
exit 1
|
||||
}
|
||||
} catch {
|
||||
Write-Log "Detect error: $_"
|
||||
exit 1
|
||||
}
|
||||
Reference in New Issue
Block a user