Здравствуйте. Есть в сети один сервер на windows 2008R2. Домена нет.
Установлена роль сервера удаленных рабочих столов. добавлена служба Шлюза удаленных рабочих столов.
Создан самозаверенный сертификат для шлюза удаленных рабочих столов.
При подключении выводит окно с уведомлением компьютеру не удалось проверить .. и кнопка Просмотреть сертификат (см. рис.) Через нее можна посмотреть сертификат скопировать его и установить.
Как сделать кнопку Просмотр сертификата не активной или запретить удаленно копировать сертификат в файл?

А можно узнать, зачем?

к терминалу подключаются через интернет. как дополнительная защита. Для подключения нужно иметь Сертификат, Лонин, Пароль.

Ну так вы имеете на компе свой, который и проверяет сервер, а зачем скрывать публичный, что это вам даст?

к терминалу подключаются через интернет. как дополнительная защита. »
Сертификат (открытый ключ) сервера - это не "защита". Точнее это защита исключительно канала связи (передаваемой информации) от просмотра третьими лицами. Более того, защищённые протоколы не посылать сертификат (открытый ключ) сервера клиенту не могут в принципе.
Разумеется, вы можете попытаться "сделать кнопку Просмотр сертификата не активной или запретить удаленно копировать сертификат в файл" на компьютерах "своих" пользователей, но ведь чужие пользователи на своих компьютерах этого запрещать не будут :)

Для надёжной защиты сервера от подключений посторонних лиц нужно настраивать авторизацию по сертификату пользователя.
Ну или хотя бы настройте на файрволле ограничения на доступ к RDP только с IP-адресов "своих" пользователей

а если сертификат сервера будет только у тех кому я его выдам в ручном режиме?

Сертификат сервера вы никому не выдадите, т.к. он для сервера...
А вот нужным юзверям выдавайте клиентские, пользовательские сертификаты, которые они и должны проинсталлить на свои компы, чтобы поиметь доступ к серверу.

а если сертификат сервера будет только у тех кому я его выдам в ручном режиме? »
Вы бы для начала почитали, как работает протокол SSL. Хотя бы в википедии (http://ru.wikipedia.org/wiki/SSL)

Протокол рукопожатия (handshake)
SSL клиент и сервер договариваются об установлении связи с помощью процедуры рукопожатия. Во время рукопожатия клиент и сервер договариваются о различных параметрах, которые будут использованы, чтобы обеспечить безопасность соединения.
Рукопожатие начинается тогда, когда клиент подключается к SSL серверу. Запрос безопасного соединения представляет собой список поддерживаемых шифров и хэш-функций.
Из этого списка сервер выбирает самый сильный шифр и хэш-функцию, которую он также поддерживает, и уведомляет клиентов о принятом решении.
Сервер отсылает это решение в виде цифрового сертификата. Сертификат, обычно, содержит имя сервера, доверенный Центр Сертификации, и открытый ключ шифрования сервера. Клиент может связаться с сервером, который выдал сертификат (доверенного центра сертификации, выше) и убедиться, что сертификат является подлинным прежде чем продолжить.
Для того, чтобы сгенерировать ключи сеанса, используется безопасное соединение. Клиент шифрует случайное число с помощью открытого ключа (ОК) сервера и отправляет результат на сервер. Только сервер в состоянии расшифровать его (с его закрытым ключом (ЗК)), и только этот факт делает ключи скрытыми от третьей стороны, так как только сервер и клиент имели доступ к этим данным. Клиент знает открытый ключ и случайное число, а сервер знает закрытый ключ и (после расшифровки сообщения клиента) случайное число. Третья сторона, возможно, знает только открытый ключ, если закрытый ключ не был взломан.
Из случайного числа обе стороны создают ключевые данные для шифрования и расшифровывания.
На этом рукопожатие завершается, и начинается защищенное соединение, которое зашифровывается и расшифровывается с помощью ключевых данных. Если любое из перечисленных выше действий не удается, то рукопожатие SSL не удалось, и соединение не создается.


Прочитали? А теперь попробуйте объяснить себе, как сможет работать такая связь, если сервер не будет автоматически посылать сертификат всем и каждому, кто захочет подключиться. Мне объяснять не надо - я и так знаю, что работать не будет.
Так что остаётся только установить блокировки по IP на файрволле или организовать аутентификацию клиентов на сервере по сертификатам клиентов.

организовать аутентификацию клиентов на сервере по сертификатам клиентов »
думаю будет много благодарных за подсказку как это реализовать на практике.
9 месяцев потрачено на поиски инфы в пустую.

Где-то уже попадалось мнение, что НИКАК (в рамках чисто термин. доступа). Шифрование трафика - предел ее возможностей с точки зрения защищенности.
И каким бы ни был сертификат на стороне сервера (самоподписной или заверенный центром) - ничто не помешает продвинутому юзеру (не ламеру) установить его на клиенте.

ЗЫ. Создал неподалеку свою тему по близким к поднятой в этой теме вопросам - буду рад советам практиков...

С другой стороны - есть ведь еще и NPS, там что-то возможно?

Дальше я пас - работаю через РДП, один неверный шаг - и навеки мимо консоли...
Если есть какие мнения - просьба озвучить.
СПАСИБО!

думаю будет много благодарных за подсказку как это реализовать на практике.
9 месяцев потрачено на поиски инфы в пустую. »

А если покопаться в ВЕБ-доступе - там ведь есть возможность требовать сертификат пользователя на ветке RpcWithCert?

А если покопаться в ВЕБ-доступе - там ведь есть возможность требовать сертификат пользователя на ветке RpcWithCert? »
пожалуйста по подробней

Не копал.
Идея простая - раз браузер, значит лезем в ИИС и смотрим SSL в соответствующей ветке сайта, где идет публикация. А там есть "требовать сертификат пользователя".
Итого - вывести нужное в веб-доступ и потребовать клиентский сертификат.

Если я прав - без него не заработает, если нет - сорри, это пока всего лишь идея, самому пока не требуется...