Die Sicherheit von RemoteApp Programmen kann erhöht werden indem die Echtheit des Servers mit einem Zertifikat bestätigt wird. Dafür habe ich ein Computerzertifikat für den Terminal Server ausgestellt der die RemoteApp Programme hosted. Das ausgestellte Zertifikat muss natürlich gültig sein, d.h. Datum und Namen müssen stimmen und die ausstellende CA (Enterprise CA in meinem Fall) muss vertrauenswürdig sein.
Um RemoteApp Programme mit Zertifikaten zu signieren muss man nicht wie bei den Makros (wie Daniel schreibt) eine Richtlinie für Softwareeinschränkung erstellen, sondern man erstellt ein GPO in dem man den Fingerabdruck des Zertifikates zu den Vertrauenswürdigen RDP-Herausgebern hinzufügt. Die entsprechende Einstellung findet sich als Computer oder Benutzerkonfiguration unter:
Administrative Vorlagen/Windows-Komponenten/Remote Desktop Services/Remotedesktopverbindungs-Client/SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen
So wird die Identität des Remotecomputers verifiziert und beim verbinden erhält der Benutzer keine Abfrage ob er dem Herausgeber auch wirklich vertraut.