Аутентификация с закрытым / открытым ключом для удаленного рабочего стола Windows

Существует ли для Windows RDP (протокол удаленного рабочего стола) что-то похожее на SSH (в Linux) аутентификация с открытым / закрытым ключом (вместо того, чтобы оставить обычную аутентификацию по паролю открытой)?

Я нахожу противоречивые ответы на эту тему в Интернете. Я надеюсь, что смогу просто распространять закрытый ключ на клиентские устройства вместо использования сложного пароля при каждом входе в систему (при условии, что я не хочу в конечном итоге полностью отключить аутентификацию по паролю).

Удаленный рабочий стол поддерживает клиентские сертификаты X.509 под именем «проверка подлинности смарт-карты». Несмотря на название, он должен работать с локально установленными сертификатами / ключами (т.е. без реальной смарт-карты). Хотя это, однако, требует домена Active Directory, насколько я знаю.

Так что вроде как, но не совсем так, чтобы это было полезно для вас.

Без домена AD возможность запретить простой доступ по имени пользователя и паролю была бы:

1. Установка OpenSSH для Windows (из https://github.com/PowerShell/Win32-OpenSSH/releases или в Windows 10 и 2019 это доступная функция),
2. Использование клиента SSH для входа в систему с ключами,
3. Отключение аутентификации по паролю через SSH (раскомментируйте и установите для «аутентификации по паролю» значение «нет» в% ProgramData% \ ssh \ sshd_config),
4. Если вам нужен графический интерфейс, настройте свой SSH-клиент для туннелирования RDP через SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. Отключение «обычного» трафика RDP (TCP-порт 3389) по сети (не на локальном брандмауэре Windows!), Чтобы невозможно было использовать вход с паролем.

Там могут быть лучшие варианты за несколько долларов. Например, я слышал о решении Yubico (с аппаратным токеном): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide