Аутентификация с закрытым / открытым ключом для удаленного рабочего стола Windows

18

Существует ли для Windows RDP (протокол удаленного рабочего стола) что-то похожее на SSH (в Linux) аутентификация с открытым / закрытым ключом (вместо того, чтобы оставить обычную аутентификацию по паролю открытой)?

Я нахожу противоречивые ответы на эту тему в Интернете. Я надеюсь, что смогу просто распространять закрытый ключ на клиентские устройства вместо использования сложного пароля при каждом входе в систему (при условии, что я не хочу в конечном итоге полностью отключить аутентификацию по паролю).

Lightning77
источник
2
Отказавшись от включения протокола соединения, который специально предотвращает угадывание пароля, половинки в Редмонде требуют, чтобы удаленная машина была строго не более защищена, чем машина, зараженная их небезопасным вредоносным ПО. Почему я не удивляюсь, когда MSFT терпит неудачу на фронте набора данных?
GT.

Ответы:

4

Удаленный рабочий стол поддерживает клиентские сертификаты X.509 под именем «проверка подлинности смарт-карты». Несмотря на название, он должен работать с локально установленными сертификатами / ключами (т.е. без реальной смарт-карты). Хотя это, однако, требует домена Active Directory, насколько я знаю.

Так что вроде как, но не совсем так, чтобы это было полезно для вас.

user1686
источник
1
Хотели бы вы немного его расширить ... Без шлюза RDP?
g2mk
0

Без домена AD возможность запретить простой доступ по имени пользователя и паролю была бы:

  1. Установка OpenSSH для Windows (из https://github.com/PowerShell/Win32-OpenSSH/releases или в Windows 10 и 2019 это доступная функция),
  2. Использование клиента SSH для входа в систему с ключами,
  3. Отключение аутентификации по паролю через SSH (раскомментируйте и установите для «аутентификации по паролю» значение «нет» в% ProgramData% \ ssh \ sshd_config),
  4. Если вам нужен графический интерфейс, настройте свой SSH-клиент для туннелирования RDP через SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Отключение «обычного» трафика RDP (TCP-порт 3389) по сети (не на локальном брандмауэре Windows!), Чтобы невозможно было использовать вход с паролем.

Там могут быть лучшие варианты за несколько долларов. Например, я слышал о решении Yubico (с аппаратным токеном): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide

Крис
источник
Эта страница 1 Yubico относится к двухфакторному решению, которое начинается с пароля. Я считаю, что вопрос в том, чтобы НЕ использовать пароль. 2. Ничего не говорит о RDP. Вы имели в виду другой продукт Yubico?
МАРТ
Это туннельное решение добавляет требование ssh-ключа поверх обычной аутентификации RDP на основе пароля, верно? Интересно и более безопасно, но я считаю, что вопрос заключается в том, чтобы заменить неудобство пароля закрытым ключом.
МАРТ