Як дозволити доступ RDP на основі сертифіката клієнта

Як я можу обмежити (RDP) доступ до сервера Windows не лише ім'ям користувача / паролем, але і клієнтським сертифікатом?

Уявіть собі, як створити сертифікат і скопіювати його на всі комп’ютери, з яких я хочу мати доступ до сервера.

Це не обмежиться правилами, заснованими на IP, але додасть певної гнучкості з іншого боку, оскільки не кожен комп'ютер / ноутбук знаходиться в певному домені або виправляє ip-діапазон.

Один із способів - це реалізація рішення для смарт-карт. Напевно, не те, що ви шукаєте через поріг витрат і болю, але багато розумних карток насправді саме це (сертифікати на основі апаратних засобів із сильним захистом приватних ключів), а інтеграція віддаленого робочого столу безпроблемна.

Ви можете налаштувати IPSEC з сертифікатами на уражені машини, можливо, спільно з NAP і використовувати брандмауер Windows для фільтрації трафіку RDP, який надходить у незашифрованому вигляді .

Ось детальний посібник для сценарію, який схожий на ваш запит, але використовуючи попередні клавіші замість сертифікатів.

Але майте на увазі, що "створити сертифікат і скопіювати це на всі комп'ютери" сама по собі погана ідея - ви, очевидно, повинні створити один сертифікат на кожного клієнта і відповідно встановити свої правила доступу. Це забезпечує конфіденційність ваших з'єднань, а також можливість відкликати сертифікати, коли вони втрачаються / розкриваються, не порушуючи з'єднання інших машин.

Редагувати: щось, що може виглядати заманливо - це налаштування шлюзу віддаленого робочого столу (в основному шлюз тунелю HTTPS для RDP) і вимагає автентифікації клієнтських сертифікатів після встановлення з'єднання SSL через властивості IIS (Шлюз реалізований як програма ASP.NET в IIS) . Однак, схоже, це не підтримується клієнтом віддаленого робочого столу - немає можливості надати клієнтський сертифікат для проксі-з'єднання.