Автентифікація приватного / відкритого ключа для віддаленого робочого столу Windows

Чи існує що-небудь для Windows RDP (протокол віддаленого робочого столу), схожий на SSH (в Linux) аутентифікацію публічного / приватного ключа (замість того, щоб звичайна автентифікація пароля була відкритою)?

Я знаходжу суперечливі відповіді на цю тему в Інтернеті. Я сподіваюся, що зможу просто поширити приватний ключ на клієнтські пристрої, а не використовувати складний пароль при кожному вході (припустимо, що я не хочу врешті повністю відключити автентифікацію пароля).

Віддалений робочий стіл підтримує клієнтські сертифікати X.509 під назвою "аутентифікація смарт-карт". Незважаючи на назву, вона повинна працювати з локально встановленими certs / ключами (тобто без фактичної смарт-карти). Хоча для цього потрібен домен Active Directory, наскільки я знаю.

Отже, начебто, але насправді не корисним для вас способом.

Без домену AD можливість запобігання простому доступу до імені користувача та пароля була б:

1. Встановлення OpenSSH для Windows (з https://github.com/PowerShell/Win32-OpenSSH/releases або в Windows 10 та 2019 це доступна функція),
2. Використовуючи клієнт SSH для входу за допомогою ключів,
3. Вимкнення автентифікації пароля через SSH (відмініть та встановіть "автентифікацію пароля" на "ні" у% ProgramData% \ ssh \ sshd_config),
4. Якщо вам потрібен графічний інтерфейс, налаштуйте свій клієнт SSH для тунелю RDP через SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. Вимкнення "регулярного" трафіку RDP (TCP-порт 3389) через мережу (не на локальному брандмауері Windows!), Щоб не вдалося ввести пароль.

Можливо, будуть кращі варіанти для кількох $$$. Я чув про рішення Yubico, наприклад (з апаратним маркером): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide