Автентифікація приватного / відкритого ключа для віддаленого робочого столу Windows


18

Чи існує що-небудь для Windows RDP (протокол віддаленого робочого столу), схожий на SSH (в Linux) аутентифікацію публічного / приватного ключа (замість того, щоб звичайна автентифікація пароля була відкритою)?

Я знаходжу суперечливі відповіді на цю тему в Інтернеті. Я сподіваюся, що зможу просто поширити приватний ключ на клієнтські пристрої, а не використовувати складний пароль при кожному вході (припустимо, що я не хочу врешті повністю відключити автентифікацію пароля).


2
Відмовляючись від включення протоколу підключення, який спеціально запобігає введенню пароля, напіввитри в Redmond вимагають, щоб віддалений апарат був суворо не безпечнішим, ніж машина, заражена їхньою незахищеною програмою. Чому я не здивований, коли MSFT виходить з ладу на передній панелі данихsec?
GT.

Відповіді:


4

Віддалений робочий стіл підтримує клієнтські сертифікати X.509 під назвою "аутентифікація смарт-карт". Незважаючи на назву, вона повинна працювати з локально встановленими certs / ключами (тобто без фактичної смарт-карти). Хоча для цього потрібен домен Active Directory, наскільки я знаю.

Отже, начебто, але насправді не корисним для вас способом.


1
Хочете трохи розширити ... Це без шлюзу RDP?
g2mk

0

Без домену AD можливість запобігання простому доступу до імені користувача та пароля була б:

  1. Встановлення OpenSSH для Windows (з https://github.com/PowerShell/Win32-OpenSSH/releases або в Windows 10 та 2019 це доступна функція),
  2. Використовуючи клієнт SSH для входу за допомогою ключів,
  3. Вимкнення автентифікації пароля через SSH (відмініть та встановіть "автентифікацію пароля" на "ні" у% ProgramData% \ ssh \ sshd_config),
  4. Якщо вам потрібен графічний інтерфейс, налаштуйте свій клієнт SSH для тунелю RDP через SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Вимкнення "регулярного" трафіку RDP (TCP-порт 3389) через мережу (не на локальному брандмауері Windows!), Щоб не вдалося ввести пароль.

Можливо, будуть кращі варіанти для кількох $$$. Я чув про рішення Yubico, наприклад (з апаратним маркером): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide


Ця сторінка Yubico 1. посилається на два факторні рішення, які починаються з пароля. Я вважаю, що питання стосується НЕ використання пароля. 2. Не говорить нічого про RDP. Чи мали на увазі інший продукт Yubico?
БЕРЕЗЕНЬ

Це рішення для тунелювання, здається, додає вимогу ssh для клавіш поверх звичайної автентифікації RDP на основі пароля, правильно? Цікавіше та безпечніше, але я вважаю, що питання полягає у заміні незручності пароля приватним ключем.
БЕРЕЗЕНЬ
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.