Jak zezwolić na dostęp RDP na podstawie certyfikatu klienta

13

Jak mogę ograniczyć dostęp (RDP) do systemu Windows Server nie tylko za pomocą nazwy użytkownika / hasła, ale także za pomocą certyfikatu klienta?

Wyobraź sobie tworzenie certyfikatu i kopiowanie go na wszystkie komputery, z których chcę mieć dostęp do serwera.

Nie byłoby to tak ograniczone jak reguły oparte na IP, ale zwiększyłoby elastyczność z drugiej strony, ponieważ nie każdy komputer / laptop znajduje się w określonej domenie lub w ustalonym zakresie IP.

kcode
źródło
Czy mówisz o swojej sieci lub publikujesz w Internecie?
Tim Brigham,
byłaby to sieć publiczna.
kcode

Odpowiedzi:

3

Jednym ze sposobów jest wdrożenie rozwiązania karty inteligentnej. Prawdopodobnie nie to, czego szukasz ze względu na próg kosztów i bólu, ale wiele kart inteligentnych jest właśnie takich (certyfikaty sprzętowe z silną ochroną klucza prywatnego), a integracja pulpitu zdalnego jest płynna.

Greg Askew
źródło
3

Możesz skonfigurować IPSEC z certyfikatami na zagrożonych komputerach, być może w połączeniu z NAP i użyć Zapory systemu Windows do filtrowania ruchu RDP, który nadchodzi w postaci niezaszyfrowanej .

Oto przewodnik dotyczący scenariusza podobnego do żądania, ale z użyciem kluczy wstępnych zamiast certyfikatów.

Pamiętaj jednak, że „tworzenie certyfikatu i kopiowanie go na wszystkie komputery” to zły pomysł sam w sobie - oczywiście powinieneś utworzyć jeden certyfikat na klienta i odpowiednio skonfigurować swoje reguły dostępu. Zapewnia to poufność połączeń oraz możliwość unieważnienia certyfikatów, gdy zostaną one utracone / ujawnione bez zerwania połączeń innych urządzeń.

Edycja: coś, co może wyglądać kusząco, polega na skonfigurowaniu bramy usług pulpitu zdalnego (w zasadzie bramy tunelowej HTTPS dla RDP) i wymaga uwierzytelnienia certyfikatu klienta po skonfigurowaniu połączenia SSL za pomocą właściwości IIS (brama jest zaimplementowana jako aplikacja ASP.NET w IIS) . Wydaje się to jednak nieobsługiwane przez klienta usług pulpitu zdalnego - nie ma możliwości zapewnienia certyfikatu klienta dla połączenia proxy.

the-wabbit
źródło
Próbowałem zejść trasą bramy zdalnego pulpitu. Oto kilka pytań, które pokazują, dlaczego nie działa zgodnie z oczekiwaniami.
Tim Brigham,
link do archiwum.org do instrukcji: web.archive.org/web/20130603074903/http://www.caryglobal.com:80/…
mwfearnley 11.01.19