Uwierzytelnianie klucza prywatnego / publicznego dla pulpitu zdalnego systemu Windows

18

Czy istnieje coś takiego dla protokołu RDP (Remote Desktop Protocol) w systemie Windows, który jest podobny do SSH (w systemie Linux) Uwierzytelnianie za pomocą klucza publicznego / prywatnego (zamiast pozostawienia otwartego uwierzytelniania za pomocą hasła)?

W Internecie znajduję sprzeczne odpowiedzi na ten temat. Mam nadzieję, że będę mógł po prostu rozdzielić klucz prywatny na urządzenia klienckie zamiast używać złożonego hasła przy każdym logowaniu (zakładając, że nie chcę ostatecznie całkowicie wyłączać uwierzytelniania hasła).

Błyskawica77
źródło
2
Odmawiając włączenia protokołu połączenia, który w szczególności uniemożliwia odgadnięcie hasła, halfwits w Redmond wymagają, aby maszyna zdalna była ściśle bezpieczniejsza niż maszyna zainfekowana przez niebezpieczne oprogramowanie typu bloatware. Dlaczego nie jestem zaskoczony, gdy MSFT zawiedzie na froncie zestawu danych?
GT.

Odpowiedzi:

4

Pulpit zdalny obsługuje certyfikaty klienta X.509 pod nazwą „uwierzytelnianie za pomocą karty inteligentnej”. Pomimo nazwy powinien on działać z lokalnie instalowanymi certyfikatami / kluczami (tj. Bez rzeczywistej karty inteligentnej). O ile mi wiadomo, wymaga jednak domeny Active Directory.

Więc w pewnym sensie, ale nie w sposób, który jest dla ciebie przydatny.

użytkownik1686
źródło
1
Czy chcesz go trochę rozszerzyć ... Czy to bez RDP Gateway?
g2mk
0

Bez domeny AD możliwe byłoby zablokowanie prostego dostępu do nazwy użytkownika i hasła:

  1. Instalowanie OpenSSH dla Windows (od https://github.com/PowerShell/Win32-OpenSSH/releases lub w Windows 10 i 2019 to dostępna funkcja),
  2. Używanie klienta SSH do logowania za pomocą kluczy,
  3. Wyłączanie uwierzytelniania hasła przez SSH (odkomentuj i ustaw „uwierzytelnianie hasła” na „nie” w% ProgramData% \ ssh \ sshd_config),
  4. Jeśli potrzebujesz interfejsu graficznego, skonfiguruj klienta SSH, aby tunelował RDP przez SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Wyłączanie „zwykłego” ruchu RDP (port TCP 3389) przez sieć (nie na lokalnej Zaporze systemu Windows!), Aby nie można było zalogować się za pomocą hasła.

Mogą być lepsze opcje za kilka $$$. Słyszałem o rozwiązaniu Yubico na przykład (z tokenem sprzętowym): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide

Chris
źródło
Ta strona Yubico 1. odnosi się do DWÓCH czynników, które zaczynają się od hasła. Uważam, że pytanie dotyczy NIE używania hasła. 2. Nic nie mówi o PROW. Czy miałeś na myśli inny produkt Yubico?
MarcH
Wydaje się, że to rozwiązanie do tunelowania dodaje wymóg klucza ssh do standardowego uwierzytelniania RDP opartego na haśle, prawda? Ciekawe i bezpieczniejsze, ale wierzę, że pytanie dotyczy zastąpienia niedogodności hasła kluczem prywatnym.
MarcH