Jak zezwolić na dostęp RDP na podstawie certyfikatu klienta

Jak mogę ograniczyć dostęp (RDP) do systemu Windows Server nie tylko za pomocą nazwy użytkownika / hasła, ale także za pomocą certyfikatu klienta?

Wyobraź sobie tworzenie certyfikatu i kopiowanie go na wszystkie komputery, z których chcę mieć dostęp do serwera.

Nie byłoby to tak ograniczone jak reguły oparte na IP, ale zwiększyłoby elastyczność z drugiej strony, ponieważ nie każdy komputer / laptop znajduje się w określonej domenie lub w ustalonym zakresie IP.

Jednym ze sposobów jest wdrożenie rozwiązania karty inteligentnej. Prawdopodobnie nie to, czego szukasz ze względu na próg kosztów i bólu, ale wiele kart inteligentnych jest właśnie takich (certyfikaty sprzętowe z silną ochroną klucza prywatnego), a integracja pulpitu zdalnego jest płynna.

Możesz skonfigurować IPSEC z certyfikatami na zagrożonych komputerach, być może w połączeniu z NAP i użyć Zapory systemu Windows do filtrowania ruchu RDP, który nadchodzi w postaci niezaszyfrowanej .

Oto przewodnik dotyczący scenariusza podobnego do żądania, ale z użyciem kluczy wstępnych zamiast certyfikatów.

Pamiętaj jednak, że „tworzenie certyfikatu i kopiowanie go na wszystkie komputery” to zły pomysł sam w sobie - oczywiście powinieneś utworzyć jeden certyfikat na klienta i odpowiednio skonfigurować swoje reguły dostępu. Zapewnia to poufność połączeń oraz możliwość unieważnienia certyfikatów, gdy zostaną one utracone / ujawnione bez zerwania połączeń innych urządzeń.

Edycja: coś, co może wyglądać kusząco, polega na skonfigurowaniu bramy usług pulpitu zdalnego (w zasadzie bramy tunelowej HTTPS dla RDP) i wymaga uwierzytelnienia certyfikatu klienta po skonfigurowaniu połączenia SSL za pomocą właściwości IIS (brama jest zaimplementowana jako aplikacja ASP.NET w IIS) . Wydaje się to jednak nieobsługiwane przez klienta usług pulpitu zdalnego - nie ma możliwości zapewnienia certyfikatu klienta dla połączenia proxy.