Uwierzytelnianie klucza prywatnego / publicznego dla pulpitu zdalnego systemu Windows

Czy istnieje coś takiego dla protokołu RDP (Remote Desktop Protocol) w systemie Windows, który jest podobny do SSH (w systemie Linux) Uwierzytelnianie za pomocą klucza publicznego / prywatnego (zamiast pozostawienia otwartego uwierzytelniania za pomocą hasła)?

W Internecie znajduję sprzeczne odpowiedzi na ten temat. Mam nadzieję, że będę mógł po prostu rozdzielić klucz prywatny na urządzenia klienckie zamiast używać złożonego hasła przy każdym logowaniu (zakładając, że nie chcę ostatecznie całkowicie wyłączać uwierzytelniania hasła).

Pulpit zdalny obsługuje certyfikaty klienta X.509 pod nazwą „uwierzytelnianie za pomocą karty inteligentnej”. Pomimo nazwy powinien on działać z lokalnie instalowanymi certyfikatami / kluczami (tj. Bez rzeczywistej karty inteligentnej). O ile mi wiadomo, wymaga jednak domeny Active Directory.

Więc w pewnym sensie, ale nie w sposób, który jest dla ciebie przydatny.

Bez domeny AD możliwe byłoby zablokowanie prostego dostępu do nazwy użytkownika i hasła:

1. Instalowanie OpenSSH dla Windows (od https://github.com/PowerShell/Win32-OpenSSH/releases lub w Windows 10 i 2019 to dostępna funkcja),
2. Używanie klienta SSH do logowania za pomocą kluczy,
3. Wyłączanie uwierzytelniania hasła przez SSH (odkomentuj i ustaw „uwierzytelnianie hasła” na „nie” w% ProgramData% \ ssh \ sshd_config),
4. Jeśli potrzebujesz interfejsu graficznego, skonfiguruj klienta SSH, aby tunelował RDP przez SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. Wyłączanie „zwykłego” ruchu RDP (port TCP 3389) przez sieć (nie na lokalnej Zaporze systemu Windows!), Aby nie można było zalogować się za pomocą hasła.

Mogą być lepsze opcje za kilka $$$. Słyszałem o rozwiązaniu Yubico na przykład (z tokenem sprzętowym): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide