Como permitir acesso RDP com base no certificado do cliente

13

Como posso limitar o acesso (RDP) a um Windows Server não apenas por nome de usuário / senha, mas também com um certificado de cliente?

Imagine criar um certificado e copiá-lo para todos os computadores dos quais desejo acessar o servidor.

Isso não seria tão limitado quanto as regras baseadas em IP, mas acrescentaria alguma flexibilidade por outro lado, pois nem todos os computadores / laptops estão em um determinado domínio ou fixam um intervalo de IP.

kcode
fonte
Você está falando dentro da sua rede ou publicando na Internet?
Tim Brigham
isso seria uma rede pública.
Kdef

Respostas:

3

Uma maneira é implementar uma solução de cartão inteligente. Provavelmente não é o que você está procurando devido ao limite de custo e dificuldade, mas muitos cartões inteligentes são exatamente isso (certificados baseados em hardware com forte proteção de chave privada), e a integração da Área de Trabalho Remota é perfeita.

Greg Askew
fonte
3

Você pode configurar o IPSEC com certificados nas máquinas afetadas, possivelmente em conjunto com a NAP e usar o Firewall do Windows para filtrar o tráfego RDP que está chegando sem criptografia .

Aqui está uma explicação passo a passo de um cenário semelhante à sua solicitação, mas usando chaves pré-compartilhadas em vez de certificados.

Mas lembre-se de que "criar um certificado e copiá-lo para todos os computadores" é uma má idéia por si só - você obviamente deve criar um certificado por cliente e configurar suas regras de acesso adequadamente. Isso garante a confidencialidade de suas conexões, além da possibilidade de revogar certificados à medida que eles são perdidos / divulgados sem interromper as conexões de outras máquinas.

Editar: algo que pode parecer tentador é configurar um Gateway de Área de Trabalho Remota (basicamente um gateway de encapsulamento HTTPS para RDP) e exigir autenticação de certificado de cliente na configuração da conexão SSL através das propriedades do IIS (o Gateway é implementado como um aplicativo ASP.NET no IIS) . No entanto, isso parece não ser suportado pelo Remote Desktop Client - não há como fornecer um certificado de cliente para uma conexão com proxy.

o wabbit
fonte
Tentei seguir a rota do gateway da área de trabalho remota. Há algumas perguntas aqui que mostram por que não funciona como esperado.
Tim Brigham
link do archive.org para explicação passo a passo: web.archive.org/web/20130603074903/http://www.caryglobal.com:80/…
mwfearnley