Como posso limitar o acesso (RDP) a um Windows Server não apenas por nome de usuário / senha, mas também com um certificado de cliente?
Imagine criar um certificado e copiá-lo para todos os computadores dos quais desejo acessar o servidor.
Isso não seria tão limitado quanto as regras baseadas em IP, mas acrescentaria alguma flexibilidade por outro lado, pois nem todos os computadores / laptops estão em um determinado domínio ou fixam um intervalo de IP.
Respostas:
Uma maneira é implementar uma solução de cartão inteligente. Provavelmente não é o que você está procurando devido ao limite de custo e dificuldade, mas muitos cartões inteligentes são exatamente isso (certificados baseados em hardware com forte proteção de chave privada), e a integração da Área de Trabalho Remota é perfeita.
fonte
Você pode configurar o IPSEC com certificados nas máquinas afetadas, possivelmente em conjunto com a NAP e usar o Firewall do Windows para filtrar o tráfego RDP que está chegando sem criptografia .
Aqui está uma explicação passo a passo de um cenário semelhante à sua solicitação, mas usando chaves pré-compartilhadas em vez de certificados.
Mas lembre-se de que "criar um certificado e copiá-lo para todos os computadores" é uma má idéia por si só - você obviamente deve criar um certificado por cliente e configurar suas regras de acesso adequadamente. Isso garante a confidencialidade de suas conexões, além da possibilidade de revogar certificados à medida que eles são perdidos / divulgados sem interromper as conexões de outras máquinas.
Editar: algo que pode parecer tentador é configurar um Gateway de Área de Trabalho Remota (basicamente um gateway de encapsulamento HTTPS para RDP) e exigir autenticação de certificado de cliente na configuração da conexão SSL através das propriedades do IIS (o Gateway é implementado como um aplicativo ASP.NET no IIS) . No entanto, isso parece não ser suportado pelo Remote Desktop Client - não há como fornecer um certificado de cliente para uma conexão com proxy.
fonte