Autenticação de chave pública / privada para a área de trabalho remota do Windows

18

Existe alguma coisa para o Windows RDP (Protocolo de Área de Trabalho Remota) semelhante à autenticação de chave pública / privada SSH (no Linux) (em vez de deixar aberta a autenticação de senha normal)?

Estou encontrando respostas conflitantes para esse tópico na Internet. Espero poder distribuir apenas uma chave privada aos dispositivos clientes em vez de usar uma senha complexa em todos os logins (supondo que eu não queira desabilitar totalmente a autenticação por senha).

Lightning77
fonte
2
Ao se recusar a incorporar um protocolo de conexão que impede especificamente a adivinhação de senha, os imbecis de Redmond exigem que a máquina remota seja estritamente não mais segura do que uma máquina infestada com seus bloatware inseguros. Por que não fico surpreso quando o MSFT falha na frente do dataec?
GT.

Respostas:

4

A Área de Trabalho Remota oferece suporte a certificados de cliente X.509, com o nome "autenticação de cartão inteligente". Apesar do nome, ele deve funcionar com chaves / chaves instaladas localmente (ou seja, sem um cartão inteligente). Embora exija, no entanto, um domínio do Active Directory, tanto quanto eu saiba.

Então, mais ou menos de uma maneira que não seja útil para você.

user1686
fonte
1
Gostaria de expandi-lo um pouco ... É sem o Gateway RDP?
G2mk
0

Sem um domínio do AD, a possibilidade de impedir o acesso simples a nome de usuário e senha seria:

  1. Instalando o OpenSSH para Windows (em https://github.com/PowerShell/Win32-OpenSSH/releases ou no Windows 10 e 2019, é um recurso disponível),
  2. Usando um cliente SSH para fazer logon com chaves,
  3. Desativando a autenticação de senha por SSH (remova o comentário e defina "autenticação por senha" como "não" em% ProgramData% \ ssh \ sshd_config),
  4. Se você precisar da interface gráfica, configure seu cliente SSH para encapsular o RDP sobre SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Desabilitando o tráfego RDP "regular" (porta TCP 3389) na rede (não no Firewall do Windows local!) Para que o logon de senha não possa ser usado.

Pode haver opções melhores para alguns $$$. Ouvi falar da solução do Yubico, por exemplo (com token de hardware): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide

Chris
fonte
A página 1. do Yubico refere-se a uma solução de DOIS fatores que começa com uma senha. Acredito que a pergunta é sobre NÃO usar uma senha. 2. Não diz nada sobre RDP. Você tinha um produto Yubico diferente em mente?
MarcH 27/11/19
Essa solução de encapsulamento parece adicionar um requisito de chave ssh além da autenticação RDP regular baseada em senha, correto? Interessante e mais seguro, mas acredito que a questão é substituir o inconveniente de uma senha por chave privada.
MarcH 27/11/19