Come consentire l'accesso RDP in base al certificato client

Come posso limitare l'accesso (RDP) a un server Windows non solo tramite nome utente / password ma anche con un certificato client?

Immagina di creare un certificato e copiarlo su tutti i computer da cui desidero poter accedere al server.

Ciò non sarebbe limitato come le regole basate su IP, ma aggiungerebbe un po 'di flessibilità d'altro canto poiché non tutti i computer / laptop si trovano in un determinato dominio o riparano l'intervallo ip.

Un modo è implementando una soluzione per smart card. Probabilmente non è quello che stai cercando a causa della soglia di costo e dolore, ma molte smart card sono in realtà proprio questo (certificati basati su hardware con una forte protezione della chiave privata) e l'integrazione di Desktop remoto è perfetta.

È possibile configurare IPSEC con certificati sui computer interessati, possibilmente in combinazione con NAP e utilizzare Windows Firewall per filtrare il traffico RDP che non viene crittografato .

Ecco una procedura dettagliata per uno scenario simile alla tua richiesta ma che utilizza chiavi già condivise anziché certificati.

Ma tieni presente che "creare un certificato e copiarlo su tutti i computer" è una cattiva idea in sé: devi ovviamente creare un certificato per client e impostare le tue regole di accesso di conseguenza. Ciò garantisce la riservatezza delle connessioni e la possibilità di revocare i certificati man mano che vengono persi / divulgati senza interrompere le connessioni di altre macchine.

Modifica: qualcosa che potrebbe sembrare allettante è la configurazione di un Gateway Desktop remoto (sostanzialmente un gateway tunnel HTTPS per RDP) e richiede l'autenticazione del certificato client durante l'impostazione della connessione SSL tramite le proprietà IIS (il Gateway è implementato come applicazione ASP.NET all'interno di IIS) . Tuttavia, questo sembra non essere supportato dal client Desktop remoto: non è possibile fornire un certificato client per una connessione proxy.