Autenticazione chiave privata / pubblica per desktop remoto Windows


18

Esiste qualcosa per Windows RDP (Remote Desktop Protocol) simile all'autenticazione della chiave pubblica / privata SSH (in Linux) (invece di lasciare aperta la normale autenticazione della password)?

Sto trovando risposte contrastanti a questo argomento su Internet. Spero di essere in grado di distribuire una chiave privata ai dispositivi client invece di utilizzare una password complessa su ogni accesso (supponendo che non voglio disabilitare completamente l'autenticazione della password).


2
Rifiutando di incorporare un protocollo di connessione che impedisce specificamente di indovinare la password, i mezzi testimoni di Redmond richiedono che la macchina remota non sia rigorosamente più sicura di una macchina infestata dal loro bloatware insicuro. Perché non sono sorpreso quando MSFT fallisce sul fronte del datasec?
GT.

Risposte:


4

Desktop remoto supporta i certificati client X.509, con il nome di "autenticazione smart card". Nonostante il nome, dovrebbe funzionare con certs / chiavi installati localmente (cioè senza una smart card reale). Tuttavia, per quanto ne so, richiede un dominio Active Directory.

Quindi, in un certo senso, ma non in un modo che ti sia utile.


1
Vorresti espanderlo un po '... È senza RDP Gateway?
g2mk,

0

Senza un dominio AD, la possibilità di impedire l'accesso semplice a nome utente e password sarebbe:

  1. Installazione di OpenSSH per Windows (da https://github.com/PowerShell/Win32-OpenSSH/releases o su Windows 10 e 2019 è una funzione disponibile),
  2. Utilizzando un client SSH per accedere con le chiavi,
  3. Disabilitazione dell'autenticazione password su SSH (decommenta e imposta "autenticazione password" su "no" in% ProgramData% \ ssh \ sshd_config),
  4. Se hai bisogno dell'interfaccia grafica, configura il tuo client SSH per tunnelare RDP su SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Disabilitare il traffico RDP "normale" (porta TCP 3389) sulla rete (non su Windows Firewall locale!) In modo che l'accesso con password non possa essere utilizzato.

Potrebbero esserci opzioni migliori per alcuni $$$. Ho sentito parlare della soluzione di Yubico, ad esempio (con token hardware): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide


Quella pagina Yubico 1. fa riferimento a una soluzione a DUE fattori che inizia con una password. Credo che la domanda riguardi il NON utilizzo di una password. 2. Non dice nulla sul PSR. Avevi in ​​mente un prodotto Yubico diverso?
MarcH,

Questa soluzione di tunneling sembra aggiungere un requisito chiave ssh oltre alla normale autenticazione RDP basata su password, giusto? Interessante e più sicuro, ma credo che la domanda riguardi la sostituzione dell'inconveniente di una password con chiave privata.
MarcH,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.