Autenticazione chiave privata / pubblica per desktop remoto Windows

Esiste qualcosa per Windows RDP (Remote Desktop Protocol) simile all'autenticazione della chiave pubblica / privata SSH (in Linux) (invece di lasciare aperta la normale autenticazione della password)?

Sto trovando risposte contrastanti a questo argomento su Internet. Spero di essere in grado di distribuire una chiave privata ai dispositivi client invece di utilizzare una password complessa su ogni accesso (supponendo che non voglio disabilitare completamente l'autenticazione della password).

Desktop remoto supporta i certificati client X.509, con il nome di "autenticazione smart card". Nonostante il nome, dovrebbe funzionare con certs / chiavi installati localmente (cioè senza una smart card reale). Tuttavia, per quanto ne so, richiede un dominio Active Directory.

Quindi, in un certo senso, ma non in un modo che ti sia utile.

Senza un dominio AD, la possibilità di impedire l'accesso semplice a nome utente e password sarebbe:

1. Installazione di OpenSSH per Windows (da https://github.com/PowerShell/Win32-OpenSSH/releases o su Windows 10 e 2019 è una funzione disponibile),
2. Utilizzando un client SSH per accedere con le chiavi,
3. Disabilitazione dell'autenticazione password su SSH (decommenta e imposta "autenticazione password" su "no" in% ProgramData% \ ssh \ sshd_config),
4. Se hai bisogno dell'interfaccia grafica, configura il tuo client SSH per tunnelare RDP su SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. Disabilitare il traffico RDP "normale" (porta TCP 3389) sulla rete (non su Windows Firewall locale!) In modo che l'accesso con password non possa essere utilizzato.

Potrebbero esserci opzioni migliori per alcuni $$$. Ho sentito parlare della soluzione di Yubico, ad esempio (con token hardware): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide