Windows远程桌面的私钥/公钥身份验证


18

Windows RDP(远程桌面协议)是否存在类似于SSH(在Linux中)的公共/专用密钥身份验证(而不是打开常规密码身份验证)?

我在互联网上发现了与此主题矛盾的答案。我希望能够仅将私钥分配给客户端设备,而不是在每次登录时都使用复杂的密码(假设我最终不想完全禁用密码认证)。


2
通过拒绝加入专门防止密码猜测的连接协议,雷德蒙德的混蛋要求严格限制远程计算机的安全性,而不要让那些受到不安全膨胀软件侵扰的计算机安全。当MSFT在数据安全方面失败时,为什么我不感到惊讶?
GT。

Answers:


4

远程桌面支持“智能卡身份验证”名称下的X.509客户端证书。尽管有名称,但它与本地安装的证书/密钥一起使用(即没有实际的智能卡)。据我所知,尽管它确实需要一个Active Directory域。

因此,某种程度上但实际上并非对您有用的方式。


1
您想扩展一下吗?是否没有RDP网关?
g2mk '16

0

如果没有AD域,则阻止简单的用户名和密码访问的可能性是:

  1. 安装适用于Windows的OpenSSH(从https://github.com/PowerShell/Win32-OpenSSH/releases或在Windows 10和2019上提供此功能),
  2. 使用SSH客户端通过密钥登录,
  3. 通过SSH禁用密码身份验证(取消注释,并将%ProgramData%\ ssh \ sshd_config中的“密码身份验证”设置为“否”),
  4. 如果需要图形界面,请配置SSH客户端以通过SSH隧道RDP(https://www.saotn.org/tunnel-rdp-through-ssh/),
  5. 禁用网络上的“常规” RDP通信(TCP端口3389)(不在本地Windows防火墙上!),以便不能使用密码登录。

可能会有一些更好的选择。我听说过Yubico的解决方案,例如(带有硬件令牌):https : //support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide


Yubico第1页涉及以密码开头的两个因子解决方案。我相信问题是关于不使用密码。2.关于RDP没说什么。您在想其他Yubico产品吗?
MarcH

这种隧道解决方案似乎在基于密码的常规RDP身份验证的基础上增加了ssh密钥要求,对吗?有趣且更安全,但我认为问题在于用私钥代替密码的不便之处。
MarcH
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.