Otentikasi Pribadi / Publik Key untuk Windows Remote desktop

18

Apakah ada sesuatu untuk Windows RDP (Remote Desktop Protocol) yang mirip dengan SSH (di Linux) otentikasi kunci Publik / Pribadi (Alih-alih membiarkan otentikasi kata sandi normal terbuka)?

Saya menemukan jawaban yang bertentangan dengan topik ini di internet. Saya berharap dapat hanya mendistribusikan kunci pribadi ke perangkat klien daripada menggunakan kata sandi yang kompleks pada setiap login (dengan asumsi saya tidak ingin pada akhirnya menonaktifkan otentikasi kata sandi sepenuhnya).

Petir77
sumber
2
Dengan menolak untuk memasukkan protokol koneksi yang secara khusus mencegah tebak kata sandi, halfwits di Redmond mengharuskan mesin jarak jauh benar-benar tidak lebih aman daripada mesin yang penuh dengan bloatware yang tidak aman. Mengapa saya tidak terkejut ketika MSFT gagal di bagian depan dataec?
GT.

Jawaban:

4

Remote Desktop mendukung sertifikat klien X.509, dengan nama "otentikasi kartu pintar". Terlepas dari namanya, itu harus bekerja dengan sertifikat / kunci yang diinstal secara lokal (yaitu tanpa kartu pintar yang sebenarnya). Namun itu memang membutuhkan domain Direktori Aktif, sejauh yang saya tahu.

Jadi, semacam tapi tidak benar-benar berguna bagi Anda.

pengguna1686
sumber
1
Apakah Anda ingin sedikit memperluas ... Apakah itu tanpa RDP Gateway?
g2mk
0

Tanpa domain AD, kemungkinan untuk mencegah akses nama pengguna & kata sandi sederhana adalah:

  1. Menginstal OpenSSH untuk Windows (dari https://github.com/PowerShell/Win32-OpenSSH/releases atau pada Windows 10 & 2019 ini adalah fitur yang tersedia),
  2. Menggunakan klien SSH untuk masuk dengan kunci,
  3. Menonaktifkan otentikasi kata sandi melalui SSH (batalkan komentar dan setel "otentikasi kata sandi" menjadi "tidak" di% ProgramData% \ ssh \ sshd_config),
  4. Jika Anda memerlukan antarmuka grafis, konfigurasikan klien SSH Anda ke tunnel RDP melalui SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Menonaktifkan lalu lintas RDP "reguler" (port TCP 3389) melalui jaringan (bukan pada Firewall Windows lokal!) Sehingga kata sandi masuk tidak dapat digunakan.

Mungkin ada opsi yang lebih baik untuk beberapa $$$. Saya pernah mendengar tentang solusi Yubico misalnya (dengan token perangkat keras): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide

Chris
sumber
Halaman Yubico 1. itu merujuk pada solusi dua faktor yang dimulai dengan kata sandi. Saya percaya pertanyaannya adalah BUKAN menggunakan kata sandi. 2. Tidak mengatakan apa-apa tentang RDP. Apakah Anda memiliki produk Yubico yang berbeda dalam pikiran?
MarcH
Solusi tunneling ini tampaknya menambahkan persyaratan kunci ssh selain otentikasi RDP berbasis kata sandi, benar? Menarik dan lebih aman tetapi saya yakin pertanyaannya adalah tentang mengganti ketidaknyamanan kata sandi dengan kunci pribadi.
MarcH