题 如何根据客户端证书允许RDP访问


如何不仅通过用户名/密码限制(RDP)访问Windows Server,还使用客户端证书?

想象一下,创建一个证书并将其复制到我希望能够从中访问服务器的所有计算机。

这不会像基于IP的规则那样受限制,但另一方面会增加一些灵活性,因为并非每台计算机/笔记本电脑都在某个域或修复IP范围。


11
2018-01-09 16:10




您是在谈论网络内部还是发布到互联网? - Tim Brigham
这将是一个公共网络。 - Uwe


答案:


一种方法是实施智能卡解决方案。由于成本和痛苦阈值,可能不是您正在寻找的东西,但许多智能卡实际上只是(基于硬件的证书具有强大的私钥保护),并且远程桌面集成是无缝的。


3
2018-01-09 20:35





你可以 建立IPSEC 可能在受影响的机器上有证书 与NAP一起 并使用Windows防火墙 过滤未加密的RDP流量

这是一个演练 对于与您的请求类似但使用预共享密钥而不是证书的方案。

但请记住,“创建证书并将其复制到所有计算机”本身就是一个坏主意 - 显然你应该创建 每个客户一个证书 并相应地设置您的访问规则。这可以确保您的连接的机密性,以及在不破坏其他机器连接的情况下丢失/泄露证书时撤销证书的可能性。

编辑: 可能看起来很诱人的东西就是设置一个 远程桌面网关 (基本上是RDP的HTTPS隧道网关)并且在通过IIS属性建立SSL连接时需要客户端证书身份验证(网关在IIS中实现为ASP.NET应用程序)。但是远程桌面客户端似乎不支持这一点 - 无法为代理连接提供客户端证书。


3
2018-01-09 18:24



我试着沿着远程桌面网关路线走下去。这里有几个问题说明为什么它不能按预期工作。 - Tim Brigham