Как разрешить доступ RDP на основе сертификата клиента

Как я могу ограничить (RDP) доступ к Windows Server не только по имени пользователя / паролю, но и по клиентскому сертификату?

Представьте себе создание сертификата и его копирование на все компьютеры, с которых я хочу получить доступ к серверу.

Это не будет таким ограничением, как правила на основе IP, но добавит некоторую гибкость с другой стороны, поскольку не каждый компьютер / ноутбук находится в определенном домене или имеет фиксированный диапазон IP-адресов.

Одним из способов является внедрение решения для смарт-карт. Возможно, это не то, что вы ищете из-за порога стоимости и боли, но многие смарт-карты на самом деле являются именно этими (аппаратные сертификаты с надежной защитой закрытого ключа), и интеграция с удаленным рабочим столом бесшовна.

Вы можете настроить IPSEC с сертификатами на соответствующих компьютерах, возможно, в сочетании с NAP и использовать брандмауэр Windows для фильтрации трафика RDP, который поступает в незашифрованном виде .

Вот пошаговое руководство для сценария, который похож на ваш запрос, но использует предварительные ключи вместо сертификатов.

Но имейте в виду, что «создание сертификата и копирование его на все компьютеры» само по себе является плохой идеей - вам, очевидно, следует создать один сертификат для каждого клиента и соответственно настроить правила доступа. Это обеспечивает конфиденциальность ваших соединений, а также возможность аннулировать сертификаты, если они потеряны / раскрыты, не разрывая соединения с другой машиной.

Изменить: что-то, что может показаться заманчивым, это настройка шлюза удаленного рабочего стола (в основном туннельный шлюз HTTPS для RDP) и требует проверки подлинности сертификата клиента при настройке соединения SSL через свойства IIS (шлюз реализован как приложение ASP.NET в IIS) , Однако это кажется неподдерживаемым клиентом удаленного рабочего стола - нет способа предоставить клиентский сертификат для прокси-соединения.