İstemci sertifikasına dayalı RDP erişimine nasıl izin verilir

Windows Server'a erişimi (RDP) yalnızca kullanıcı adı / parola ile değil, aynı zamanda bir istemci sertifikası ile nasıl sınırlayabilirim?

Bir sertifika oluşturduğunuzu ve bunu sunucudan erişmek istediğim tüm bilgisayarlara kopyaladığınızı düşünün.

Bu, IP tabanlı kurallar kadar sınırlı değildir, ancak her bilgisayar / dizüstü bilgisayar belirli bir etki alanında olmadığı veya ip aralığını düzeltmediği için biraz esneklik katacaktır.

Bunun bir yolu akıllı kart çözümü uygulamaktır. Muhtemelen maliyet ve ağrı eşiği nedeniyle aradığınız şey değil, ancak birçok akıllı kart aslında sadece (güçlü özel anahtar korumalı donanım tabanlı sertifikalar) ve Uzak Masaüstü entegrasyonu sorunsuz.

Sen olabilir IPSEC'e kurmak muhtemelen etkilenen makinelerde sertifikalarla NAP ile birlikte ve Windows Güvenlik Duvarı kullanmak şifresiz geliyor filtre RDP trafiği .

İşte isteğinize benzer, ancak sertifikalar yerine önceden paylaşılan anahtarlar kullanan bir senaryo için izlenecek yol.

Ancak, "bir sertifika oluşturmak ve bunu tüm bilgisayarlara kopyalamak" ın kendi başına kötü bir fikir olduğunu unutmayın - her müşteri için bir sertifika oluşturmanız ve erişim kurallarınızı buna göre ayarlamanız gerekir. Bu, diğer makinelerin bağlantılarını kesmeden sertifikaları kaybettikleri / ifşa ettikleri için sertifikaların iptal edilmesinin yanı sıra bağlantılarınızın gizliliğini de sağlar.

Düzenleme: cazip görünebilecek bir şey Uzak Masaüstü Ağ Geçidi (temel olarak RDP için bir HTTPS tünel ağ geçidi) kurmak ve IIS özellikleri üzerinden SSL bağlantı kurulumu sırasında istemci sertifikası kimlik doğrulaması gerektiriyor (Ağ Geçidi IIS içinde bir ASP.NET uygulaması olarak uygulanır) . Ancak bu Uzak Masaüstü İstemcisi tarafından desteklenmiyor gibi görünüyor - proxy bağlantısı için istemci sertifikası sağlamanın bir yolu yoktur.