Windows Uzak masaüstü için Özel / Ortak Anahtar Kimlik Doğrulaması

Windows RDP (Uzak Masaüstü Protokolü) için SSH'ye (Linux'ta) Genel / Özel anahtar kimlik doğrulamasına benzer bir şey var mı (Normal şifre kimlik doğrulamasını açık bırakmak yerine)?

İnternette bu konuya çelişkili cevaplar buluyorum. Her girişte karmaşık bir şifre kullanmak yerine istemci cihazlara özel bir anahtar dağıtabilmeyi umuyorum (sonunda şifre kimlik doğrulamasını tamamen devre dışı bırakmak istemediğimi varsayarak).

Uzak Masaüstü, "akıllı kart kimlik doğrulaması" adı altında X.509 istemci sertifikalarını destekler. Adı rağmen gerektiği (gerçek akıllı kart olmadan yani) yerel olarak yüklü certs / tuşları ile çalışır. Ancak bildiğim kadarıyla bir Active Directory etki alanı gerektiriyor olsa da.

Yani, bir şekilde ama gerçekten sizin için yararlı bir şekilde değil.

Bir AD alanı olmadan, basit kullanıcı adı ve şifre erişimini önleme olasılığı:

1. Windows için OpenSSH kurulumu ( https://github.com/PowerShell/Win32-OpenSSH/releases veya Windows 10 ve 2019'da mevcut bir özelliktir),
2. Anahtarlarla oturum açmak için bir SSH istemcisi kullanma,
3. SSH üzerinden şifre kimlik doğrulamasını devre dışı bırakma (uncomment ve% ProgramData% \ ssh \ sshd_config içinde "şifre kimlik doğrulamasını" "hayır" olarak ayarlayın),
4. Grafik arayüzüne ihtiyacınız varsa, SSH istemcinizi SSH üzerinden RDP'yi tünellemek üzere yapılandırın ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. "Normal" RDP trafiğini (3389 numaralı TCP bağlantı noktası) ağ üzerinden devre dışı bırakmak (yerel Windows Güvenlik Duvarı'nda değil!) Böylece parola oturum açma kullanılamaz.

Birkaç $$$ için daha iyi seçenekler olabilir. Yubico'nun çözümünü duydum (donanım belirteci ile): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide