Windows Uzak masaüstü için Özel / Ortak Anahtar Kimlik Doğrulaması


18

Windows RDP (Uzak Masaüstü Protokolü) için SSH'ye (Linux'ta) Genel / Özel anahtar kimlik doğrulamasına benzer bir şey var mı (Normal şifre kimlik doğrulamasını açık bırakmak yerine)?

İnternette bu konuya çelişkili cevaplar buluyorum. Her girişte karmaşık bir şifre kullanmak yerine istemci cihazlara özel bir anahtar dağıtabilmeyi umuyorum (sonunda şifre kimlik doğrulamasını tamamen devre dışı bırakmak istemediğimi varsayarak).


2
Parola tahminini özellikle engelleyen bir bağlantı protokolü eklemeyi reddederek, Redmond'daki yarım devre, uzak makinenin güvenli olmayan bloatware'leriyle istila edilen bir makineden kesinlikle daha güvenli olmamasını gerektirir. MSFT veri kümesi cephesinde başarısız olduğunda neden şaşırmadım?
GT.

Yanıtlar:


4

Uzak Masaüstü, "akıllı kart kimlik doğrulaması" adı altında X.509 istemci sertifikalarını destekler. Adı rağmen gerektiği (gerçek akıllı kart olmadan yani) yerel olarak yüklü certs / tuşları ile çalışır. Ancak bildiğim kadarıyla bir Active Directory etki alanı gerektiriyor olsa da.

Yani, bir şekilde ama gerçekten sizin için yararlı bir şekilde değil.


1
Biraz genişletmek ister misiniz ... RDP Gateway olmadan mı?
16:02

0

Bir AD alanı olmadan, basit kullanıcı adı ve şifre erişimini önleme olasılığı:

  1. Windows için OpenSSH kurulumu ( https://github.com/PowerShell/Win32-OpenSSH/releases veya Windows 10 ve 2019'da mevcut bir özelliktir),
  2. Anahtarlarla oturum açmak için bir SSH istemcisi kullanma,
  3. SSH üzerinden şifre kimlik doğrulamasını devre dışı bırakma (uncomment ve% ProgramData% \ ssh \ sshd_config içinde "şifre kimlik doğrulamasını" "hayır" olarak ayarlayın),
  4. Grafik arayüzüne ihtiyacınız varsa, SSH istemcinizi SSH üzerinden RDP'yi tünellemek üzere yapılandırın ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. "Normal" RDP trafiğini (3389 numaralı TCP bağlantı noktası) ağ üzerinden devre dışı bırakmak (yerel Windows Güvenlik Duvarı'nda değil!) Böylece parola oturum açma kullanılamaz.

Birkaç $$$ için daha iyi seçenekler olabilir. Yubico'nun çözümünü duydum (donanım belirteci ile): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide


Bu Yubico 1. sayfası, şifre ile başlayan İKİ faktörlü bir çözümü ifade eder. Sorunun bir şifre DEĞİL kullanmakla ilgili olduğuna inanıyorum. 2. RDP hakkında hiçbir şey söylemez. Farklı bir Yubico ürününüz var mı?
MarcH

Bu tünel açma çözümü, düzenli, şifre tabanlı RDP kimlik doğrulamasının üstüne bir ssh anahtar gereksinimi ekliyor gibi görünüyor, değil mi? İlginç ve daha güvenli ama soru, bir parola rahatsızlığını özel anahtarla değiştirmekle ilgili olduğuna inanıyorum .
MarcH
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.