Cómo permitir el acceso RDP basado en el certificado del cliente

13

¿Cómo puedo limitar el acceso (RDP) a un servidor de Windows no solo por nombre de usuario / contraseña sino también con un certificado de cliente?

Imagine crear un certificado y copiarlo en todas las computadoras desde las que quiero poder acceder al servidor.

Esto no sería tan limitado como las reglas basadas en IP, pero agregaría cierta flexibilidad por otro lado, ya que no todas las computadoras / laptops están en un cierto dominio o fijan el rango de ip.

security authentication rdp certificate kcode
fuente
¿Estás hablando dentro de tu red o publicando en internet?
Tim Brigham el
Esta sería una red pública.
kcode

Respuestas:

3

Una forma es mediante la implementación de una solución de tarjeta inteligente. Probablemente no sea lo que está buscando debido al costo y al umbral de dolor, pero muchas tarjetas inteligentes son solo eso (certificados basados ​​en hardware con una fuerte protección de clave privada), y la integración de Escritorio remoto es perfecta.

Greg Askew
fuente
3

Puede configurar IPSEC con certificados en las máquinas afectadas, posiblemente en conjunción con NAP y usar el Firewall de Windows para filtrar el tráfico RDP que viene sin cifrar .

Aquí hay un tutorial para un escenario que es similar a su solicitud pero que usa claves previamente compartidas en lugar de certificados.

Pero tenga en cuenta que "crear un certificado y copiarlo en todas las computadoras" es una mala idea en sí misma: obviamente, debe crear un certificado por cliente y configurar sus reglas de acceso en consecuencia. Esto garantiza la confidencialidad de sus conexiones junto con la posibilidad de revocar certificados a medida que se pierden / divulgan sin romper las conexiones de otras máquinas.

Editar: algo que puede parecer tentador es configurar una puerta de enlace de escritorio remoto (básicamente una puerta de enlace de túnel HTTPS para RDP) y requerir la autenticación del certificado del cliente al configurar la conexión SSL a través de las propiedades de IIS (la puerta de enlace se implementa como una aplicación ASP.NET dentro de IIS) . Sin embargo, esto parece no ser compatible con el Cliente de escritorio remoto: no hay forma de proporcionar un certificado de cliente para una conexión proxy.

el wabbit
fuente
Intenté seguir la ruta de la puerta de enlace del escritorio remoto. Aquí hay un par de preguntas que muestran por qué no funciona como se esperaba.
Tim Brigham el
enlace de archive.org para tutorial: web.archive.org/web/20130603074903/http://www.caryglobal.com:80/…
mwfearnley