Autenticación de clave privada / pública para el escritorio remoto de Windows

18

¿Existe algo para Windows RDP (Protocolo de escritorio remoto) que sea similar a la autenticación de clave pública / privada SSH (en Linux) (en lugar de dejar abierta la autenticación de contraseña normal)?

Estoy encontrando respuestas contradictorias a este tema en Internet. Espero poder distribuir una clave privada a los dispositivos del cliente en lugar de usar una contraseña compleja en cada inicio de sesión (suponiendo que no quiero deshabilitar totalmente la autenticación de contraseña).

Rayo77
fuente
2
Al negarse a incorporar un protocolo de conexión que impida específicamente adivinar las contraseñas, los medios de Redmond requieren que la máquina remota no sea estrictamente más segura que una máquina infestada con su bloatware inseguro. ¿Por qué no me sorprende cuando MSFT falla en el frente de datasec?
GT.

Respuestas:

4

Escritorio remoto admite certificados de cliente X.509, bajo el nombre de "autenticación de tarjeta inteligente". A pesar del nombre, debería funcionar con certificados / claves instalados localmente (es decir, sin una tarjeta inteligente real). Aunque sí requiere un dominio de Active Directory, que yo sepa.

Entonces, de alguna manera, pero no de una manera que sea útil para usted.

usuario1686
fuente
1
¿Desea ampliarlo un poco ... ¿Es sin RDP Gateway?
g2mk
0

Sin un dominio AD, la posibilidad de evitar el acceso simple de nombre de usuario y contraseña sería:

  1. Instalación de OpenSSH para Windows (desde https://github.com/PowerShell/Win32-OpenSSH/releases o en Windows 10 y 2019 es una característica disponible),
  2. Usando un cliente SSH para iniciar sesión con claves,
  3. Deshabilitar la autenticación de contraseña a través de SSH (descomentar y establecer "autenticación de contraseña" en "no" en% ProgramData% \ ssh \ sshd_config),
  4. Si necesita la interfaz gráfica, configure su cliente SSH para hacer un túnel RDP sobre SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Deshabilitar el tráfico RDP "regular" (puerto TCP 3389) a través de la red (¡no en el Firewall local de Windows!) Para que no se pueda usar el inicio de sesión con contraseña.

Puede haber mejores opciones por unos pocos $$$. He oído hablar de la solución de Yubico, por ejemplo (con token de hardware): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide

Chris
fuente
Esa página 1. de Yubico se refiere a una solución de DOS factores que comienza con una contraseña. Creo que la pregunta es sobre NO usar una contraseña. 2. No dice nada sobre RDP. ¿Tenías un producto Yubico diferente en mente?
MarcH
Esta solución de tunelización parece agregar un requisito de clave ssh además de la autenticación RDP regular basada en contraseña, ¿correcto? Interesante y más seguro, pero creo que la pregunta es sobre reemplazar los inconvenientes de una contraseña con clave privada.
MarcH