kco*_*ode 16 security certificate rdp authentication
如何不仅通过用户名/密码而且通过客户端证书来限制 (RDP) 对 Windows Server 的访问?
想象一下,创建一个证书并将其复制到我希望能够从中访问服务器的所有计算机。
这不会像基于 IP 的规则那样受到限制,但另一方面会增加一些灵活性,因为并非每台计算机/笔记本电脑都在某个域中或固定 ip 范围。
您可以在受影响的计算机上使用证书设置 IPSEC (可能与 NAP 结合使用),并使用 Windows 防火墙来过滤未加密的 RDP 流量。
以下是与您的请求类似但使用预共享密钥而不是证书的场景的演练。
但请记住,“创建证书并将其复制到所有计算机”本身就是一个坏主意 - 显然您应该为每个客户端创建一个证书并相应地设置访问规则。这可以确保您的连接的机密性,并且可以在证书丢失/泄露时撤销证书,而不会破坏其他计算机的连接。
编辑:看起来很诱人的事情是设置远程桌面网关(基本上是 RDP 的 HTTPS 隧道网关),并要求通过 IIS 属性在 SSL 连接设置时进行客户端证书身份验证(网关在 IIS 中实现为 ASP.NET 应用程序) 。然而,远程桌面客户端似乎不支持这一点 - 无法为代理连接提供客户端证书。