Cách cho phép truy cập RDP dựa trên chứng chỉ ứng dụng khách

Làm cách nào tôi có thể giới hạn quyền truy cập (RDP) vào Windows Server không chỉ bằng tên người dùng / mật khẩu mà còn bằng chứng chỉ ứng dụng khách?

Hãy tưởng tượng việc tạo một chứng chỉ và sao chép nó vào tất cả các máy tính mà tôi muốn có thể truy cập máy chủ từ đó.

Điều này sẽ không bị giới hạn như các quy tắc dựa trên IP nhưng mặt khác sẽ thêm một số tính linh hoạt vì không phải mọi máy tính / máy tính xách tay đều nằm trong một miền nhất định hoặc sửa lỗi phạm vi ip.

Một cách là bằng cách thực hiện một giải pháp thẻ thông minh. Có thể không phải là những gì bạn đang tìm kiếm do ngưỡng chi phí và mức độ đau đớn, nhưng nhiều thẻ thông minh thực sự chỉ là như vậy (chứng chỉ dựa trên phần cứng với bảo vệ khóa riêng mạnh mẽ) và tích hợp Remote Desktop là liền mạch.

Bạn có thể thiết lập IPSEC với các chứng chỉ trên các máy bị ảnh hưởng, có thể kết hợp với NAP và sử dụng Tường lửa Windows để lọc lưu lượng RDP sắp được mã hóa .

Dưới đây là hướng dẫn cho một kịch bản tương tự như yêu cầu của bạn nhưng sử dụng các khóa được chia sẻ trước thay vì chứng chỉ.

Nhưng hãy nhớ rằng "tạo chứng chỉ và sao chép chứng chỉ này cho tất cả các máy tính" là một ý tưởng tồi - bản thân bạn rõ ràng nên tạo một chứng chỉ cho mỗi khách hàng và thiết lập quy tắc truy cập của mình cho phù hợp. Điều này đảm bảo tính bảo mật của các kết nối của bạn cùng với khả năng thu hồi chứng chỉ khi chúng bị mất / tiết lộ mà không phá vỡ các kết nối của máy khác.

Chỉnh sửa: thứ gì đó có vẻ hấp dẫn là thiết lập Remote Desktop Gateway (về cơ bản là cổng đường hầm HTTPS cho RDP) và yêu cầu xác thực chứng chỉ ứng dụng khách khi thiết lập kết nối SSL thông qua các thuộc tính IIS (Gateway được triển khai như một ứng dụng ASP.NET trong IIS) . Tuy nhiên, điều này dường như không được hỗ trợ bởi Remote Desktop Client - không có cách nào để cung cấp chứng chỉ ứng dụng khách cho kết nối được ủy quyền.