Xác thực khóa riêng / công khai cho máy tính để bàn Windows Remote

Có bất cứ điều gì tồn tại cho Windows RDP (Remote Desktop Protocol) tương tự như xác thực khóa công khai / riêng tư của SSH (trong Linux) (Thay vì để mở xác thực mật khẩu thông thường) không?

Tôi đang tìm câu trả lời mâu thuẫn cho chủ đề này trên internet. Tôi hy vọng có thể chỉ phân phối khóa riêng cho các thiết bị khách thay vì sử dụng mật khẩu phức tạp trên mỗi lần đăng nhập (giả sử cuối cùng tôi không muốn tắt hoàn toàn xác thực mật khẩu).

Remote Desktop hỗ trợ chứng chỉ ứng dụng khách X.509, dưới tên "xác thực thẻ thông minh". Mặc dù tên, nó nên hoạt động với certs / khóa được cài đặt cục bộ (tức là không có thẻ thông minh thực tế). Mặc dù nó không yêu cầu miền Active Directory, theo như tôi biết.

Vì vậy, sắp xếp nhưng không thực sự theo cách có ích với bạn.

Nếu không có tên miền AD, khả năng ngăn chặn truy cập tên người dùng và mật khẩu đơn giản sẽ là:

1. Cài đặt OpenSSH cho Windows (từ https://github.com/PowerShell/Win32-OpenSSH/release hoặc trên Windows 10 & 2019, đây là một tính năng khả dụng),
2. Sử dụng máy khách SSH để đăng nhập bằng khóa,
3. Vô hiệu hóa xác thực mật khẩu qua SSH (bỏ ghi chú và đặt "xác thực mật khẩu" thành "không" trong% ProgramData% \ ssh \ sshd_config),
4. Nếu bạn cần giao diện đồ họa, hãy định cấu hình máy khách SSH của bạn để tạo đường hầm RDP qua SSH ( https://www.saotn.org/tunnel-rdp-ENC-ssh/ ),
5. Vô hiệu hóa lưu lượng RDP "thông thường" (cổng TCP 3389) qua mạng (không phải trên Tường lửa Windows cục bộ!) Để không thể sử dụng đăng nhập mật khẩu.

Có thể có những lựa chọn tốt hơn cho một vài $$$. Tôi đã nghe nói về giải pháp của Yubico chẳng hạn (với mã thông báo phần cứng): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide