Zulassen des RDP-Zugriffs basierend auf dem Clientzertifikat

13

Wie kann ich den RDP-Zugriff auf einen Windows-Server nicht nur über Benutzername / Kennwort, sondern auch über ein Clientzertifikat beschränken?

Stellen Sie sich vor, Sie erstellen ein Zertifikat und kopieren es auf alle Computer, von denen aus ich auf den Server zugreifen möchte.

Dies wäre nicht so eingeschränkt wie IP-basierte Regeln, würde aber andererseits eine gewisse Flexibilität hinzufügen, da sich nicht jeder Computer / Laptop in einer bestimmten Domäne oder in einem festgelegten IP-Bereich befindet.

security authentication rdp certificate kcode
quelle
Reden Sie in Ihrem Netzwerk oder veröffentlichen Sie im Internet?
Tim Brigham
Dies wäre ein öffentliches Netzwerk.
kcode

Antworten:

3

Eine Möglichkeit ist die Implementierung einer Smartcard-Lösung. Wahrscheinlich nicht das, wonach Sie aufgrund der Kosten- und Schmerzgrenze suchen, aber viele Smartcards sind genau das (hardwarebasierte Zertifikate mit starkem Schutz vor privaten Schlüsseln), und die Remotedesktop-Integration ist nahtlos.

Greg Askew
quelle
3

Sie können IPSEC mit Zertifikaten auf den betroffenen Computern einrichten , möglicherweise in Verbindung mit NAP, und mithilfe der Windows-Firewall den unverschlüsselten RDP-Datenverkehr filtern .

Hier ist eine exemplarische Vorgehensweise für ein Szenario, das Ihrer Anfrage ähnelt, jedoch Preshared Keys anstelle von Zertifikaten verwendet.

Beachten Sie jedoch, dass "Erstellen eines Zertifikats und Kopieren auf alle Computer" an sich keine gute Idee ist. Sie sollten natürlich ein Zertifikat pro Client erstellen und Ihre Zugriffsregeln entsprechend einrichten. Dies stellt die Vertraulichkeit Ihrer Verbindungen sicher und bietet die Möglichkeit, Zertifikate zu widerrufen, wenn diese verloren gehen oder offengelegt werden, ohne die Verbindungen anderer Computer zu unterbrechen.

Bearbeiten: Das Einrichten eines Remotedesktopgateways (im Wesentlichen eines HTTPS-Tunnelgateways für RDP) und das Erfordernis einer Clientzertifikatauthentifizierung beim Einrichten einer SSL-Verbindung über die IIS-Eigenschaften (das Gateway wird als ASP.NET-Anwendung in IIS implementiert) ist möglicherweise verlockend. . Dies scheint jedoch vom Remotedesktopclient nicht unterstützt zu werden. Es gibt keine Möglichkeit, ein Clientzertifikat für eine Proxyverbindung bereitzustellen.

das-wabbit
quelle
Ich habe versucht, die Route des Remotedesktop-Gateways einzuschlagen. Es gibt ein paar Fragen, die zeigen, warum es nicht wie erwartet funktioniert.
Tim Brigham
archive.org-Link für exemplarische Vorgehensweise
mwfearnley