Authentifizierung mit privatem / öffentlichem Schlüssel für Windows-Remotedesktop

17

Gibt es für Windows RDP (Remote Desktop Protocol) etwas, das der SSH-Authentifizierung (unter Linux) mit öffentlichen / privaten Schlüsseln ähnelt (anstatt die normale Kennwortauthentifizierung offen zu lassen)?

Ich finde widersprüchliche Antworten auf dieses Thema im Internet. Ich hoffe, dass ich in der Lage bin, einen privaten Schlüssel nur an Clientgeräte zu verteilen, anstatt bei jeder Anmeldung ein komplexes Kennwort zu verwenden (vorausgesetzt, ich möchte die Kennwortauthentifizierung nicht endgültig deaktivieren).

remote-desktop authentication windows-server-2012-r2 Blitz77
quelle
2
Da Redmond sich weigert, ein Verbindungsprotokoll zu integrieren, das speziell das Erraten von Passwörtern verhindert, muss der Remote-Computer streng genommen nicht sicherer sein als ein Computer, der von unsicherer Bloatware befallen ist. Warum wundert es mich nicht, wenn MSFT an der Datasec-Front versagt?
GT.

Antworten:

4

Remotedesktop unterstützt X.509-Clientzertifikate unter dem Namen "Smartcard-Authentifizierung". Trotz des Namens, es sollte mit der lokal installierten certs / Tasten funktionieren (dh ohne eine tatsächliche Smart-Card). Allerdings ist dafür meines Wissens eine Active Directory-Domäne erforderlich.

Also irgendwie, aber nicht wirklich in einer Weise, die für Sie nützlich ist.

user1686
quelle
1
Möchten Sie es ein wenig erweitern ... Ist es ohne RDP-Gateway?
g2mk
0

Ohne eine AD-Domain wäre eine Möglichkeit, den einfachen Zugriff auf Benutzername und Passwort zu verhindern:

  1. Installieren von OpenSSH für Windows (unter https://github.com/PowerShell/Win32-OpenSSH/releases oder unter Windows 10 und 2019 ist eine Funktion verfügbar),
  2. Mit einem SSH-Client mit Schlüsseln anmelden,
  3. Deaktivieren der Kennwortauthentifizierung über SSH (Kommentar entfernen und "Kennwortauthentifizierung" in% ProgramData% \ ssh \ sshd_config auf "no" setzen),
  4. Wenn Sie die grafische Oberfläche benötigen, konfigurieren Sie Ihren SSH-Client so, dass RDP über SSH getunnelt wird ( https://www.saotn.org/tunnel-rdp-through-ssh/ ).
  5. Deaktivieren des "normalen" RDP-Verkehrs (TCP-Port 3389) über das Netzwerk (nicht in der lokalen Windows-Firewall!), Damit die Kennwortanmeldung nicht verwendet werden kann.

Es könnte bessere Optionen für ein paar $$$ geben. Ich habe zum Beispiel von Yubicos Lösung (mit Hardware-Token) gehört: https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide

Chris
quelle
Diese Yubico-Seite 1. bezieht sich auf eine Lösung mit zwei Faktoren, die mit einem Kennwort beginnt. Ich glaube, die Frage betrifft NICHT die Verwendung eines Passworts. 2. Sagt nichts über RDP. Hatten Sie ein anderes Yubico-Produkt im Sinn?
MarcH
Diese Tunnellösung scheint zusätzlich zur regulären, kennwortbasierten RDP-Authentifizierung eine SSH-Schlüsselanforderung hinzuzufügen. Interessanter und sicherer, aber ich glaube, es geht darum , die Unannehmlichkeiten eines Passworts durch einen privaten Schlüssel zu ersetzen .
MarcH