วิธีอนุญาตการเข้าถึง RDP ตามใบรับรองไคลเอ็นต์

ฉันจะ จำกัด การเข้าถึง (RDP) ให้กับ Windows Server ไม่เพียง แต่ด้วยชื่อผู้ใช้ / รหัสผ่าน แต่ด้วยใบรับรองไคลเอ็นต์?

ลองนึกภาพการสร้างใบรับรองและคัดลอกสิ่งนี้ไปยังคอมพิวเตอร์ทุกเครื่องที่ฉันต้องการเข้าถึงเซิร์ฟเวอร์จาก

สิ่งนี้จะไม่ถูก จำกัด ตามกฎ IP แต่จะเพิ่มความยืดหยุ่นบางอย่างในขณะที่คอมพิวเตอร์ / แล็ปท็อปทุกเครื่องไม่อยู่ในโดเมนที่แน่นอนหรือแก้ไขช่วง IP

วิธีหนึ่งคือการใช้โซลูชันสมาร์ทการ์ด อาจไม่ใช่สิ่งที่คุณกำลังมองหาเนื่องจากเกณฑ์ค่าใช้จ่ายและความเจ็บปวด แต่สมาร์ทการ์ดจำนวนมากเป็นเพียงแค่นั้น (ใบรับรองจากฮาร์ดแวร์ที่มีการป้องกันคีย์ส่วนตัวที่แข็งแกร่ง) และการรวมเดสก์ท็อประยะไกลนั้นราบรื่น

คุณสามารถตั้งค่า IPSECกับใบรับรองบนเครื่องได้รับผลกระทบอาจจะร่วมกับ NAPและใช้ไฟร์วอลล์ Windows เพื่อกรองการจราจร RDP ซึ่งเป็นที่มาที่ไม่ได้เข้ารหัส

นี่คือคำแนะนำสำหรับสถานการณ์ที่คล้ายกับคำขอของคุณ แต่ใช้คีย์ที่แบ่งไว้ล่วงหน้าแทนที่จะเป็นใบรับรอง

แต่โปรดจำไว้ว่า "การสร้างใบรับรองและการคัดลอกสิ่งนี้ไปยังคอมพิวเตอร์ทุกเครื่อง" เป็นความคิดที่ไม่ดีในตัวเอง - คุณควรสร้างใบรับรองหนึ่งใบต่อลูกค้าหนึ่งรายและตั้งค่ากฎการเข้าถึงตามความเหมาะสม วิธีนี้ช่วยให้มั่นใจว่าการเชื่อมต่อของคุณเป็นความลับพร้อมกับความเป็นไปได้ในการเพิกถอนใบรับรองเนื่องจากข้อมูลสูญหาย / ถูกเปิดเผยโดยไม่ทำให้การเชื่อมต่อของเครื่องอื่นเสียหาย

แก้ไข:สิ่งที่อาจดูล่อลวงคือการตั้งค่าเกตเวย์เดสก์ท็อประยะไกล (โดยทั่วไปจะเป็นเกตเวย์อุโมงค์ HTTPS สำหรับ RDP) และต้องการการรับรองความถูกต้องใบรับรองไคลเอนต์ตามการตั้งค่าการเชื่อมต่อ SSL ผ่านคุณสมบัติ IIS (เกตเวย์ถูกใช้งานในฐานะ . อย่างไรก็ตามดูเหมือนว่าจะไม่ได้รับการสนับสนุนจากไคลเอนต์เดสก์ท็อประยะไกล - ไม่มีวิธีที่จะให้ใบรับรองไคลเอ็นต์สำหรับการเชื่อมต่อพร็อกซี