การรับรองความถูกต้องของคีย์ส่วนตัว / สาธารณะสำหรับเดสก์ท็อประยะไกลของ Windows

มีสิ่งใดสำหรับ Windows RDP (Remote Desktop Protocol) ที่คล้ายกับ SSH (ใน Linux) การตรวจสอบคีย์สาธารณะ / ส่วนตัว (แทนที่จะเปิดการตรวจสอบรหัสผ่านปกติไว้)

ฉันพบคำตอบที่ขัดแย้งกันในหัวข้อนี้ทางอินเทอร์เน็ต ฉันหวังว่าจะสามารถแจกจ่ายคีย์ส่วนตัวไปยังอุปกรณ์ไคลเอนต์แทนที่จะใช้รหัสผ่านที่ซับซ้อนในการเข้าสู่ระบบทุกครั้ง (สมมติว่าฉันไม่ต้องการปิดใช้งานการตรวจสอบรหัสผ่านโดยสิ้นเชิงในที่สุด)

เดสก์ท็อประยะไกลรองรับใบรับรองไคลเอ็นต์ X.509 ภายใต้ชื่อ "การรับรองความถูกต้องของสมาร์ทการ์ด" แม้จะมีชื่อ แต่ควรทำงานกับ certs / keys ที่ติดตั้งในเครื่อง (เช่นไม่มีสมาร์ทการ์ดจริง) แม้ว่ามันจะต้องมีโดเมน Active Directory แต่เท่าที่ฉันรู้

ดังนั้นการเรียงลำดับ แต่ไม่จริงในทางที่เป็นประโยชน์กับคุณ

หากไม่มีโดเมนโฆษณาความเป็นไปได้ที่จะป้องกันการเข้าถึงชื่อผู้ใช้และรหัสผ่านง่าย ๆ คือ:

1. การติดตั้ง OpenSSH สำหรับ Windows (จากhttps://github.com/PowerShell/Win32-OpenSSH/releasesหรือบน Windows 10 & 2019 เป็นคุณสมบัติที่มีให้)
2. การใช้ไคลเอ็นต์ SSH เพื่อเข้าสู่ระบบด้วยกุญแจ
3. การปิดใช้งานการตรวจสอบรหัสผ่านผ่าน SSH (ไม่ใส่ข้อคิดเห็นและตั้งค่า "การตรวจสอบรหัสผ่าน" เป็น "ไม่" ใน% ProgramData% \ ssh \ sshd_config)
4. หากคุณต้องการอินเทอร์เฟซแบบกราฟิกให้กำหนดค่าไคลเอนต์ SSH ของคุณเป็น tunnel RDP ผ่าน SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ )
5. ปิดใช้งานทราฟฟิก RDP "ปกติ" (พอร์ต TCP 3389) ผ่านเครือข่าย (ไม่ใช่ไฟร์วอลล์ Windows ในระบบ!) เพื่อให้ไม่สามารถใช้การเข้าสู่ระบบด้วยรหัสผ่านได้

อาจมีตัวเลือกที่ดีกว่าสำหรับ $$$ ฉันเคยได้ยินวิธีแก้ปัญหาของ Yubico เช่น (มีโทเค็นฮาร์ดแวร์): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide