web-dev-qa-db-ja.com

Windowsリモートデスクトップの秘密/公開キー認証

SSH(Linuxの場合)公開/秘密鍵認証(通常のパスワード認証を開いたままにする代わりに)に似ているWindows RDP(リモートデスクトッププロトコル)に何か存在しますか?

私はこのトピックについてインターネット上で矛盾する答えを見つけています。ログインごとに複雑なパスワードを使用するのではなく、クライアントデバイスに秘密鍵を配布できることを望んでいます(最終的にパスワード認証を完全に無効にしたくない場合)。

18
Lightning77

リモートデスクトップは、「スマートカード認証」の名前でX.509クライアント証明書をサポートします。名前にもかかわらず、それはshouldローカルにインストールされた証明書/キーで動作します(つまり、実際のスマートカードなしで)。ただし、私の知る限り、Active Directoryドメインが必要です。

ですから、実際にはそうではありません。

4
user1686

ADドメインがない場合、ユーザー名とパスワードによる単純なアクセスを防ぐ可能性は次のようになります。

  1. OpenSSH for Windowsをインストールします( https://github.com/PowerShell/Win32-OpenSSH/releases から、またはWindows 10および2019で使用可能な機能です)、
  2. SSHクライアントを使用してキーでログオンし、
  3. SSHを介したパスワード認証の無効化(コメントを解除して、%ProgramData%\ ssh\sshd_configで「パスワード認証」を「いいえ」に設定します)、
  4. グラフィカルインターフェイスが必要な場合は、SSH経由でRDPをトンネルするようにSSHクライアントを構成します( https://www.saotn.org/tunnel-rdp-through-ssh/ )、
  5. パスワードログオンを使用できないように、ネットワーク上の(ローカルのWindowsファイアウォールではなく) "通常の" RDPトラフィック(TCPポート3389)を無効にする。

いくつかの$$$のより良いオプションがあるかもしれません。たとえば、(ハードウェアトークンを使用した)Yubicoのソリューションについて聞いたことがあります: https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide =

0
Chris