Windowsリモートデスクトップの秘密/公開キー認証
SSH(Linuxの場合)公開/秘密鍵認証(通常のパスワード認証を開いたままにする代わりに)に似ているWindows RDP(リモートデスクトッププロトコル)に何か存在しますか?
私はこのトピックについてインターネット上で矛盾する答えを見つけています。ログインごとに複雑なパスワードを使用するのではなく、クライアントデバイスに秘密鍵を配布できることを望んでいます(最終的にパスワード認証を完全に無効にしたくない場合)。
リモートデスクトップは、「スマートカード認証」の名前でX.509クライアント証明書をサポートします。名前にもかかわらず、それはshouldローカルにインストールされた証明書/キーで動作します(つまり、実際のスマートカードなしで)。ただし、私の知る限り、Active Directoryドメインが必要です。
ですから、実際にはそうではありません。
ADドメインがない場合、ユーザー名とパスワードによる単純なアクセスを防ぐ可能性は次のようになります。
- OpenSSH for Windowsをインストールします( https://github.com/PowerShell/Win32-OpenSSH/releases から、またはWindows 10および2019で使用可能な機能です)、
- SSHクライアントを使用してキーでログオンし、
- SSHを介したパスワード認証の無効化(コメントを解除して、%ProgramData%\ ssh\sshd_configで「パスワード認証」を「いいえ」に設定します)、
- グラフィカルインターフェイスが必要な場合は、SSH経由でRDPをトンネルするようにSSHクライアントを構成します( https://www.saotn.org/tunnel-rdp-through-ssh/ )、
- パスワードログオンを使用できないように、ネットワーク上の(ローカルのWindowsファイアウォールではなく) "通常の" RDPトラフィック(TCPポート3389)を無効にする。
いくつかの$$$のより良いオプションがあるかもしれません。たとえば、(ハードウェアトークンを使用した)Yubicoのソリューションについて聞いたことがあります: https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide =