Comment puis-je limiter (RDP) l'accès à un serveur Windows non seulement par nom d'utilisateur / mot de passe mais aussi avec un certificat client?
Imaginez créer un certificat et le copier sur tous les ordinateurs à partir desquels je veux pouvoir accéder au serveur.
Cela ne serait pas aussi limité que les règles basées sur IP, mais ajouterait une certaine flexibilité d'autre part, car tous les ordinateurs / ordinateurs portables ne se trouvent pas dans un certain domaine ou ne fixent pas la plage IP.
Réponses:
Une façon consiste à mettre en œuvre une solution de carte à puce. Ce n'est probablement pas ce que vous recherchez en raison du seuil de coût et de douleur, mais de nombreuses cartes à puce ne sont en fait que cela (certificats basés sur le matériel avec une forte protection de clé privée), et l'intégration de Remote Desktop est transparente.
la source
Vous pouvez configurer IPSEC avec des certificats sur les machines concernées, éventuellement en conjonction avec NAP et utiliser le pare-feu Windows pour filtrer le trafic RDP entrant non chiffré .
Voici une procédure pas à pas pour un scénario similaire à votre demande mais utilisant des clés prépartagées au lieu de certificats.
Mais gardez à l'esprit que «créer un certificat et le copier sur tous les ordinateurs» est une mauvaise idée en soi - vous devez évidemment créer un certificat par client et configurer vos règles d'accès en conséquence. Cela garantit la confidentialité de vos connexions ainsi que la possibilité de révoquer les certificats lorsqu'ils sont perdus / divulgués sans interrompre les connexions des autres machines.
Modifier: quelque chose qui peut sembler tentant est de configurer une passerelle de bureau à distance (essentiellement une passerelle de tunnel HTTPS pour RDP) et d'exiger une authentification de certificat client lors de la configuration de la connexion SSL via les propriétés IIS (la passerelle est implémentée en tant qu'application ASP.NET dans IIS) . Cependant, cela ne semble pas être pris en charge par le client Bureau à distance - il n'y a aucun moyen de fournir un certificat client pour une connexion proxy.
la source