Authentification par clé privée / publique pour Windows Remote Desktop

18

Existe-t-il quelque chose pour Windows RDP (Remote Desktop Protocol) qui soit similaire à l'authentification par clé publique / privée SSH (sous Linux) (au lieu de laisser l'authentification par mot de passe normale ouverte)?

Je trouve des réponses contradictoires à ce sujet sur Internet. J'espère pouvoir simplement distribuer une clé privée aux appareils clients au lieu d'utiliser un mot de passe complexe à chaque connexion (en supposant que je ne souhaite pas désactiver totalement l'authentification par mot de passe).

remote-desktop authentication windows-server-2012-r2 Lightning77
la source
2
En refusant d'incorporer un protocole de connexion qui empêche spécifiquement de deviner les mots de passe, les demi-esprits de Redmond exigent que la machine distante ne soit strictement pas plus sécurisée qu'une machine infestée par leur bloatware non sécurisé. Pourquoi ne suis-je pas surpris lorsque MSFT échoue sur le front des données?
GT.

Réponses:

4

Remote Desktop prend en charge les certificats clients X.509, sous le nom "Authentification par carte à puce". Malgré son nom, il devrait fonctionner avec des certificats / clés installés localement (c'est-à-dire sans véritable carte à puce). Bien qu'il nécessite cependant un domaine Active Directory, pour autant que je sache.

Donc, en quelque sorte, mais pas vraiment d'une manière qui vous soit utile.

user1686
la source
1
Aimeriez-vous l'étendre un peu ... Est-ce sans passerelle RDP?
g2mk
0

Sans domaine AD, une possibilité d'empêcher l'accès simple au nom d'utilisateur et au mot de passe serait:

  1. Installer OpenSSH pour Windows (à partir de https://github.com/PowerShell/Win32-OpenSSH/releases ou sur Windows 10 et 2019, c'est une fonctionnalité disponible),
  2. Utiliser un client SSH pour se connecter avec des clés,
  3. Désactiver l'authentification par mot de passe via SSH (décommenter et définir "authentification par mot de passe" sur "non" dans% ProgramData% \ ssh \ sshd_config),
  4. Si vous avez besoin de l'interface graphique, configurez votre client SSH pour tunneler RDP sur SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
  5. Désactiver le trafic RDP "régulier" (port TCP 3389) sur le réseau (pas sur le pare-feu Windows local!) Afin que la connexion par mot de passe ne puisse pas être utilisée.

Il pourrait y avoir de meilleures options pour quelques $$$. J'ai entendu parler de la solution Yubico par exemple (avec jeton matériel): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide

Chris
la source
Cette page Yubico 1. fait référence à une solution à DEUX facteurs qui commence par un mot de passe. Je crois que la question est de NE PAS utiliser de mot de passe. 2. Ne dit rien sur RDP. Avez-vous un autre produit Yubico en tête?
MarcH
Cette solution de tunneling semble ajouter une exigence de clé ssh en plus de l'authentification RDP régulière, basée sur un mot de passe, n'est-ce pas? Intéressant et plus sûr mais je pense que la question est de remplacer les inconvénients d'un mot de passe par une clé privée.
MarcH