不知道有没有人能在这方面给我一些指导。我们大量使用 RDS,但我想增强它的安全性,VPN 是一种选择,但如果可能的话,我宁愿避免使用。
理想情况下,我希望继续使用本机 RDS 客户端(因此如果可以避免,则不使用 RDWeb),但强制执行客户端证书身份验证以及用户名/密码。我们有 CA 等,因此获取客户端证书不会有问题。
这似乎是 RD 网关应该能够通过 HTTPS 轻松实现的功能,但我在网上根本找不到太多相关信息。有类似这样的帖子 -仅使用有效的客户端证书连接到 Windows Server 2012?- 说明使用 RDCAP 可以做到这一点,但是据我所知,CAP 无法做到这一点,但也许我错了。
所以真的想看看是否有人曾经做过这件事?
另一个选择是像 DuoSecurity 这样的,但我更愿意使用客户端证书,如果用户无法提供证书,它会很早就放弃 TLS 会话,而不是让它进一步发展(堆栈上部的更大攻击媒介)然后再拒绝它们。
感谢您的任何想法!