我如何才能不仅通过用户名/密码而且还通过客户端证书来限制(RDP)对 Windows Server 的访问?
想象一下创建一个证书并将其复制到我想要能够访问服务器的所有计算机。
这不会像基于 IP 的规则那样受到限制,但另一方面会增加一些灵活性,因为并非每台计算机/笔记本电脑都在某个域或固定 IP 范围内。
答案1
一种方法是实施智能卡解决方案。由于成本和麻烦程度,这可能不是您想要的,但许多智能卡实际上就是这样(具有强大私钥保护的基于硬件的证书),并且远程桌面集成是无缝的。
答案2
你可以设置 IPSEC受影响的机器上的证书可能与 NAP 结合并使用 Windows 防火墙过滤未加密的 RDP 流量。
以下是演练对于与您的请求类似但使用预共享密钥而不是证书的场景。
但请记住,“创建证书并将其复制到所有计算机”本身就是一个坏主意 - 你显然应该创建每个客户端一个证书并相应地设置您的访问规则。这可确保您的连接的机密性,并可在证书丢失/泄露时撤销证书,而不会破坏其他机器的连接。
编辑:看起来诱人的是建立一个远程桌面网关(基本上是 RDP 的 HTTPS 隧道网关)并要求在通过 IIS 属性设置 SSL 连接时进行客户端证书身份验证(网关在 IIS 中作为 ASP.NET 应用程序实现)。然而,远程桌面客户端似乎不支持这一点 - 没有办法为代理连接提供客户端证书。