Gibt es für Windows RDP (Remote Desktop Protocol) etwas, das der öffentlichen/privaten Schlüsselauthentifizierung von SSH (unter Linux) ähnelt (anstatt die normale Kennwortauthentifizierung offen zu lassen)?
Ich finde im Internet widersprüchliche Antworten zu diesem Thema. Ich hoffe, dass ich einfach einen privaten Schlüssel an Client-Geräte verteilen kann, anstatt bei jeder Anmeldung ein komplexes Passwort zu verwenden (vorausgesetzt, ich möchte die Passwortauthentifizierung nicht irgendwann vollständig deaktivieren).
Antwort1
Remote Desktop unterstützt X.509-Client-Zertifikate unter dem Namen „Smartcard-Authentifizierung“. Trotz des Namens ist essollenfunktioniert mit lokal installierten Zertifikaten/Schlüsseln (also ohne echte Smartcard). Allerdings ist dafür meines Wissens eine Active Directory-Domäne erforderlich.
Also, irgendwie schon, aber nicht wirklich auf eine Weise, die Ihnen nützlich ist.
Antwort2
Ohne eine AD-Domäne besteht die Möglichkeit, den einfachen Zugriff per Benutzername und Passwort zu verhindern:
- Installieren von OpenSSH für Windows (vonhttps://github.com/PowerShell/Win32-OpenSSH/releasesoder unter Windows 10 und 2019 ist es eine verfügbare Funktion),
- Verwendung eines SSH-Clients zur Anmeldung mit Schlüsseln,
- Deaktivieren der Kennwortauthentifizierung über SSH (Kommentare entfernen und „Kennwortauthentifizierung“ in %ProgramData%\ssh\sshd_config auf „Nein“ setzen),
- Wenn Sie die grafische Benutzeroberfläche benötigen, konfigurieren Sie Ihren SSH-Client so, dass RDP über SSH getunnelt wird (https://www.saotn.org/tunnel-rdp-through-ssh/),
- Deaktivieren des „normalen“ RDP-Verkehrs (TCP-Port 3389) über das Netzwerk (nicht über die lokale Windows-Firewall!), sodass die Kennwortanmeldung nicht verwendet werden kann.
Für ein paar Dollar gibt es vielleicht bessere Optionen. Ich habe zum Beispiel von der Lösung von Yubico gehört (mit Hardware-Token):https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide