¿Existe algo para Windows RDP (Protocolo de escritorio remoto) que sea similar a la autenticación de clave pública/privada SSH (en Linux) (en lugar de dejar abierta la autenticación de contraseña normal)?
Estoy encontrando respuestas contradictorias a este tema en Internet. Espero poder distribuir una clave privada a los dispositivos cliente en lugar de usar una contraseña compleja en cada inicio de sesión (suponiendo que no quiera deshabilitar por completo la autenticación de contraseña).
Respuesta1
Escritorio remoto admite certificados de cliente X.509, con el nombre de "autenticación de tarjeta inteligente". A pesar del nombre,deberíatrabajar con certificados/claves instalados localmente (es decir, sin una tarjeta inteligente real). Aunque, hasta donde yo sé, requiere un dominio de Active Directory.
Entonces, más o menos, pero no realmente de una manera que sea útil para usted.
Respuesta2
Sin un dominio AD, una posibilidad para evitar el acceso simple con nombre de usuario y contraseña sería:
- Instalación de OpenSSH para Windows (desdehttps://github.com/PowerShell/Win32-OpenSSH/releaseso en Windows 10 y 2019 es una característica disponible),
- Usar un cliente SSH para iniciar sesión con claves,
- Deshabilitar la autenticación de contraseña a través de SSH (elimine el comentario y establezca "autenticación de contraseña" en "no" en %ProgramData%\ssh\sshd_config),
- Si necesita la interfaz gráfica, configure su cliente SSH para hacer un túnel RDP a través de SSH (https://www.saotn.org/tunnel-rdp-through-ssh/),
- Deshabilitar el tráfico RDP "normal" (puerto TCP 3389) a través de la red (¡no en el Firewall local de Windows!) para que no se pueda utilizar el inicio de sesión con contraseña.
Puede que haya mejores opciones por unos pocos $$$. He oído hablar de la solución de Yubico, por ejemplo (con token de hardware):https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide