SSH(Linux)와 유사한 Windows RDP(원격 데스크톱 프로토콜)용 공개/개인 키 인증(일반 비밀번호 인증을 열어 두는 대신)이 있습니까?
인터넷에서 이 주제에 대해 상충되는 답변을 찾고 있습니다. 로그인할 때마다 복잡한 비밀번호를 사용하는 대신 개인 키를 클라이언트 장치에 배포할 수 있기를 바랍니다(결국 비밀번호 인증을 완전히 비활성화하고 싶지 않다고 가정).
답변1
원격 데스크톱은 "스마트 카드 인증" 이름으로 X.509 클라이언트 인증서를 지원합니다. 이름에도 불구하고, 그것은~해야 한다로컬에 설치된 인증서/키로 작업합니다(즉, 실제 스마트 카드 없이). 그러나 내가 아는 한 Active Directory 도메인이 필요합니다.
그래서, 일종의 것이지만 실제로는 당신에게 유용한 방식은 아닙니다.
답변2
AD 도메인이 없으면 간단한 사용자 이름 및 비밀번호 액세스를 방지할 수 있는 가능성은 다음과 같습니다.
- Windows용 OpenSSH 설치(https://github.com/PowerShell/Win32-OpenSSH/releases또는 Windows 10 및 2019에서는 사용 가능한 기능입니다.)
- SSH 클라이언트를 사용하여 키로 로그온합니다.
- SSH를 통한 비밀번호 인증 비활성화(%ProgramData%\ssh\sshd_config에서 "비밀번호 인증"을 주석 해제하고 "no"로 설정),
- 그래픽 인터페이스가 필요한 경우 SSH를 통해 RDP를 터널링하도록 SSH 클라이언트를 구성합니다(https://www.saotn.org/tunnel-rdp-through-ssh/),
- 암호 로그온을 사용할 수 없도록 네트워크(로컬 Windows 방화벽이 아님)를 통한 "일반" RDP 트래픽(TCP 포트 3389)을 비활성화합니다.
몇 $$$에 대해 더 나은 옵션이 있을 수 있습니다. 예를 들어 Yubico의 솔루션(하드웨어 토큰 사용)에 대해 들었습니다.https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide