Cara mengizinkan akses RDP berdasarkan sertifikat klien

Bagaimana saya bisa membatasi akses (RDP) ke Windows Server tidak hanya dengan nama pengguna / kata sandi tetapi juga dengan sertifikat klien?

Bayangkan membuat sertifikat dan menyalin ini ke semua komputer dari mana saya ingin dapat mengakses server.

Ini tidak akan sebatas aturan berbasis IP tetapi akan menambahkan beberapa fleksibilitas di sisi lain karena tidak setiap komputer / laptop berada dalam domain tertentu atau memperbaiki kisaran ip.

Salah satu caranya adalah dengan mengimplementasikan solusi kartu pintar. Mungkin bukan yang Anda cari karena ambang biaya dan rasa sakit, tetapi banyak kartu pintar sebenarnya hanya itu (sertifikat berbasis perangkat keras dengan perlindungan kunci privat yang kuat), dan integrasi Remote Desktop mulus.

Anda dapat mengatur IPSEC dengan sertifikat pada mesin yang terpengaruh, mungkin bersamaan dengan NAP dan menggunakan Windows Firewall untuk memfilter lalu lintas RDP yang tidak terenkripsi .

Berikut ini adalah panduan untuk skenario yang mirip dengan permintaan Anda tetapi menggunakan kunci preshared dan bukan sertifikat.

Namun perlu diingat bahwa "membuat sertifikat dan menyalin ini ke semua komputer" adalah ide yang buruk - Anda tentu harus membuat satu sertifikat per klien dan membuat aturan akses yang sesuai. Ini memastikan kerahasiaan koneksi Anda bersama dengan kemungkinan untuk mencabut sertifikat karena hilang / diungkapkan tanpa memutus koneksi mesin lain.

Sunting: sesuatu yang mungkin terlihat menggoda adalah mengatur Remote Desktop Gateway (pada dasarnya HTTPS tunnel gateway untuk RDP) dan memerlukan otentikasi sertifikat klien pada pengaturan koneksi SSL melalui properti IIS (Gateway diimplementasikan sebagai aplikasi ASP.NET dalam IIS) . Namun ini tampaknya tidak didukung oleh Remote Desktop Client - tidak ada cara untuk memberikan sertifikat klien untuk koneksi proksi.