Otentikasi Pribadi / Publik Key untuk Windows Remote desktop

Apakah ada sesuatu untuk Windows RDP (Remote Desktop Protocol) yang mirip dengan SSH (di Linux) otentikasi kunci Publik / Pribadi (Alih-alih membiarkan otentikasi kata sandi normal terbuka)?

Saya menemukan jawaban yang bertentangan dengan topik ini di internet. Saya berharap dapat hanya mendistribusikan kunci pribadi ke perangkat klien daripada menggunakan kata sandi yang kompleks pada setiap login (dengan asumsi saya tidak ingin pada akhirnya menonaktifkan otentikasi kata sandi sepenuhnya).

Remote Desktop mendukung sertifikat klien X.509, dengan nama "otentikasi kartu pintar". Terlepas dari namanya, itu harus bekerja dengan sertifikat / kunci yang diinstal secara lokal (yaitu tanpa kartu pintar yang sebenarnya). Namun itu memang membutuhkan domain Direktori Aktif, sejauh yang saya tahu.

Jadi, semacam tapi tidak benar-benar berguna bagi Anda.

Tanpa domain AD, kemungkinan untuk mencegah akses nama pengguna & kata sandi sederhana adalah:

1. Menginstal OpenSSH untuk Windows (dari https://github.com/PowerShell/Win32-OpenSSH/releases atau pada Windows 10 & 2019 ini adalah fitur yang tersedia),
2. Menggunakan klien SSH untuk masuk dengan kunci,
3. Menonaktifkan otentikasi kata sandi melalui SSH (batalkan komentar dan setel "otentikasi kata sandi" menjadi "tidak" di% ProgramData% \ ssh \ sshd_config),
4. Jika Anda memerlukan antarmuka grafis, konfigurasikan klien SSH Anda ke tunnel RDP melalui SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. Menonaktifkan lalu lintas RDP "reguler" (port TCP 3389) melalui jaringan (bukan pada Firewall Windows lokal!) Sehingga kata sandi masuk tidak dapat digunakan.

Mungkin ada opsi yang lebih baik untuk beberapa $$$. Saya pernah mendengar tentang solusi Yubico misalnya (dengan token perangkat keras): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide