クライアント証明書に基づいてRDPアクセスを許可する方法
ユーザー名/パスワードだけでなく、クライアント証明書を使用して、Windowsサーバーへの(RDP)アクセスを制限するにはどうすればよいですか?
証明書を作成し、これをサーバーへのアクセスを許可するすべてのコンピューターにコピーすることを想像してください。
これは、IPベースのルールほど制限されませんが、すべてのコンピューター/ラップトップが特定のドメインにあるか、IP範囲を修正するわけではないため、柔軟性が追加されます。
IPSECをセットアップする 影響を受けるマシンの証明書を使用して、おそらく NAPと組み合わせて し、Windowsファイアウォールを使用して 暗号化されていないRDPトラフィックをフィルタリングする 。
これはウォークスルーです リクエストに似たシナリオですが、証明書の代わりに事前共有キーを使用します。
ただし、「証明書を作成してすべてのコンピュータにコピーする」こと自体は悪い考えです。クライアントごとに1つの証明書を作成する必要があります1つの証明書それに応じてアクセスルールを設定します。これにより、他のマシンの接続を壊すことなく、証明書が紛失/開示されたときに証明書を取り消す可能性とともに、接続の機密性が保証されます。
編集:魅力的に見える可能性のあるものは リモートデスクトップゲートウェイ (基本的にはRDPのHTTPSトンネルゲートウェイ)の設定であり、 IISプロパティを介したSSL接続設定時のクライアント証明書認証(ゲートウェイはIIS内のASP.NETアプリケーションとして実装されています)。ただし、これはリモートデスクトップクライアントではサポートされていないようです-ありません。プロキシ接続のクライアント証明書を提供する方法。
1つの方法は、スマートカードソリューションを実装することです。コストと痛みのしきい値のため、おそらく探しているものではないかもしれませんが、多くのスマートカードは実際にはそれだけで(強力な秘密キー保護を備えたハードウェアベースの証明書)、リモートデスクトップの統合はシームレスです。