ユーザー名/パスワードだけでなく、クライアント証明書を使用して、Windowsサーバーへの(RDP)アクセスを制限するにはどうすればよいですか?
証明書を作成し、これをサーバーにアクセスできるすべてのコンピューターにコピーすることを想像してください。
これはIPベースのルールほど制限されませんが、すべてのコンピューター/ラップトップが特定のドメインにあるわけではなく、IPの範囲を修正するわけではないため、柔軟性が追加されます。
ユーザー名/パスワードだけでなく、クライアント証明書を使用して、Windowsサーバーへの(RDP)アクセスを制限するにはどうすればよいですか?
証明書を作成し、これをサーバーにアクセスできるすべてのコンピューターにコピーすることを想像してください。
これはIPベースのルールほど制限されませんが、すべてのコンピューター/ラップトップが特定のドメインにあるわけではなく、IPの範囲を修正するわけではないため、柔軟性が追加されます。
回答:
1つの方法は、スマートカードソリューションを実装することです。おそらくコストと痛みのしきい値のために探しているものではありませんが、多くのスマートカードは実際にはそれだけで(強力な秘密キー保護を備えたハードウェアベースの証明書)、リモートデスクトップ統合はシームレスです。
あなたは可能性がIPSECを設定する可能性が、影響を受けるマシン上の証明書とNAPと一緒にしてにWindowsファイアウォールを使用して暗号化されていないに来ているフィルタのRDPトラフィック。
これは、リクエストに似ていますが、証明書の代わりに事前共有キーを使用するシナリオのチュートリアルです。
ただし、「証明書を作成してこれをすべてのコンピューターにコピーする」こと自体は悪い考えであることに留意してください。クライアントごとに1つの証明書を作成し、それに応じてアクセスルールを設定する必要があります。これにより、他のマシンの接続を切断することなく、紛失/開示された証明書を取り消すことができるとともに、接続の機密性が確保されます。
編集:魅力的に見えるかもしれないものは、リモートデスクトップゲートウェイ(基本的にはRDPのHTTPSトンネルゲートウェイ)のセットアップであり、IISプロパティを介したSSL接続セットアップ時にクライアント証明書認証が必要です(ゲートウェイはIIS内のASP.NETアプリケーションとして実装されます) 。ただし、これはリモートデスクトップクライアントではサポートされていないようです。プロキシ接続のクライアント証明書を提供する方法はありません。