클라이언트 인증서를 기반으로 RDP 액세스를 허용하는 방법

사용자 이름 / 암호뿐만 아니라 클라이언트 인증서로 Windows Server에 대한 RDP 액세스를 제한하려면 어떻게해야합니까?

인증서를 만들어서 서버에 액세스 할 수있는 모든 컴퓨터에 인증서를 복사한다고 상상해보십시오.

IP 기반 규칙만큼 제한되지는 않지만 모든 컴퓨터 / 노트북이 특정 도메인에 있거나 IP 범위를 고정하지는 않기 때문에 유연성이 추가됩니다.

한 가지 방법은 스마트 카드 솔루션을 구현하는 것입니다. 아마도 비용과 고통으로 인해 원하는 것은 아니지만 많은 스마트 카드는 실제로 그 자체만으로도 강력한 개인 키 보호 기능을 갖춘 하드웨어 기반 인증서 일 뿐이며 원격 데스크톱 통합이 원활합니다.

당신은 할 수 IPSEC을 설정 가능성, 영향을받는 시스템에 인증서를 NAP와 함께 하고 Windows 방화벽을 사용하여 암호화되지 않은오고 필터 RDP 트래픽 .

다음은 요청과 유사하지만 인증서 대신 사전 공유 키를 사용하는 시나리오에 대한 연습 입니다.

그러나 "인증서를 작성하고이를 모든 컴퓨터에 복사"한다는 것은 그 자체로 나쁜 생각 입니다. 클라이언트 당 하나의 인증서를 작성 하고 이에 따라 액세스 규칙을 설정해야합니다. 이렇게하면 다른 컴퓨터의 연결을 끊지 않고 인증서가 손실되거나 공개 될 때 인증서를 해지 할 수있는 가능성과 함께 연결의 기밀성이 보장됩니다.

편집 : 유혹적으로 보일 수있는 것은 원격 데스크톱 게이트웨이 (기본적으로 RDP 용 HTTPS 터널 게이트웨이)를 설정하고 IIS 속성을 통해 SSL 연결 설정시 클라이언트 인증서 인증이 필요합니다 (게이트웨이는 IIS 내에서 ASP.NET 응용 프로그램으로 구현 됨) . 그러나 이것은 원격 데스크톱 클라이언트에서 지원되지 않는 것 같습니다. 프록시 연결에 클라이언트 인증서를 제공 할 방법이 없습니다.