windows 的远程桌面支持私钥认证吗

2015-04-28 16:19:02 +08:00
 holinhot

密码太不安全了 每天几万条爆破日志

像ssh那样配置私钥认证安全性大大提升

9714 次点击
所在节点    Windows
23 条回复
hljjhb
2015-04-28 16:49:25 +08:00
用IPSec加密
Citrus
2015-04-28 17:10:07 +08:00
有一个智能卡认证似乎可以实现类似效果,不过从未试验过,楼主可以往那个方向找找资料。或者直接 IP 白名单了事啊。。。
holinhot
2015-04-28 17:25:11 +08:00
白名单太死了
holinhot
2015-04-28 17:57:53 +08:00
geeklian
2015-04-28 18:45:50 +08:00
https://technet.microsoft.com/en-us/library/dn781533.aspx

微软的technet文档异常丰富...就是没人看
Showfom
2015-04-28 18:51:58 +08:00
支持证书
Citrus
2015-04-28 18:54:48 +08:00
@geeklian 你仔细看看你给的文档是干嘛的。。。。。。
ETiV
2015-04-28 19:48:04 +08:00
跳板机。阿里云固定IP连过去
sanddudu
2015-04-28 19:49:18 +08:00
@Citrus Remote Desktop Services uses certificates to sign the communication between two computers. When a client connects to a server, the identity of the server and the information from the client is validated using certificates.
有啥问题么
holinhot
2015-04-28 20:06:25 +08:00
@sanddudu
@geeklian
这个是普通ssl证书还是什么 。
还有一般ssl证书钥私放服务器上的啊。这个怎么放
hjc4869
2015-04-28 20:26:55 +08:00
关了Administrator的RD访问权限,它再怎么爆也无济于事啊。。。
xenme
2015-04-28 20:45:29 +08:00
同意 @ETiV ,服务器暴露的越少越好,从堡垒机/跳板机连接就好
geeklian
2015-04-28 20:46:50 +08:00
@holinhot
这个不用放,简单来说,AD里的证书服务器给某个域用户签发一个拥有“Server Authentication” or “Remote Desktop Authentication”扩展的证书。然后你RDP域中服务器时,用这证书代替你输入用户名密码。

具体操作technet

Windows服务器成规模时很方便。不用每台服务器改配置,一个证书免密登录所有给你RDP权限的服务器,证书丢了直接吊销签发个新的,用户删除直接删AD就是了。

单台windows服务器的话,免密没啥好办法。vps玩玩的话,禁掉administrator的话就够了。
holinhot
2015-04-28 21:09:38 +08:00
@geeklian 如果有用ad我也不就配置证书验证了。看来没有ssh那种快捷好用的了
Citrus
2015-04-28 22:31:48 +08:00
@sanddudu 然而事实上这篇文章只教你怎么生成服务器证书ˊ_>ˋ
geeklian
2015-04-29 07:57:44 +08:00
@Citrus
私钥和证书登陆,目的,性能,解决的问题都是一样的。只不过证书更适合企业的集群管理,私钥更适合一对一的管理。你的linux如果做了ldap集成,openssh一样可以用证书登陆。
holinhot
2015-04-29 09:26:54 +08:00
@Citrus
@geeklian windows 2008默认的远程桌面是有证书的。还说 上面这个只是装个证书每次远程桌面不发出证书告警而一 还是有身份验证功能
Citrus
2015-04-29 11:17:46 +08:00
@geeklian 然而你发的文章没教怎么用私钥登陆啊。。。
@holinhot 2008以上默认都有证书,我看了那篇文章跟你理解的一样,没找到怎么生成私钥证书用来登陆ˊ_>ˋ
geeklian
2015-04-29 19:06:27 +08:00
@Citrus

是服务器证书没错啊
平时你rdp,服务器会自签发一个证书,这时候这个证书只是加密用。

现在ca给你签发一个可以登录某些服务器的证书,然后你保存在你的办公机上,rdp时会要求你选择证书,服务器拿你的证书跟ad里ca签发的ad根证书做验证,验证不通过就断开了。

如此一来,没有你这个证书的人,就没法爆破你的服务器啦.....
geeklian
2015-04-29 19:55:04 +08:00
@Citrus
@holinhot

好吧....应该是我理解错了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/187005

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX