V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
holinhot
V2EX  ›  Windows

windows 的远程桌面支持私钥认证吗

  •  
  •   holinhot · 2015-04-28 16:19:02 +08:00 · 9732 次点击
    这是一个创建于 3506 天前的主题,其中的信息可能已经有所发展或是发生改变。

    密码太不安全了 每天几万条爆破日志

    像ssh那样配置私钥认证安全性大大提升

    23 条回复    2015-04-29 20:23:11 +08:00
    hljjhb
        1
    hljjhb  
       2015-04-28 16:49:25 +08:00 via Android   ❤️ 1
    用IPSec加密
    Citrus
        2
    Citrus  
       2015-04-28 17:10:07 +08:00 via iPhone   ❤️ 1
    有一个智能卡认证似乎可以实现类似效果,不过从未试验过,楼主可以往那个方向找找资料。或者直接 IP 白名单了事啊。。。
    holinhot
        3
    holinhot  
    OP
       2015-04-28 17:25:11 +08:00
    白名单太死了
    holinhot
        4
    holinhot  
    OP
       2015-04-28 17:57:53 +08:00
    geeklian
        5
    geeklian  
       2015-04-28 18:45:50 +08:00 via iPhone
    https://technet.microsoft.com/en-us/library/dn781533.aspx

    微软的technet文档异常丰富...就是没人看
    Showfom
        6
    Showfom  
       2015-04-28 18:51:58 +08:00
    支持证书
    Citrus
        7
    Citrus  
       2015-04-28 18:54:48 +08:00 via iPhone
    @geeklian 你仔细看看你给的文档是干嘛的。。。。。。
    ETiV
        8
    ETiV  
       2015-04-28 19:48:04 +08:00 via iPhone   ❤️ 1
    跳板机。阿里云固定IP连过去
    sanddudu
        9
    sanddudu  
       2015-04-28 19:49:18 +08:00
    @Citrus Remote Desktop Services uses certificates to sign the communication between two computers. When a client connects to a server, the identity of the server and the information from the client is validated using certificates.
    有啥问题么
    holinhot
        10
    holinhot  
    OP
       2015-04-28 20:06:25 +08:00
    @sanddudu
    @geeklian
    这个是普通ssl证书还是什么 。
    还有一般ssl证书钥私放服务器上的啊。这个怎么放
    hjc4869
        11
    hjc4869  
       2015-04-28 20:26:55 +08:00   ❤️ 1
    关了Administrator的RD访问权限,它再怎么爆也无济于事啊。。。
    xenme
        12
    xenme  
       2015-04-28 20:45:29 +08:00
    同意 @ETiV ,服务器暴露的越少越好,从堡垒机/跳板机连接就好
    geeklian
        13
    geeklian  
       2015-04-28 20:46:50 +08:00
    @holinhot
    这个不用放,简单来说,AD里的证书服务器给某个域用户签发一个拥有“Server Authentication” or “Remote Desktop Authentication”扩展的证书。然后你RDP域中服务器时,用这证书代替你输入用户名密码。

    具体操作technet

    Windows服务器成规模时很方便。不用每台服务器改配置,一个证书免密登录所有给你RDP权限的服务器,证书丢了直接吊销签发个新的,用户删除直接删AD就是了。

    单台windows服务器的话,免密没啥好办法。vps玩玩的话,禁掉administrator的话就够了。
    holinhot
        14
    holinhot  
    OP
       2015-04-28 21:09:38 +08:00
    @geeklian 如果有用ad我也不就配置证书验证了。看来没有ssh那种快捷好用的了
    Citrus
        15
    Citrus  
       2015-04-28 22:31:48 +08:00 via iPhone
    @sanddudu 然而事实上这篇文章只教你怎么生成服务器证书ˊ_>ˋ
    geeklian
        16
    geeklian  
       2015-04-29 07:57:44 +08:00 via iPhone   ❤️ 1
    @Citrus
    私钥和证书登陆,目的,性能,解决的问题都是一样的。只不过证书更适合企业的集群管理,私钥更适合一对一的管理。你的linux如果做了ldap集成,openssh一样可以用证书登陆。
    holinhot
        17
    holinhot  
    OP
       2015-04-29 09:26:54 +08:00
    @Citrus
    @geeklian windows 2008默认的远程桌面是有证书的。还说 上面这个只是装个证书每次远程桌面不发出证书告警而一 还是有身份验证功能
    Citrus
        18
    Citrus  
       2015-04-29 11:17:46 +08:00 via iPhone
    @geeklian 然而你发的文章没教怎么用私钥登陆啊。。。
    @holinhot 2008以上默认都有证书,我看了那篇文章跟你理解的一样,没找到怎么生成私钥证书用来登陆ˊ_>ˋ
    geeklian
        19
    geeklian  
       2015-04-29 19:06:27 +08:00 via iPhone
    @Citrus

    是服务器证书没错啊
    平时你rdp,服务器会自签发一个证书,这时候这个证书只是加密用。

    现在ca给你签发一个可以登录某些服务器的证书,然后你保存在你的办公机上,rdp时会要求你选择证书,服务器拿你的证书跟ad里ca签发的ad根证书做验证,验证不通过就断开了。

    如此一来,没有你这个证书的人,就没法爆破你的服务器啦.....
    geeklian
        20
    geeklian  
       2015-04-29 19:55:04 +08:00
    @Citrus
    @holinhot

    好吧....应该是我理解错了。
    Citrus
        21
    Citrus  
       2015-04-29 20:15:22 +08:00
    @geeklian 你看你自己说了一遍也发现似乎不是楼主要求的那样了吧。。。
    geeklian
        22
    geeklian  
       2015-04-29 20:19:28 +08:00   ❤️ 1
    @Citrus
    @holinhot
    嗯嗯....我有罪

    不过替代方案找了一个..

    https://github.com/frankmorgner/vsmartcard

    虚拟的Smart Card,然后组策略里..

    Interactive login: require smart card
    Citrus
        23
    Citrus  
       2015-04-29 20:23:11 +08:00
    @geeklian 嗯,我一开始的意思就是用 Smart Card 登陆。证书存在 Smart Card 里。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3105 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:30 · PVG 22:30 · LAX 06:30 · JFK 09:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.