Multi-Faktor-Authentifizierung bei 2012 RDS-Farm, vorzugsweise Client-Zertifikate?

543
Philip Harrison

Ich frage mich, ob mir jemand diesbezüglich ein Auge geben kann. Wir verwenden RDS ziemlich häufig, aber ich möchte die Sicherheit erhöhen, VPN ist eine Option, aber ich würde es vorziehen, wenn möglich zu vermeiden.

Im Idealfall würde ich gerne den nativen RDS-Client verwenden (also nicht RDWeb, wenn ich das vermeiden kann), aber die Authentifizierung des Client-Zertifikats sowie den Benutzernamen / das Passwort erzwingen. Wir haben eine Zertifizierungsstelle usw., daher wäre es kein Problem, Kundenzertifikate herauszuholen.

Dies scheint etwas zu sein, was das RD-Gateway relativ leicht über HTTPS erreichen kann, aber ich kann online im Internet kaum Informationen darüber finden. Es gibt Threads wie diese - Verbindung zu Windows Server 2012 nur mit gültigem Clientzertifikat? - Ich behaupte, dass es mit RDCAPs möglich ist, was ich jedoch sagen kann, dass ein CAP dies nicht tun kann, aber vielleicht irre ich mich.

Also wirklich schauen, ob jemand es schon einmal gemacht hat?

Die andere Option ist die von DuoSecurity, aber ich würde eher die Client-Zertifikate verwenden, die die TLS-Sitzung sehr früh abbrechen würden, wenn ein Benutzer das Zertifikat nicht zur Verfügung stellen kann, anstatt es weiter vorwärts zu bewegen (größerer Angriffsvektor weiter oben im Stapel), bevor es abgelehnt wird .

Danke für alle Gedanken!

2

0 Antworten auf die Frage