Gostaria de saber se alguém pode me orientar sobre isso. Usamos o RDS muito intensamente, mas eu gostaria de aumentar a segurança dele, a VPN é uma opção, mas eu preferiria evitar, se possível.
Idealmente, o que eu gostaria de fazer é continuar usando o cliente RDS nativo (portanto, não o RDWeb se puder evitar), mas aplicar a autenticação de certificado de cliente, bem como o nome de usuário / senha. Nós temos um CA, etc., assim, obter certificados de clientes não seria um problema.
Isso parece ser algo que o Gateway RD deve conseguir facilmente através do HTTPS, mas não consigo encontrar muita informação online sobre isso. Há tópicos como este - Conectar ao Windows Server 2012 somente com certificado de cliente válido? - afirmando que é possível com RDCAPs, no entanto, do que eu posso dizer que um CAP não pode fazer isso, mas talvez eu esteja enganado.
Então, realmente quer ver se alguém já fez isso antes?
A outra opção é o DuoSecurity, mas eu preferiria certificados de cliente que descartariam a sessão TLS muito cedo se um usuário não puder fornecer o certificado, em vez de deixá-lo progredir (vetor de ataque maior na pilha) antes de rejeitá-los.
Obrigado por qualquer pensamento!