Como posso limitar o acesso (RDP) a um Windows Server não apenas pelo nome de usuário / senha, mas também com um certificado de cliente?
Imagine criar um certificado e copiá-lo para todos os computadores dos quais desejo acessar o servidor.
Isso não seria tão limitado quanto as regras baseadas em IP, mas adicionaria alguma flexibilidade, já que nem todos os computadores / laptops estão em um determinado domínio ou corrigem o intervalo de IPs.
Uma maneira é implementar uma solução de cartão inteligente. Provavelmente não é o que você está procurando devido ao custo e ao limite de dor, mas muitos cartões inteligentes são na verdade apenas isso (certificados baseados em hardware com strong proteção de chave privada) e a integração da Área de Trabalho Remota é perfeita.
Você poderia configurar o IPSEC com certificados nas máquinas afetadas, possivelmente em conjunto com o NAP e use o Firewall do Windows para filtra o tráfego RDP que está entrando não criptografado .
Aqui é um passo a passo para um cenário que é semelhante ao seu pedido, mas usando chaves pré-compartilhadas em vez de certificados.
Mas lembre-se de que "criar um certificado e copiá-lo para todos os computadores" é uma má ideia em si - obviamente, você deve criar um certificado por cliente e configurar suas regras de acesso adequadamente. Isso garante a confidencialidade de suas conexões, juntamente com a possibilidade de revogar certificados à medida que são perdidos / divulgados sem interromper as conexões de outras máquinas.
Editar: algo que pode parecer tentador é configurar um Gateway de Área de Trabalho Remota (basicamente um gateway de encapsulamento HTTPS para RDP) e requer autenticação de certificado de cliente na configuração de conexão SSL por meio das propriedades do IIS (o Gateway é implementado como um aplicativo ASP.NET no IIS). No entanto, isso parece não ser suportado pelo Remote Desktop Client - não há como fornecer um certificado de cliente para uma conexão com proxy.