Autenticação de chave pública / privada para a área de trabalho remota do Windows

Existe alguma coisa para o Windows RDP (Protocolo de Área de Trabalho Remota) semelhante à autenticação de chave pública / privada SSH (no Linux) (em vez de deixar aberta a autenticação de senha normal)?

Estou encontrando respostas conflitantes para esse tópico na Internet. Espero poder distribuir apenas uma chave privada aos dispositivos clientes em vez de usar uma senha complexa em todos os logins (supondo que eu não queira desabilitar totalmente a autenticação por senha).

A Área de Trabalho Remota oferece suporte a certificados de cliente X.509, com o nome "autenticação de cartão inteligente". Apesar do nome, ele deve funcionar com chaves / chaves instaladas localmente (ou seja, sem um cartão inteligente). Embora exija, no entanto, um domínio do Active Directory, tanto quanto eu saiba.

Então, mais ou menos de uma maneira que não seja útil para você.

Sem um domínio do AD, a possibilidade de impedir o acesso simples a nome de usuário e senha seria:

1. Instalando o OpenSSH para Windows (em https://github.com/PowerShell/Win32-OpenSSH/releases ou no Windows 10 e 2019, é um recurso disponível),
2. Usando um cliente SSH para fazer logon com chaves,
3. Desativando a autenticação de senha por SSH (remova o comentário e defina "autenticação por senha" como "não" em% ProgramData% \ ssh \ sshd_config),
4. Se você precisar da interface gráfica, configure seu cliente SSH para encapsular o RDP sobre SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. Desabilitando o tráfego RDP "regular" (porta TCP 3389) na rede (não no Firewall do Windows local!) Para que o logon de senha não possa ser usado.

Pode haver opções melhores para alguns $$$. Ouvi falar da solução do Yubico, por exemplo (com token de hardware): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide