Autenticación de clave privada / pública para el escritorio remoto de Windows

¿Existe algo para Windows RDP (Protocolo de escritorio remoto) que sea similar a la autenticación de clave pública / privada SSH (en Linux) (en lugar de dejar abierta la autenticación de contraseña normal)?

Estoy encontrando respuestas contradictorias a este tema en Internet. Espero poder distribuir una clave privada a los dispositivos del cliente en lugar de usar una contraseña compleja en cada inicio de sesión (suponiendo que no quiero deshabilitar totalmente la autenticación de contraseña).

Escritorio remoto admite certificados de cliente X.509, bajo el nombre de "autenticación de tarjeta inteligente". A pesar del nombre, debería funcionar con certificados / claves instalados localmente (es decir, sin una tarjeta inteligente real). Aunque sí requiere un dominio de Active Directory, que yo sepa.

Entonces, de alguna manera, pero no de una manera que sea útil para usted.

Sin un dominio AD, la posibilidad de evitar el acceso simple de nombre de usuario y contraseña sería:

1. Instalación de OpenSSH para Windows (desde https://github.com/PowerShell/Win32-OpenSSH/releases o en Windows 10 y 2019 es una característica disponible),
2. Usando un cliente SSH para iniciar sesión con claves,
3. Deshabilitar la autenticación de contraseña a través de SSH (descomentar y establecer "autenticación de contraseña" en "no" en% ProgramData% \ ssh \ sshd_config),
4. Si necesita la interfaz gráfica, configure su cliente SSH para hacer un túnel RDP sobre SSH ( https://www.saotn.org/tunnel-rdp-through-ssh/ ),
5. Deshabilitar el tráfico RDP "regular" (puerto TCP 3389) a través de la red (¡no en el Firewall local de Windows!) Para que no se pueda usar el inicio de sesión con contraseña.

Puede haber mejores opciones por unos pocos $$$. He oído hablar de la solución de Yubico, por ejemplo (con token de hardware): https://support.yubico.com/support/solutions/articles/15000028729-yubico-login-for-windows-configuration-guide