為 RDP 實施一種埠敲擊 + 電話因子 = 2 因子身份驗證的形式？

我一直在研究如何保護公開可用的 RDP 端點，並希望實現我們的雙因素身份驗證 RADIUS 伺服器 PhoneFactor。我想實現以下過程：

1. 使用者在瀏覽器中打開 Web 應用程序
2. 在 Web 應用程序中，使用者輸入使用者名 + 密碼，啟動 RADIUS 身份驗證
3. 電話因素呼叫使用者完成身份驗證
4. pfSense一旦使用者通過身份驗證，埠 3389 在防火牆上的使用者 IP 上打開。
5. 一段時間後，該 IP 的防火牆規則將被刪除

我想知道以下內容：

1. 這是典型的設置嗎？如果這是一個壞主意，請解釋原因。
2. 如果可能的話，是否有任何軟體包可以幫助解決這個問題？具體來說，第三步，需要添加適當的防火牆規則……

編輯：我知道 TS Web Gateway，但我希望使用者能夠使用傳統的 RDP 客戶端……

您想查看設置網路策略伺服器 (NPS)。

網路策略伺服器 (NPS) 允許您為客戶端健康、連接請求身份驗證和連接請求授權創建和實施組織範圍的網路訪問策略。此外，您可以將 NPS 用作遠端身份驗證撥入使用者服務 (RADIUS) 代理，將連接請求轉發到執行 NPS 的伺服器或您在遠端 RADIUS 伺服器組中配置的其他 RADIUS 伺服器。

它幾乎完全符合您的要求，只需將您的 RADIUS 伺服器（PhoneFactor）連接到 NPS 伺服器，然後讓遠端桌面使用 NPS 來授權遠端連接。

您還需要設置遠端桌面網關，但我認為您在 OP 中使用了錯誤的術語，並且您不是指不想設置 RD 網關，而是指RD Web Access。

引用自：https://serverfault.com/questions/424326