问题
- 您希望启用域用户通过 RDP 连接到虚拟桌面基础架构客户端(虚拟机),但 RDP 必须通过双因素身份验证确保安全
解决方案
要使用 2FA 保护虚拟桌面基础架构 (VDI)客户端的RDP连接,以便在不提供一次性密码 (OTP) 作为第二个身份验证因素的情况下不允许通过 RDP 进行访问,在根据您的要求安装和配置 VDI 模板后,需要完成 2 项基本更改。
安装和预配置 VDI 模板(如 Windows 7),定制系统以满足您(或客户)的要求,并安装 ESET 安全身份验证 (ESA) 的远程桌面插件 - 请参阅产品手册的安装部分。
在进行sysprep 之前,有 2 个基本步骤需要完成:
- 设置远程桌面服务的依赖性,使其仅在ESA 证书代理服务已启动并运行的情况下启动。
为此,按下Windows 键+R组合键,在 "运行 "对话框中键入(或复制粘贴)以下命令并按Enter:sc config TermService depend= EsaCpProxy/RpcSs - 在 "运行 "对话框中执行以下命令,将ESA 凭据代理服务设置为在域帐户(即域管理员帐户)下运行:
sc config EsaCpProxy obj= "domain\username" password= "password"
domain\username 必须替换为 Active Directory 域的域名和所需域用户的用户名。同样,password 也必须替换为特定域用户的密码。
在我们的示例中,我们执行了以下代码:
sc config EsaCpProxy obj= "acswin2012\administrator" password= "demo1234"
为安全起见,可以配置ESA 凭证提供程序代理服务(EsaCpProxy) 服务,以便在出现故障时自动重新启动。 在运行对话框中执行以下命令即可实现:
sc failure EsaCpProxy actions= restart/60000/restart /60000// reset= 120该命令将确保在发生故障时,在 60 秒内重新启动 EsaCpProxy 服务。
如果步骤 1 和 2 中的更改成功,则可以使用如果步骤 1 和 2 中的更改成功,则可以在服务列表中查看相应的服务:
- 按Ctrl + Shift + Esc组合键打开Windows 任务管理器
- 切换到 "服务"选项卡,单击右下角的 "服务..."按钮打开 "服务 "窗口
- 查找ESA Credential Provider Proxy Services 服务,双击该服务并切换到 "登录 "选项卡--在那里您会看到 "此账户 "选项已被选中,以及您在上述第 2 步脚本中使用的域用户的用户名。
图 1-1
点击图片查看大图
- 查找远程桌面服务(Remote Desktop Services)服务,双击它并切换到 "依赖关系"(Dependencies)选项卡,您会看到其中列出了ESA 凭证提供程序代理服务 。
图 1-2
点击图片查看大图
