Разрешать RDP-файлы от неизвестных издателей.
 

Добрый день, уважаемые.
Буду очень благодарен, если направите на верный путь.

Имеем сервер терминалов на 2008 R2, который смотрит в мир и на котором крутится служба удаленных рабочих столов.
Раньше, еще со времен Win2K я RDP заворачивал в VPN и чувствовал себя спокойно. Сейчас RDP стал более безопасным и от лишнего геморроя в виде VPN хочется избавиться.

Итак, начал я с того, что настроил шлюз удаленных рабочих столов. Все бы хорошо, соединение шифруется, красота.
Но мне не понравились два момента:
1. Нельзя перенастроить порт - только 443 (это вроде пофиксили в 2012-м, но у нас 2008-й.)
2. Подключиться к серверу можно из любого места, что теоретически допускает брутфорс.

Тогда я прочитал про подписанные файлы RDP (вообще, все мануалы пишут про RemoteApp, но к удаленным рабочим столам это вроде как тоже применимо).

Итак:
Создаю на сервере самозаверенный сертификат. Читаю его хеш, а затем с помощью этого хеша на клиенте подписываю рдп-файл:
Далее, на сервере иду в политики:
и отключаю политику "Разрешать RDP-файлы от неизвестных издателей".
После чего надеюсь, что клиенты с неподписанными рдп-файлами подключиться не смогут. Но они, подлецы, подключаются.

Подскажите, что я делаю не так?
Большое спасибо за внимание.

Это политика для клиента, ее нужно применять на машины С которых подключаются пользователи.

Легко можете решить ограничивающим правилом на стандартном фаерволе. Создайте блокирующее правило для 443 порта, и укажите IP к которым оно применяется (например разрешить доступ для IP 1.2.3.5), не забудьте также добавить IPv6 или отключить его.

Благодарю за ответ!
Вариант с фаерволом не пройдет, т.к. клиенты подключаются из интернета и у них нет статических адресов.
А на счет политики - теперь понятно, почему не работало.
Окей, как я понял, другого механизма авторизации, например по ключам, не предусмотрено?

Только если прикручивать сторонние решения.

Гранд мерси за помощь! Всяческих Вам успехов.
Тему закрываем.