Vraagje over terminal server beveiligen

Goeiedag, Ik weet niet of dit het goeie forum is maar ik vraag het toch: Ik heb een terminal server maar die wil ik beveiligen met 2 lagen: -username/password -smartcard en/of een soort van pin code Ik wil niet dat een klant/persoon thuis een keylogger heeft en men met die u/password kan inloggen op onze terminal server, vandaar de 2e laag als beveiliging (certificaat, smartcard etc.) Weet iemand oplossingen hier voor? Of dat je je eerst met een proxy moet authenticeren met een cert en dan je rdp sessie wordt geforward naar de terminal server. Mvg, Michiel