كيفية إعداد المصادقة متعددة العوامل لبوابة RD: الهيكل، الخطوات وأفضل الممارسات

مقدمة

يؤمن بوابة سطح المكتب البعيد (RD Gateway) بروتوكول RDP عبر HTTPS، لكن كلمات المرور وحدها لا يمكن أن توقف التصيد الاحتيالي، أو حشو بيانات الاعتماد، أو هجمات القوة الغاشمة. إن إضافة المصادقة متعددة العوامل (MFA) تسد هذه الفجوة من خلال التحقق من هوية المستخدم قبل إنشاء الجلسة. في هذا الدليل، ستتعلم كيف تتكامل MFA مع RD Gateway وNPS، وخطوات التكوين الدقيقة، ونصائح التشغيل التي تحافظ على موثوقية نشراتك على نطاق واسع.

لماذا يحتاج بوابة RD إلى المصادقة متعددة العوامل؟

يعمل RD Gateway على مركزية وتدقيق الوصول عن بعد ،لكنها لا تستطيع تحييد بيانات الاعتماد المسروقة بمفردها. تتجاوز هجمات حشو بيانات الاعتماد والتصيد الاحتيالي بانتظام الدفاعات ذات العامل الواحد، خاصةً حيث توجد بروتوكولات قديمة وتعرض واسع. إن فرض المصادقة متعددة العوامل في مستوى مصادقة RDG يمنع معظم الهجمات الشائعة ويزيد بشكل كبير من تكلفة التسلل المستهدف.

بالنسبة لـ RDP المتاح على الإنترنت، فإن المخاطر السائدة هي إعادة استخدام كلمات المرور، ومحاولات القوة الغاشمة، وإعادة تشغيل الرموز، واختطاف الجلسات عبر TLS غير المهيأ بشكل صحيح. تتصدى MFA لهذه المخاطر من خلال طلب عامل ثانٍ مقاوم لإعادة تشغيل بيانات الاعتماد.

تتوقع العديد من الأطر - NIST 800-63، ضوابط ISO/IEC 27001، ومجموعة متنوعة من معايير التأمين السيبراني - بشكل ضمني أو صريح استخدام المصادقة متعددة العوامل على الوصول عن بعد تطبيق MFA على RDG يلبي كل من نية التحكم وتوقعات المدققين دون إعادة تصميم بنية التسليم الخاصة بك.

كيف تتناسب المصادقة متعددة العوامل مع بنية بوابة RD؟

تكون طبقة التحكم بسيطة: يقوم المستخدم بتشغيل RDP من خلال RDG؛ ترسل RDG المصادقة إلى NPS عبر RADIUS؛ يقوم NPS بتقييم السياسة واستدعاء مزود MFA؛ عند النجاح، يعيد NPS Access-Accept وتكمل RDG الاتصال. لا تزال المصادقة على الأصول الداخلية تخضع لـ RD CAP/RD RAP، لذا فإن إثبات الهوية يكون إضافيًا بدلاً من أن يكون مسببًا للاضطراب.

• تدفق المصادقة ونقاط القرار
• اعتبارات تجربة المستخدم للمستخدمين عن بُعد

تدفق المصادقة ونقاط القرار

تشمل نقاط القرار الرئيسية مكان تشغيل منطق MFA (NPS مع ملحق Entra MFA أو وكيل RADIUS تابع لجهة خارجية)، والعوامل المسموح بها، وكيفية التعامل مع الفشل. إن مركزية القرارات على NPS تبسط التدقيق والتحكم في التغييرات. بالنسبة للعقارات الكبيرة، ضع في اعتبارك زوج NPS مخصص لفصل تقييم السياسة عن سعة RDG ولتبسيط نوافذ الصيانة.

اعتبارات تجربة المستخدم للمستخدمين عن بُعد

تقدم الإشعارات المعتمدة على الدفع والتطبيقات أكثر تجربة موثوقة في الـ RDP تدفق الاعتماد. قد تفشل الرسائل القصيرة والصوتية حيث لا توجد واجهة مستخدم للمطالبة الثانوية. قم بتثقيف المستخدمين حول المطالبات المتوقعة، وأوقات الانتظار، وأسباب الرفض لتقليل تذاكر الدعم. في المناطق ذات الكمون العالي، قم بتمديد أوقات تحدي بشكل معتدل لتجنب الفشل الكاذب دون إخفاء الإساءة الحقيقية.

ما هي قائمة التحقق من المتطلبات الأساسية؟

تبدأ الإعدادات النظيفة بأدوار منصة موثوقة ونظافة الهوية. تأكد من أن RDG مستقر على خادم Windows مدعوم وخطط لمسار التراجع. أكد مجموعات الدليل لتحديد وصول المستخدم وتحقق من أن المسؤولين يمكنهم تمييز تغييرات السياسة عن مشكلات الشهادة أو الشبكة.

• الأدوار والمنافذ والشهادات
• جاهزية الدليل والهوية

الأدوار والمنافذ والشهادات

نشر دور NPS على خادم مع اتصال موثوق بـ AD. توحيد على RADIUS UDP 1812/1813 وتوثيق أي استخدام قديم 1645/1646. على RDG، قم بتثبيت شهادة TLS موثوقة علنًا لمستمع HTTPS وإزالة البروتوكولات والتشفيرات الضعيفة. سجل الأسرار المشتركة في خزنة، وليس في تذكرة أو ملاحظة على سطح المكتب.

جاهزية الدليل والهوية

قم بإنشاء مجموعات AD مخصصة لمستخدمي RDG المسموح لهم والمديرين؛ تجنب نطاق "مستخدمي المجال". تحقق من تسجيل المستخدمين في MFA إذا كنت تستخدم Entra ID. بالنسبة لمقدمي الخدمات من الطرف الثالث، قم بمزامنة الهويات واختبر مستخدمًا تجريبيًا من البداية إلى النهاية قبل التسجيل الواسع. قم بمحاذاة تنسيقات أسماء المستخدمين (UPN مقابل sAMAccountName) بين RDG وNPS ومنصة MFA لتجنب التباينات الصامتة.

ما هي خطوات تكوين المصادقة متعددة العوامل لـ RD Gateway؟

• تثبيت وتسجيل NPS
• إضافة بوابة RD كعميل RADIUS
• إنشاء سياسات NPS (CRP و NP)
• تثبيت ملحق MFA أو وكيل طرف ثالث
• قم بتوجيه بوابة RD إلى NPS المركزي (متجر RD CAP)
• اختبار MFA من البداية إلى النهاية

الخطوة 1 — تثبيت وتسجيل NPS

قم بتثبيت دور خدمات سياسة الشبكة والوصول، افتح nps.msc ، وقم بتسجيل NPS في Active Directory حتى يتمكن من قراءة سمات المستخدم. تحقق من خادم سياسة الشبكة خدمة (IAS) تعمل وأن الخادم يمكنه الوصول إلى وحدة تحكم المجال مع زمن انتقال منخفض. لاحظ NPS FQDN/IP للسجلات والسياسات.

أوامر اختيارية:

قم بتثبيت-WindowsFeature NPAS -IncludeManagementTools nps.msc

تشغيل netsh nps إضافة خادم مسجل

احصل على الخدمة IAS | ابدأ الخدمة  
اختبر الاتصال -العدد 4 -اسم الكمبيوتر (احصل على وحدة تحكم المجال -اكتشاف).اسم المضيف

الخطوة 2 — إضافة بوابة RD كعميل RADIUS

في عملاء RADIUS، أضف بوابة RD الخاصة بك بواسطة IP/FQDN، واضبط اسمًا وديًا (مثل، RDG01 )، واستخدم سرًا مشتركًا طويلًا ومشفرًا. افتح UDP 1812/1813 على خادم NPS وتأكد من إمكانية الوصول. إذا كنت تدير عدة RDGs، أضف كل واحد بشكل صريح (يمكن أن تكون تعريفات الشبكة الفرعية ممكنة ولكن من الأسهل أن يتم تحديدها بشكل خاطئ).

أوامر اختيارية

إضافة عميل: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

الخطوة 3 — إنشاء سياسات NPS (CRP و NP)

إنشاء سياسة طلب اتصال محددة لعنوان IPv4 الخاص بعميل RDG الخاص بك. اختر المصادقة على هذا الخادم (لـ Microsoft Entra MFA عبر ملحق NPS) أو الإرسال إلى RADIUS عن بُعد (لـ وكيل MFA تابع لجهة خارجية). ثم أنشئ سياسة شبكة تتضمن مجموعة AD الخاصة بك (على سبيل المثال، GRP_RDG_المستخدمون ) مع الوصول الممنوح. تأكد من أن كلا السياساتين تتواجدان فوق القواعد العامة.

أوامر اختيارية

# تحقق من أن المستخدم في المجموعة المسموح بها
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

سياسة التصدير لمحة مرجعية: تصدير التسجيل "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

الخطوة 4 — تثبيت ملحق MFA أو وكيل طرف ثالث

لتطبيق Microsoft Entra MFA، قم بتثبيت ملحق NPS، وتشغيل برنامج نصي لربط المستأجر، وإعادة تشغيل NPS. تأكد من أن المستخدمين مسجلون في MFA ويفضلون طرق الدفع/التطبيق. بالنسبة لـ MFA من طرف ثالث، قم بتثبيت وكيل/بروكسي RADIUS الخاص بالبائع، وقم بتكوين نقاط النهاية/الأسرار المشتركة، ووجه CRP الخاص بك إلى تلك المجموعة البعيدة.

أوامر اختيارية

# إدخال ملحق MFA NPS
تعيين الموقع "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
إعادة تشغيل الخدمة IAS

# مفاتيح تسجيل مفيدة (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

قم بتكوين مجموعة خادم RADIUS عن بُعد: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

الخطوة 5 — توجيه بوابة RD إلى NPS المركزي (متجر RD CAP)

على خادم بوابة RD، قم بتعيين متجر RD CAP إلى الخادم المركزي الذي يعمل بنظام NPS، أضف مضيف NPS + السر المشترك، وتحقق من الاتصال. قم بمحاذاة RD CAP مع مجموعة المستخدمين المسموح بها و RD RAP مع أجهزة/مجموعات محددة. إذا نجح MFA ولكن الوصول فشل، تحقق من نطاق RAP أولاً.

الخطوة 6 — اختبار المصادقة متعددة العوامل من البداية إلى النهاية

من عميل خارجي، اتصل عبر RDG بمضيف معروف وأكد مطالبة MFA واحدة، NPS 6272 (تم منح الوصول)، وجلسة ناجحة. اختبر أيضًا المسارات السلبية (غير في المجموعة، غير مسجل، عامل خاطئ، رمز منتهي الصلاحية) للتحقق من وضوح الأخطاء واستعداد الدعم.

ما هو دليل استكشاف الأخطاء وإصلاحها لمصادقة متعددة العوامل لبوابة RD؟

تكون عملية استكشاف الأخطاء وإصلاحها أسرع عندما تفصل بين طبقات الشبكة والسياسة والهوية. ابدأ بالتحقق من إمكانية الوصول إلى RADIUS وفحص المنافذ، ثم تحقق من مطابقة السياسة، ثم راجع تسجيل الدخول إلى MFA وأنواع العوامل. احتفظ بحساب اختبار في ظروف مسيطر عليها حتى تتمكن من إعادة إنتاج النتائج باستمرار خلال فترات التغيير.

• لا توجد مطالبات أو حلقات أو مهلات
• مطابقة السياسة ونطاق المجموعة
• التسجيل والقياس عن بُعد الذي ستستخدمه فعليًا
• أفضل الممارسات لتقوية الأمان والعمليات
• المحيط، TLS، وأقل امتياز
• المراقبة والتنبيه والتحكم في التغيير
• المرونة والتعافي

لا توجد مطالبات أو حلقات أو مهلات

عدم وجود موجه غالبًا ما يشير إلى فجوات في ترتيب السياسة أو تسجيل الدخول إلى MFA. الحلقات تشير إلى عدم تطابق السر المشترك أو تكرار التوجيه بين NPS ووكيل. عادةً ما تشير مهلات الوقت إلى حظر UDP 1812/1813، أو التوجيه غير المتناظر، أو فحص IDS/IPS المفرط العدوانية. قم بزيادة verbosity السجل مؤقتًا لتأكيد أي قفزة تفشل.

مطابقة السياسة ونطاق المجموعة

تأكد من أن سياسة طلب الاتصال تستهدف عميل RDG وتؤثر قبل أي قاعدة شاملة. في سياسة الشبكة، تحقق من مجموعة AD الدقيقة وسلوك تداخل المجموعات؛ تتطلب بعض البيئات تخفيف تضخم الرموز أو العضوية المباشرة. انتبه لمشاكل توحيد اسم المستخدم بين UPN والأسماء بأسلوب NT.

التسجيل والقياس عن بُعد الذي ستستخدمه فعليًا

استخدم NPS Accounting للتوافق واحتفظ بسجلات تشغيل RDG مفعلة. من منصة MFA الخاصة بك، راجع المطالبات لكل مستخدم، والرفض، وأنماط الجغرافيا/IP. أنشئ لوحة تحكم خفيفة: حجم المصادقة، معدل الفشل، أهم أسباب الفشل، ومتوسط وقت التحدي. توجه هذه المقاييس كل من السعة و أمان تعديل.

أفضل الممارسات لتقوية الأمان والعمليات

MFA ضروري ولكنه غير كافٍ. اجمعه مع تقسيم الشبكة، وTLS الحديثة، وأقل الامتيازات، والمراقبة القوية. احتفظ بقاعدة قصيرة ومفروضة - فإن تعزيز الأمان يعمل فقط إذا تم تطبيقه باستمرار والتحقق منه بعد التصحيحات والترقيات.

المحيط، TLS، وأقل امتياز

قم بوضع RDG في شريحة DMZ محصنة مع تدفقات مطلوبة فقط إلى الشبكة المحلية. استخدم شهادة عامة موثوقة على RDG وقم بتعطيل الأنظمة القديمة. TLS وأنظمة تشفير ضعيفة. قيد وصول RDG عبر مجموعات AD مخصصة؛ تجنب الامتيازات الواسعة وتأكد من أن RD RAPs تقوم بتعيين الأنظمة والمنافذ التي يحتاجها المستخدمون فعليًا فقط.

المراقبة والتنبيه والتحكم في التغيير

تنبيه بشأن الارتفاعات في عمليات المصادقة الفاشلة، الجغرافيات غير المعتادة، أو المطالبات المتكررة لكل مستخدم. سجل تغييرات التكوين على NPS و RDG ومنصة MFA مع مسار الموافقة. اعتبر السياسات كرمز: تتبع التغييرات في التحكم في المصدر أو على الأقل في سجل التغييرات، واختبر في بيئة اختبار قبل الانتقال إلى الإنتاج.

المرونة والتعافي

قم بتشغيل NPS بشكل متكرر وقم بتكوين RDG للإشارة إلى خوادم RADIUS متعددة. وثق سلوك الفشل المفتوح مقابل الفشل المغلق لكل مكون؛ افتراضيًا، استخدم الفشل المغلق للوصول الخارجي. قم بعمل نسخة احتياطية من تكوين NPS، وسياسات RDG، وإعدادات MFA؛ تدرب على الاسترداد، بما في ذلك استبدال الشهادة وإعادة تسجيل ملحق أو وكيل MFA بعد إعادة البناء.

الختام

إضافة MFA إلى بوابة RD تغلق أكبر ثغرة في RDP المتاحة على الإنترنت: إساءة استخدام بيانات الاعتماد. من خلال مركزية السياسة على NPS ودمج Entra MFA أو مزود RADIUS تابع لجهة خارجية، يمكنك فرض إثبات هوية قوي دون تعطيل نماذج RD CAP/RD RAP. تحقق من خلال اختبارات مستهدفة، راقب باستمرار، وادمج MFA مع TLS المعزز، وأقل امتياز، وتصميم NPS/RDG المرن.