Cómo configurar MFA para RD Gateway: arquitectura, pasos y mejores prácticas

Introducción

El Gateway de Escritorio Remoto (RD Gateway) asegura RDP a través de HTTPS, pero las contraseñas por sí solas no pueden detener el phishing, el relleno de credenciales o los ataques de fuerza bruta. Agregar la Autenticación Multifactor (MFA) cierra esa brecha al verificar la identidad del usuario antes de que se establezca una sesión. En esta guía, aprenderás cómo MFA se integra con RD Gateway y NPS, los pasos de configuración exactos y los consejos operativos que mantienen tu implementación confiable a gran escala.

¿Por qué RD Gateway necesita MFA?

RD Gateway centraliza y audita acceso remoto , pero no puede neutralizar credenciales robadas por sí mismo. El credential stuffing y el phishing eluden rutinariamente las defensas de un solo factor, especialmente donde existen protocolos heredados y una amplia exposición. Hacer cumplir MFA en el nivel de autenticación RDG bloquea la mayoría de los ataques comunes y aumenta drásticamente el costo de la intrusión dirigida.

Para el RDP expuesto a Internet, los riesgos dominantes son la reutilización de contraseñas, intentos de fuerza bruta, reproducción de tokens y secuestro de sesiones a través de TLS mal configurado. MFA contrarresta estos riesgos al requerir un segundo factor resistente a la reproducción de credenciales.

Muchos marcos—NIST 800-63, controles ISO/IEC 27001 y varias líneas base de seguros cibernéticos—esperan implícita o explícitamente MFA en acceso remoto Implementar MFA en RDG satisface tanto la intención de control como las expectativas del auditor sin reestructurar su pila de entrega.

¿Cómo se ajusta MFA a la arquitectura de RD Gateway?

El plano de control es simple: el usuario lanza RDP a través de RDG; RDG envía la autenticación a NPS a través de RADIUS; NPS evalúa la política e invoca al proveedor de MFA; al tener éxito, NPS devuelve Access-Accept y RDG completa la conexión. La autorización a los activos internos sigue siendo gobernada por RD CAP/RD RAP, por lo que la verificación de identidad es aditiva en lugar de disruptiva.

• Flujo de Autenticación y Puntos de Decisión
• Consideraciones de UX para usuarios remotos

Flujo de Autenticación y Puntos de Decisión

Los puntos clave de decisión incluyen dónde se ejecuta la lógica de MFA (NPS con la Extensión Entra MFA o un proxy RADIUS de terceros), qué factores están permitidos y cómo se manejan los fallos. Centralizar las decisiones en NPS simplifica la auditoría y el control de cambios. Para grandes instalaciones, considere un par de NPS dedicado para desacoplar la evaluación de políticas de la capacidad de RDG y simplificar las ventanas de mantenimiento.

Consideraciones de UX para usuarios remotos

Las notificaciones push y basadas en aplicaciones ofrecen la experiencia más confiable en el RDP flujo de credenciales. SMS y voz pueden fallar donde no existe una interfaz de usuario de aviso secundaria. Eduque a los usuarios sobre los avisos esperados, los tiempos de espera y las razones de denegación para reducir los tickets de soporte. En regiones de alta latencia, extienda modestamente los tiempos de espera de los desafíos para evitar fallos falsos sin enmascarar abusos genuinos.

¿Cuál es la lista de verificación de requisitos previos?

Una configuración limpia comienza con roles de plataforma verificados e higiene de identidad. Asegúrese de que RDG sea estable en un Windows Server compatible y planifique un camino de reversión. Confirme los grupos de directorio para delimitar el acceso de los usuarios y valide que los administradores puedan distinguir los cambios de política de los problemas de certificado o red.

• Roles, Puertos y Certificados
• Preparación de Directorio e Identidad

Roles, Puertos y Certificados

Despliegue el rol de NPS en un servidor con conectividad AD confiable. Estandarice en RADIUS UDP 1812/1813 y documentar cualquier uso legado 1645/1646. En RDG, instalar un certificado TLS de confianza pública para el oyente HTTPS y eliminar protocolos y cifrados débiles. Registrar secretos compartidos en un vault, no en un ticket o nota de escritorio.

Preparación de Directorio e Identidad

Cree grupos dedicados de AD para usuarios y administradores permitidos por RDG; evite el alcance de "Usuarios del dominio". Verifique que los usuarios estén inscritos en MFA si utiliza Entra ID. Para proveedores de terceros, sincronice identidades y pruebe un usuario piloto de extremo a extremo antes de la inscripción masiva. Alinee los formatos de nombre de usuario (UPN vs sAMAccountName) entre RDG, NPS y la plataforma MFA para evitar desajustes silenciosos.

¿Cuál es la configuración paso a paso de MFA para RD Gateway?

• Instalar y registrar NPS
• Agregar RD Gateway como un cliente RADIUS
• Crear políticas NPS (CRP y NP)
• Instalar la extensión MFA o agente de terceros
• Apuntar el RD Gateway al NPS Central (Almacén RD CAP)
• Prueba MFA de extremo a extremo

Paso 1 — Instalar y registrar NPS

Instale el rol de Servicios de Políticas de Red y Acceso, abra nps.msc y registrar NPS en Active Directory para que pueda leer los atributos de usuario. Verifique el Servidor de Políticas de Red El servicio (IAS) está en funcionamiento y el servidor puede alcanzar un controlador de dominio con baja latencia. Tenga en cuenta el FQDN/IP de NPS para los registros y políticas.

Comandos opcionales:

Instalar-WindowsFeature NPAS -IncluirHerramientasDeAdministración nps.msc

Ejecutar netsh nps agregar servidor registrado

Iniciar-Service IAS | Iniciar-Service  
Test-Conexión -Conteo 4 -NombreEquipo (Obtener-ControladorDominioAD -Descubrir).NombreHost

Paso 2 — Agregar RD Gateway como un cliente RADIUS

En los Clientes RADIUS, añade tu puerta de enlace RD por IP/FQDN, establece un nombre amigable (por ejemplo, RDG01 ), y use un secreto compartido largo y encriptado. Abra UDP 1812/1813 en el servidor NPS y confirme la accesibilidad. Si ejecuta múltiples RDGs, agregue cada uno explícitamente (las definiciones de subred son posibles pero más fáciles de malinterpretar).

Comandos opcionales

Agregar un cliente: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Paso 3 — Crear políticas de NPS (CRP y NP)

Cree una política de solicitud de conexión limitada a la dirección IPv4 de su cliente RDG. Elija Autenticar en este servidor (para Microsoft Entra MFA a través de la extensión NPS) o Reenviar a RADIUS remoto (para un proxy MFA de terceros). Luego, cree una política de red que incluya su(s) grupo(s) de AD (por ejemplo, GRP_RDG_Usuarios ) con acceso concedido. Asegúrese de que ambas políticas estén por encima de las reglas genéricas.

Comandos opcionales

# Verificar que un usuario esté en el grupo permitido
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Política de exportación instantánea para referencia: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Paso 4 — Instalar la extensión MFA o agente de terceros

Para Microsoft Entra MFA, instala la extensión NPS, ejecuta el script de vinculación del inquilino y reinicia NPS. Confirma que los usuarios están inscritos en MFA y prefieren métodos de push/app. Para MFA de terceros, instala el proxy/agente RADIUS del proveedor, configura los puntos finales/secretos compartidos y apunta tu CRP a ese grupo remoto.

Comandos opcionales

# Entra MFA NPS Extension bind  
Set-Location "C:\Program Files\Microsoft\AzureMfa\"  
.\AzureMfaNpsExtnConfigSetup.ps1  
Restart-Service IAS

# Perilla de registro útil (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Configurar un grupo y servidor RADIUS remoto: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Paso 5 — Apuntar el RD Gateway al NPS Central (Tienda RD CAP)

En el servidor RD Gateway, configure el Almacén RD CAP en el servidor central que ejecuta NPS, agregue el host NPS + secreto compartido y verifique la conectividad. Alinee RD CAP con su(s) grupo(s) de usuarios permitidos y RD RAP con las computadoras/colecciones específicas. Si MFA tiene éxito pero el acceso falla, verifique primero el alcance de RAP.

Paso 6 — Prueba de MFA de extremo a extremo

Desde un cliente externo, conéctese a través de RDG a un host conocido y confirme un aviso de MFA, NPS 6272 (Acceso concedido), y una sesión exitosa. También pruebe rutas negativas (no en el grupo, no inscrito, factor incorrecto, token expirado) para validar la claridad de los errores y la preparación del soporte.

¿Qué es el Manual de Solución de Problemas de MFA para RD Gateway?

La resolución de problemas es más rápida cuando separas las capas de red, política e identidad. Comienza con la accesibilidad de RADIUS y las verificaciones de puertos, luego valida la coincidencia de políticas, y después revisa la inscripción en MFA y los tipos de factores. Mantén una cuenta de prueba con condiciones controladas para que puedas reproducir resultados de manera consistente durante las ventanas de cambio.

• No hay aviso, bucles o tiempos de espera
• Coincidencia de Políticas y Alcance del Grupo
• Registro y Telemetría que Realmente Usarás
• Mejores Prácticas de Endurecimiento de Seguridad y Operaciones
• Perímetro, TLS y Mínimo Privilegio
• Monitoreo, Alertas y Control de Cambios
• Resiliencia y Recuperación

No hay aviso, bucles o tiempos de espera

No hay indicios de que la política de orden o la inscripción en MFA estén ausentes. Los bucles sugieren un desajuste de secreto compartido o una recursión de reenvío entre NPS y un proxy. Los tiempos de espera generalmente indican UDP 1812/1813 bloqueado, enrutamiento asimétrico o inspección IDS/IPS demasiado agresiva. Aumente temporalmente la verbosidad de los registros para confirmar qué salto falla.

Coincidencia de Políticas y Alcance del Grupo

Confirme que la política de solicitud de conexión se dirige al cliente RDG y se aplica antes de cualquier regla general. En la política de red, verifique el grupo AD exacto y el comportamiento de anidamiento de grupos; algunos entornos requieren mitigación de sobrecarga de tokens o membresía directa. Esté atento a los problemas de canonicalización de nombres de usuario entre UPN y nombres de estilo NT.

Registro y Telemetría que Realmente Usarás

Utilice NPS Accounting para la correlación y mantenga habilitados los registros operativos de RDG. Desde su plataforma MFA, revise los mensajes, denegaciones y patrones geo/IP por usuario. Establezca un panel ligero: volumen de autenticación, tasa de fallos, principales razones de fallo y tiempo promedio de desafío. Estas métricas guían tanto la capacidad como seguridad ajuste.

Mejores Prácticas de Endurecimiento de Seguridad y Operaciones

MFA es necesario pero no suficiente. Combínalo con segmentación de red, TLS moderno, privilegio mínimo y monitoreo fuerte. Mantén una línea base corta y aplicada; el endurecimiento solo funciona si se aplica de manera consistente y se verifica después de parches y actualizaciones.

Perímetro, TLS y Mínimo Privilegio

Coloque RDG en un segmento DMZ endurecido con solo los flujos requeridos hacia la LAN. Utilice un certificado público de confianza en RDG y desactive el legado. TLS y cifrados débiles. Restringir el acceso a RDG a través de grupos AD dedicados; evitar derechos amplios y asegurar que los RD RAPs solo mapeen los sistemas y puertos que los usuarios realmente necesitan.

Monitoreo, Alertas y Control de Cambios

Alerta sobre picos en autenticaciones fallidas, geografías inusuales o solicitudes repetidas por usuario. Registrar cambios de configuración en NPS, RDG y la plataforma MFA con un rastro de aprobación. Tratar las políticas como código: rastrear cambios en el control de versiones o al menos en un registro de cambios, y probar en un entorno de pruebas antes de la transición a producción.

Resiliencia y Recuperación

Ejecutar NPS de manera redundante y configurar RDG para hacer referencia a múltiples servidores RADIUS. Documentar el comportamiento de fallo abierto frente a fallo cerrado para cada componente; por defecto, utilizar fallo cerrado para el acceso externo. Hacer una copia de seguridad de la configuración de NPS, las políticas de RDG y los ajustes de MFA; ensayar la recuperación, incluyendo el reemplazo de certificados y la re-registro de la extensión o agente de MFA después de una reconstrucción.

Conclusión

Agregar MFA a RD Gateway cierra la mayor brecha en RDP expuesto a Internet: el abuso de credenciales. Al centralizar la política en NPS e integrar Entra MFA o un proveedor RADIUS de terceros, se aplica una verificación de identidad sólida sin interrumpir los modelos RD CAP/RD RAP. Valide con pruebas específicas, monitoree continuamente y combine MFA con TLS reforzado, privilegio mínimo y un diseño NPS/RDG resistente.