Miten määrittää MFA RD Gatewaylle: Arkkitehtuuri, vaiheet ja parhaat käytännöt

Johdanto

Remote Desktop Gateway (RD Gateway) suojaa RDP:tä HTTPS:n yli, mutta pelkät salasanat eivät voi estää kalastelua, tunnistetietojen täyttämistä tai bruteforce-hyökkäyksiä. Monivaiheinen todennus (MFA) sulkee tämän aukon vahvistamalla käyttäjän henkilöllisyyden ennen istunnon aloittamista. Tässä oppaassa opit, kuinka MFA integroituu RD Gatewayhin ja NPS:ään, tarkat konfigurointivaiheet sekä käytännön vinkit, jotka pitävät käyttöönoton luotettavana suuressa mittakaavassa.

Miksi RD Gateway tarvitsee MFA?

RD Gateway keskittää ja auditoi etäkäyttö , mutta se ei voi yksinään neutralisoida varastettuja tunnistetietoja. Tunnistetietojen täyttö ja kalastelu ohittavat säännöllisesti yksivaiheiset puolustukset, erityisesti siellä, missä on vanhoja protokollia ja laajaa altistumista. MFA:n täytäntöönpano RDG-todennustasolla estää suurimman osan tavallisista hyökkäyksistä ja nostaa dramaattisesti kohdennetun tunkeutumisen kustannuksia.

Internetin kautta käytettävässä RDP:ssä hallitsevat riskit ovat salasanan uudelleenkäyttö, bruteforce-yritykset, tokenin toistaminen ja istunnon kaappaaminen väärin konfiguroidun TLS:n kautta. MFA torjuu näitä vaatimalla toista tekijää, joka on vastustuskykyinen tunnistetietojen toistolle.

Monet kehykset—NIST 800-63, ISO/IEC 27001 -ohjeet ja erilaiset kyberturvavakuutusten perusvaatimukset—odottavat implisiittisesti tai eksplisiittisesti MFA:ta. etäkäyttö polut. MFA:n toteuttaminen RDG:ssä täyttää sekä hallintatavoitteet että tarkastajien odotukset ilman, että toimitusarkkitehtuuria tarvitsee muuttaa.

Miten MFA sopii RD Gateway -arkkitehtuuriin?

Ohjaustaso on yksinkertainen: käyttäjä käynnistää RDP:n RDG:n kautta; RDG lähettää todennuksen NPS:lle RADIUSin yli; NPS arvioi politiikan ja kutsuu MFA-palveluntarjoajan; onnistumisen myötä NPS palauttaa Access-Acceptin ja RDG viimeistelee yhteyden. Sisäisiin resursseihin pääsyä säätelee edelleen RD CAP/RD RAP, joten henkilöllisyyden todentaminen on lisättyä eikä häiritsevää.

• Todennusprosessi ja päätöspisteet
• UX-näkökohdat etäkäyttäjille

Todennusprosessi ja päätöspisteet

Keskeiset päätöspisteet sisältävät sen, missä MFA-logiikka toimii (NPS Entra MFA -laajennuksen kanssa tai kolmannen osapuolen RADIUS-välimuistin kautta), mitkä tekijät ovat sallittuja ja miten epäonnistumisia käsitellään. Päätösten keskittäminen NPS:ään yksinkertaistaa auditointia ja muutoksenhallintaa. Suurille ympäristöille kannattaa harkita erillistä NPS-paria, jotta politiikan arviointi voidaan irrottaa RDG-kapasiteetista ja yksinkertaistaa ylläpitovälejä.

UX-näkökohdat etäkäyttäjille

Puskut ja sovelluspohjaiset kehotteet tarjoavat luotettavimman kokemuksen [in the] RDP todennusvirta. SMS ja ääni voivat epäonnistua, jos toista kehotetta ei ole olemassa. Kouluta käyttäjiä odotettuihin kehotteisiin, aikakatkaisuihin ja hylkäyssyihin, jotta tukilippuja voidaan vähentää. Korkean viiveen alueilla, pidennä haasteen aikakatkaisuja kohtuullisesti välttääksesi vääriä epäonnistumisia ilman, että todellista väärinkäyttöä peitetään.

Mitä ovat vaatimusten tarkistuslista?

Puhdas asennus alkaa varmennetuista alustan rooleista ja identiteettihygieniasta. Varmista, että RDG on vakaa tuetulla Windows Serverillä ja suunnittele palautuspolku. Vahvista hakemistoryhmät käyttäjäoikeuksien rajaamiseksi ja varmista, että järjestelmänvalvojat voivat erottaa politiikkamuutokset sertifikaatti- tai verkko-ongelmista.

• Roolit, Portit ja Sertifikaatit
• Hakemisto- ja identiteettivalmius

Roolit, Portit ja Sertifikaatit

Ota käyttöön NPS-rooli palvelimella, jossa on luotettava AD-yhteys. Standardoi RADIUS UDP 1812/1813 ja dokumentoi kaikki perintö 1645/1646 käyttö. RDG:ssä asenna julkisesti luotettu TLS-sertifikaatti HTTPS-kuuntelijalle ja poista heikot protokollat ja salaukset. Tallenna jaetut salaisuudet holviin, ei lippuun tai työpöytämuistioon.

Hakemisto- ja identiteettivalmius

Luo omistetut AD-ryhmät RDG:lle sallittuja käyttäjiä ja ylläpitäjiä varten; vältä "Domain Users" -aluetta. Varmista, että käyttäjät ovat rekisteröityneet MFA:han, jos käytetään Entra ID:tä. Kolmansien osapuolten tarjoajien osalta synkronoi identiteetit ja testaa pilottikäyttäjä päästä päähän ennen laajaa rekisteröintiä. Yhdistele käyttäjänimen muodot (UPN vs sAMAccountName) RDG:n, NPS:n ja MFA-alustan välillä, jotta vältetään hiljaiset yhteensopimattomuudet.

Mikä on vaiheittainen konfigurointi MFA:lle RD Gatewaylle?

• Asenna ja rekisteröi NPS
• Lisää RD Gateway RADIUS-asiakkaana
• Luo NPS-käytäntöjä (CRP & NP)
• Asenna MFA-laajennus tai kolmannen osapuolen agentti
• Suuntaa RD Gateway Keskus NPS:ään (RD CAP Store)
• Testaa MFA päästä päähän

Vaihe 1 — Asenna ja rekisteröi NPS

Asenna Verkkopolitiikka- ja Pääsypalvelut -rooli, avaa nps.msc ja rekisteröi NPS Active Directoryyn, jotta se voi lukea käyttäjäattribuutteja. Vahvista Verkkopolitiikkapalvelin (IAS) palvelu on käynnissä ja palvelimen on pystyttävä saavuttamaan verkkotunnuksen ohjauspalvelin alhaisella viiveellä. Huomaa NPS FQDN/IP lokitietoja ja käytäntöjä varten.

Valinnaiset komennot:

Asenna-WindowsFeature NPAS -IncludeManagementTools nps.msc

Suorita netsh nps lisää rekisteröity palvelin

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Vaihe 2 — Lisää RD Gateway RADIUS-asiakkaaksi

RADIUS-asiakkaissa lisää RD Gateway IP:n/FQDN:n avulla, aseta ystävällinen nimi (esim., RDG01 ), ja käytä holvattua, pitkää jaettua salaisuutta. Avaa UDP 1812/1813 NPS-palvelimella ja vahvista saavutettavuus. Jos käytät useita RDG:itä, lisää jokainen erikseen (aliverkkotunnusmääritelmät ovat mahdollisia, mutta helpompi virheellisesti määritellä).

Valinnaiset komennot

Lisää asiakas: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=KYLLÄ

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Vaihe 3 — Luo NPS-käytännöt (CRP & NP)

Luo yhteyspyyntöpolitiikka, joka on rajattu RDG-asiakkaasi IPv4-osoitteeseen. Valitse Vahvista tällä palvelimella (Microsoft Entra MFA:ta varten NPS-laajennuksen kautta) tai Siirrä etä RADIUS:lle (kolmannen osapuolen MFA-välikappaleelle). Luo sitten verkkopolitiikka, joka sisältää AD-ryhmäsi (esim., GRP_RDG_Käyttäjät ) pääsy myönnetty. Varmista, että molemmat politiikat ovat yleisten sääntöjen yläpuolella.

Valinnaiset komennot

# Vahvista, että käyttäjä on sallitussa ryhmässä
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Vienti politiikan yhteenvetoa varten: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Vaihe 4 — Asenna MFA-laajennus tai kolmannen osapuolen agentti

Microsoft Entra MFA: Asenna NPS-laajennus, suorita vuokralaisen sitomisskripti ja käynnistä NPS uudelleen. Varmista, että käyttäjät ovat MFA-rekisteröityneet ja suosivat push/sovellusmenetelmiä. Kolmannen osapuolen MFA: Asenna toimittajan RADIUS-välimies/agentti, määritä päätepisteet/jakosalat ja ohjaa CRP:si tuohon etäryhmään.

Valinnaiset komennot

# Entra MFA NPS -laajennuksen sitominen
Aseta sijainti "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Käynnistä palvelu IAS uudelleen

# Hyödyllinen lokitusnuppi (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Määritä etä RADIUS-ryhmä ja palvelin: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Vaihe 5 — Suuntaa RD Gateway Keskus NPS:ään (RD CAP -kauppa)

RD Gateway -palvelimella aseta RD CAP -tallennus keskitetylle palvelimelle, joka käyttää NPS:ää, lisää NPS-isäntä + jaettu salaisuus ja tarkista yhteys. Kohdista RD CAP sallittuihin käyttäjäryhmiisi ja RD RAP tiettyihin tietokoneisiin/kokoelmiin. Jos MFA onnistuu mutta pääsy epäonnistuu, tarkista ensin RAP:n laajuus.

Vaihe 6 — Testaa MFA päästä päähän

Ulkoiselta asiakkaalta, yhdistä RDG:n kautta tunnettuun isäntään ja vahvista yksi MFA-kehotus, NPS 6272 (Pääsy myönnetty) ja onnistunut istunto. Testaa myös negatiiviset polut (ei ryhmässä, ei rekisteröity, väärä tekijä, vanhentunut tunnus) virheiden selkeyden ja tuen valmiuden validoimiseksi.

Mikä on MFA:n vianmäärintäopas RD Gatewaylle?

Vianetsintä on nopeinta, kun erotat verkko-, politiikka- ja identiteettikerrokset. Aloita RADIUS-yhteyden ja porttien tarkistamisesta, sitten vahvista politiikan vastaavuus, ja tarkista sitten MFA-rekisteröinti ja tekijätyypit. Pidä testitili hallituissa olosuhteissa, jotta voit toistaa tuloksia johdonmukaisesti muutosaikojen aikana.

• Ei kehotteita, silmukoita tai aikakatkaisuja
• Politiikan vastaavuus ja ryhmän laajuus
• Lokitus ja telemetria, joita todella käytät
• Turvallisuuden vahvistaminen ja toimintojen parhaat käytännöt
• Reuna, TLS ja Vähimmäisoikeus
• Valvonta, Hälytys ja Muutoshallinta
• Kestävyys ja palautuminen

Ei kehotteita, silmukoita tai aikakatkaisuja

Ei kehotteet usein viittaavat politiikkajärjestyksen tai MFA-rekisteröinnin puutteisiin. Silmukat viittaavat jaetun salaisuuden yhteensopimattomuuteen tai välityspalvelimen ja NPS:n väliseen uudelleenohjaukseen. Aikakatkaisut viittaavat yleensä estettyihin UDP 1812/1813 -liikenteisiin, epäsymmetriseen reititykseen tai liian aggressiiviseen IDS/IPS-tarkastukseen. Lisää lokitietojen yksityiskohtaisuutta tilapäisesti vahvistaaksesi, mikä hyppy epäonnistuu.

Politiikan vastaavuus ja ryhmän laajuus

Vahvista, että Yhteyspyyntöpolitiikka kohdistuu RDG-asiakkaaseen ja osuu ennen mitään yleissääntöä. Verkkopolitiikassa tarkista tarkka AD-ryhmä ja ryhmän sisäkkäisyyskäyttäytyminen; joissakin ympäristöissä vaaditaan tokenin laajentumisen vähentämistä tai suoraa jäsenyyttä. Kiinnitä huomiota käyttäjänimen kanonisoimiseen liittyviin ongelmiin UPN- ja NT-tyylisten nimien välillä.

Lokitus ja telemetria, joita todella käytät

Käytä NPS Accountingia korrelaatioon ja pidä RDG:n käyttölogit käytössä. Tarkista MFA-alustaltasi käyttäjäkohtaiset kehotteet, kieltämiset ja geo/IP-mallit. Perusta kevyt hallintapaneeli: todennuksen määrä, epäonnistumisprosentti, tärkeimmät epäonnistumissyyt ja keskimääräinen haasteaika. Nämä mittarit ohjaavat sekä kapasiteettia että turvallisuus viritys.

Turvallisuuden vahvistaminen ja toimintojen parhaat käytännöt

MFA on tarpeellinen, mutta ei riittävä. Yhdistä se verkon segmentointiin, nykyaikaiseen TLS:ään, vähäiseen käyttöoikeuteen ja vahvaan valvontaan. Pidä lyhyt, pakollinen peruslinja—kovettaminen toimii vain, jos sitä sovelletaan johdonmukaisesti ja varmistetaan päivitysten ja korjausten jälkeen.

Reuna, TLS ja Vähimmäisoikeus

Aseta RDG kovetettuun DMZ-segmenttiin, jossa on vain tarvittavat yhteydet LAN:iin. Käytä RDG:ssä luotettua julkista sertifikaattia ja poista vanhentuneet käytöstä. TLS ja heikkoja salausmenetelmiä. Rajoita RDG-pääsyä omien AD-ryhmien kautta; vältä laajoja oikeuksia ja varmista, että RD RAPit kartoittavat vain ne järjestelmät ja portit, joita käyttäjät todella tarvitsevat.

Valvonta, Hälytys ja Muutoshallinta

Ilmoitus epäonnistuneiden todennusten piikeistä, epätavallisista maantieteellisistä sijainneista tai toistuvista kehotteista käyttäjittäin. Kirjaa NPS:n, RDG:n ja MFA-alustan kokoonpanomuutokset hyväksyntäpolun kanssa. Käsittele politiikkoja koodina: seuraa muutoksia lähdekoodin hallinnassa tai vähintään muutospäiväkirjassa, ja testaa esikatseluympäristössä ennen tuotantoon siirtymistä.

Kestävyys ja palautuminen

Suorita NPS redundanteesti ja määritä RDG viittaamaan useisiin RADIUS-palvelimiin. Dokumentoi fail-open vs fail-closed -käyttäytyminen jokaiselle komponentille; oletuksena fail-closed ulkoiselle pääsylle. Varmuuskopioi NPS-määritykset, RDG-politiikat ja MFA-asetukset; harjoittele palautusta, mukaan lukien sertifikaatin vaihto ja MFA-laajennuksen tai agentin rekisteröinti uudelleen uudelleenrakentamisen jälkeen.

Päätelmä

MFA:n lisääminen RD Gatewayhin sulkee suurimman aukon internetiin kohdistuvassa RDP:ssä: käyttöoikeuksien väärinkäyttö. Keskittämällä politiikka NPS:ään ja integroimalla Entra MFA tai kolmannen osapuolen RADIUS-palveluntarjoaja, vahvistat vahvan henkilöllisyyden todentamisen häiritsemättä RD CAP/RD RAP -malleja. Vahvista kohdennetuilla testeillä, valvo jatkuvasti ja yhdistä MFA kovennettuun TLS:ään, vähäiseen käyttöoikeuteen ja kestäviin NPS/RDG-suunnitelmiin.