Cara Mengatur MFA untuk RD Gateway: Arsitektur, Langkah-langkah & Praktik Terbaik

Pengantar

Gateway Desktop Jarak Jauh (RD Gateway) mengamankan RDP melalui HTTPS, tetapi kata sandi saja tidak dapat menghentikan phishing, pengisian kredensial, atau serangan brute-force. Menambahkan Autentikasi Multi-Faktor (MFA) menutup celah tersebut dengan memverifikasi identitas pengguna sebelum sesi dimulai. Dalam panduan ini, Anda akan belajar bagaimana MFA terintegrasi dengan RD Gateway dan NPS, langkah-langkah konfigurasi yang tepat, serta tips operasional yang menjaga penerapan Anda tetap dapat diandalkan dalam skala besar.

Mengapa RD Gateway Membutuhkan MFA?

RD Gateway memusatkan dan mengaudit remote access , namun tidak dapat menetralkan kredensial yang dicuri dengan sendirinya. Credential stuffing dan phishing secara rutin melewati pertahanan satu faktor, terutama di mana protokol lama dan paparan luas ada. Penegakan MFA di tingkat otentikasi RDG memblokir sebagian besar serangan komoditas dan secara dramatis meningkatkan biaya intrusi yang ditargetkan.

Untuk RDP yang terhubung ke internet, risiko dominan adalah penggunaan ulang kata sandi, upaya brute-force, pemutaran token, dan pembajakan sesi melalui TLS yang salah konfigurasi. MFA mengatasi ini dengan memerlukan faktor kedua yang tahan terhadap pemutaran kredensial.

Banyak kerangka kerja—NIST 800-63, kontrol ISO/IEC 27001, dan berbagai dasar asuransi siber—secara implisit atau eksplisit mengharapkan MFA pada remote access jalur. Menerapkan MFA pada RDG memenuhi niat kontrol dan harapan auditor tanpa merombak tumpukan pengiriman Anda.

Bagaimana MFA Sesuai dengan Arsitektur RD Gateway?

Rencana kontrolnya sederhana: pengguna meluncurkan RDP melalui RDG; RDG mengirimkan otentikasi ke NPS melalui RADIUS; NPS mengevaluasi kebijakan dan memanggil penyedia MFA; jika berhasil, NPS mengembalikan Access-Accept dan RDG menyelesaikan koneksi. Otorisasi untuk aset internal masih diatur oleh RD CAP/RD RAP, jadi pembuktian identitas bersifat tambahan daripada mengganggu.

• Alur Autentikasi dan Titik Keputusan
• Pertimbangan UX untuk Pengguna Jarak Jauh

Alur Autentikasi dan Titik Keputusan

Titik keputusan kunci mencakup di mana logika MFA dijalankan (NPS dengan Entra MFA Extension atau proxy RADIUS pihak ketiga), faktor mana yang diizinkan, dan bagaimana kegagalan ditangani. Memusatkan keputusan pada NPS menyederhanakan audit dan kontrol perubahan. Untuk estate besar, pertimbangkan pasangan NPS khusus untuk memisahkan evaluasi kebijakan dari kapasitas RDG dan untuk menyederhanakan jendela pemeliharaan.

Pertimbangan UX untuk Pengguna Jarak Jauh

Dorongan dan prompt berbasis aplikasi memberikan pengalaman yang paling dapat diandalkan di dalam RDP aliran kredensial. SMS dan suara dapat gagal di mana tidak ada UI prompt sekunder yang ada. Edukasi pengguna tentang prompt yang diharapkan, waktu tunggu, dan alasan penolakan untuk mengurangi tiket dukungan. Di daerah dengan latensi tinggi, perpanjang waktu tunggu tantangan secara moderat untuk menghindari kegagalan palsu tanpa menutupi penyalahgunaan yang sebenarnya.

Apa itu Daftar Periksa Prasyarat?

Pengaturan yang bersih dimulai dengan peran platform yang terverifikasi dan kebersihan identitas. Pastikan RDG stabil di Windows Server yang didukung dan rencanakan jalur pemulihan. Konfirmasi grup direktori untuk menentukan akses pengguna dan validasi bahwa admin dapat membedakan perubahan kebijakan dari masalah sertifikat atau jaringan.

• Peran, Port, dan Sertifikat
• Kesiapan Direktori & Identitas

Peran, Port, dan Sertifikat

Terapkan peran NPS di server dengan konektivitas AD yang andal. Standarisasi pada RADIUS UDP 1812/1813 dan dokumentasikan penggunaan warisan 1645/1646. Di RDG, instal sertifikat TLS yang dipercaya secara publik untuk pendengar HTTPS dan hapus protokol serta cipher yang lemah. Catat rahasia yang dibagikan di dalam brankas, bukan di tiket atau catatan desktop.

Kesiapan Direktori & Identitas

Buat grup AD khusus untuk pengguna dan administrator yang diizinkan RDG; hindari cakupan "Domain Users". Verifikasi pengguna terdaftar dalam MFA jika menggunakan Entra ID. Untuk penyedia pihak ketiga, sinkronkan identitas dan uji pengguna pilot dari awal hingga akhir sebelum pendaftaran secara luas. Sesuaikan format nama pengguna (UPN vs sAMAccountName) antara RDG, NPS, dan platform MFA untuk menghindari ketidakcocokan yang tidak terdeteksi.

Apa Langkah-Langkah Konfigurasi MFA untuk RD Gateway?

• Instal & Daftar NPS
• Tambahkan RD Gateway sebagai Klien RADIUS
• Buat Kebijakan NPS (CRP & NP)
• Instal Ekstensi MFA atau Agen Pihak Ketiga
• Arahkan Gateway RD ke NPS Pusat (Toko RD CAP)
• Uji MFA End-to-End

Langkah 1 — Instal & Daftarkan NPS

Instal peran Layanan Kebijakan Jaringan dan Akses, buka nps.msc , dan daftarkan NPS di Active Directory sehingga dapat membaca atribut pengguna. Verifikasi the Server Kebijakan Jaringan Layanan (IAS) sedang berjalan dan server dapat mencapai pengontrol domain dengan latensi rendah. Catat NPS FQDN/IP untuk log dan kebijakan.

Perintah opsional:

Install-WindowsFeature NPAS -IncludeManagementTools nps.msc

Jalankan netsh nps tambahkan server terdaftar

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Langkah 2 — Tambahkan RD Gateway sebagai Klien RADIUS

Di Klien RADIUS, tambahkan Gerbang RD Anda dengan IP/FQDN, atur nama yang ramah (misalnya, RDG01 ), dan gunakan rahasia bersama yang panjang dan terjamin. Buka UDP 1812/1813 di server NPS dan konfirmasi keterjangkauan. Jika Anda menjalankan beberapa RDG, tambahkan masing-masing secara eksplisit (definisi subnet dimungkinkan tetapi lebih mudah salah penafsiran).

Perintah opsional

Tambahkan klien: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Langkah 3 — Buat Kebijakan NPS (CRP & NP)

Buat Kebijakan Permintaan Koneksi yang dibatasi pada Alamat IPv4 Klien RDG Anda. Pilih Autentikasi di server ini (untuk Microsoft Entra MFA melalui Ekstensi NPS) atau Meneruskan ke RADIUS jarak jauh (untuk proxy MFA pihak ketiga). Kemudian buat Kebijakan Jaringan yang mencakup grup AD Anda (misalnya, GRP_RDG_Pengguna ) dengan Akses diberikan. Pastikan kedua kebijakan berada di atas aturan umum.

Perintah opsional

# Verifikasi pengguna berada dalam grup yang diizinkan
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Kebijakan ekspor snapshot untuk referensi: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Langkah 4 — Instal Ekstensi MFA atau Agen Pihak Ketiga

Untuk Microsoft Entra MFA, instal Ekstensi NPS, jalankan skrip pengikatan penyewa, dan restart NPS. Konfirmasi pengguna terdaftar di MFA dan lebih memilih metode push/aplikasi. Untuk MFA pihak ketiga, instal proxy/agen RADIUS dari vendor, konfigurasikan endpoint/rahasia bersama, dan arahkan CRP Anda ke grup jarak jauh tersebut.

Perintah opsional

# Entra MFA NPS Extension bind
Set-Location "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Restart-Service IAS

# Tombol pencatatan yang berguna (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Konfigurasikan grup dan server RADIUS jarak jauh: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Langkah 5 — Arahkan RD Gateway ke NPS Pusat (Toko RD CAP)

Pada server RD Gateway, atur RD CAP Store ke server pusat yang menjalankan NPS, tambahkan host NPS + kunci bersama, dan verifikasi konektivitas. Sesuaikan RD CAP dengan grup pengguna yang diizinkan dan RD RAP dengan komputer/koleksi tertentu. Jika MFA berhasil tetapi akses gagal, periksa ruang lingkup RAP terlebih dahulu.

Langkah 6 — Uji MFA End-to-End

Dari klien eksternal, sambungkan melalui RDG ke host yang dikenal dan konfirmasi satu prompt MFA, NPS 6272 (Akses diberikan), dan sesi yang berhasil. Juga uji jalur negatif (tidak dalam grup, tidak terdaftar, faktor salah, token kedaluwarsa) untuk memvalidasi kejelasan kesalahan dan kesiapan dukungan.

Apa itu Buku Panduan Pemecahan Masalah MFA untuk RD Gateway?

Pemecahan masalah paling cepat ketika Anda memisahkan lapisan jaringan, kebijakan, dan identitas. Mulailah dengan jangkauan RADIUS dan pemeriksaan port, kemudian validasi pencocokan kebijakan, lalu tinjau pendaftaran MFA dan jenis faktor. Simpan akun uji dengan kondisi terkendali sehingga Anda dapat mereproduksi hasil secara konsisten selama jendela perubahan.

• Tidak ada Prompt, Loop, atau Timeout
• Pencocokan Kebijakan & Lingkup Grup
• Logging dan Telemetri yang Sebenarnya Anda Gunakan
• Praktik Terbaik Penguatan Keamanan & Operasi
• Perimeter, TLS, dan Least Privilege
• Pemantauan, Peringatan, dan Kontrol Perubahan
• Ketahanan dan Pemulihan

Tidak ada Prompt, Loop, atau Timeout

Tidak ada prompt yang sering menunjukkan kekurangan urutan kebijakan atau pendaftaran MFA. Loop menunjukkan ketidakcocokan rahasia bersama atau rekursi pengalihan antara NPS dan proxy. Waktu habis biasanya menunjukkan UDP 1812/1813 yang diblokir, routing asimetris, atau inspeksi IDS/IPS yang terlalu agresif. Tingkatkan verbosity logging sementara untuk mengonfirmasi hop mana yang gagal.

Pencocokan Kebijakan & Lingkup Grup

Konfirmasi bahwa Kebijakan Permintaan Koneksi menargetkan klien RDG dan diterapkan sebelum aturan catch-all apa pun. Dalam Kebijakan Jaringan, verifikasi grup AD yang tepat dan perilaku pengelompokan; beberapa lingkungan memerlukan mitigasi pembengkakan token atau keanggotaan langsung. Perhatikan masalah kanonalisasi nama pengguna antara UPN dan nama gaya NT.

Logging dan Telemetri yang Sebenarnya Anda Gunakan

Gunakan NPS Accounting untuk korelasi dan tetap aktifkan log operasional RDG. Dari platform MFA Anda, tinjau permintaan per pengguna, penolakan, dan pola geo/IP. Buat dasbor ringan: volume otentikasi, tingkat kegagalan, alasan kegagalan teratas, dan waktu tantangan rata-rata. Metrik ini memandu baik kapasitas dan keamanan penyetelan.

Praktik Terbaik Penguatan Keamanan & Operasi

MFA diperlukan tetapi tidak cukup. Gabungkan dengan segmentasi jaringan, TLS modern, hak akses paling sedikit, dan pemantauan yang kuat. Pertahankan baseline yang singkat dan ditegakkan—penguatan hanya berhasil jika diterapkan secara konsisten dan diverifikasi setelah patch dan pembaruan.

Perimeter, TLS, dan Least Privilege

Tempatkan RDG di segmen DMZ yang diperkuat dengan hanya aliran yang diperlukan ke LAN. Gunakan sertifikat publik yang tepercaya di RDG dan nonaktifkan warisan. TLS dan cipher yang lemah. Batasi akses RDG melalui grup AD yang khusus; hindari hak akses yang luas dan pastikan RD RAP hanya memetakan sistem dan port yang benar-benar dibutuhkan pengguna.

Pemantauan, Peringatan, dan Kontrol Perubahan

Peringatan tentang lonjakan dalam kegagalan autentikasi, geografi yang tidak biasa, atau permintaan berulang per pengguna. Catat perubahan konfigurasi di NPS, RDG, dan platform MFA dengan jejak persetujuan. Perlakukan kebijakan sebagai kode: lacak perubahan dalam kontrol sumber atau setidaknya dalam register perubahan, dan uji di lingkungan staging sebelum pemindahan ke produksi.

Ketahanan dan Pemulihan

Jalankan NPS secara redundan dan konfigurasikan RDG untuk merujuk ke beberapa server RADIUS. Dokumentasikan perilaku fail-open vs fail-closed untuk setiap komponen; default ke fail-closed untuk akses eksternal. Cadangkan konfigurasi NPS, kebijakan RDG, dan pengaturan MFA; latih pemulihan, termasuk penggantian sertifikat dan pendaftaran ulang ekstensi atau agen MFA setelah pembangunan ulang.

Kesimpulan

Menambahkan MFA ke RD Gateway menutup celah terbesar dalam RDP yang terhubung ke internet: penyalahgunaan kredensial. Dengan memusatkan kebijakan pada NPS dan mengintegrasikan Entra MFA atau penyedia RADIUS pihak ketiga, Anda menegakkan pembuktian identitas yang kuat tanpa mengganggu model RD CAP/RD RAP. Validasi dengan pengujian yang ditargetkan, pantau secara terus-menerus, dan padukan MFA dengan TLS yang diperkuat, hak akses minimum, dan desain NPS/RDG yang tangguh.