Cara Menetapkan MFA untuk RD Gateway: Seni Bina, Langkah & Amalan Terbaik

Pengenalan

Gateway Desktop Jauh (RD Gateway) mengamankan RDP melalui HTTPS, tetapi kata laluan sahaja tidak dapat menghentikan penipuan, pengisian kelayakan, atau serangan brute-force. Menambah Pengesahan Pelbagai Faktor (MFA) menutup jurang itu dengan mengesahkan identiti pengguna sebelum sesi ditubuhkan. Dalam panduan ini, anda akan belajar bagaimana MFA berintegrasi dengan RD Gateway dan NPS, langkah-langkah konfigurasi yang tepat, dan petua operasi yang memastikan penyebaran anda boleh dipercayai pada skala.

Mengapa RD Gateway Memerlukan MFA?

RD Gateway memusatkan dan mengaudit Akses jauh namun ia tidak dapat menetralkan kelayakan yang dicuri dengan sendirinya. Pengisian kelayakan dan pancingan secara rutin mengatasi pertahanan satu faktor, terutama di mana protokol lama dan pendedahan yang luas wujud. Memaksa MFA di peringkat pengesahan RDG menyekat kebanyakan serangan komoditi dan secara dramatik meningkatkan kos pencerobohan yang disasarkan.

Untuk RDP yang terdedah kepada internet, risiko utama adalah penggunaan semula kata laluan, percubaan brute-force, pengulangan token, dan pengambilalihan sesi melalui TLS yang salah konfigurasi. MFA mengatasi ini dengan memerlukan faktor kedua yang tahan terhadap pengulangan kelayakan.

Banyak rangka kerja—NIST 800-63, kawalan ISO/IEC 27001, dan pelbagai garis dasar insurans siber—secara tersirat atau eksplisit mengharapkan MFA pada Akses jauh melaksanakan MFA pada RDG memenuhi kedua-dua niat kawalan dan jangkaan juruaudit tanpa merombak tumpukan penghantaran anda.

Bagaimana MFA Sesuai dengan Seni Bina Pintu Gerbang RD?

Pelan kawalan adalah mudah: pengguna melancarkan RDP melalui RDG; RDG menghantar pengesahan kepada NPS melalui RADIUS; NPS menilai dasar dan memanggil penyedia MFA; jika berjaya, NPS mengembalikan Access-Accept dan RDG menyelesaikan sambungan. Kebenaran kepada aset dalaman masih dikawal oleh RD CAP/RD RAP, jadi pembuktian identiti adalah tambahan dan bukan mengganggu.

• Aliran Pengesahan dan Titik Keputusan
• Pertimbangan UX untuk Pengguna Jauh

Aliran Pengesahan dan Titik Keputusan

Titik keputusan utama termasuk di mana logik MFA dijalankan (NPS dengan Entra MFA Extension atau proksi RADIUS pihak ketiga), faktor mana yang dibenarkan, dan bagaimana kegagalan ditangani. Memusatkan keputusan pada NPS memudahkan pengauditan dan kawalan perubahan. Untuk harta tanah yang besar, pertimbangkan pasangan NPS khusus untuk memisahkan penilaian dasar daripada kapasiti RDG dan untuk memudahkan tingkap penyelenggaraan.

Pertimbangan UX untuk Pengguna Jauh

Tindakan dan arahan berasaskan aplikasi memberikan pengalaman yang paling boleh dipercayai dalam RDP aliran kelayakan. SMS dan suara boleh gagal di mana tiada UI prompt sekunder wujud. Didik pengguna tentang prompt yang dijangkakan, masa tamat, dan sebab penolakan untuk mengurangkan tiket sokongan. Di kawasan dengan latensi tinggi, panjangkan masa tamat cabaran secara sederhana untuk mengelakkan kegagalan palsu tanpa menyembunyikan penyalahgunaan yang sebenar.

Apakah Senarai Semak Prasyarat?

Persediaan yang bersih bermula dengan peranan platform yang disahkan dan kebersihan identiti. Pastikan RDG stabil pada Windows Server yang disokong dan rancang laluan pemulangan. Sahkan kumpulan direktori untuk menentukan akses pengguna dan sahkan bahawa pentadbir dapat membezakan perubahan dasar daripada isu sijil atau rangkaian.

• Peranan, Port, dan Sijil
• Kesiapan Direktori & Identiti

Peranan, Port, dan Sijil

Laksanakan peranan NPS pada pelayan dengan sambungan AD yang boleh dipercayai. Standardkan pada RADIUS UDP 1812/1813 dan mendokumentasikan sebarang penggunaan warisan 1645/1646. Pada RDG, pasang sijil TLS yang dipercayai secara awam untuk pendengar HTTPS dan buang protokol serta cipher yang lemah. Rekod rahsia yang dikongsi dalam peti simpanan, bukan dalam tiket atau nota desktop.

Kesiapan Direktori & Identiti

Buat kumpulan AD khusus untuk pengguna dan pentadbir yang dibenarkan RDG; elakkan skop "Pengguna Domain". Sahkan pengguna telah mendaftar dalam MFA jika menggunakan Entra ID. Untuk penyedia pihak ketiga, segerakkan identiti dan uji pengguna percubaan dari hujung ke hujung sebelum pendaftaran secara meluas. Selaraskan format nama pengguna (UPN vs sAMAccountName) antara RDG, NPS, dan platform MFA untuk mengelakkan ketidakpadanan senyap.

Apakah Konfigurasi Langkah demi Langkah MFA untuk RD Gateway?

• Pasang & Daftar NPS
• Tambah RD Gateway sebagai Klien RADIUS
• Cipta Dasar NPS (CRP & NP)
• Pasang Sambungan MFA atau Ejen Pihak Ketiga
• Arahkan Pintu Gerbang RD ke NPS Pusat (Penyimpanan RD CAP)
• Uji MFA End-to-End

Langkah 1 — Pasang & Daftar NPS

Pasang peranan Perkhidmatan Dasar Rangkaian dan Akses, buka nps.msc dan daftarkan NPS dalam Active Directory supaya ia dapat membaca atribut pengguna. Sahkan Pelayan Dasar Rangkaian Perkhidmatan (IAS) sedang berjalan dan pelayan dapat menghubungi pengawal domain dengan latensi rendah. Ambil perhatian tentang NPS FQDN/IP untuk log dan polisi.

Perintah pilihan:

Install-WindowsFeature NPAS -IncludeManagementTools nps.msc

Jalankan netsh nps tambah pelayan berdaftar

Dapatkan-Service IAS | Mula-Service  
Uji-Sambungan -Kira 4 -NamaKomputer (Dapatkan-PengawalDomainAD -Temui).NamaHos

Langkah 2 — Tambah RD Gateway sebagai Klien RADIUS

Dalam Klien RADIUS, tambahkan Gerbang RD anda dengan IP/FQDN, tetapkan nama mesra (contohnya, RDG01 ), dan gunakan rahsia bersama yang panjang dan terjamin. Buka UDP 1812/1813 pada pelayan NPS dan sahkan kebolehcapaian. Jika anda menjalankan beberapa RDG, tambahkan setiap satu secara eksplisit (definisi subnet adalah mungkin tetapi lebih mudah untuk salah skop).

Perintah pilihan

Tambah pelanggan: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Langkah 3 — Cipta Dasar NPS (CRP & NP)

Buat Dasar Permintaan Sambungan yang terhad kepada Alamat IPv4 Klien RDG anda. Pilih Pengesahan pada pelayan ini (untuk Microsoft Entra MFA melalui Sambungan NPS) atau Hantar ke RADIUS jauh (untuk proksi MFA pihak ketiga). Kemudian buat Dasar Rangkaian yang merangkumi kumpulan AD anda (contohnya, GRP_RDG_Pengguna ) dengan Akses diberikan. Pastikan kedua-dua polisi berada di atas peraturan umum.

Perintah pilihan

# Sahkan pengguna berada dalam kumpulan yang dibenarkan
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Dasar eksport untuk rujukan: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Langkah 4 — Pasang Sambungan MFA atau Ejen Pihak Ketiga

Untuk Microsoft Entra MFA, pasang NPS Extension, jalankan skrip pengikatan penyewa, dan mulakan semula NPS. Sahkan pengguna telah mendaftar untuk MFA dan lebih suka kaedah push/aplikasi. Untuk MFA pihak ketiga, pasang proksi/agen RADIUS vendor, konfigurasi titik akhir/rahsia bersama, dan arahkan CRP anda ke kumpulan jauh tersebut.

Perintah pilihan

# Entra MFA NPS Extension bind
Set-Location "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Restart-Service IAS

# Butang log berguna (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Konfigurasikan kumpulan dan pelayan RADIUS jauh: netsh nps tambah kumpulan pelayan radius jauh nama="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Langkah 5 — Arahkan Gerbang RD ke NPS Pusat (Penyimpanan RD CAP)

Pada pelayan RD Gateway, tetapkan RD CAP Store kepada pelayan Pusat yang menjalankan NPS, tambahkan hos NPS + rahsia bersama, dan sahkan sambungan. Sesuaikan RD CAP kepada kumpulan pengguna yang dibenarkan dan RD RAP kepada komputer/koleksi tertentu. Jika MFA berjaya tetapi akses gagal, semak skop RAP terlebih dahulu.

Langkah 6 — Uji MFA End-to-End

Dari klien luar, sambungkan melalui RDG ke hos yang dikenali dan sahkan satu permintaan MFA, NPS 6272 (Akses diberikan), dan sesi yang berjaya. Uji juga laluan negatif (tidak dalam kumpulan, tidak mendaftar, faktor salah, token tamat) untuk mengesahkan kejelasan ralat dan kesediaan sokongan.

Apakah Buku Panduan Penyelesaian Masalah MFA untuk RD Gateway?

Penyelesaian masalah adalah yang paling cepat apabila anda memisahkan lapisan rangkaian, dasar, dan identiti. Mulakan dengan kebolehcapaian RADIUS dan pemeriksaan port, kemudian sahkan pemadanan dasar, kemudian semak pendaftaran MFA dan jenis faktor. Simpan akaun ujian dengan syarat terkawal supaya anda dapat menghasilkan semula hasil secara konsisten semasa tingkap perubahan.

• Tiada Prompt, Gelung, atau Timeout
• Penyandingan Dasar & Skop Kumpulan
• Logging dan Telemetri yang Anda Sebenarnya Gunakan
• Amalan Terbaik Pengukuhan Keselamatan & Operasi
• Perimeter, TLS, dan Least Privilege
• Pemantauan, Pemberitahuan, dan Kawalan Perubahan
• Ketahanan dan Pemulihan

Tiada Prompt, Gelung, atau Timeout

Tiada arahan sering menunjukkan pesanan dasar atau jurang pendaftaran MFA. Gelung menunjukkan ketidakpadanan rahsia bersama atau pengulangan pemajuan antara NPS dan proksi. Masa tamat biasanya menunjukkan UDP 1812/1813 yang disekat, penghalaan asimetri, atau pemeriksaan IDS/IPS yang terlalu agresif. Tingkatkan kebisingan log sementara untuk mengesahkan hop mana yang gagal.

Penyandingan Dasar & Skop Kumpulan

Sahkan bahawa Dasar Permintaan Sambungan menyasarkan klien RDG dan dilaksanakan sebelum sebarang peraturan umum. Dalam Dasar Rangkaian, sahkan kumpulan AD yang tepat dan tingkah laku pengelompokan; beberapa persekitaran memerlukan pengurangan token bloat atau keanggotaan langsung. Perhatikan isu kanonalisasi nama pengguna antara UPN dan nama gaya NT.

Logging dan Telemetri yang Anda Sebenarnya Gunakan

Gunakan NPS Accounting untuk korelasi dan pastikan log operasi RDG diaktifkan. Dari platform MFA anda, semak permintaan per pengguna, penolakan, dan corak geo/IP. Wujudkan papan pemuka ringan: jumlah pengesahan, kadar kegagalan, sebab kegagalan utama, dan masa cabaran purata. Metrik ini membimbing kedua-dua kapasiti dan keselamatan penalaan.

Amalan Terbaik Pengukuhan Keselamatan & Operasi

MFA adalah perlu tetapi tidak mencukupi. Gabungkan ia dengan segmentasi rangkaian, TLS moden, hak minimum, dan pemantauan yang kuat. Kekalkan garis dasar yang pendek dan dikuatkuasakan—pengukuhan hanya berfungsi jika ia diterapkan secara konsisten dan disahkan selepas tampalan dan peningkatan.

Perimeter, TLS, dan Least Privilege

Letakkan RDG dalam segmen DMZ yang diperkukuh dengan hanya aliran yang diperlukan ke dalam LAN. Gunakan sijil awam yang dipercayai pada RDG dan lumpuhkan legasi. TLS dan penyulitan lemah. Hadkan akses RDG melalui kumpulan AD khusus; elakkan hak akses yang luas dan pastikan RD RAP hanya memetakan sistem dan port yang sebenarnya diperlukan oleh pengguna.

Pemantauan, Pemberitahuan, dan Kawalan Perubahan

Amaran mengenai lonjakan dalam pengesahan yang gagal, geografi yang tidak biasa, atau permintaan berulang bagi setiap pengguna. Log perubahan konfigurasi pada NPS, RDG, dan platform MFA dengan jejak kelulusan. Anggap polisi sebagai kod: jejak perubahan dalam kawalan sumber atau sekurang-kurangnya dalam daftar perubahan, dan uji dalam persekitaran staging sebelum pemindahan ke pengeluaran.

Ketahanan dan Pemulihan

Jalankan NPS secara redundan dan konfigurasi RDG untuk merujuk kepada beberapa pelayan RADIUS. Dokumentasikan tingkah laku fail-terbuka vs fail-tertutup untuk setiap komponen; tetapkan kepada fail-tertutup untuk akses luar. Sandarkan konfigurasi NPS, dasar RDG, dan tetapan MFA; ulangi pemulihan, termasuk penggantian sijil dan pendaftaran semula sambungan atau ejen MFA selepas pembinaan semula.

Kesimpulan

Menambah MFA ke RD Gateway menutup jurang terbesar dalam RDP yang terdedah kepada internet: penyalahgunaan kelayakan. Dengan memusatkan dasar pada NPS dan mengintegrasikan Entra MFA atau penyedia RADIUS pihak ketiga, anda menguatkuasakan pembuktian identiti yang kuat tanpa mengganggu model RD CAP/RD RAP. Sahkan dengan ujian yang disasarkan, pantau secara berterusan, dan padankan MFA dengan TLS yang diperkukuh, hak minimum, dan reka bentuk NPS/RDG yang tahan lasak.