Hoe MFA voor RD Gateway in te stellen: Architectuur, Stappen en Beste Praktijken

Introductie

Remote Desktop Gateway (RD Gateway) beveiligt RDP via HTTPS, maar alleen wachtwoorden kunnen phishing, credential stuffing of brute-force aanvallen niet stoppen. Het toevoegen van Multi-Factor Authenticatie (MFA) sluit die kloof door de identiteit van de gebruiker te verifiëren voordat een sessie wordt opgezet. In deze gids leer je hoe MFA integreert met RD Gateway en NPS, de exacte configuratiestappen, en de operationele tips die je implementatie betrouwbaar houden op schaal.

Waarom heeft RD Gateway MFA nodig?

RD Gateway centraliseert en auditeert Externe toegang , maar het kan gestolen inloggegevens niet op zichzelf neutraliseren. Credential stuffing en phishing omzeilen routinematig de verdedigingen met één factor, vooral waar verouderde protocollen en brede blootstelling bestaan. Het afdwingen van MFA op de RDG-authenticatielaag blokkeert de meeste gangbare aanvallen en verhoogt dramatisch de kosten van gerichte inbreuken.

Voor internetgerichte RDP zijn de belangrijkste risico's hergebruik van wachtwoorden, brute-force pogingen, token replay en sessieovername via verkeerd geconfigureerde TLS. MFA bestrijdt deze door een tweede factor te vereisen die bestand is tegen credential replay.

Veel kaders—NIST 800-63, ISO/IEC 27001-controles en verschillende cyberverzekeringsnormen—verwachten impliciet of expliciet MFA op Externe toegang paden. Het implementeren van MFA op RDG voldoet aan zowel de controle-intentie als de verwachtingen van de auditor zonder uw leveringsstack opnieuw te architectureren.

Hoe MFA past in de RD Gateway-architectuur?

Het controlevlak is eenvoudig: de gebruiker start RDP via RDG; RDG verzendt authenticatie naar NPS via RADIUS; NPS evalueert het beleid en roept de MFA-provider aan; bij succes retourneert NPS Access-Accept en voltooit RDG de verbinding. Autorisatie voor interne activa wordt nog steeds beheerst door RD CAP/RD RAP, dus identiteitsverificatie is aanvullend in plaats van verstorend.

• Authenticatieflow en Beslissingspunten
• UX-overwegingen voor externe gebruikers

Authenticatieflow en Beslissingspunten

Belangrijke besluitpunten zijn waar de MFA-logica draait (NPS met de Entra MFA-extensie of een externe RADIUS-proxy), welke factoren zijn toegestaan en hoe fouten worden afgehandeld. Het centraliseren van beslissingen op NPS vereenvoudigt de audit en wijzigingscontrole. Voor grote omgevingen, overweeg een speciale NPS-paar om de beleidsbeoordeling te scheiden van de RDG-capaciteit en om onderhoudsvensters te vereenvoudigen.

UX-overwegingen voor externe gebruikers

Push- en app-gebaseerde meldingen bieden de meest betrouwbare ervaring in de RDP credential flow. SMS en spraak kunnen falen waar geen secundaire prompt UI bestaat. Educateer gebruikers over verwachte prompts, time-outs en redenen voor weigering om ondersteuningsverzoeken te verminderen. In gebieden met hoge latentie, verleng de uitdaging time-outs bescheiden om valse mislukkingen te voorkomen zonder echte misbruik te maskeren.

Wat is de checklist voor vereisten?

Een schone setup begint met geverifieerde platformrollen en identiteits hygiëne. Zorg ervoor dat RDG stabiel is op een ondersteunde Windows Server en plan een terugrolpad. Bevestig directorygroepen voor het afbakenen van gebruikers toegang en valideer dat beheerders beleidswijzigingen kunnen onderscheiden van certificaat- of netwerkproblemen.

• Rollen, Poorten en Certificaten
• Directory & Identity Gereedheid

Rollen, Poorten en Certificaten

Deplooi de NPS-rol op een server met betrouwbare AD-connectiviteit. Standaardiseer op RADIUS UDP 1812/1813 en documenteer elk legacy 1645/1646 gebruik. Installeer op RDG een publiek vertrouwd TLS-certificaat voor de HTTPS-luisteraar en verwijder zwakke protocollen en ciphers. Leg gedeelde geheimen vast in een kluis, niet in een ticket of desktopnotitie.

Directory & Identity Gereedheid

Maak speciale AD-groepen voor RDG-toegestane gebruikers en beheerders; vermijd de scope "Domeingebruikers". Controleer of gebruikers zijn ingeschreven voor MFA als Entra ID wordt gebruikt. Voor externe providers, synchroniseer identiteiten en test een pilotgebruiker van begin tot eind voordat brede inschrijving plaatsvindt. Stem de gebruikersnaamformaten (UPN vs sAMAccountName) af tussen RDG, NPS en het MFA-platform om stille mismatches te voorkomen.

Wat is de stapsgewijze configuratie van MFA voor RD Gateway?

• Installeer en registreer NPS
• Voeg RD Gateway toe als een RADIUS-client
• NPS-beleid maken (CRP & NP)
• Installeer MFA-extensie of derde partij agent
• Point RD Gateway naar Central NPS (RD CAP Store)
• Test MFA End-to-End

Stap 1 — Installeer en registreer NPS

Installeer de rol Netwerkbeleid en Toegangsservices, open nps.msc , en registreer NPS in Active Directory zodat het gebruikersattributen kan lezen. Verifieer de Netwerkbeleidserver ( IAS )-service draait en de server kan een domeincontroller met lage latentie bereiken. Let op de NPS FQDN/IP voor logs en beleidsregels.

Optionele opdrachten:

Install-WindowsFeature NPAS -IncludeManagementTools nps.msc

Uitvoeren netsh nps voeg geregistreerde server toe

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Stap 2 — Voeg RD Gateway toe als een RADIUS-client

In RADIUS-clients, voeg uw RD Gateway toe via IP/FQDN, stel een vriendelijke naam in (bijv., RDG01 ), en gebruik een vergrendeld, lang gedeeld geheim. Open UDP 1812/1813 op de NPS-server en bevestig de bereikbaarheid. Als je meerdere RDG's uitvoert, voeg dan elke expliciet toe (subnetdefinities zijn mogelijk, maar gemakkelijker verkeerd te scopen).

Optionele opdrachten

Voeg een klant toe: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=JA

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812  
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Stap 3 — Maak NPS-beleid (CRP & NP)

Maak een verbindingsverzoekbeleid dat is afgestemd op uw RDG-client IPv4-adres. Kies voor authenticatie op deze server (voor Microsoft Entra MFA via de NPS-extensie) of doorsturen naar externe RADIUS (voor een derde partij MFA-proxy). Maak vervolgens een netwerkbeleid aan dat uw AD-groep(en) omvat. GRP_RDG_Gebruikers ) met Toegang verleend. Zorg ervoor dat beide beleidsregels boven de algemene regels staan.

Optionele opdrachten

# Verifieer of een gebruiker in de toegestane groep is
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Exportbeleid momentopname ter referentie: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Stap 4 — Installeer MFA-extensie of derde partij agent

Voor Microsoft Entra MFA, installeer de NPS-extensie, voer het tenant binding-script uit en herstart NPS. Bevestig dat gebruikers MFA-geregistreerd zijn en geef de voorkeur aan push/app-methoden. Voor derde partij MFA, installeer de RADIUS-proxy/agent van de leverancier, configureer eindpunten/gedeelde geheimen en wijs uw CRP naar die externe groep.

Optionele opdrachten

# Entra MFA NPS-extensie binden  
Set-Location "C:\Program Files\Microsoft\AzureMfa\"  
.\AzureMfaNpsExtnConfigSetup.ps1  
Herstart-Service IAS

# Nuttige logknop (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Configure een externe RADIUS-groep en server: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Stap 5 — Wijs RD Gateway naar Central NPS (RD CAP Store)

Op de RD Gateway-server, stel RD CAP Store in op Centrale server die NPS uitvoert, voeg de NPS-host + gedeeld geheim toe en controleer de connectiviteit. Stem RD CAP af op uw toegestane gebruikersgroep(en) en RD RAP op de specifieke computers/collecties. Als MFA slaagt maar toegang mislukt, controleer dan eerst de RAP-scope.

Stap 6 — Test MFA E2E

Verbind vanaf een externe client via RDG met een bekende host en bevestig één MFA-prompt, NPS 6272 (Toegang verleend), en een succesvolle sessie. Test ook negatieve paden (niet in de groep, niet ingeschreven, verkeerde factor, verlopen token) om de duidelijkheid van fouten en de gereedheid van de ondersteuning te valideren.

Wat is het Probleemoplossingshandboek van MFA voor RD Gateway?

Probleemoplossing is het snelst wanneer je netwerk-, beleids- en identiteitslagen scheidt. Begin met de bereikbaarheid van RADIUS en poortcontroles, valideer vervolgens de beleidsmatching en bekijk daarna de MFA-inschrijving en type factoren. Houd een testaccount met gecontroleerde omstandigheden aan zodat je resultaten consistent kunt reproduceren tijdens wijzigingsvensters.

• Geen prompt, lussen of time-outs
• Beleidsovereenkomst en Groepsomvang
• Logging en Telemetrie die je daadwerkelijk zult gebruiken
• Beveiligingsversterking en operationele best practices
• Perimeter, TLS en Least Privilege
• Monitoring, waarschuwing en wijzigingsbeheer
• Veerkracht en Herstel

Geen prompt, lussen of time-outs

Geen prompt duidt vaak op hiaten in het beleidsorder of MFA-inschrijving. Lussen suggereren een mismatch van gedeelde geheimen of doorstuurrecursie tussen NPS en een proxy. Time-outs wijzen meestal op geblokkeerde UDP 1812/1813, asymmetrische routering of te agressieve IDS/IPS-inspectie. Verhoog tijdelijk de logboekgedetailleerdheid om te bevestigen welke sprong faalt.

Beleidsovereenkomst en Groepsomvang

Bevestig dat het beleid voor verbindingsverzoeken gericht is op de RDG-client en vóór elke catch-all regel wordt uitgevoerd. Controleer in het netwerkbeleid de exacte AD-groep en het groepsnestgedrag; sommige omgevingen vereisen mitigatie van tokenbloat of directe lidmaatschapscontrole. Let op problemen met de canonicalisatie van gebruikersnamen tussen UPN- en NT-stijl namen.

Logging en Telemetrie die je daadwerkelijk zult gebruiken

Gebruik NPS Accounting voor correlatie en houd RDG operationele logs ingeschakeld. Bekijk per gebruiker de prompts, weigeringen en geo/IP-patronen vanuit uw MFA-platform. Stel een lichtgewicht dashboard in: authenticatievolume, foutpercentage, belangrijkste redenen voor fouten en gemiddelde uitdagingstijd. Deze statistieken begeleiden zowel de capaciteit als beveiliging afstemming.

Beveiligingsversterking en operationele best practices

MFA is noodzakelijk maar niet voldoende. Combineer het met netwerksegmentatie, moderne TLS, het principe van de minste privileges en sterke monitoring. Houd een korte, afgedwongen basislijn aan—versteviging werkt alleen als deze consistent wordt toegepast en na patches en upgrades wordt geverifieerd.

Perimeter, TLS en Least Privilege

Plaats RDG in een gehard DMZ-segment met alleen de vereiste stromen naar het LAN. Gebruik een vertrouwd openbaar certificaat op RDG en schakel legacy uit. TLS en zwakke versleutelingen. Beperk RDG-toegang via specifieke AD-groepen; vermijd brede rechten en zorg ervoor dat RD RAP's alleen de systemen en poorten in kaart brengen die gebruikers daadwerkelijk nodig hebben.

Monitoring, waarschuwing en wijzigingsbeheer

Waarschuwing bij pieken in mislukte authenticaties, ongebruikelijke geografische locaties of herhaalde verzoeken per gebruiker. Log configuratiewijzigingen op NPS, RDG en het MFA-platform met een goedkeuringsspoor. Behandel beleidsregels als code: volg wijzigingen in versiebeheer of op zijn minst in een wijzigingsregister, en test in een stagingomgeving voordat de productieovergang plaatsvindt.

Veerkracht en Herstel

Voer NPS redundant uit en configureer RDG om meerdere RADIUS-servers te verwijzen. Documenteer het fail-open versus fail-closed gedrag voor elk component; standaard op fail-closed voor externe toegang. Maak een back-up van de NPS-configuratie, RDG-beleid en MFA-instellingen; oefen het herstel, inclusief vervanging van certificaten en herregistratie van de MFA-extensie of agent na een rebuild.

Conclusie

Het toevoegen van MFA aan RD Gateway sluit de grootste kloof in internetgerichte RDP: misbruik van inloggegevens. Door beleid te centraliseren op NPS en Entra MFA of een derde partij RADIUS-provider te integreren, handhaaf je sterke identiteitsverificatie zonder de RD CAP/RD RAP-modellen te verstoren. Valideer met gerichte tests, monitor continu en combineer MFA met versterkte TLS, minimale privileges en een veerkrachtig NPS/RDG-ontwerp.