Jak skonfigurować MFA dla bramy RD: architektura, kroki i najlepsze praktyki

Wprowadzenie

Brama pulpitu zdalnego (RD Gateway) zabezpiecza RDP przez HTTPS, ale same hasła nie mogą powstrzymać phishingu, ataków z użyciem danych uwierzytelniających ani ataków siłowych. Dodanie uwierzytelniania wieloskładnikowego (MFA) wypełnia tę lukę, weryfikując tożsamość użytkownika przed nawiązaniem sesji. W tym przewodniku dowiesz się, jak MFA integruje się z RD Gateway i NPS, jakie są dokładne kroki konfiguracyjne oraz praktyczne wskazówki, które zapewniają niezawodność wdrożenia na dużą skalę.

Dlaczego RD Gateway potrzebuje MFA?

RD Gateway centralizuje i audytuje remote access , ale sama nie może zneutralizować skradzionych poświadczeń. Wypełnianie poświadczeń i phishing rutynowo omijają obrony jednofaktorowe, szczególnie tam, gdzie istnieją przestarzałe protokoły i szeroka ekspozycja. Wymuszanie MFA na poziomie uwierzytelniania RDG blokuje większość powszechnych ataków i dramatycznie podnosi koszt ukierunkowanej intruzji.

Dla RDP wystawionego na internet, dominujące ryzyka to ponowne użycie haseł, próby ataków siłowych, odtwarzanie tokenów oraz przejęcie sesji poprzez źle skonfigurowane TLS. MFA przeciwdziała tym zagrożeniom, wymagając drugiego czynnika odpornego na odtwarzanie poświadczeń.

Wiele ram z NIST 800-63, kontrolami ISO/IEC 27001 oraz różnymi podstawami ubezpieczeń cybernetycznych w sposób impliczny lub expliczny oczekuje MFA na remote access wdrożenie MFA na RDG spełnia zarówno intencje kontroli, jak i oczekiwania audytora, bez potrzeby przekształcania twojej struktury dostarczania.

Jak MFA pasuje do architektury bramy RD?

Płaszczyzna kontrolna jest prosta: użytkownik uruchamia RDP przez RDG; RDG wysyła uwierzytelnienie do NPS przez RADIUS; NPS ocenia politykę i wywołuje dostawcę MFA; w przypadku sukcesu, NPS zwraca Access-Accept, a RDG kończy połączenie. Autoryzacja do zasobów wewnętrznych nadal podlega RD CAP/RD RAP, więc weryfikacja tożsamości jest dodatnia, a nie zakłócająca.

• Przepływ uwierzytelniania i punkty decyzyjne
• Rozważania UX dla użytkowników zdalnych

Przepływ uwierzytelniania i punkty decyzyjne

Kluczowe punkty decyzyjne obejmują, gdzie działa logika MFA (NPS z rozszerzeniem Entra MFA lub zewnętrzny serwer proxy RADIUS), które czynniki są dozwolone oraz jak obsługiwane są błędy. Centralizacja decyzji w NPS upraszcza audyt i kontrolę zmian. W przypadku dużych środowisk rozważ dedykowaną parę NPS, aby oddzielić ocenę polityki od pojemności RDG i uprościć okna konserwacyjne.

Rozważania UX dla użytkowników zdalnych

Powiadomienia push i oparte na aplikacjach zapewniają najbardziej niezawodne doświadczenie w RDP przepływ poświadczeń. SMS i głos mogą zawieść, gdy nie istnieje interfejs użytkownika dla drugiego monitu. Edukuj użytkowników na temat oczekiwanych monitów, limitów czasowych i powodów odmowy, aby zredukować zgłoszenia wsparcia. W regionach o wysokiej latencji, wydłużaj limity czasowe wyzwań umiarkowanie, aby uniknąć fałszywych niepowodzeń bez maskowania rzeczywistego nadużycia.

Jakie są wymagania wstępne?

Czysta konfiguracja zaczyna się od zweryfikowanych ról platformy i higieny tożsamości. Upewnij się, że RDG jest stabilny na wspieranym serwerze Windows i zaplanuj ścieżkę przywracania. Potwierdź grupy katalogowe w celu określenia dostępu użytkowników i zweryfikuj, że administratorzy mogą odróżnić zmiany polityki od problemów z certyfikatami lub siecią.

• Role, porty i certyfikaty
• Gotowość katalogu i tożsamości

Role, porty i certyfikaty

Zainstaluj rolę NPS na serwerze z niezawodną łącznością AD. Ustandaryzuj na RADIUS UDP 1812/1813 i udokumentować wszelkie użycie 1645/1646. Na RDG zainstaluj publicznie zaufany certyfikat TLS dla nasłuchiwacza HTTPS i usuń słabe protokoły oraz szyfry. Zapisz wspólne sekrety w skarbcu, a nie w zgłoszeniu lub notatce na pulpicie.

Gotowość katalogu i tożsamości

Utwórz dedykowane grupy AD dla użytkowników i administratorów dozwolonych przez RDG; unikaj zakresu „Użytkownicy domeny”. Zweryfikuj, czy użytkownicy są zarejestrowani w MFA, jeśli korzystasz z Entra ID. W przypadku dostawców zewnętrznych zsynchronizuj tożsamości i przetestuj pilotażowego użytkownika od początku do końca przed szeroką rejestracją. Dostosuj formaty nazw użytkowników (UPN vs sAMAccountName) między RDG, NPS a platformą MFA, aby uniknąć cichych niezgodności.

Jakie jest krok po kroku skonfigurowanie MFA dla bramy RD?

• Zainstaluj i zarejestruj NPS
• Dodaj RD Gateway jako klienta RADIUS
• Utwórz zasady NPS (CRP i NP)
• Zainstaluj rozszerzenie MFA lub agenta zewnętrznego
• Wskaźnik bramy RD na Centralne NPS (Sklep RD CAP)
• Test MFA End-to-End

Krok 1 — Zainstaluj i zarejestruj NPS

Zainstaluj rolę Usługi Polityki Sieci i Dostępu, otwórz nps.msc i zarejestruj NPS w Active Directory, aby mógł odczytywać atrybuty użytkowników. Zweryfikuj Serwer Polityki Sieciowej Usługa (IAS) działa i serwer może osiągnąć kontroler domeny z niską latencją. Zauważ FQDN/IP NPS dla dzienników i polityk.

Opcjonalne polecenia:

Zainstaluj-WindowsFeature NPAS -IncludeManagementTools nps.msc

Uruchom netsh nps dodaj zarejestrowany serwer

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Krok 2 — Dodaj RD Gateway jako klienta RADIUS

W Klientach RADIUS dodaj swoją bramę RD za pomocą IP/FQDN, ustaw przyjazną nazwę (np., RDG01 ), i użyj długiego, wspólnego sekretu. Otwórz UDP 1812/1813 na serwerze NPS i potwierdź osiągalność. Jeśli uruchamiasz wiele RDG, dodaj każdy z nich explicite (definicje podsieci są możliwe, ale łatwiej je źle zdefiniować).

Opcjonalne polecenia

Dodaj klienta: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Krok 3 — Utwórz zasady NPS (CRP i NP)

Utwórz politykę żądania połączenia ograniczoną do adresu IPv4 klienta RDG. Wybierz Uwierzytelnij na tym serwerze (dla Microsoft Entra MFA za pośrednictwem rozszerzenia NPS) lub Przekaż do zdalnego RADIUS (dla zewnętrznego proxy MFA). Następnie utwórz politykę sieciową, która obejmuje Twoje grupy AD (np., GRP_RDG_Użytkownicy ) z dostępem przyznanym. Upewnij się, że obie polityki znajdują się powyżej ogólnych zasad.

Opcjonalne polecenia

# Zweryfikuj, czy użytkownik znajduje się w dozwolonej grupie
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Polityka eksportu - zrzut dla odniesienia: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Krok 4 — Zainstaluj rozszerzenie MFA lub agenta firm trzecich

Aby skonfigurować Microsoft Entra MFA, zainstaluj rozszerzenie NPS, uruchom skrypt wiązania najemcy i zrestartuj NPS. Potwierdź, że użytkownicy są zapisani do MFA i preferują metody push/aplikacji. W przypadku MFA od osób trzecich zainstaluj proxy/agent RADIUS dostawcy, skonfiguruj punkty końcowe/wspólne sekrety i skieruj swój CRP do tej zdalnej grupy.

Opcjonalne polecenia

# Entra MFA NPS Extension bind
Set-Location "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Restart-Service IAS

# Użyteczny przełącznik logowania (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Skonfiguruj zdalną grupę RADIUS i serwer: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Krok 5 — Wskazanie bramy RD do centralnego NPS (Sklep RD CAP)

Na serwerze RD Gateway ustaw magazyn RD CAP na centralny serwer działający na NPS, dodaj hosta NPS + wspólny klucz i zweryfikuj łączność. Dopasuj RD CAP do swoich dozwolonych grup użytkowników i RD RAP do konkretnych komputerów/kolekcji. Jeśli MFA się powiedzie, ale dostęp się nie powiedzie, najpierw sprawdź zakres RAP.

Krok 6 — Testowanie MFA od początku do końca

Z zewnętrznego klienta połącz się przez RDG z znanym hostem i potwierdź jeden monit MFA, NPS 6272 (Dostęp przyznany) oraz udaną sesję. Przetestuj również negatywne ścieżki (nie w grupie, nie zapisany, błędny czynnik, wygodzony token), aby zweryfikować jasność błędów i gotowość wsparcia.

Co to jest podręcznik rozwiązywania problemów MFA dla bramy RD?

Rozwiązywanie problemów jest najszybsze, gdy oddzielisz warstwy sieciowe, polityki i tożsamości. Zacznij od sprawdzenia dostępności RADIUS i portów, następnie zweryfikuj dopasowanie polityki, a potem przejrzyj rejestrację MFA i typy czynników. Utrzymuj konto testowe w kontrolowanych warunkach, aby móc konsekwentnie reprodukować wyniki podczas okien zmian.

• Brak podpowiedzi, pętli ani limitów czasowych
• Dopasowanie polityki i zakres grupy
• Logowanie i telemetria, które naprawdę wykorzystasz
• Zalecenia dotyczące wzmocnienia bezpieczeństwa i operacji
• Perimetr, TLS i Najmniejsze Uprawnienia
• Monitoring, powiadamianie i kontrola zmian
• Odporność i odzyskiwanie

Brak podpowiedzi, pętli ani limitów czasowych

Brak podpowiedzi często wskazuje na luki w zamówieniu polityki lub rejestracji MFA. Pętle sugerują niezgodność wspólnego sekretu lub rekursję przekazywania między NPS a proxy. Przekroczenia czasu zazwyczaj wskazują na zablokowane UDP 1812/1813, asymetryczne routowanie lub zbyt agresywną inspekcję IDS/IPS. Tymczasowo zwiększ szczegółowość logowania, aby potwierdzić, który skok zawodzi.

Dopasowanie polityki i zakres grupy

Potwierdź, że zasady żądania połączenia dotyczą klienta RDG i są stosowane przed jakąkolwiek regułą ogólną. W polityce sieciowej zweryfikuj dokładną grupę AD i zachowanie zagnieżdżania grup; niektóre środowiska wymagają łagodzenia nadmiaru tokenów lub bezpośredniego członkostwa. Zwróć uwagę na problemy z kanonizacją nazw użytkowników między nazwami UPN a nazwami w stylu NT.

Logowanie i telemetria, które naprawdę wykorzystasz

Użyj NPS Accounting do korelacji i utrzymuj włączone dzienniki operacyjne RDG. Z platformy MFA przeglądaj powiadomienia dla użytkowników, odmowy i wzorce geo/IP. Ustal lekką tablicę rozdzielczą: wolumen uwierzytelniania, wskaźnik niepowodzeń, główne powody niepowodzeń i średni czas wyzwania. Te metryki kierują zarówno pojemnością, jak i bezpieczeństwo strojenie.

Zalecenia dotyczące wzmocnienia bezpieczeństwa i operacji

MFA jest konieczne, ale niewystarczające. Połącz je z segmentacją sieci, nowoczesnym TLS, zasadą najmniejszych uprawnień i silnym monitorowaniem. Utrzymuj krótki, egzekwowany standard — wzmacnianie działa tylko wtedy, gdy jest stosowane konsekwentnie i weryfikowane po łatkach i aktualizacjach.

Perimetr, TLS i Najmniejsze Uprawnienia

Umieść RDG w wzmocnionym segmencie DMZ z tylko wymaganymi przepływami do LAN. Użyj zaufanego publicznego certyfikatu na RDG i wyłącz starsze wersje. TLS i słabe szyfry. Ogranicz dostęp do RDG za pomocą dedykowanych grup AD; unikaj szerokich uprawnień i upewnij się, że RD RAP-y mapują tylko te systemy i porty, których użytkownicy rzeczywiście potrzebują.

Monitoring, powiadamianie i kontrola zmian

Alert na skoki w nieudanych uwierzytelnieniach, nietypowych lokalizacjach geograficznych lub powtarzających się prośbach od użytkownika. Rejestruj zmiany konfiguracji na NPS, RDG i platformie MFA z śladem zatwierdzenia. Traktuj polityki jak kod: śledź zmiany w kontroli wersji lub przynajmniej w rejestrze zmian i testuj w środowisku testowym przed przełączeniem na produkcję.

Odporność i odzyskiwanie

Uruchom NPS redundantnie i skonfiguruj RDG, aby odnosił się do wielu serwerów RADIUS. Udokumentuj zachowanie fail-open w porównaniu do fail-closed dla każdego komponentu; domyślnie ustaw na fail-closed dla dostępu zewnętrznego. Wykonaj kopię zapasową konfiguracji NPS, polityk RDG i ustawień MFA; przećwicz odzyskiwanie, w tym wymianę certyfikatu i ponowną rejestrację rozszerzenia lub agenta MFA po odbudowie.

Wniosek

Dodanie MFA do RD Gateway zamyka największą lukę w RDP wystawionym na internet: nadużycie poświadczeń. Poprzez centralizację polityki na NPS i integrację Entra MFA lub dostawcy RADIUS zewnętrznego, wymuszasz silne potwierdzenie tożsamości bez zakłócania modeli RD CAP/RD RAP. Waliduj za pomocą ukierunkowanych testów, monitoruj ciągle i łącz MFA z wzmocnionym TLS, minimalnymi uprawnieniami oraz odpornym projektem NPS/RDG.