Como Configurar MFA para RD Gateway: Arquitetura, Etapas e Melhores Práticas

Introdução

O Gateway de Área de Trabalho Remota (RD Gateway) protege o RDP sobre HTTPS, mas senhas sozinhas não conseguem impedir phishing, preenchimento de credenciais ou ataques de força bruta. A adição da Autenticação Multifator (MFA) fecha essa lacuna ao verificar a identidade do usuário antes que uma sessão seja estabelecida. Neste guia, você aprenderá como a MFA se integra ao RD Gateway e ao NPS, os passos exatos de configuração e as dicas operacionais que mantêm sua implantação confiável em grande escala.

Por que o RD Gateway precisa de MFA?

O RD Gateway centraliza e audita acesso remoto , mas não pode neutralizar credenciais roubadas por si só. O credential stuffing e o phishing frequentemente contornam defesas de fator único, especialmente onde existem protocolos legados e ampla exposição. A aplicação de MFA no nível de autenticação do RDG bloqueia a maioria dos ataques comuns e aumenta drasticamente o custo de intrusões direcionadas.

Para RDP exposto à internet, os riscos dominantes são a reutilização de senhas, tentativas de força bruta, reprodução de tokens e sequestro de sessão devido a TLS mal configurado. A MFA contrabalança isso exigindo um segundo fator resistente à reprodução de credenciais.

Muitos frameworks—NIST 800-63, controles ISO/IEC 27001 e várias linhas de base de seguros cibernéticos—esperam implicitamente ou explicitamente MFA em acesso remoto Implementar MFA no RDG satisfaz tanto a intenção de controle quanto as expectativas do auditor sem reestruturar sua pilha de entrega.

Como o MFA se encaixa na arquitetura do RD Gateway?

O plano de controle é simples: o usuário inicia o RDP através do RDG; o RDG envia a autenticação para o NPS via RADIUS; o NPS avalia a política e invoca o provedor de MFA; em caso de sucesso, o NPS retorna Access-Accept e o RDG completa a conexão. A autorização para ativos internos ainda é regida pelo RD CAP/RD RAP, portanto, a verificação de identidade é aditiva em vez de disruptiva.

• Fluxo de Autenticação e Pontos de Decisão
• Considerações de UX para Usuários Remotos

Fluxo de Autenticação e Pontos de Decisão

Pontos-chave de decisão incluem onde a lógica de MFA é executada (NPS com a Extensão Entra MFA ou um proxy RADIUS de terceiros), quais fatores são permitidos e como as falhas são tratadas. Centralizar decisões no NPS simplifica a auditoria e o controle de mudanças. Para grandes ambientes, considere um par de NPS dedicado para desacoplar a avaliação de políticas da capacidade do RDG e simplificar as janelas de manutenção.

Considerações de UX para Usuários Remotos

Notificações por push e baseadas em aplicativos oferecem a experiência mais confiável no RDP fluxo de credenciais. SMS e voz podem falhar onde não existe uma interface de prompt secundário. Eduque os usuários sobre os prompts esperados, timeouts e razões de negação para reduzir os tickets de suporte. Em regiões de alta latência, estenda os timeouts de desafio modestamente para evitar falhas falsas sem mascarar abusos genuínos.

Quais são os requisitos do checklist?

Uma configuração limpa começa com funções de plataforma verificadas e higiene de identidade. Garanta que o RDG esteja estável em um Windows Server suportado e planeje um caminho de reversão. Confirme os grupos de diretório para delimitar o acesso do usuário e valide se os administradores podem distinguir mudanças de política de problemas de certificado ou rede.

• Funções, Portas e Certificados
• Prontidão de Diretório e Identidade

Funções, Portas e Certificados

Implante o papel NPS em um servidor com conectividade AD confiável. Padronize em RADIUS UDP 1812/1813 e documente qualquer uso legado 1645/1646. No RDG, instale um certificado TLS confiável publicamente para o ouvinte HTTPS e remova protocolos e cifras fracas. Registre segredos compartilhados em um cofre, não em um ticket ou nota de desktop.

Prontidão de Diretório e Identidade

Crie grupos dedicados do AD para usuários e administradores permitidos pelo RDG; evite o escopo de "Usuários do Domínio". Verifique se os usuários estão inscritos no MFA se estiver usando o Entra ID. Para provedores de terceiros, sincronize identidades e teste um usuário piloto de ponta a ponta antes da inscrição em massa. Alinhe os formatos de nome de usuário (UPN vs sAMAccountName) entre RDG, NPS e a plataforma MFA para evitar incompatibilidades silenciosas.

Qual é a configuração passo a passo do MFA para o RD Gateway?

• Instalar e Registrar NPS
• Adicionar o RD Gateway como um Cliente RADIUS
• Criar Políticas NPS (CRP e NP)
• Instale a Extensão MFA ou Agente de Terceiros
• Aponte o RD Gateway para o NPS Central (Loja RD CAP)
• Teste MFA de ponta a ponta

Passo 1 — Instalar e Registrar NPS

Instale o papel de Serviços de Política de Rede e Acesso, abra nps.msc e registre o NPS no Active Directory para que ele possa ler os atributos do usuário. Verifique o Servidor de Política de Rede O serviço (IAS) está em execução e o servidor pode alcançar um controlador de domínio com baixa latência. Observe o FQDN/IP do NPS para logs e políticas.

Comandos opcionais:

Instalar-WindowsFeature NPAS -IncluirFerramentasDeGerenciamento nps.msc

Executar netsh nps add registeredserver

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Passo 2 — Adicionar RD Gateway como um Cliente RADIUS

Nos Clientes RADIUS, adicione seu Gateway RD por IP/FQDN, defina um nome amigável (por exemplo, RDG01 ), e use um segredo compartilhado longo e protegido. Abra UDP 1812/1813 no servidor NPS e confirme a acessibilidade. Se você executar vários RDGs, adicione cada um explicitamente (definições de sub-rede são possíveis, mas mais fáceis de errar).

Comandos opcionais

Adicionar um cliente: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=SIM

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Passo 3 — Criar Políticas NPS (CRP e NP)

Crie uma Política de Solicitação de Conexão com escopo para o seu Endereço IPv4 do Cliente RDG. Escolha Autenticar neste servidor (para Microsoft Entra MFA via a Extensão NPS) ou Encaminhar para RADIUS remoto (para um proxy MFA de terceiros). Em seguida, crie uma Política de Rede que inclua seu(s) grupo(s) AD (por exemplo, GRP_RDG_Users ) com Acesso concedido. Certifique-se de que ambas as políticas estejam acima das regras genéricas.

Comandos opcionais

# Verifique se um usuário está no grupo permitido
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Política de exportação para referência: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Passo 4 — Instalar a Extensão MFA ou Agente de Terceiros

Para o Microsoft Entra MFA, instale a Extensão NPS, execute o script de vinculação do locatário e reinicie o NPS. Confirme se os usuários estão inscritos no MFA e preferem métodos de push/app. Para o MFA de terceiros, instale o proxy/agente RADIUS do fornecedor, configure os pontos finais/secrets compartilhados e aponte seu CRP para aquele grupo remoto.

Comandos opcionais

# Entra MFA NPS Extension bind
Definir-Localização "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Reiniciar-Serviço IAS

# Controle de registro útil (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Configurar um grupo e servidor RADIUS remoto: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Passo 5 — Aponte o RD Gateway para o NPS Central (Loja RD CAP)

No servidor RD Gateway, defina o Armazenamento RD CAP para o servidor central executando o NPS, adicione o host NPS + segredo compartilhado e verifique a conectividade. Alinhe o RD CAP ao(s) seu(s) grupo(s) de usuários permitidos e o RD RAP aos computadores/coleções específicos. Se a MFA for bem-sucedida, mas o acesso falhar, verifique primeiro o escopo do RAP.

Passo 6 — Testar MFA de ponta a ponta

De um cliente externo, conecte-se através do RDG a um host conhecido e confirme um prompt de MFA, NPS 6272 (Acesso concedido) e uma sessão bem-sucedida. Também teste caminhos negativos (não no grupo, não matriculado, fator errado, token expirado) para validar a clareza dos erros e a prontidão do suporte.

Qual é o Playbook de Solução de Problemas de MFA para RD Gateway?

A solução de problemas é mais rápida quando você separa as camadas de rede, política e identidade. Comece com a acessibilidade do RADIUS e verificações de porta, depois valide a correspondência de políticas, em seguida, revise o registro de MFA e os tipos de fatores. Mantenha uma conta de teste com condições controladas para que você possa reproduzir resultados de forma consistente durante as janelas de mudança.

• Sem Prompt, Loops ou Timeouts
• Correspondência de Política e Escopo de Grupo
• Registro e Telemetria que Você Realmente Usará
• Práticas recomendadas para endurecimento de segurança e operações
• Perímetro, TLS e Menor Privilégio
• Monitoramento, Alerta e Controle de Mudanças
• Resiliência e Recuperação

Sem Prompt, Loops ou Timeouts

Nenhum prompt geralmente indica lacunas na ordem de política ou no registro de MFA. Laços sugerem incompatibilidade de segredo compartilhado ou recursão de encaminhamento entre NPS e um proxy. Timeouts geralmente apontam para UDP 1812/1813 bloqueado, roteamento assimétrico ou inspeção IDS/IPS excessivamente agressiva. Aumente temporariamente a verbosidade dos logs para confirmar qual salto falha.

Correspondência de Política e Escopo de Grupo

Confirme que a Política de Solicitação de Conexão tem como alvo o cliente RDG e é aplicada antes de qualquer regra catch-all. Na Política de Rede, verifique o grupo AD exato e o comportamento de aninhamento de grupos; alguns ambientes exigem mitigação de inchaço de token ou associação direta. Fique atento a problemas de canonização de nome de usuário entre UPN e nomes no estilo NT.

Registro e Telemetria que Você Realmente Usará

Use NPS Accounting para correlação e mantenha os logs operacionais do RDG habilitados. A partir da sua plataforma MFA, revise os prompts, negações e padrões geo/IP por usuário. Estabeleça um painel leve: volume de autenticação, taxa de falhas, principais razões de falha e tempo médio de desafio. Essas métricas orientam tanto a capacidade quanto segurança ajuste.

Práticas recomendadas para endurecimento de segurança e operações

MFA é necessário, mas não suficiente. Combine-o com segmentação de rede, TLS moderno, menor privilégio e monitoramento rigoroso. Mantenha uma linha de base curta e aplicada - a proteção só funciona se for aplicada de forma consistente e verificada após correções e atualizações.

Perímetro, TLS e Menor Privilégio

Coloque o RDG em um segmento DMZ endurecido com apenas os fluxos necessários para a LAN. Use um certificado público confiável no RDG e desative o legado. TLS e cifras fracas. Restringir o acesso RDG por meio de grupos AD dedicados; evitar permissões amplas e garantir que os RD RAPs mapeiem apenas os sistemas e portas que os usuários realmente precisam.

Monitoramento, Alerta e Controle de Mudanças

Alerta sobre picos em autenticações falhadas, geografias incomuns ou solicitações repetidas por usuário. Registre alterações de configuração no NPS, RDG e na plataforma MFA com um histórico de aprovações. Trate políticas como código: rastreie alterações no controle de versão ou pelo menos em um registro de mudanças, e teste em um ambiente de homologação antes da transição para produção.

Resiliência e Recuperação

Execute o NPS de forma redundante e configure o RDG para referenciar vários servidores RADIUS. Documente o comportamento de falha aberta vs falha fechada para cada componente; defina como padrão a falha fechada para acesso externo. Faça backup da configuração do NPS, das políticas do RDG e das configurações de MFA; ensaie a recuperação, incluindo a substituição de certificados e o novo registro da extensão ou agente de MFA após uma reconstrução.

Conclusão

Adicionar MFA ao RD Gateway fecha a maior lacuna no RDP exposto à internet: abuso de credenciais. Ao centralizar a política no NPS e integrar o Entra MFA ou um provedor RADIUS de terceiros, você impõe uma forte verificação de identidade sem interromper os modelos RD CAP/RD RAP. Valide com testes direcionados, monitore continuamente e combine MFA com TLS reforçado, menor privilégio e design resiliente de NPS/RDG.