Como Configurar MFA para RD Gateway: Arquitetura, Passos e Melhores Práticas

Introdução

O Gateway de Área de Trabalho Remota (RD Gateway) protege o RDP sobre HTTPS, mas apenas as senhas não conseguem impedir phishing, preenchimento de credenciais ou ataques de força bruta. A adição da Autenticação Multifator (MFA) fecha essa lacuna ao verificar a identidade do usuário antes que uma sessão seja estabelecida. Neste guia, você aprenderá como a MFA se integra ao RD Gateway e ao NPS, os passos exatos de configuração e as dicas operacionais que mantêm sua implementação confiável em grande escala.

Por que o RD Gateway precisa de MFA?

O RD Gateway centraliza e audita acesso remoto , no entanto, não consegue neutralizar credenciais roubadas por si só. O credential stuffing e o phishing contornam rotineiramente as defesas de fator único, especialmente onde existem protocolos legados e ampla exposição. A aplicação de MFA no nível de autenticação do RDG bloqueia a maioria dos ataques comuns e aumenta dramaticamente o custo de intrusões direcionadas.

Para RDP exposto à internet, os riscos dominantes são a reutilização de senhas, tentativas de força bruta, reprodução de tokens e sequestro de sessão através de TLS mal configurado. A MFA contrabalança isso exigindo um segundo fator resistente à reprodução de credenciais.

Muitos frameworks—NIST 800-63, controles ISO/IEC 27001 e várias linhas de base de seguros cibernéticos—esperam implicitamente ou explicitamente MFA em acesso remoto Implementar MFA no RDG satisfaz tanto a intenção de controle quanto as expectativas do auditor sem reestruturar sua pilha de entrega.

Como o MFA se encaixa na arquitetura do RD Gateway?

O plano de controle é simples: o usuário inicia o RDP através do RDG; o RDG envia a autenticação para o NPS via RADIUS; o NPS avalia a política e invoca o provedor de MFA; em caso de sucesso, o NPS retorna Access-Accept e o RDG completa a conexão. A autorização para ativos internos ainda é regida pelo RD CAP/RD RAP, portanto, a verificação de identidade é aditiva em vez de disruptiva.

• Fluxo de Autenticação e Pontos de Decisão
• Considerações de UX para Usuários Remotos

Fluxo de Autenticação e Pontos de Decisão

Os principais pontos de decisão incluem onde a lógica de MFA é executada (NPS com a Extensão Entra MFA ou um proxy RADIUS de terceiros), quais fatores são permitidos e como as falhas são tratadas. Centralizar decisões no NPS simplifica a auditoria e o controle de mudanças. Para grandes ambientes, considere um par NPS dedicado para desacoplar a avaliação de políticas da capacidade do RDG e simplificar as janelas de manutenção.

Considerações de UX para Usuários Remotos

Os prompts baseados em push e em aplicativos oferecem a experiência mais confiável no RDP fluxo de credenciais. SMS e voz podem falhar onde não existe uma interface de prompt secundária. Eduque os usuários sobre os prompts esperados, os tempos limite e os motivos de negação para reduzir os tickets de suporte. Em regiões de alta latência, estenda os tempos limite de desafio modestamente para evitar falhas falsas sem mascarar abusos genuínos.

Quais são os requisitos do checklist?

Uma configuração limpa começa com funções de plataforma verificadas e higiene de identidade. Certifique-se de que o RDG está estável em um Windows Server suportado e planeje um caminho de reversão. Confirme os grupos de diretório para delimitar o acesso do usuário e valide se os administradores podem distinguir as alterações de política de problemas de certificado ou de rede.

• Funções, Portas e Certificados
• Preparação de Diretório e Identidade

Funções, Portas e Certificados

Implante o papel NPS em um servidor com conectividade AD confiável. Padronize em RADIUS UDP 1812/1813 e documentar qualquer uso legado 1645/1646. No RDG, instale um certificado TLS confiável publicamente para o ouvinte HTTPS e remova protocolos e cifras fracas. Registre segredos compartilhados em um cofre, não em um ticket ou nota de desktop.

Preparação de Diretório e Identidade

Crie grupos AD dedicados para usuários e administradores permitidos pelo RDG; evite o escopo "Usuários do Domínio". Verifique se os usuários estão inscritos no MFA se estiver usando o Entra ID. Para provedores de terceiros, sincronize identidades e teste um usuário piloto de ponta a ponta antes da inscrição em massa. Alinhe os formatos de nome de usuário (UPN vs sAMAccountName) entre RDG, NPS e a plataforma MFA para evitar incompatibilidades silenciosas.

Qual é a configuração passo a passo do MFA para o RD Gateway?

• Instalar e Registar NPS
• Adicionar o RD Gateway como um Cliente RADIUS
• Criar Políticas NPS (CRP & NP)
• Instalar Extensão MFA ou Agente de Terceiros
• Aponte o RD Gateway para o NPS Central (Loja RD CAP)
• Teste MFA de ponta a ponta

Passo 1 — Instalar e Registar NPS

Instale o papel de Serviços de Política de Rede e Acesso, abra nps.msc e registe o NPS no Active Directory para que possa ler os atributos do utilizador. Verifique o Servidor de Política de Rede O serviço (IAS) está em execução e o servidor pode alcançar um controlador de domínio com baixa latência. Anote o FQDN/IP do NPS para logs e políticas.

Comandos opcionais:

Instalar-WindowsFeature NPAS -IncluirFerramentasDeGerenciamento nps.msc

Executar netsh nps add registeredserver

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Passo 2 — Adicionar o RD Gateway como um Cliente RADIUS

Em Clientes RADIUS, adicione o seu Gateway RD por IP/FQDN, defina um nome amigável (por exemplo, RDG01 ), e use um segredo compartilhado longo e seguro. Abra UDP 1812/1813 no servidor NPS e confirme a acessibilidade. Se você executar vários RDGs, adicione cada um explicitamente (as definições de sub-rede são possíveis, mas mais fáceis de errar).

Comandos opcionais

Adicionar um cliente: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=SIM

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Passo 3 — Criar Políticas NPS (CRP & NP)

Crie uma Política de Solicitação de Conexão com escopo para o seu Endereço IPv4 do Cliente RDG. Escolha Autenticar neste servidor (para Microsoft Entra MFA via a Extensão NPS) ou Encaminhar para RADIUS remoto (para um proxy MFA de terceiros). Em seguida, crie uma Política de Rede que inclua seu(s) grupo(s) AD (por exemplo, GRP_RDG_Users ) com Acesso concedido. Certifique-se de que ambas as políticas estejam acima das regras genéricas.

Comandos opcionais

# Verifique se um usuário está no grupo permitido
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Política de exportação para referência: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Passo 4 — Instalar a Extensão MFA ou Agente de Terceiros

Para o Microsoft Entra MFA, instale a extensão NPS, execute o script de vinculação do inquilino e reinicie o NPS. Confirme que os usuários estão inscritos no MFA e preferem métodos de push/app. Para MFA de terceiros, instale o proxy/agente RADIUS do fornecedor, configure os pontos finais/secrets compartilhados e aponte seu CRP para esse grupo remoto.

Comandos opcionais

# Entra MFA NPS Extension bind  
Definir-localização "C:\Program Files\Microsoft\AzureMfa\"  
.\AzureMfaNpsExtnConfigSetup.ps1  
Reiniciar-serviço IAS

# Útil botão de registo (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Configurar um grupo e servidor RADIUS remoto: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Passo 5 — Apontar o RD Gateway para o NPS Central (Loja RD CAP)

No servidor RD Gateway, defina o RD CAP Store para o servidor central que executa o NPS, adicione o host NPS + segredo compartilhado e verifique a conectividade. Alinhe o RD CAP ao(s) seu(s) grupo(s) de usuários permitidos e o RD RAP aos computadores/coleções específicos. Se a MFA for bem-sucedida, mas o acesso falhar, verifique primeiro o escopo do RAP.

Passo 6 — Testar MFA de ponta a ponta

De um cliente externo, conecte-se através do RDG a um host conhecido e confirme um prompt de MFA, NPS 6272 (Acesso concedido), e uma sessão bem-sucedida. Teste também caminhos negativos (não no grupo, não inscrito, fator errado, token expirado) para validar a clareza dos erros e a prontidão do suporte.

Qual é o Manual de Solução de Problemas de MFA para RD Gateway?

A resolução de problemas é mais rápida quando você separa as camadas de rede, política e identidade. Comece com a acessibilidade do RADIUS e verificações de porta, depois valide a correspondência de políticas, em seguida, revise a inscrição no MFA e os tipos de fatores. Mantenha uma conta de teste com condições controladas para que você possa reproduzir resultados de forma consistente durante as janelas de mudança.

• Sem Prompt, Loops ou Timeouts
• Correspondência de Política e Escopo de Grupo
• Registos e Telemetria que Você Realmente Usará
• Práticas recomendadas para endurecimento de segurança e operações
• Perímetro, TLS e Menor Privilégio
• Monitoramento, Alerta e Controle de Mudanças
• Resiliência e Recuperação

Sem Prompt, Loops ou Timeouts

Nenhum aviso geralmente indica lacunas na ordem de política ou no registro de MFA. Os loops sugerem uma incompatibilidade de segredo compartilhado ou recursão de encaminhamento entre NPS e um proxy. Os timeouts geralmente apontam para UDP 1812/1813 bloqueado, roteamento assimétrico ou inspeção IDS/IPS excessivamente agressiva. Aumente temporariamente a verbosidade dos logs para confirmar qual salto falha.

Correspondência de Política e Escopo de Grupo

Confirme que a Política de Solicitação de Conexão tem como alvo o cliente RDG e é aplicada antes de qualquer regra geral. Na Política de Rede, verifique o grupo AD exato e o comportamento de aninhamento de grupos; alguns ambientes exigem mitigação de inchaço de token ou associação direta. Fique atento a problemas de canonização de nomes de usuário entre UPN e nomes no estilo NT.

Registos e Telemetria que Você Realmente Usará

Utilize a contabilidade NPS para correlação e mantenha os registos operacionais RDG ativados. A partir da sua plataforma MFA, revise os prompts, negações e padrões geo/IP por utilizador. Estabeleça um painel leve: volume de autenticação, taxa de falhas, principais razões de falha e tempo médio de desafio. Estas métricas orientam tanto a capacidade quanto segurança afinação.

Práticas recomendadas para endurecimento de segurança e operações

A MFA é necessária, mas não é suficiente. Combine-a com segmentação de rede, TLS moderno, privilégio mínimo e monitoramento rigoroso. Mantenha uma linha de base curta e aplicada—o endurecimento só funciona se for aplicado de forma consistente e verificado após correções e atualizações.

Perímetro, TLS e Menor Privilégio

Coloque o RDG em um segmento DMZ endurecido com apenas os fluxos necessários para a LAN. Use um certificado público confiável no RDG e desative o legado. TLS e cifras fracas. Restringir o acesso RDG através de grupos AD dedicados; evitar permissões amplas e garantir que os RD RAPs mapeiem apenas os sistemas e portas que os usuários realmente precisam.

Monitoramento, Alerta e Controle de Mudanças

Alerta sobre picos em autenticações falhadas, geografias incomuns ou solicitações repetidas por usuário. Registar alterações de configuração no NPS, RDG e na plataforma MFA com um histórico de aprovações. Tratar políticas como código: acompanhar alterações no controle de versão ou pelo menos em um registro de alterações, e testar em um ambiente de homologação antes da transição para produção.

Resiliência e Recuperação

Execute o NPS de forma redundante e configure o RDG para referenciar múltiplos servidores RADIUS. Documente o comportamento de falha aberta vs falha fechada para cada componente; defina como padrão a falha fechada para acesso externo. Faça backup da configuração do NPS, das políticas do RDG e das configurações de MFA; ensaie a recuperação, incluindo a substituição de certificados e a re-registro da extensão ou agente de MFA após uma reconstrução.

Conclusão

Adicionar MFA ao RD Gateway fecha a maior lacuna no RDP exposto à internet: abuso de credenciais. Ao centralizar a política no NPS e integrar o Entra MFA ou um provedor RADIUS de terceiros, você impõe uma forte verificação de identidade sem interromper os modelos RD CAP/RD RAP. Valide com testes direcionados, monitore continuamente e combine MFA com TLS reforçado, menor privilégio e um design NPS/RDG resiliente.