Ako nastaviť MFA pre RD Gateway: Architektúra, kroky a osvedčené postupy

Úvod

Remote Desktop Gateway (RD Gateway) zabezpečuje RDP cez HTTPS, ale samotné heslá nemôžu zastaviť phishing, naplnenie poverení alebo útoky hrubou silou. Pridanie viacfaktorovej autentifikácie (MFA) tento rozdiel uzatvára overením identity používateľa pred vytvorením relácie. V tejto príručke sa naučíte, ako sa MFA integruje s RD Gateway a NPS, presné kroky konfigurácie a prevádzkové tipy, ktoré udržujú vašu implementáciu spoľahlivú v rozsahu.

Prečo RD Gateway potrebuje MFA?

RD Gateway centralizuje a audituje vzdialený prístup , no môže neutralizovať ukradnuté poverenia sama. Napadanie poverení a phishing bežne obchádzajú jednofaktorové obrany, najmä tam, kde existujú zastarané protokoly a široká expozícia. Vynucovanie MFA na úrovni autentifikácie RDG blokuje väčšinu bežných útokov a dramaticky zvyšuje náklady na cielenú infiltráciu.

Pre internetové RDP sú dominantné riziká opätovné použitie hesiel, pokusy o hrubú silu, opakovanie tokenov a únos relácií prostredníctvom nesprávne nakonfigurovaného TLS. MFA tieto riziká zmierňuje požiadavkou na druhý faktor odolný voči opakovaniu poverení.

Mnohé rámce—NIST 800-63, kontroly ISO/IEC 27001 a rôzne základné línie kybernetického poistenia—implicitne alebo explicitne očakávajú MFA na vzdialený prístup cesty. Implementácia MFA na RDG spĺňa úmysel kontroly aj očakávania audítora bez prearchitektúry vašej dodávateľskej štruktúry.

Ako MFA zapadá do architektúry RD Gateway?

Ovládací rovina je jednoduchá: používateľ spúšťa RDP cez RDG; RDG posiela autentifikáciu do NPS cez RADIUS; NPS vyhodnocuje politiku a vyžaduje poskytovateľa MFA; pri úspechu NPS vracia Access-Accept a RDG dokončuje pripojenie. Autorizácia k interným aktívam je stále riadená RD CAP/RD RAP, takže overenie identity je prídavné, nie rušivé.

• Tok autentifikácie a rozhodovacie body
• UX Úvahy pre vzdialených používateľov

Tok autentifikácie a rozhodovacie body

Kľúčové rozhodovacie body zahŕňajú, kde sa vykonáva logika MFA (NPS s rozšírením Entra MFA alebo proxy RADIUS tretej strany), ktoré faktory sú povolené a ako sa zaobchádza s chybami. Centralizácia rozhodnutí na NPS zjednodušuje auditovanie a kontrolu zmien. Pre veľké majetky zvážte vyhradený pár NPS na oddelenie hodnotenia politiky od kapacity RDG a na zjednodušenie údržbových okien.

UX Úvahy pre vzdialených používateľov

Push a aplikáciou založené výzvy poskytujú najspoľahlivejší zážitok v RDP tok poverení. SMS a hlas môžu zlyhať, ak neexistuje sekundárne používateľské rozhranie pre výzvy. Vzdelávajte používateľov o očakávaných výzvach, časových limitoch a dôvodoch zamietnutia, aby ste znížili počet podporných tiketov. V oblastiach s vysokou latenciou predĺžte časové limity výziev mierne, aby ste predišli falošným zlyhaniam bez zakrývania skutočného zneužívania.

Aké sú požiadavky na kontrolný zoznam?

Čisté nastavenie začína overenými rolami platformy a hygienou identity. Zabezpečte, aby bol RDG stabilný na podporovanom Windows Serveri a naplánujte cestu na vrátenie. Potvrďte skupiny adresárov na obmedzenie prístupu používateľov a overte, že administrátori dokážu rozlíšiť zmeny politiky od problémov s certifikátom alebo sieťou.

• Úlohy, porty a certifikáty
• Pripravenosť adresára a identity

Úlohy, porty a certifikáty

Nasadte rolu NPS na server s spoľahlivou konektivitou AD. Štandardizujte na RADIUS UDP 1812/1813 a zdokumentovať akékoľvek používanie 1645/1646. Na RDG nainštalujte verejne dôveryhodný TLS certifikát pre HTTPS poslucháča a odstráňte slabé protokoly a šifry. Zaznamenajte zdieľané tajomstvá do trezoru, nie do tiketu alebo poznámky na ploche.

Pripravenosť adresára a identity

Vytvorte vyhradené AD skupiny pre používateľov a administrátorov povolených RDG; vyhnite sa rozsahu „Doménoví používatelia“. Overte, či sú používatelia zaregistrovaní v MFA, ak používate Entra ID. Pre poskytovateľov tretích strán synchronizujte identity a otestujte pilotného používateľa end-to-end pred širokým zaregistrovaním. Zlaďte formáty používateľských mien (UPN vs sAMAccountName) medzi RDG, NPS a platformou MFA, aby ste predišli tichým nezrovnalostiam.

Aká je postupná konfigurácia MFA pre RD Gateway?

• Nainštalovať a zaregistrovať NPS
• Pridať RD Gateway ako RADIUS klienta
• Vytvoriť politiky NPS (CRP a NP)
• Nainštalujte rozšírenie MFA alebo agenta tretej strany
• Nasmerujte RD Gateway na Central NPS (RD CAP Store)
• Test MFA End-to-End

Krok 1 — Nainštalujte a zaregistrujte NPS

Nainštalujte rolu Služby politiky siete a prístupu, otvorte nps.msc a zaregistrujte NPS v Active Directory, aby mohol čítať atribúty používateľov. Overte Server politiky siete Služba (IAS) beží a server môže dosiahnuť riadiaci doménový server s nízkou latenciou. Poznačte si NPS FQDN/IP pre protokoly a politiky.

Voliteľné príkazy:

Nainštalovať-WindowsFeature NPAS -IncludeManagementTools nps.msc

Spustiť netsh nps pridať registrovaný server

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Krok 2 — Pridajte RD Gateway ako RADIUS klienta

V RADIUS klientoch pridajte svoj RD Gateway podľa IP/FQDN, nastavte priateľské meno (napr., RDG01 ), a použite zdieľané tajomstvo s vysokou bezpečnosťou. Otvorte UDP 1812/1813 na serveri NPS a potvrďte dosiahnuteľnosť. Ak prevádzkujete viacero RDG, pridajte každý explicitne (definície podsiete sú možné, ale ľahšie sa môžu nesprávne určiť).

Voliteľné príkazy

Pridať klienta: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=ÁNO

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Krok 3 — Vytvorte politiky NPS (CRP a NP)

Vytvorte politiku žiadosti o pripojenie zameranú na vašu IPv4 adresu RDG klienta. Vyberte autentifikáciu na tomto serveri (pre Microsoft Entra MFA cez rozšírenie NPS) alebo presmerovanie na vzdialený RADIUS (pre proxy MFA tretej strany). Potom vytvorte sieťovú politiku, ktorá zahŕňa vašu AD skupinu(y) (napr., GRP_RDG_Users ) s prístupom povoleným. Uistite sa, že obe politiky sú nad všeobecnými pravidlami.

Voliteľné príkazy

# Overte, či je používateľ v povolenej skupine
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Exportná politika pre referenciu: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Krok 4 — Nainštalujte rozšírenie MFA alebo agenta tretej strany

Pre Microsoft Entra MFA nainštalujte rozšírenie NPS, spustite skript na viazanie nájomcu a reštartujte NPS. Potvrďte, že používatelia sú zaregistrovaní na MFA a uprednostňujú metódy push/aplikácie. Pre MFA tretích strán nainštalujte RADIUS proxy/agent od dodávateľa, nakonfigurujte koncové body/zdieľané tajomstvá a nasmerujte svoj CRP na túto vzdialenú skupinu.

Voliteľné príkazy

# Entra MFA NPS rozšírenie viazania
Nastaviť umiestnenie "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Reštartovať službu IAS

# Užitečné nastavenie protokolovania (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Konfigurujte vzdialenú skupinu RADIUS a server: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Krok 5 — Nasmerujte RD Gateway na Centrálne NPS (RD CAP Store)

Na serveri RD Gateway nastavte RD CAP Store na centrálny server s NPS, pridajte hostiteľa NPS + zdieľané tajomstvo a overte konektivitu. Zlaďte RD CAP s vašou povolenou skupinou používateľov a RD RAP so špecifickými počítačmi/kolekciami. Ak MFA uspeje, ale prístup zlyhá, najprv skontrolujte rozsah RAP.

Krok 6 — Testovanie MFA od začiatku do konca

Z externého klienta sa pripojte cez RDG k známemu hostiteľovi a potvrďte jeden výzvu MFA, NPS 6272 (Prístup povolený) a úspešnú reláciu. Taktiež otestujte negatívne cesty (nie v skupine, nie zaregistrovaný, nesprávny faktor, vypršaný token) na overenie jasnosti chýb a pripravenosti podpory.

Aká je príručka na riešenie problémov MFA pre RD Gateway?

Riešenie problémov je najrýchlejšie, keď oddelíte vrstvy siete, politiky a identity. Začnite s dosiahnuteľnosťou RADIUS a kontrolou portov, potom overte zhodu politiky, a nakoniec skontrolujte registráciu MFA a typy faktorov. Udržujte testovací účet s kontrolovanými podmienkami, aby ste mohli výsledky konzistentne reprodukovať počas zmien.

• Žiadne výzvy, slučky ani časové obmedzenia
• Zodpovedajúca politika a rozsah skupiny
• Sledovanie a telemetria, ktoré skutočne využijete
• Zabezpečenie a najlepšie postupy prevádzky
• Perimeter, TLS a Minimálne oprávnenie
• Monitorovanie, upozorňovanie a kontrola zmien
• Odolnosť a obnova

Žiadne výzvy, slučky ani časové obmedzenia

Žiadne výzvy často naznačujú medzery v poriadku politiky alebo registrácii MFA. Smyčky naznačujú nesúlad zdieľaného tajomstva alebo rekurziu presmerovania medzi NPS a proxy. Časové limity zvyčajne ukazujú na zablokované UDP 1812/1813, asymetrické smerovanie alebo príliš agresívnu kontrolu IDS/IPS. Dočasne zvýšte podrobnosť protokolovania, aby ste potvrdili, ktorý skok zlyháva.

Zodpovedajúca politika a rozsah skupiny

Potvrďte, že politika požiadavky na pripojenie cielená na klienta RDG a zasahuje pred akoukoľvek pravidlovou politikou. V sieti politiky overte presnú skupinu AD a správanie hniezdenia skupín; niektoré prostredia vyžadujú zmiernenie nadmerného zaťaženia tokenov alebo priamu členstvo. Dávajte pozor na problémy s kanonikalizáciou používateľských mien medzi UPN a názvami v štýle NT.

Sledovanie a telemetria, ktoré skutočne využijete

Použite NPS Accounting na koreláciu a udržujte povolené prevádzkové denníky RDG. Z vašej platformy MFA skontrolujte výzvy pre jednotlivých používateľov, zamietnutia a geo/IP vzory. Vytvorte ľahký panel: objem autentifikácie, miera zlyhania, hlavné dôvody zlyhania a priemerný čas výzvy. Tieto metriky usmerňujú kapacitu aj bezpečnosť ladenie.

Zabezpečenie a najlepšie postupy prevádzky

MFA je nevyhnutná, ale nie dostatočná. Kombinujte ju s segmentáciou siete, moderným TLS, minimálnymi oprávneniami a silným monitorovaním. Udržujte krátku, vynútenú základnú úroveň - zvyšovanie bezpečnosti funguje iba vtedy, ak sa aplikuje konzistentne a overuje po opravách a aktualizáciách.

Perimeter, TLS a Minimálne oprávnenie

Umístite RDG do zpevněného segmentu DMZ s pouze požadovanými toky do LAN. Použijte důvěryhodný veřejný certifikát na RDG a deaktivujte zastaralé funkce. TLS a slabé šifry. Obmedzte prístup RDG prostredníctvom vyhradených skupín AD; vyhnite sa širokým oprávneniam a zabezpečte, aby RD RAPs mapovali iba systémy a porty, ktoré používatelia skutočne potrebujú.

Monitorovanie, upozorňovanie a kontrola zmien

Upozornenie na výkyvy v neúspešných autentifikáciách, nezvyčajných geografických oblastiach alebo opakovaných výzvach na používateľa. Zaznamenajte zmeny konfigurácie na NPS, RDG a platforme MFA s históriou schválenia. Zaobchádzajte s politikami ako s kódom: sledujte zmeny v správe zdrojového kódu alebo aspoň v registri zmien a testujte v testovacom prostredí pred prechodom do produkcie.

Odolnosť a obnova

Spustite NPS redundantne a nakonfigurujte RDG na odkazovanie na viacero serverov RADIUS. Dokumentujte správanie fail-open vs fail-closed pre každý komponent; predvolene nastavte na fail-closed pre externý prístup. Zálohujte konfiguráciu NPS, politiky RDG a nastavenia MFA; nacvičte obnovu, vrátane výmeny certifikátu a opätovnej registrácie rozšírenia alebo agenta MFA po obnove.

Záver

Pridanie MFA k RD Gateway zatvára najväčšiu medzeru v RDP smerujúcom na internet: zneužívanie poverení. Centralizovaním politiky na NPS a integráciou Entra MFA alebo poskytovateľa RADIUS tretej strany vynucujete silné overovanie identity bez narušenia modelov RD CAP/RD RAP. Overte pomocou cielených testov, nepretržite monitorujte a kombinujte MFA s posilneným TLS, minimálnymi oprávneniami a odolným dizajnom NPS/RDG.