วิธีการตั้งค่า MFA สำหรับ RD Gateway: สถาปัตยกรรม ขั้นตอน และแนวทางปฏิบัติที่ดีที่สุด

บทนำ

Remote Desktop Gateway (RD Gateway) ป้องกัน RDP ผ่าน HTTPS แต่เพียงรหัสผ่านไม่สามารถหยุดการฟิชชิ่ง การกรอกข้อมูลประจำตัว หรือการโจมตีแบบ brute-force ได้ การเพิ่มการตรวจสอบสิทธิ์หลายปัจจัย (MFA) จะช่วยปิดช่องว่างนั้นโดยการตรวจสอบตัวตนของผู้ใช้ก่อนที่จะเริ่มเซสชัน ในคู่มือนี้ คุณจะได้เรียนรู้ว่า MFA ทำงานร่วมกับ RD Gateway และ NPS อย่างไร ขั้นตอนการกำหนดค่าที่แน่นอน และเคล็ดลับการปฏิบัติที่ทำให้การติดตั้งของคุณเชื่อถือได้ในระดับขนาดใหญ่

ทำไม RD Gateway ถึงต้องการ MFA?

RD Gateway ทำให้การจัดการและตรวจสอบเป็นศูนย์กลาง การเข้าถึงระยะไกล แต่ไม่สามารถทำให้ข้อมูลรับรองที่ถูกขโมยเป็นกลางได้ด้วยตัวเอง การโจมตีด้วยข้อมูลรับรองและการฟิชชิ่งมักจะหลีกเลี่ยงการป้องกันแบบปัจจัยเดียว โดยเฉพาะในกรณีที่มีโปรโตคอลเก่าแก่และการเปิดเผยอย่างกว้างขวาง การบังคับใช้ MFA ที่ระดับการตรวจสอบสิทธิ์ RDG จะบล็อกการโจมตีทั่วไปส่วนใหญ่และเพิ่มต้นทุนของการบุกรุกที่มุ่งเป้าอย่างมาก

สำหรับ RDP ที่เปิดเผยต่ออินเทอร์เน็ต ความเสี่ยงที่สำคัญคือการใช้รหัสผ่านซ้ำ การพยายามโจมตีแบบ brute-force การเล่นซ้ำของโทเค็น และการแฮ็กเซสชันผ่านการกำหนดค่า TLS ที่ไม่ถูกต้อง MFA จะต่อต้านสิ่งเหล่านี้โดยการกำหนดให้มีปัจจัยที่สองที่ต้านทานการเล่นซ้ำของข้อมูลรับรอง

หลายกรอบงาน—NIST 800-63, การควบคุม ISO/IEC 27001 และเกณฑ์การประกันภัยไซเบอร์ต่างๆ—คาดหวัง MFA อย่างชัดเจนหรือโดยนัยบน การเข้าถึงระยะไกล การนำ MFA ไปใช้บน RDG ตอบสนองทั้งเจตนาควบคุมและความคาดหวังของผู้ตรวจสอบโดยไม่ต้องออกแบบสแต็กการจัดส่งใหม่

MFA เข้ากับสถาปัตยกรรม RD Gateway ได้อย่างไร?

แผนการควบคุมมีความเรียบง่าย: ผู้ใช้เปิด RDP ผ่าน RDG; RDG ส่งการตรวจสอบสิทธิ์ไปยัง NPS ผ่าน RADIUS; NPS ประเมินนโยบายและเรียกใช้ผู้ให้บริการ MFA; เมื่อสำเร็จ NPS จะส่งกลับ Access-Accept และ RDG จะทำการเชื่อมต่อให้เสร็จสมบูรณ์ การอนุญาตให้เข้าถึงทรัพย์สินภายในยังคงอยู่ภายใต้การควบคุมของ RD CAP/RD RAP ดังนั้นการพิสูจน์ตัวตนจึงเป็นการเพิ่มเติมแทนที่จะเป็นการรบกวน

• กระบวนการตรวจสอบสิทธิ์และจุดตัดสินใจ
• การพิจารณา UX สำหรับผู้ใช้ระยะไกล

กระบวนการตรวจสอบสิทธิ์และจุดตัดสินใจ

จุดตัดสินใจหลักรวมถึงที่ที่ตรรกะ MFA ทำงาน (NPS กับ Entra MFA Extension หรือพร็อกซี RADIUS ของบุคคลที่สาม) ปัจจัยใดบ้างที่ได้รับอนุญาต และวิธีการจัดการกับความล้มเหลว การรวมศูนย์การตัดสินใจบน NPS ทำให้การตรวจสอบและการควบคุมการเปลี่ยนแปลงง่ายขึ้น สำหรับอสังหาริมทรัพย์ขนาดใหญ่ ควรพิจารณาคู่ NPS ที่เฉพาะเจาะจงเพื่อแยกการประเมินนโยบายออกจากความสามารถของ RDG และเพื่อทำให้ช่วงเวลาการบำรุงรักษาง่ายขึ้น

การพิจารณา UX สำหรับผู้ใช้ระยะไกล

การแจ้งเตือนแบบพุชและแอปพลิเคชันให้ประสบการณ์ที่เชื่อถือได้มากที่สุดใน RDP การไหลของข้อมูลประจำตัว SMS และเสียงอาจล้มเหลวในกรณีที่ไม่มี UI การแจ้งเตือนรองที่มีอยู่ สอนผู้ใช้เกี่ยวกับการแจ้งเตือนที่คาดหวัง เวลาในการหมดอายุ และเหตุผลในการปฏิเสธเพื่อลดตั๋วสนับสนุน ในภูมิภาคที่มีความล่าช้าสูง ให้ขยายเวลาในการท้าทายอย่างพอเหมาะเพื่อหลีกเลี่ยงความล้มเหลวที่ผิดพลาดโดยไม่ปกปิดการละเมิดที่แท้จริง

ข้อกำหนดเบื้องต้นคืออะไร?

การตั้งค่าที่สะอาดเริ่มต้นด้วยบทบาทแพลตฟอร์มที่ได้รับการตรวจสอบและสุขอนามัยของตัวตน ตรวจสอบให้แน่ใจว่า RDG มีเสถียรภาพบน Windows Server ที่รองรับและวางแผนเส้นทางการย้อนกลับ ยืนยันกลุ่มไดเรกทอรีสำหรับการกำหนดขอบเขตการเข้าถึงของผู้ใช้และตรวจสอบให้แน่ใจว่าผู้ดูแลระบบสามารถแยกแยะการเปลี่ยนแปลงนโยบายจากปัญหาของใบรับรองหรือเครือข่ายได้

• บทบาท, พอร์ต, และใบรับรอง
• ความพร้อมด้านไดเรกทอรีและตัวตน

บทบาท, พอร์ต, และใบรับรอง

ติดตั้งบทบาท NPS บนเซิร์ฟเวอร์ที่มีการเชื่อมต่อ AD ที่เชื่อถือได้ มาตรฐานใน RADIUS UDP 1812/1813 และบันทึกการใช้งาน 1645/1646 ที่มีอยู่ในระบบเก่า บน RDG ให้ติดตั้งใบรับรอง TLS ที่เชื่อถือได้สาธารณะสำหรับผู้ฟัง HTTPS และลบโปรโตคอลและรหัสลับที่อ่อนแอ บันทึกรหัสลับที่แชร์ในห้องนิรภัย ไม่ใช่ในตั๋วหรือโน้ตบนเดสก์ท็อป

ความพร้อมด้านไดเรกทอรีและตัวตน

สร้างกลุ่ม AD ที่เฉพาะสำหรับผู้ใช้และผู้ดูแลระบบที่ได้รับอนุญาตจาก RDG; หลีกเลี่ยงขอบเขต “Domain Users” ตรวจสอบให้แน่ใจว่าผู้ใช้ได้ลงทะเบียนใน MFA หากใช้ Entra ID สำหรับผู้ให้บริการบุคคลที่สาม ให้ซิงค์อัตลักษณ์และทดสอบผู้ใช้ต้นแบบแบบ end-to-end ก่อนการลงทะเบียนในวงกว้าง จัดรูปแบบชื่อผู้ใช้ (UPN vs sAMAccountName) ให้สอดคล้องกันระหว่าง RDG, NPS และแพลตฟอร์ม MFA เพื่อหลีกเลี่ยงการไม่ตรงกันแบบเงียบ

การกำหนดค่า MFA สำหรับ RD Gateway เป็นขั้นตอนอย่างไร?

• ติดตั้งและลงทะเบียน NPS
• เพิ่ม RD Gateway เป็น RADIUS Client
• สร้างนโยบาย NPS (CRP & NP)
• ติดตั้งส่วนขยาย MFA หรือเอเจนต์ของบุคคลที่สาม
• ชี้ไปที่ RD Gateway ที่ Central NPS (RD CAP Store)
• ทดสอบ MFA แบบ End-to-End

ขั้นตอนที่ 1 — ติดตั้งและลงทะเบียน NPS

ติดตั้งบทบาทบริการนโยบายเครือข่ายและการเข้าถึง เปิด nps.msc และลงทะเบียน NPS ใน Active Directory เพื่อให้สามารถอ่านคุณลักษณะของผู้ใช้ได้ ตรวจสอบว่า เซิร์ฟเวอร์นโยบายเครือข่าย บริการ (IAS) กำลังทำงานและเซิร์ฟเวอร์สามารถเข้าถึงโดเมนคอนโทรลเลอร์ที่มีความหน่วงต่ำ โปรดบันทึก NPS FQDN/IP สำหรับบันทึกและนโยบาย

คำสั่งเสริม:

ติดตั้ง-WindowsFeature NPAS -IncludeManagementTools nps.msc

เรียกใช้ netsh nps เพิ่ม registeredserver

เริ่มบริการ IAS | เริ่มบริการ
ทดสอบการเชื่อมต่อ -นับ 4 -ชื่อคอมพิวเตอร์ (Get-ADDomainController -Discover).HostName

ขั้นตอนที่ 2 — เพิ่ม RD Gateway เป็น RADIUS Client

ใน RADIUS Clients ให้เพิ่ม RD Gateway ของคุณโดยใช้ IP/FQDN และตั้งชื่อที่เป็นมิตร (เช่น, RDG01 ), และใช้ความลับที่แชร์กันอย่างยาวนานที่มีการเข้ารหัส เปิด UDP 1812/1813 บนเซิร์ฟเวอร์ NPS และยืนยันการเข้าถึง หากคุณรัน RDG หลายตัว ให้เพิ่มแต่ละตัวอย่างชัดเจน (การกำหนดซับเน็ตเป็นไปได้แต่ทำให้เข้าใจผิดได้ง่ายกว่า)

คำสั่งเสริม

เพิ่มลูกค้า: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

ขั้นตอนที่ 3 — สร้างนโยบาย NPS (CRP & NP)

สร้างนโยบายการขอเชื่อมต่อที่กำหนดขอบเขตตามที่อยู่ IPv4 ของ RDG Client ของคุณ เลือกการตรวจสอบสิทธิ์บนเซิร์ฟเวอร์นี้ (สำหรับ Microsoft Entra MFA ผ่าน NPS Extension) หรือส่งต่อไปยัง RADIUS ระยะไกล (สำหรับพร็อกซี่ MFA ของบุคคลที่สาม) จากนั้นสร้างนโยบายเครือข่ายที่รวมกลุ่ม AD ของคุณ (เช่น GRP_RDG_ผู้ใช้ ) การเข้าถึงได้รับอนุญาต ตรวจสอบให้แน่ใจว่าทั้งสองนโยบายอยู่เหนือกฎทั่วไป

คำสั่งเสริม

# ตรวจสอบว่าผู้ใช้เป็นสมาชิกในกลุ่มที่อนุญาต
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

นโยบายการส่งออกภาพรวมสำหรับการอ้างอิง: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

ขั้นตอนที่ 4 — ติดตั้งส่วนขยาย MFA หรือเอเจนต์ของบุคคลที่สาม

สำหรับ Microsoft Entra MFA ให้ติดตั้ง NPS Extension รันสคริปต์การผูกผู้เช่า และรีสตาร์ท NPS ยืนยันว่าผู้ใช้ได้ลงทะเบียน MFA และชอบวิธีการ push/app สำหรับ MFA ของบุคคลที่สาม ให้ติดตั้ง RADIUS proxy/agent ของผู้ขาย กำหนดค่า endpoints/shared secrets และชี้ CRP ของคุณไปยังกลุ่มระยะไกลนั้น

คำสั่งเสริม

# เข้าสู่ระบบ MFA NPS Extension bind
Set-Location "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Restart-Service IAS

# ปรับระดับการบันทึกที่มีประโยชน์ (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

กำหนดกลุ่ม RADIUS ระยะไกลและเซิร์ฟเวอร์: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

ขั้นตอนที่ 5 — ชี้ไปที่ RD Gateway ไปยัง Central NPS (RD CAP Store)

บนเซิร์ฟเวอร์ RD Gateway ให้ตั้งค่า RD CAP Store เป็นเซิร์ฟเวอร์กลางที่รัน NPS เพิ่มโฮสต์ NPS + ความลับที่แชร์ และตรวจสอบการเชื่อมต่อ จัดกลุ่ม RD CAP ให้ตรงกับกลุ่มผู้ใช้ที่อนุญาตของคุณ และ RD RAP ให้ตรงกับคอมพิวเตอร์/คอลเลกชันเฉพาะ หาก MFA สำเร็จแต่การเข้าถึงล้มเหลว ให้ตรวจสอบขอบเขต RAP ก่อน

ขั้นตอนที่ 6 — ทดสอบ MFA แบบ End-to-End

จากลูกค้าภายนอก เชื่อมต่อผ่าน RDG ไปยังโฮสต์ที่รู้จักและยืนยันการแจ้งเตือน MFA หนึ่งรายการ NPS 6272 (การเข้าถึงได้รับอนุญาต) และเซสชันที่สำเร็จ นอกจากนี้ยังทดสอบเส้นทางเชิงลบ (ไม่ได้อยู่ในกลุ่ม, ไม่ได้ลงทะเบียน, ปัจจัยผิด, โทเค็นหมดอายุ) เพื่อยืนยันความชัดเจนของข้อผิดพลาดและความพร้อมในการสนับสนุน

MFA สำหรับ RD Gateway คืออะไร?

การแก้ไขปัญหาจะรวดเร็วที่สุดเมื่อคุณแยกชั้นเครือข่าย นโยบาย และตัวตน เริ่มต้นด้วยการตรวจสอบการเข้าถึง RADIUS และพอร์ต จากนั้นตรวจสอบการจับคู่ของนโยบาย แล้วตรวจสอบการลงทะเบียน MFA และประเภทของปัจจัย เก็บบัญชีทดสอบที่มีเงื่อนไขที่ควบคุมได้เพื่อให้คุณสามารถทำซ้ำผลลัพธ์ได้อย่างสม่ำเสมอในช่วงเวลาการเปลี่ยนแปลง

• ไม่มีการแจ้งเตือน, ลูป, หรือเวลาหมดอายุ
• นโยบายการจับคู่และขอบเขตกลุ่ม
• การบันทึกและการตรวจสอบที่คุณจะใช้จริง
• การเสริมความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุดในการดำเนินงาน
• ขอบเขต, TLS, และสิทธิ์น้อยที่สุด
• การตรวจสอบ การแจ้งเตือน และการควบคุมการเปลี่ยนแปลง
• ความยืดหยุ่นและการฟื้นฟู

ไม่มีการแจ้งเตือน, ลูป, หรือเวลาหมดอายุ

ไม่มีการแจ้งเตือนบ่อยครั้งบ่งชี้ถึงช่องว่างในนโยบายการสั่งซื้อหรือการลงทะเบียน MFA วงจรแสดงถึงความไม่ตรงกันของความลับที่แชร์หรือการวนซ้ำระหว่าง NPS และพร็อกซี การหมดเวลาโดยทั่วไปชี้ไปที่ UDP 1812/1813 ที่ถูกบล็อก การจัดเส้นทางที่ไม่สมมาตร หรือการตรวจสอบ IDS/IPS ที่รุนแรงเกินไป เพิ่มความละเอียดในการบันทึกชั่วคราวเพื่อยืนยันว่าจุดใดล้มเหลว

นโยบายการจับคู่และขอบเขตกลุ่ม

ยืนยันนโยบายการร้องขอการเชื่อมต่อที่มุ่งเป้าไปที่ไคลเอนต์ RDG และถูกตีความก่อนกฎ catch-all ใด ๆ ใน นโยบายเครือข่าย ให้ตรวจสอบกลุ่ม AD ที่แน่นอนและพฤติกรรมการซ้อนกลุ่ม; สภาพแวดล้อมบางแห่งต้องการการบรรเทาการขยายโทเค็นหรือการเป็นสมาชิกโดยตรง ระวังปัญหาการทำให้ชื่อผู้ใช้เป็นมาตรฐานระหว่าง UPN และชื่อแบบ NT

การบันทึกและการตรวจสอบที่คุณจะใช้จริง

ใช้ NPS Accounting สำหรับการเชื่อมโยงและเปิดใช้งานบันทึกการดำเนินงาน RDG จากแพลตฟอร์ม MFA ของคุณ ตรวจสอบการแจ้งเตือนต่อผู้ใช้ การปฏิเสธ และรูปแบบ geo/IP สร้างแดชบอร์ดที่มีน้ำหนักเบา: ปริมาณการตรวจสอบสิทธิ์ อัตราความล้มเหลว สาเหตุความล้มเหลวที่สำคัญ และเวลาท้าทายเฉลี่ย เมตริกเหล่านี้ช่วยแนะนำทั้งความจุและ ความปลอดภัย การปรับแต่ง.

การเสริมความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุดในการดำเนินงาน

MFA เป็นสิ่งจำเป็นแต่ไม่เพียงพอ รวมเข้ากับการแบ่งเครือข่าย การใช้ TLS ที่ทันสมัย สิทธิ์ขั้นต่ำ และการตรวจสอบที่เข้มงวด รักษาเกณฑ์พื้นฐานที่สั้นและบังคับ—การเสริมความแข็งแกร่งจะได้ผลก็ต่อเมื่อมีการใช้สม่ำเสมอและตรวจสอบหลังจากการแพตช์และการอัปเกรด

ขอบเขต, TLS, และสิทธิ์น้อยที่สุด

วาง RDG ในเซ็กเมนต์ DMZ ที่มีความปลอดภัยโดยมีการไหลที่จำเป็นเข้าสู่ LAN เท่านั้น ใช้ใบรับรองสาธารณะที่เชื่อถือได้บน RDG และปิดการใช้งานระบบเก่า TLS และการเข้ารหัสที่อ่อนแอ จำกัดการเข้าถึง RDG ผ่านกลุ่ม AD ที่กำหนด; หลีกเลี่ยงการมอบสิทธิ์ที่กว้างขวางและตรวจสอบให้แน่ใจว่า RD RAPs ทำแผนที่เฉพาะระบบและพอร์ตที่ผู้ใช้ต้องการจริง ๆ เท่านั้น

การตรวจสอบ การแจ้งเตือน และการควบคุมการเปลี่ยนแปลง

แจ้งเตือนเกี่ยวกับการเพิ่มขึ้นของการตรวจสอบสิทธิ์ที่ล้มเหลว, ภูมิศาสตร์ที่ไม่ปกติ, หรือการเรียกร้องซ้ำต่อผู้ใช้แต่ละคน บันทึกการเปลี่ยนแปลงการกำหนดค่าบน NPS, RDG, และแพลตฟอร์ม MFA พร้อมกับเส้นทางการอนุมัติ ปฏิบัติตามนโยบายเหมือนโค้ด: ติดตามการเปลี่ยนแปลงในการควบคุมแหล่งที่มา หรืออย่างน้อยในทะเบียนการเปลี่ยนแปลง และทดสอบในสภาพแวดล้อมการจัดเตรียมก่อนการเปลี่ยนแปลงไปยังการผลิต

ความยืดหยุ่นและการฟื้นฟู

เรียกใช้ NPS ซ้ำซ้อนและกำหนดค่า RDG เพื่ออ้างอิงเซิร์ฟเวอร์ RADIUS หลายตัว เอกสารพฤติกรรม fail-open เทียบกับ fail-closed สำหรับแต่ละส่วนประกอบ; ตั้งค่าเริ่มต้นเป็น fail-closed สำหรับการเข้าถึงภายนอก สำรองข้อมูลการกำหนดค่า NPS นโยบาย RDG และการตั้งค่า MFA; ฝึกซ้อมการกู้คืน รวมถึงการเปลี่ยนใบรับรองและการลงทะเบียนใหม่ของส่วนขยายหรือเอเจนต์ MFA หลังจากการสร้างใหม่

สรุป

การเพิ่ม MFA ไปยัง RD Gateway จะปิดช่องโหว่ที่ใหญ่ที่สุดใน RDP ที่เปิดเผยต่ออินเทอร์เน็ต: การใช้ข้อมูลประจำตัวอย่างไม่เหมาะสม โดยการรวมศูนย์นโยบายบน NPS และการรวม Entra MFA หรือผู้ให้บริการ RADIUS ของบุคคลที่สาม คุณจะบังคับใช้การพิสูจน์ตัวตนที่แข็งแกร่งโดยไม่รบกวนโมเดล RD CAP/RD RAP ตรวจสอบด้วยการทดสอบที่มุ่งเป้า เฝ้าติดตามอย่างต่อเนื่อง และจับคู่ MFA กับ TLS ที่มีความแข็งแกร่ง สิทธิ์น้อยที่สุด และการออกแบบ NPS/RDG ที่มีความยืดหยุ่น