RD Gateway için MFA Nasıl Kurulur: Mimari, Adımlar ve En İyi Uygulamalar

Giriş

Remote Desktop Gateway (RD Gateway), RDP'yi HTTPS üzerinden güvence altına alır, ancak yalnızca şifreler, kimlik avı, kimlik bilgisi doldurma veya brute-force saldırılarını durduramaz. Çok Faktörlü Kimlik Doğrulama (MFA) eklemek, bir oturum kurulmadan önce kullanıcı kimliğini doğrulayarak bu boşluğu kapatır. Bu kılavuzda, MFA'nın RD Gateway ve NPS ile nasıl entegre olduğunu, tam yapılandırma adımlarını ve dağıtımınızı ölçekli bir şekilde güvenilir tutan operasyonel ipuçlarını öğreneceksiniz.

RD Gateway Neden MFA'ya İhtiyaç Duyar?

RD Gateway merkezi hale getirir ve denetler uzak erişim ancak, çalınan kimlik bilgilerini kendiliğinden etkisiz hale getiremez. Kimlik bilgisi doldurma ve oltalama, özellikle eski protokollerin ve geniş maruziyetin bulunduğu yerlerde, tek faktörlü savunmaları rutin olarak aşar. RDG kimlik doğrulama katmanında MFA uygulamak, çoğu sıradan saldırıyı engeller ve hedefli saldırıların maliyetini önemli ölçüde artırır.

İnternete açık RDP için baskın riskler, şifre yeniden kullanımı, brute-force denemeleri, token tekrar oynatma ve yanlış yapılandırılmış TLS aracılığıyla oturum kaçırmadır. MFA, kimlik bilgisi tekrar oynatmaya dirençli ikinci bir faktör talep ederek bunlara karşı koyar.

Birçok çerçeve—NIST 800-63, ISO/IEC 27001 kontrolleri ve çeşitli siber sigorta temel standartları—dolaylı veya doğrudan MFA beklemektedir. uzak erişim Yollar. RDG'de MFA uygulamak, teslimat yığınınızı yeniden yapılandırmadan hem kontrol amacını hem de denetçi beklentilerini karşılar.

MFA'nın RD Gateway Mimarisi ile Uyumlu Olması Nasıl?

Kontrol düzlemi basittir: kullanıcı RDP'yi RDG üzerinden başlatır; RDG, NPS'ye RADIUS üzerinden kimlik doğrulama gönderir; NPS, politikayı değerlendirir ve MFA sağlayıcısını devreye alır; başarılı olduğunda, NPS Access-Accept döner ve RDG bağlantıyı tamamlar. Dahili varlıklara yetkilendirme hala RD CAP/RD RAP tarafından yönetilmektedir, bu nedenle kimlik kanıtı ekleyici bir şekilde olup, kesintiye neden olmaz.

• Kimlik Doğrulama Akışı ve Karar Noktaları
• Uzaktan Kullanıcılar için UX Dikkate Alınması Gerekenler

Kimlik Doğrulama Akışı ve Karar Noktaları

Ana karar noktaları, MFA mantığının nerede çalıştığı (Entra MFA Uzantısı ile NPS veya üçüncü taraf bir RADIUS proxy'si), hangi faktörlerin izin verildiği ve hataların nasıl ele alındığı gibi unsurları içerir. NPS üzerindeki kararları merkezileştirmek, denetim ve değişiklik kontrolünü basitleştirir. Büyük mülkler için, politika değerlendirmesini RDG kapasitesinden ayırmak ve bakım pencerelerini basitleştirmek amacıyla özel bir NPS çifti düşünün.

Uzaktan Kullanıcılar için UX Dikkate Alınması Gerekenler

Uygulama tabanlı bildirimler, en güvenilir deneyimi sağlar. RDP kimlik akışı. İkincil istemci arayüzü mevcut olmadığında SMS ve ses başarısız olabilir. Kullanıcıları beklenen istemler, zaman aşımı ve red nedenleri hakkında bilgilendirin, destek taleplerini azaltın. Yüksek gecikme sürelerine sahip bölgelerde, sahte başarısızlıkları önlemek için zorluk zaman aşımını makul bir şekilde uzatın, gerçek kötüye kullanımı maskelemeyin.

Gereksinimler Kontrol Listesi Nedir?

Temiz bir kurulum, doğrulanmış platform rolleri ve kimlik hijyeni ile başlar. RDG'nin desteklenen bir Windows Server üzerinde stabil olduğundan emin olun ve bir geri alma yolu planlayın. Kullanıcı erişimini belirlemek için dizin gruplarını onaylayın ve yöneticilerin politika değişikliklerini sertifika veya ağ sorunlarından ayırt edebildiğini doğrulayın.

• Roller, Portlar ve Sertifikalar
• Dizin ve Kimlik Hazırlığı

Roller, Portlar ve Sertifikalar

Güvenilir AD bağlantısına sahip bir sunucuda NPS rolünü dağıtın. Standartlaştırın RADIUS UDP 1812/1813 ve herhangi bir eski 1645/1646 kullanımını belgeleyin. RDG'de, HTTPS dinleyicisi için kamuya açık olarak güvenilen bir TLS sertifikası kurun ve zayıf protokolleri ve şifreleme yöntemlerini kaldırın. Paylaşılan sırları bir kasada, bir bilet veya masaüstü notu yerine kaydedin.

Dizin ve Kimlik Hazırlığı

RDG'ye izin verilen kullanıcılar ve yöneticiler için özel AD grupları oluşturun; "Domain Users" kapsamından kaçının. Entra ID kullanıyorsanız, kullanıcıların MFA'ya kaydolduğundan emin olun. Üçüncü taraf sağlayıcılar için kimlikleri senkronize edin ve geniş kayıttan önce bir pilot kullanıcıyı uçtan uca test edin. RDG, NPS ve MFA platformu arasında kullanıcı adı formatlarını (UPN ve sAMAccountName) hizalayarak sessiz uyumsuzlukları önleyin.

MFA'nın RD Gateway için adım adım yapılandırması nedir?

• NPS'yi Yükle ve Kaydet
• RD Gateway'i RADIUS İstemcisi olarak ekleyin
• NPS Politikaları Oluştur (CRP & NP)
• MFA Uzantısını veya Üçüncü Taraf Ajanını Yükleyin
• Merkezi NPS'ye (RD CAP Store) RD Gateway yönlendirin
• Test MFA Uçtan Uca

Adım 1 — NPS'yi Kurun ve Kaydedin

Ağ Politika ve Erişim Hizmetleri rolünü yükleyin, açın nps.msc ve NPS'yi Active Directory'de kaydedin, böylece kullanıcı özelliklerini okuyabilir. Doğrulayın Ağ Politika Sunucusu (IAS) hizmeti çalışıyor ve sunucunun düşük gecikme ile bir etki alanı denetleyicisine ulaşabildiğini belirtir. Günlükler ve politikalar için NPS FQDN/IP'yi not edin.

Opsiyonel komutlar:

Install-WindowsFeature NPAS -IncludeManagementTools nps.msc

Çalıştır netsh nps kayıtlısunucu ekle

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Adım 2 — RD Gateway'i RADIUS İstemcisi olarak ekleyin

RADIUS İstemcileri'nde, RD Gateway'inizi IP/FQDN ile ekleyin, dostça bir ad belirleyin (örneğin, RDG01 ), ve bir vault edilmiş, uzun paylaşılan bir gizli anahtar kullanın. NPS sunucusunda UDP 1812/1813'ü açın ve erişilebilirliği doğrulayın. Birden fazla RDG çalıştırıyorsanız, her birini açıkça ekleyin (alt ağ tanımlamaları mümkündür ancak yanlış kapsamaya daha yatkındır).

Opsiyonel komutlar

Müşteri ekle: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=EVET

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Adım 3 — NPS Politikaları Oluşturma (CRP & NP)

Bağlantı İsteği Politikasını RDG İstemci IPv4 Adresinize göre oluşturun. Microsoft Entra MFA için bu sunucuda Kimlik Doğrulamayı seçin (NPS Uzantısı aracılığıyla) veya uzaktaki RADIUS'a İletin (üçüncü taraf bir MFA proxy'si için). Ardından, AD grubunuzu (gruplarınızı) içeren bir Ağ Politikası oluşturun (örneğin, GRP_RDG_Kullanıcılar Erişim verildi. Her iki politikanın da genel kuralların üzerinde yer aldığından emin olun.

Opsiyonel komutlar

# Kullanıcının izin verilen grupta olduğunu doğrulayın
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

İhracat politikası anlık görüntüsü için referans: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Adım 4 — MFA Uzantısını veya Üçüncü Taraf Ajanını Yükleyin

Microsoft Entra MFA için NPS Uzantısını kurun, kiracı bağlama betiğini çalıştırın ve NPS'yi yeniden başlatın. Kullanıcıların MFA kaydı yaptırdığını ve push/uygulama yöntemlerini tercih ettiğini doğrulayın. Üçüncü taraf MFA için, satıcının RADIUS proxy/ajansını kurun, uç noktaları/paylaşılan gizli anahtarları yapılandırın ve CRP'nizi o uzak gruba yönlendirin.

Opsiyonel komutlar

# Entra MFA NPS Uzantısı bağla
Set-Location "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Restart-Service IAS

# Kullanışlı günlükleme düğmesi (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Bir uzak RADIUS grubu ve sunucusu yapılandırın: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Adım 5 — RD Gateway'i Merkezi NPS'ye (RD CAP Store) yönlendirin

RD Gateway sunucusunda, RD CAP Store'u NPS çalıştıran merkezi sunucuya ayarlayın, NPS ana bilgisayarını + paylaşılan gizli anahtarı ekleyin ve bağlantıyı doğrulayın. RD CAP'i izin verilen kullanıcı grubunuza ve RD RAP'i belirli bilgisayarlara/koleksiyonlara hizalayın. MFA başarılı olursa ancak erişim başarısız olursa, önce RAP kapsamını kontrol edin.

Adım 6 — MFA'yı Uçtan Uca Test Et

Dış bir istemciden, RDG üzerinden bilinen bir ana bilgisayara bağlanın ve bir MFA istemini onaylayın, NPS 6272 (Erişim verildi) ve başarılı bir oturum. Ayrıca hata netliğini ve destek hazırlığını doğrulamak için negatif yolları (grupta değil, kaydolmamış, yanlış faktör, süresi dolmuş jeton) test edin.

MFA için RD Gateway Hata Ayıklama Oyun Kitabı nedir?

Ağ, politika ve kimlik katmanlarını ayırdığınızda sorun giderme en hızlı şekilde gerçekleşir. RADIUS erişilebilirliği ve port kontrolleri ile başlayın, ardından politika eşleşmesini doğrulayın, ardından MFA kaydını ve faktör türlerini gözden geçirin. Sonuçları değişim pencereleri sırasında tutarlı bir şekilde yeniden üretebilmek için kontrollü koşullarla bir test hesabı bulundurun.

• No Prompt, Loops, or Timeouts
• Politika Eşleştirme ve Grup Kapsamı
• Kullanacağınız Günlükleme ve Telemetri
• Güvenlik Güçlendirme ve Operasyon En İyi Uygulamaları
• Perimeter, TLS ve En Az Ayrıcalık
• İzleme, Uyarı ve Değişiklik Kontrolü
• Dayanıklılık ve Kurtarma

No Prompt, Loops, or Timeouts

No prompt often indicates policy order or MFA enrollment gaps. Loops suggest shared secret mismatch or forwarding recursion between NPS and a proxy. Timeouts usually point to blocked UDP 1812/1813, asymmetric routing, or overly aggressive IDS/IPS inspection. Increase logging verbosity temporarily to confirm which hop fails.

Politika Eşleştirme ve Grup Kapsamı

Bağlantı İsteği Politikasının RDG istemcisini hedeflediğini ve herhangi bir genel kuraldan önce devreye girdiğini onaylayın. Ağ Politikasında, tam AD grubunu ve grup iç içe geçiş davranışını doğrulayın; bazı ortamlar token şişkinliği azaltma veya doğrudan üyelik gerektirebilir. UPN ve NT tarzı adlar arasında kullanıcı adı kanonizasyon sorunlarına dikkat edin.

Kullanacağınız Günlükleme ve Telemetri

NPS Muhasebesini korelasyon için kullanın ve RDG operasyonel günlüklerini etkin tutun. MFA platformunuzdan, kullanıcı başına istemleri, reddetmeleri ve coğrafi/IP desenlerini gözden geçirin. Hafif bir gösterge paneli oluşturun: kimlik doğrulama hacmi, başarısızlık oranı, en yaygın başarısızlık nedenleri ve ortalama zorluk süresi. Bu metrikler hem kapasiteyi hem de güvenlik ayar.

Güvenlik Güçlendirme ve Operasyon En İyi Uygulamaları

MFA gereklidir ancak yeterli değildir. Bunu ağ segmentasyonu, modern TLS, en az ayrıcalık ve güçlü izleme ile birleştirin. Kısa, zorunlu bir temel tutun—güçlendirme yalnızca tutarlı bir şekilde uygulanır ve yamalar ile güncellemelerden sonra doğrulanırsa işe yarar.

Perimeter, TLS ve En Az Ayrıcalık

RDG'yi yalnızca LAN'a gerekli akışlarla birlikte sertleştirilmiş bir DMZ segmentine yerleştirin. RDG'de güvenilir bir kamu sertifikası kullanın ve eski desteği devre dışı bırakın. TLS ve zayıf şifreler. RDG erişimini özel AD grupları aracılığıyla kısıtlayın; geniş yetkililerden kaçının ve RD RAP'lerin yalnızca kullanıcıların gerçekten ihtiyaç duyduğu sistemleri ve portları eşleştirdiğinden emin olun.

İzleme, Uyarı ve Değişiklik Kontrolü

Başarısız kimlik doğrulamalarındaki ani artışlar, alışılmadık coğrafyalar veya kullanıcı başına tekrarlanan istemler hakkında uyarı. NPS, RDG ve MFA platformundaki yapılandırma değişikliklerini onay izleri ile kaydedin. Politikalara kod olarak yaklaşın: kaynak kontrolünde veya en azından bir değişiklik kaydında değişiklikleri takip edin ve üretim geçişinden önce bir test ortamında test edin.

Dayanıklılık ve Kurtarma

NPS'yi yedekli olarak çalıştırın ve RDG'yi birden fazla RADIUS sunucusuna referans verecek şekilde yapılandırın. Her bir bileşen için fail-open ve fail-closed davranışını belgeleyin; dış erişim için varsayılan olarak fail-closed ayarını kullanın. NPS yapılandırmasını, RDG politikalarını ve MFA ayarlarını yedekleyin; kurtarma işlemini, sertifika değiştirme ve MFA uzantısının veya ajanının yeniden kaydı dahil olmak üzere, bir yeniden yapılandırmadan sonra prova edin.

Sonuç

MFA'yı RD Gateway'e eklemek, internetle yüz yüze olan RDP'deki en büyük açığı kapatır: kimlik bilgisi suistimali. NPS üzerinde politikayı merkezileştirerek ve Entra MFA veya üçüncü taraf bir RADIUS sağlayıcısını entegre ederek, RD CAP/RD RAP modellerini bozmadan güçlü kimlik doğrulama uygulamış olursunuz. Hedefli testlerle doğrulayın, sürekli izleyin ve MFA'yı güçlendirilmiş TLS, en az ayrıcalık ve dayanıklı NPS/RDG tasarımı ile birleştirin.