Cách thiết lập MFA cho RD Gateway: Kiến trúc, Bước thực hiện & Thực tiễn tốt nhất

Giới thiệu

Cổng Remote Desktop (RD Gateway) bảo mật RDP qua HTTPS, nhưng chỉ mật khẩu không thể ngăn chặn lừa đảo, nhồi nhét thông tin xác thực hoặc tấn công brute-force. Thêm Xác thực Đa yếu tố (MFA) sẽ lấp đầy khoảng trống đó bằng cách xác minh danh tính người dùng trước khi một phiên được thiết lập. Trong hướng dẫn này, bạn sẽ học cách MFA tích hợp với RD Gateway và NPS, các bước cấu hình chính xác, và các mẹo vận hành giúp triển khai của bạn đáng tin cậy ở quy mô lớn.

Tại sao RD Gateway cần MFA?

RD Gateway tập trung và kiểm tra truy cập từ xa , nhưng nó không thể tự trung hòa các thông tin xác thực bị đánh cắp. Tấn công bằng thông tin xác thực và lừa đảo thường xuyên vượt qua các biện pháp bảo vệ một yếu tố, đặc biệt là khi có các giao thức cũ và sự tiếp xúc rộng rãi. Thực thi MFA ở cấp độ xác thực RDG chặn hầu hết các cuộc tấn công thông thường và làm tăng đáng kể chi phí của các cuộc xâm nhập có mục tiêu.

Đối với RDP tiếp cận từ internet, các rủi ro chính là việc tái sử dụng mật khẩu, các nỗ lực tấn công brute-force, phát lại token và đánh cắp phiên thông qua TLS được cấu hình sai. MFA chống lại những điều này bằng cách yêu cầu một yếu tố thứ hai chống lại việc phát lại thông tin xác thực.

Nhiều khung—NIST 800-63, các kiểm soát ISO/IEC 27001 và các tiêu chuẩn bảo hiểm mạng khác nhau—ngầm hiểu hoặc rõ ràng mong đợi MFA trên truy cập từ xa Các con đường. Việc triển khai MFA trên RDG đáp ứng cả ý định kiểm soát và mong đợi của kiểm toán viên mà không cần tái cấu trúc ngăn xếp phân phối của bạn.

MFA phù hợp với kiến trúc RD Gateway như thế nào?

Kế hoạch điều khiển rất đơn giản: người dùng khởi động RDP thông qua RDG; RDG gửi xác thực đến NPS qua RADIUS; NPS đánh giá chính sách và gọi nhà cung cấp MFA; nếu thành công, NPS trả về Access-Accept và RDG hoàn tất kết nối. Quyền truy cập vào tài sản nội bộ vẫn được quản lý bởi RD CAP/RD RAP, vì vậy việc xác minh danh tính là bổ sung chứ không phải gây rối.

• Luồng xác thực và các điểm quyết định
• Xem xét UX cho người dùng từ xa

Luồng xác thực và các điểm quyết định

Các điểm quyết định chính bao gồm nơi mà logic MFA chạy (NPS với Entra MFA Extension hoặc một proxy RADIUS bên thứ ba), các yếu tố nào được phép, và cách xử lý các lỗi. Tập trung các quyết định vào NPS giúp đơn giản hóa việc kiểm toán và kiểm soát thay đổi. Đối với các hệ thống lớn, hãy xem xét một cặp NPS chuyên dụng để tách biệt việc đánh giá chính sách khỏi khả năng của RDG và để đơn giản hóa các khoảng thời gian bảo trì.

Xem xét UX cho người dùng từ xa

Thông báo dựa trên ứng dụng và đẩy cung cấp trải nghiệm đáng tin cậy nhất trong việc RDP luồng xác thực. SMS và giọng nói có thể thất bại khi không có giao diện nhắc nhở phụ nào tồn tại. Giáo dục người dùng về các nhắc nhở mong đợi, thời gian chờ và lý do từ chối để giảm thiểu vé hỗ trợ. Ở những khu vực có độ trễ cao, kéo dài thời gian thách thức một cách khiêm tốn để tránh thất bại giả mà không che giấu lạm dụng thực sự.

Danh sách kiểm tra yêu cầu tiên quyết là gì?

Một thiết lập sạch sẽ bắt đầu với các vai trò nền tảng và vệ sinh danh tính đã được xác minh. Đảm bảo RDG ổn định trên một Windows Server được hỗ trợ và lập kế hoạch cho một con đường quay lại. Xác nhận các nhóm thư mục để xác định quyền truy cập của người dùng và xác thực rằng các quản trị viên có thể phân biệt các thay đổi chính sách với các vấn đề về chứng chỉ hoặc mạng.

• Vai trò, Cổng, và Chứng chỉ
• Sẵn sàng Thư mục & Danh tính

Vai trò, Cổng, và Chứng chỉ

Triển khai vai trò NPS trên một máy chủ có kết nối AD đáng tin cậy. Tiêu chuẩn hóa trên RADIUS UDP 1812/1813 và ghi lại bất kỳ việc sử dụng 1645/1646 nào còn lại. Trên RDG, cài đặt một chứng chỉ TLS được tin cậy công khai cho trình nghe HTTPS và loại bỏ các giao thức và mã hóa yếu. Ghi lại các bí mật chia sẻ trong một kho, không phải trong một vé hoặc ghi chú trên màn hình.

Sẵn sàng Thư mục & Danh tính

Tạo các nhóm AD chuyên dụng cho người dùng và quản trị viên được phép RDG; tránh phạm vi "Người dùng miền". Xác minh rằng người dùng đã đăng ký MFA nếu sử dụng Entra ID. Đối với các nhà cung cấp bên thứ ba, đồng bộ hóa danh tính và kiểm tra một người dùng thử nghiệm từ đầu đến cuối trước khi đăng ký rộng rãi. Căn chỉnh định dạng tên người dùng (UPN so với sAMAccountName) giữa RDG, NPS và nền tảng MFA để tránh sự không khớp âm thầm.

Cấu hình MFA cho RD Gateway theo từng bước là gì?

• Cài đặt & Đăng ký NPS
• Thêm RD Gateway làm Khách hàng RADIUS
• Tạo chính sách NPS (CRP & NP)
• Cài đặt tiện ích mở rộng MFA hoặc tác nhân bên thứ ba
• Chỉ định RD Gateway đến NPS Trung tâm (Cửa hàng RD CAP)
• Kiểm tra MFA từ đầu đến cuối

Bước 1 — Cài đặt & Đăng ký NPS

Cài đặt vai trò Dịch vụ Chính sách Mạng và Truy cập, mở nps.msc , và đăng ký NPS trong Active Directory để nó có thể đọc các thuộc tính người dùng. Xác minh việc Máy chủ chính sách mạng Dịch vụ (IAS) đang chạy và máy chủ có thể kết nối với bộ điều khiển miền với độ trễ thấp. Lưu ý FQDN/IP NPS cho nhật ký và chính sách.

Lệnh tùy chọn:

Cài đặt-WindowsFeature NPAS -Bao gồm công cụ quản lý nps.msc

Chạy netsh nps thêm máy chủ đã đăng ký

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

Bước 2 — Thêm RD Gateway làm Khách hàng RADIUS

Trong RADIUS Clients, thêm cổng RD của bạn bằng IP/FQDN, đặt một tên thân thiện (ví dụ, RDG01 ), và sử dụng một bí mật chung dài được bảo vệ. Mở UDP 1812/1813 trên máy chủ NPS và xác nhận khả năng tiếp cận. Nếu bạn chạy nhiều RDG, hãy thêm từng cái một cách rõ ràng (các định nghĩa subnet là có thể nhưng dễ bị nhầm lẫn hơn).

Lệnh tùy chọn

Thêm một khách hàng: netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=CÓ

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

Bước 3 — Tạo chính sách NPS (CRP & NP)

Tạo một Chính sách Yêu cầu Kết nối được giới hạn theo Địa chỉ IPv4 của Khách hàng RDG của bạn. Chọn Xác thực trên máy chủ này (cho Microsoft Entra MFA qua Phần mở rộng NPS) hoặc Chuyển tiếp đến RADIUS từ xa (cho một proxy MFA bên thứ ba). Sau đó, tạo một Chính sách Mạng bao gồm nhóm AD của bạn (ví dụ, GRP_RDG_Users ) với quyền truy cập được cấp. Đảm bảo cả hai chính sách nằm trên các quy tắc chung.

Lệnh tùy chọn

# Xác minh một người dùng có trong nhóm được phép
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

Chính sách xuất khẩu tóm tắt để tham khảo: reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

Bước 4 — Cài đặt tiện ích mở rộng MFA hoặc tác nhân bên thứ ba

Đối với Microsoft Entra MFA, cài đặt NPS Extension, chạy script liên kết tenant và khởi động lại NPS. Xác nhận người dùng đã đăng ký MFA và ưu tiên phương pháp đẩy/ứng dụng. Đối với MFA của bên thứ ba, cài đặt proxy/đại lý RADIUS của nhà cung cấp, cấu hình các điểm cuối/bí mật chia sẻ và chỉ định CRP của bạn đến nhóm từ xa đó.

Lệnh tùy chọn

# Entra MFA NPS Extension bind
Set-Location "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
Restart-Service IAS

# Công cụ ghi nhật ký hữu ích (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

Cấu hình một nhóm và máy chủ RADIUS từ xa: netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

Bước 5 — Chỉ định RD Gateway đến NPS Trung tâm (Cửa hàng RD CAP)

Trên máy chủ RD Gateway, đặt RD CAP Store thành máy chủ trung tâm chạy NPS, thêm máy chủ NPS + bí mật chia sẻ, và xác minh kết nối. Căn chỉnh RD CAP với nhóm người dùng được phép của bạn và RD RAP với các máy tính/nhóm cụ thể. Nếu MFA thành công nhưng truy cập không thành công, hãy kiểm tra phạm vi RAP trước.

Bước 6 — Kiểm tra MFA Từ Đầu Đến Cuối

Từ một khách hàng bên ngoài, kết nối qua RDG đến một máy chủ đã biết và xác nhận một thông báo MFA, NPS 6272 (Quyền truy cập được cấp), và một phiên thành công. Cũng kiểm tra các đường dẫn tiêu cực (không trong nhóm, không đăng ký, yếu tố sai, mã hết hạn) để xác thực độ rõ ràng của lỗi và sự sẵn sàng hỗ trợ.

Sổ tay khắc phục sự cố của MFA cho RD Gateway là gì?

Khắc phục sự cố nhanh nhất khi bạn tách biệt các lớp mạng, chính sách và danh tính. Bắt đầu với khả năng tiếp cận RADIUS và kiểm tra cổng, sau đó xác thực sự khớp chính sách, sau đó xem xét việc đăng ký MFA và các loại yếu tố. Giữ một tài khoản thử nghiệm với các điều kiện được kiểm soát để bạn có thể tái tạo kết quả một cách nhất quán trong các khoảng thời gian thay đổi.

• Không có lời nhắc, vòng lặp hoặc thời gian chờ
• Khớp Chính Sách & Phạm Vi Nhóm
• Nhật ký và Telemetry Bạn Thực Sự Sử Dụng
• Thực hành tốt nhất về Củng cố Bảo mật & Vận hành
• Ranh giới, TLS và Quyền tối thiểu
• Giám sát, Cảnh báo và Kiểm soát Thay đổi
• Khả năng phục hồi và khôi phục

Không có lời nhắc, vòng lặp hoặc thời gian chờ

Không có thông báo thường chỉ ra khoảng trống trong chính sách đặt hàng hoặc đăng ký MFA. Các vòng lặp cho thấy sự không khớp của bí mật chia sẻ hoặc đệ quy chuyển tiếp giữa NPS và một proxy. Thời gian chờ thường chỉ ra UDP 1812/1813 bị chặn, định tuyến không đối xứng, hoặc kiểm tra IDS/IPS quá mức. Tăng cường độ chi tiết ghi nhật ký tạm thời để xác nhận bước nào bị lỗi.

Khớp Chính Sách & Phạm Vi Nhóm

Xác nhận rằng chính sách yêu cầu kết nối nhắm đến khách hàng RDG và được áp dụng trước bất kỳ quy tắc nào khác. Trong chính sách mạng, xác minh nhóm AD chính xác và hành vi lồng nhóm; một số môi trường yêu cầu giảm thiểu sự phình to của token hoặc thành viên trực tiếp. Chú ý đến các vấn đề chuẩn hóa tên người dùng giữa UPN và tên theo kiểu NT.

Nhật ký và Telemetry Bạn Thực Sự Sử Dụng

Sử dụng NPS Accounting để tương quan và giữ cho nhật ký hoạt động RDG được bật. Từ nền tảng MFA của bạn, xem xét các thông báo theo người dùng, từ chối và các mẫu geo/IP. Thiết lập một bảng điều khiển nhẹ: khối lượng xác thực, tỷ lệ thất bại, lý do thất bại hàng đầu và thời gian thách thức trung bình. Những chỉ số này hướng dẫn cả năng lực và bảo mật tinh chỉnh.

Thực hành tốt nhất về Củng cố Bảo mật & Vận hành

MFA là cần thiết nhưng không đủ. Kết hợp nó với phân đoạn mạng, TLS hiện đại, quyền tối thiểu và giám sát mạnh mẽ. Giữ một tiêu chuẩn ngắn gọn, được thực thi - việc tăng cường chỉ có hiệu quả nếu được áp dụng nhất quán và được xác minh sau các bản vá và nâng cấp.

Ranh giới, TLS và Quyền tối thiểu

Đặt RDG trong một phân đoạn DMZ được bảo mật với chỉ các luồng cần thiết vào LAN. Sử dụng một chứng chỉ công cộng đáng tin cậy trên RDG và vô hiệu hóa các tính năng cũ. TLS và các mã hóa yếu. Hạn chế quyền truy cập RDG thông qua các nhóm AD chuyên dụng; tránh quyền truy cập rộng rãi và đảm bảo rằng các RD RAP chỉ ánh xạ các hệ thống và cổng mà người dùng thực sự cần.

Giám sát, Cảnh báo và Kiểm soát Thay đổi

Cảnh báo về sự gia tăng trong các lần xác thực không thành công, các địa điểm bất thường, hoặc các yêu cầu lặp lại theo người dùng. Ghi lại các thay đổi cấu hình trên NPS, RDG và nền tảng MFA với một dấu vết phê duyệt. Đối xử với các chính sách như mã: theo dõi các thay đổi trong kiểm soát nguồn hoặc ít nhất là trong một sổ đăng ký thay đổi, và thử nghiệm trong một môi trường staging trước khi chuyển sang sản xuất.

Khả năng phục hồi và khôi phục

Chạy NPS một cách dư thừa và cấu hình RDG để tham chiếu nhiều máy chủ RADIUS. Tài liệu hành vi fail-open so với fail-closed cho từng thành phần; mặc định là fail-closed cho truy cập bên ngoài. Sao lưu cấu hình NPS, chính sách RDG và cài đặt MFA; thực hành phục hồi, bao gồm thay thế chứng chỉ và đăng ký lại phần mở rộng hoặc tác nhân MFA sau khi xây dựng lại.

Kết luận

Việc thêm MFA vào RD Gateway đóng lại khoảng trống lớn nhất trong RDP tiếp xúc với internet: lạm dụng thông tin xác thực. Bằng cách tập trung chính sách trên NPS và tích hợp Entra MFA hoặc nhà cung cấp RADIUS bên thứ ba, bạn thực thi việc chứng minh danh tính mạnh mẽ mà không làm gián đoạn các mô hình RD CAP/RD RAP. Xác thực với các bài kiểm tra có mục tiêu, giám sát liên tục và kết hợp MFA với TLS được củng cố, quyền hạn tối thiểu và thiết kế NPS/RDG bền vững.