如何為 RD Gateway 設置 MFA：架構、步驟和最佳實踐

介紹

遠端桌面閘道 (RD Gateway) 透過 HTTPS 保護 RDP，但僅靠密碼無法阻止釣魚、憑證填充或暴力攻擊。添加多重身份驗證 (MFA) 可以通過在建立會話之前驗證用戶身份來填補這一空白。在本指南中，您將學習 MFA 如何與 RD Gateway 和 NPS 整合、具體的配置步驟，以及保持您的部署在大規模運行中可靠的操作提示。

為什麼 RD Gateway 需要 MFA？

RD Gateway 集中管理和審核 遠端存取 ，但它無法單獨中和被盜的憑證。憑證填充和網絡釣魚常常繞過單因素防禦，特別是在存在舊有協議和廣泛暴露的情況下。在RDG身份驗證層強制執行多因素身份驗證可以阻止大多數商品攻擊，並顯著提高針對性入侵的成本。

對於面向互聯網的 RDP，主要風險包括密碼重用、暴力破解嘗試、令牌重放和通過配置錯誤的 TLS 進行的會話劫持。MFA 通過要求第二個抵抗憑證重放的因素來應對這些風險。

許多框架——NIST 800-63、ISO/IEC 27001 控制以及各種網絡保險基準——隱含或明確地期望使用 MFA。 遠端存取 在RDG上實施多重身份驗證（MFA）滿足了控制意圖和審計員的期望，而無需重新設計您的交付堆棧。

多重身份驗證如何適應 RD Gateway 架構？

控制平面很簡單：用戶通過 RDG 啟動 RDP；RDG 通過 RADIUS 向 NPS 發送身份驗證；NPS 評估政策並調用 MFA 提供者；成功後，NPS 返回 Access-Accept，RDG 完成連接。對內部資產的授權仍然受 RD CAP/RD RAP 的管控，因此身份驗證是附加的，而不是破壞性的。

• 身份驗證流程和決策點
• 遠端使用者的UX考量

身份驗證流程和決策點

關鍵決策點包括 MFA 邏輯運行的位置（使用 Entra MFA 擴展的 NPS 或第三方 RADIUS 代理）、允許哪些因素以及如何處理失敗。集中決策於 NPS 簡化了審計和變更控制。對於大型環境，考慮使用專用的 NPS 配對，以將政策評估與 RDG 容量解耦，並簡化維護窗口。

遠端使用者的UX考量

推送和基於應用程序的提示提供了最可靠的體驗。 RDP 憑證流程。當不存在次要提示用戶界面時，短信和語音可能會失敗。教育用戶有關預期的提示、超時和拒絕原因，以減少支持票。在高延遲地區，適度延長挑戰超時時間，以避免假失敗而不掩蓋真正的濫用。

什麼是先決條件清單？

一個乾淨的設置始於經過驗證的平台角色和身份衛生。確保 RDG 在受支持的 Windows Server 上穩定運行，並計劃回滾路徑。確認目錄群組以範圍用戶訪問，並驗證管理員能夠區分政策變更與證書或網絡問題。

• 角色、端口和證書
• 目錄與身份準備

角色、端口和證書

在具有可靠 AD 連接的伺服器上部署 NPS 角色。標準化於 RADIUS UDP 1812/1813 並記錄任何舊版 1645/1646 的使用。在 RDG 上，為 HTTPS 監聽器安裝公眾信任的 TLS 證書，並移除弱協議和密碼。將共享密鑰記錄在保險庫中，而不是票證或桌面備註。

目錄與身份準備

為RDG允許的用戶和管理員創建專用的AD組；避免使用“域用戶”範圍。如果使用Entra ID，請驗證用戶是否已註冊MFA。對於第三方提供商，請同步身份並在廣泛註冊之前測試一個試點用戶的端到端流程。對齊RDG、NPS和MFA平台之間的用戶名格式（UPN與sAMAccountName），以避免靜默不匹配。

RD Gateway的MFA逐步配置是什麼？

• 安裝與註冊 NPS
• 將 RD Gateway 添加為 RADIUS 客戶端
• 建立 NPS 政策 (CRP & NP)
• 安裝 MFA 擴展或第三方代理
• 將 RD Gateway 指向中央 NPS (RD CAP Store)
• 測試多因素身份驗證端到端

步驟 1 — 安裝與註冊 NPS

安裝網路政策和存取服務角色，打開 nps.msc ，並在 Active Directory 中註冊 NPS，以便它可以讀取用戶屬性。驗證該 網路政策伺服器 (IAS) 服務正在運行，並且伺服器可以以低延遲連接到域控制器。請注意 NPS FQDN/IP 以便於日誌和政策。

可選命令：

安裝-WindowsFeature NPAS -IncludeManagementTools nps.msc

執行 netsh nps add registeredserver

Get-Service IAS | Start-Service  
Test-Connection -Count 4 -ComputerName (Get-ADDomainController -Discover).HostName

步驟 2 — 將 RD Gateway 添加為 RADIUS 客戶端

在 RADIUS 客戶端中，通過 IP/FQDN 添加您的 RD Gateway，設置一個友好的名稱（例如， RDG01 )，並使用一個長的共享密鑰。打開 NPS 伺服器上的 UDP 1812/1813 並確認可達性。如果您運行多個 RDG，請明確添加每個（子網定義是可能的，但更容易出錯）。

可選命令

添加客戶： netsh nps add client name="RDG01" address=10.0.10.20 sharedsecret="VeryLongVaultedSecret" vendor=standard enable=YES

netsh advfirewall firewall add rule name="RADIUS Auth (UDP 1812)" dir=in action=allow protocol=UDP localport=1812  
netsh advfirewall firewall add rule name="RADIUS Acct (UDP 1813)" dir=in action=allow protocol=UDP localport=1813

步驟 3 — 創建 NPS 政策 (CRP & NP)

建立一個針對您的 RDG 客戶端 IPv4 地址的連接請求政策。選擇在此伺服器上進行身份驗證（通過 NPS 擴展的 Microsoft Entra MFA）或轉發到遠端 RADIUS（用於第三方 MFA 代理）。然後創建一個包含您的 AD 群組的網路政策（例如， GRP_RDG_使用者 ) 已授予訪問權限。確保這兩項政策位於通用規則之上。

可選命令

# 驗證用戶是否在允許的群組中
Get-ADUser user1 -Properties memberOf |
  Select-Object -ExpandProperty memberOf |
  Where-Object { $_ -like "*GRP_RDG_Users*" }

出口政策快照供參考： reg export "HKLM\SYSTEM\CurrentControlSet\Services\IAS\Policy" C:\NPS-Policy.reg /y

步驟 4 — 安裝 MFA 擴展或第三方代理

對於 Microsoft Entra MFA，安裝 NPS 擴展，運行租戶綁定腳本，並重新啟動 NPS。確認用戶已註冊 MFA 並偏好推送/應用程序方法。對於第三方 MFA，安裝供應商的 RADIUS 代理/代理，配置端點/共享密鑰，並將您的 CRP 指向該遠程組。

可選命令

# Entra MFA NPS 擴展綁定
設置位置 "C:\Program Files\Microsoft\AzureMfa\"
.\AzureMfaNpsExtnConfigSetup.ps1
重啟服務 IAS

# 有用的日誌控制鈕 (0–3)  
New-Item -Path HKLM:\SOFTWARE\Microsoft\AzureMfa -Force | Out-Null  
New-ItemProperty HKLM:\SOFTWARE\Microsoft\AzureMfa -Name LOG_LEVEL -Value 2 -PropertyType DWord -Force | Out-Null

配置遠程RADIUS組和伺服器： netsh nps add remoteradiusservergroup name="MFA-VENDOR"
netsh nps add remoteradiusserver name="MFA-VENDOR" address=10.0.20.50 authport=1812 sharedsecret="AnotherVaultedSecret"

第 5 步 — 將 RD Gateway 指向中央 NPS (RD CAP 商店)

在 RD Gateway 伺服器上，將 RD CAP Store 設定為運行 NPS 的中央伺服器，添加 NPS 主機 + 共享密鑰，並驗證連接性。將 RD CAP 對齊到您允許的用戶組和 RD RAP 對齊到特定的計算機/集合。如果 MFA 成功但訪問失敗，請先檢查 RAP 範圍。

第六步 — 測試多重身份驗證端到端

從外部客戶端通過RDG連接到已知主機，並確認一個MFA提示，NPS 6272（授予訪問權限）以及成功的會話。還要測試負面路徑（不在組中、未註冊、錯誤的因素、過期的令牌）以驗證錯誤的清晰度和支持的準備情況。

MFA 的 RD Gateway 故障排除手冊是什麼？

故障排除在分離網絡、政策和身份層時最快。首先檢查 RADIUS 可達性和端口，然後驗證政策匹配，接著檢查 MFA 註冊和因素類型。保持一個具有受控條件的測試帳戶，以便在變更窗口期間一致地重現結果。

• 無提示、循環或超時
• 政策匹配與群組範圍
• 實際可用的日誌和遙測
• 安全加固與操作最佳實踐
• 邊界、TLS 和最小特權
• 監控、警報和變更控制
• 韌性與恢復

無提示、循環或超時

未提示通常表示政策順序或多因素身份驗證註冊的缺口。循環表明共享密鑰不匹配或NPS與代理之間的轉發遞歸。超時通常指向被阻止的UDP 1812/1813、不對稱路由或過於激進的IDS/IPS檢查。暫時增加日誌詳細程度以確認哪個跳點失敗。

政策匹配與群組範圍

確認連接請求政策針對 RDG 客戶並在任何通用規則之前生效。在網絡政策中，驗證確切的 AD 群組和群組嵌套行為；某些環境需要令牌膨脹緩解或直接成員資格。注意 UPN 和 NT 風格名稱之間的用戶名標準化問題。

實際可用的日誌和遙測

使用 NPS 會計進行關聯，並保持 RDG 操作日誌啟用。從您的 MFA 平台，檢查每位用戶的提示、拒絕和地理/IP 模式。建立一個輕量級儀表板：身份驗證量、失敗率、主要失敗原因和平均挑戰時間。這些指標指導容量和 安全性 調整。

安全加固與操作最佳實踐

MFA 是必要的，但不夠充分。將其與網絡分段、現代 TLS、最小權限和強大的監控結合起來。保持一個簡短的、強制執行的基線——加固只有在一致應用並在修補和升級後進行驗證時才有效。

邊界、TLS 和最小特權

將RDG放置在一個加固的DMZ區段中，僅允許必要的流量進入LAN。在RDG上使用受信任的公共證書並禁用舊版功能。 TLS 和弱加密。通過專用的 AD 群組限制 RDG 訪問；避免廣泛的權限，並確保 RD RAP 僅映射用戶實際需要的系統和端口。

監控、警報和變更控制

對於失敗的身份驗證、異常的地理位置或每位用戶的重複提示的峰值發出警報。記錄 NPS、RDG 和 MFA 平台上的配置變更，並保留批准記錄。將政策視為代碼：在源控制中跟踪變更，或至少在變更登記中跟踪，並在生產切換之前在測試環境中進行測試。

韌性與恢復

冗餘運行 NPS 並配置 RDG 以參考多個 RADIUS 伺服器。記錄每個組件的故障開放與故障關閉行為；對於外部訪問默認設置為故障關閉。備份 NPS 配置、RDG 政策和 MFA 設置；排練恢復，包括證書替換和在重建後重新註冊 MFA 擴展或代理。

結論

將 MFA 添加到 RD Gateway 關閉了面向互聯網的 RDP 中最大的漏洞：憑證濫用。通過集中管理 NPS 上的政策並整合 Entra MFA 或第三方 RADIUS 提供者，您可以在不干擾 RD CAP/RD RAP 模型的情況下強化身份驗證。通過針對性測試進行驗證，持續監控，並將 MFA 與加固的 TLS、最小權限和彈性的 NPS/RDG 設計相結合。