2ФА для Remote Desktop Gateway: защита веб-доступа к RDP‑сессиям через HTTPS — Контур.Эгида

В этой статье

2ФА для Remote Desktop Gateway: защита веб-доступа к RDP‑сессиям через HTTPS

1 апреля 2026

Remote Desktop Gateway (RDG) — это роль Windows Server, которая упаковывает RDP-трафик в HTTPS. Сотрудники подключаются к рабочим столам без VPN, но без защиты такой шлюз становится единой точкой входа для злоумышленников: перебор паролей или утечка учетных данных открывают доступ ко всей инфраструктуре. В статье расскажем о том, как настроить двухфакторную аутентификацию для RDG, чтобы доступ оставался удобным и защищенным.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению

Какие угрозы закрывает 2ФА для RDG

Remote Desktop Gateway используют, чтобы дать сотрудникам удаленный доступ к рабочим столам без VPN. Шлюз упаковывает RDP в HTTPS — такой трафик легко проходит через межсетевые экраны. Но именно эта доступность делает RDG целью для атак.

Если на шлюзе включена только аутентификация по паролю, злоумышленники действуют через:

  • брутфорс — перебор паролей по HTTPS идет быстрее, чем по прямому RDP, а сканеры для поиска RDG-серверов давно автоматизированы;
  • скомпрометированные учетные данные — пароль, утекший с другого сервиса, используют для входа через RDG;
  • уязвимости протокола RDP — например, BlueKeep или CredSSP, которые позволяют выполнить код до проверки пароля.

Двухфакторная аутентификация закрывает эти векторы. Второй фактор — TOTP, push, биометрия — привязан к устройству и конкретному пользователю. Даже при правильном пароле автоматизированная атака останавливается на этапе запроса кода.

Кроме защиты от взлома, 2ФА для RDG помогает выполнить требования регуляторов. Для КИИ, финансовых организаций и компаний, работающих с персональными данными, многофакторная аутентификация удаленного доступа —требование 152-ФЗ и стандартов Банка России.

Как RDG пропускает 2ФА через RADIUS

Шлюз изначально поддерживает интеграцию с RADIUS-серверами. Это стандартный протокол, который позволяет передавать запросы аутентификации на внешние системы. Когда пользователь вводит логин и пароль в клиенте Remote Desktop, RDG отправляет RADIUS-запрос на сервер Network Policy Server (NPS) или напрямую на провайдера 2ФА.

Дальнейшая схема зависит от выбранного решения. Самые распространенные варианты:

RADIUS с NPS и расширением 2ФА. Решения подключаются к NPS через специальные расширения. После проверки пароля сервер NPS проверят первый фактор и отдает в RADIUS прокси-запрос на проверку второго.

Прямая интеграция с 2ФА-провайдером. Некоторые системы двухфакторной аутентификации поддерживают работу напрямую с RDG через RADIUS или API. В этом случае промежуточный NPS не нужен — шлюз сразу обращается к провайдеру.

Использование сторонних RADIUS-серверов. Существуют готовые решения, которые работают как прокси между RDG и источниками проверки — Active Directory, TOTP-серверами, аппаратными токенами.

Преимущества такого подхода очевидны. Во-первых, двухфакторная аутентификация RDP внедряется без изменений в инфраструктуру рабочих столов — все сосредоточено на уровне шлюза. Во-вторых, пользователи продолжают работать в привычном клиенте Remote Desktop, им не нужно осваивать новые интерфейсы. В-третьих, администратор получает единую точку управления доступом для всех удаленных подключений.

ID от Контур. Эгиды — готовое решение для двухфакторной аутентификации, которое интегрируется с Remote Desktop Gateway через RADIUS. Поддерживает TOTP, push-уведомления в мобильном приложении и аппаратные токены. Управлять пользователями удобно через единый веб-интерфейс.

Пошаговая настройка 2ФА на RDG

Процесс внедрения 2ФА для Remote Desktop Gateway зависит от выбранного решения. Рассмотрим универсальную схему, которая подходит для большинства сценариев. 

Перед началом убедитесь, что у вас есть:

  • сервер с установленной ролью Remote Desktop Gateway;
  • сертификат для RDG от публичного центра сертификации;
  • решение для двухфакторной аутентификации с поддержкой RADIUS.

Шаг 1. Установка и настройка NPS

На отдельном сервере или на самом RDG установите роль Network Policy Server. В оснастке NPS создайте политику для RDG: укажите тип доступа (RADIUS client), добавьте IP-адрес шлюза и общий секретный ключ. Настройте политику запроса соединения, которая будет передавать аутентификацию на 2ФА-провайдер.

Шаг 2. Настройка RDG для работы с RADIUS

В диспетчере сервера откройте свойства развертывания RD Gateway. На вкладке «RD CAP» укажите центральную политику хранения паролей. В настройках сервера RDG добавьте RADIUS-сервер — IP-адрес NPS и общий секрет, который задали на предыдущем шаге.

Шаг 3. Интеграция с провайдером 2ФА

Для сторонних решений, например Контур.ID, настройте RADIUS-соединение в веб-интерфейсе. Обычно требуется указать IP-адрес NPS и общий секрет, после чего провайдер начнет принимать RADIUS-запросы.

Шаг 4. Тестирование

Подключитесь к RDG через клиент Remote Desktop. После ввода логина и пароля система должна запросить второй фактор. Если аутентификация прошла успешно, открывается сессия удаленного рабочего стола.

Что нужно знать о сертификатах и протоколах

При работе с RDG через HTTPS особое внимание уделите сертификатам. Microsoft требует, чтобы сертификат SSL был доверенным на клиентских машинах — иначе пользователи увидят предупреждение. Для корпоративной среды проще всего использовать сертификат от внутреннего центра сертификации, который добавлен в доверенные корневые центры всех компьютеров домена.

Если сотрудники подключаются с личных устройств, используйте публичный сертификат от известного центра. Так клиенты будут доверять подключению без дополнительных настроек.

Протоколы, которые задействованы в цепочке:

  • HTTPS (TLS 1.2/1.3) — шифрует канал между клиентом и шлюзом;
  • RADIUS (UDP 1812/1813) — передает запросы аутентификации от RDG к NPS или 2ФА-провайдеру;
  • RDP (TCP 3389) — упакованный внутри HTTPS трафик к конечному рабочему столу.

Важно настроить межсетевой экран так, чтобы он пропускал RADIUS-трафик между шлюзом и NPS, а также между NPS и 2ФА-провайдером. Если провайдер находится в облаке, убедитесь, что исходящие подключения на порты RADIUS разрешены.

Практические советы по безопасности RDG

Собрали основные рекомендации, которые помогут сделать RDG максимально защищенным: 

  • Выделите NPS на отдельный сервер. Не размещайте RADIUS-компоненты на самом шлюзе. Если шлюз будет скомпрометирован, злоумышленник не получит доступ к системе аутентификации.
  • Ограничьте количество неудачных попыток. Настройте в NPS-политики блокировки учетной записи после нескольких неверных паролей. Для защиты от перебора по IP используйте сетевой экран или специализированные сервисы.
  • Регулярно обновляйте сертификаты. Просроченный SSL-сертификат приведет к отказу в обслуживании. Настройте автоматическое продление, если используете Let's Encrypt, или внесите напоминания в календарь.
  • Используйте геозоны и временные ограничения. Многие 2ФА-провайдеры позволяют разрешать подключения только из определенных стран или в рабочие часы. Это снижает риск несанкционированного доступа.
  • Включите аудит. Логируйте все попытки аутентификации на RDG, NPS и 2FA-провайдере. Это поможет быстро выявить аномалии и расследовать инциденты.
  • Тестируйте после изменений. Любая настройка — обновление сертификатов, изменение политик NPS, смена 2ФА-провайдера — может привести к отказу в доступе. Проверяйте на небольшой группе пользователей, прежде чем применять изменения для всех.

Внедрение двухфакторной аутентификации для Remote Desktop Gateway с Контур.ID не требует сложной инфраструктуры. Решение работает через RADIUS, поддерживает TOTP, push-уведомления и аппаратные токены. Администратор управляет пользователями и политиками доступа из единой консоли. Подходит для компаний, которые хотят закрыть требования регуляторов и защитить удаленный доступ без больших затрат.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться