Для настройки безопасной аутентификации на шлюзе удалённых рабочих столов (Remote Desktop Gateway) можно выполнить следующие шаги: 12

1. Создать политику RD CAP. 1 Для этого нужно развернуть «Policies» — «Connection Authorization Policies» и выбрать пункт меню «Create New Policy» — «Wizard». 1 Затем указать имя политики, выбрать тип аутентификации (по паролю и/или по смарт-карте) и группу пользователей, которым разрешено аутентифицироваться на шлюзе. 1
2. Установить SSL/TLS-сертификат. 1 Оптимально использовать коммерческий сертификат, выданный внешним центром сертификации. 1 Также можно использовать самоподписанный SSL-сертификат Windows, но внешние клиенты должны обязательно доверять такому сертификату. 1
3. Изменить порт SSL для шлюза удалённых рабочих столов на другой номер. 2 Это поможет обмануть хакеров, которые могут ориентироваться на стандартный порт 443. 2

Ещё один вариант настройки — использование многофакторной аутентификации (MFA) через сервер Microsoft Entra. 5 Для этого нужно настроить шлюз RD Gateway для отправки аутентификации RADIUS на сервер многофакторной аутентификации Microsoft Entra. 5 Для этого в диспетчере шлюзов удалённых рабочих столов щёлкнуть правой кнопкой мыши имя сервера и выбрать «Свойства». 5 Затем перейти на вкладку RD CAP Store и выбрать центральный сервер с установленной службой NPS. 5 После этого добавить один или несколько серверов многофакторной идентификации Microsoft Entra в качестве серверов RADIUS, введя имя или IP-адрес каждого сервера, и создать общий секрет для каждого сервера. 5

Для точной настройки аутентификации рекомендуется обратиться к специалисту.