Obsah
RDP brute force protection: how to block attacks and keep remote access working

Jak v praxi vypadá útok hrubou silou na RDP

Obvykle si všimnete RDP hrubá síla stejným způsobem: opakované neúspěšné přihlášení proti serveru Windows, který je přístupný z internetu, často následované uzamčením účtů, hlučnými bezpečnostními protokoly a znepokojenými uživateli, kteří se nemohou připojit. Mnoho z těchto útoků není „cílených“ v lidském smyslu. RDP vystavené internetu je neustále skenováno a automatizované nástroje se budou neustále pokoušet o uživatelská jména a hesla, dokud nenajdou slabou přihlašovací informaci nebo nevytvoří narušení.

V MITRE ATT&CK to odpovídá Technika T1110 (Brute Force) , které zahrnují související vzory, jako je hádání hesel a stříkání hesel. V praktických operačních termínech jsou útoky hrubou silou RDP opakované pokusy o vzdálené přihlášení (často automatizované), které se pokoušejí o mnoho hesel nebo mnoho účtů proti vystavené službě RDP, dokud nejsou nalezeny přihlašovací údaje nebo dokud nejsou účty narušeny.

Typické příznaky zahrnují:

  • Náhlý nárůst neúspěšných přihlášení v protokolech zabezpečení systému Windows
  • Mnoho pokusů proti běžným názvům účtů (Administrator, admin, test, názvy ve stylu služby)
  • Selhání pocházející z mnoha externích IP adres, které se někdy často mění.
  • Uživatelské stížnosti na uzamčení účtu nebo pomalý výkon přihlášení
  • Vyšší zatížení CPU nebo autentizace během špiček (služby související s LSASS a RDP mohou být ovlivněny)

Pomáhá pojmenovat to, co vidíte. „Brute force“ obvykle znamená mnoho hesel proti jednomu účtu. „Password spraying“ znamená několik běžných hesel proti mnoha účtům, aby se předešlo prahům zablokování. „Credential stuffing“ znamená testování kombinací uživatelského jména a hesla ukradených jinde. Všechny tři se projevují jako opakované neúspěšné pokusy o vzdálené přihlášení a zaslouží si stejnou první reakci: snížit expozici a zpomalit pokusy.

Rychlá diagnostika: potvrďte, že se jedná o RDP brute force (a ne o nesprávnou konfiguraci)

Než změníte politiky a riskujete, že zablokujete legitimní uživatele, potvrďte, co selhává, odkud a v jakém objemu. Microsoft vlastní pokyny k odstraňování problémů pro Azure VM pod útokem hrubou silou používá stejný výchozí bod i mimo Azure: hledejte vysoké objemy neúspěšných přihlášení a korelujte je s externími zdrojovými IP.

  • Zkontrolujte protokoly zabezpečení systému Windows na výskyt náhlého nárůstu neúspěšných přihlášení v době, kdy uživatelé hlásili problémy. ID události 4625 je běžným ukazatelem, který je třeba zkontrolovat.
  • Hledejte vzory: opakující se názvy účtů, mnoho různých účtů nebo stejná zdrojová IP, která zasahuje více uživatelů.
  • Srovnejte neúspěšné přihlášení s úspěšnými přihlášeními, které následují brzy poté. Úspěšná přihlášení jsou často zaznamenána jako ID události 4624, v závislosti na vaší audítorské politice.
  • Potvrďte expozici: je TCP 3389 (nebo váš vlastní RDP port) přístupný z internetu prostřednictvím pravidla firewallu, NAT, přesměrování portu nebo skupiny zabezpečení cloudu?
  • Ověřte, že nevidíte „falešné poplachy“ z legitimních zdrojů (brána RDS, VPN koncentrátor, nástroj pro vzdálenou správu nebo interní skener), které se objevují jako opakované selhání kvůli uloženému nesprávnému heslu.

Pokud vidíte ID události 4625 ve velkém množství z mnoha externích IP adres během krátkých časových úseků, pravděpodobně se potýkáte s aktivním hádáním nebo stříkáním spíše než s jedním uživatelem, který zadává špatné heslo.

Zastavte krvácení za 15 až 30 minut (účinné akce pro zadržení)

Když je aktivní provoz hrubou silou, prioritou je obnovit kontrolu a udržet bezpečnou administrátorskou cestu k dispozici. Nejrychlejší způsob, jak snížit riziko hrubé síly RDP, je přestat vystavovat RDP přímo internetu a omezit příchozí přístup na známou sadu důvěryhodných IP adres nebo zabezpečenou přístupovou cestu (brána, VPN nebo bastion). Pokyny Microsoft Learn pro incidenty Azure posiluje tento stejný přístup k omezení: nejprve omezit příchozí přístup, poté zlepšit přístupovou cestu.

  1. Zajistěte bezpečný způsob návratu, než něco změníte. Pokud jste již uzamčeni, použijte svůj přístup mimo pásmo (hypervizorová konzole, iLO/iDRAC, cloudová sériová konzole, bastion nebo VPN), abyste mohli stále spravovat hostitele po změnách firewallu.
  2. Odstraňte přímou internetovou expozici RDP. Deaktivujte veřejné přesměrování portu nebo zpřísněte příchozí pravidla, aby RDP nebylo otevřeno pro „jakýkoli zdroj“. Pokud to nemůžete okamžitě odstranit, omezte příchozí přístup na krátký seznam povolených (IP adresy vaší kanceláře, vaší správcovské sítě, vaše pevné výstupní IP adresy MSP).
  3. Na Azure nebo podobných cloudech okamžitě utáhněte obvod. Omezte příchozí pravidlo ve svém NSG nebo ekvivalentu. Pokud máte možnost, přejděte na vzory schválené společností Microsoft, jako jsou Azure Bastion, VPN Gateway nebo koncepty přístupu na vyžádání, abyste snížili okna vystavení.
  4. Potvrdit Síťové ověřování na úrovni sítě (NLA) je je povoleno. NLA vyžaduje ověření před tím, než je navázána plná relace vzdálené plochy, což snižuje vystavení některým rizikům před ověřením a snižuje zbytečné využívání zdrojů během hádání.
  5. Zkontrolujte, kdo se může přihlásit pomocí RDP. Ověřte členství místních administrátorů a uživatelů vzdálené plochy a odstraňte jakékoli široké skupiny, které nepotřebují interaktivní vzdálené přihlášení.
  6. Chraňte privilegované účty ihned. Pokud máte podezření, že může být heslo slabé nebo uniklé, obměňte přihlašovací údaje pro privilegované účty kontrolovaným způsobem a zkontrolujte neočekávané nové místní administrátory nebo nově povolené účty.
  7. Stabilizujte přístup pro skutečné uživatele. Pokud jsou uživatelé vyloučeni, obvykle je řešením snížení expozice a lepší regulace, nikoli snižování bezpečnosti. Vyhněte se spěšnému provádění změn v zámcích, které mohou způsobit širší výpadek.

Jakmile máte provoz pod kontrolou, můžete bezpečně provést dlouhodobé změny. Pokud chcete přístup s nástroji po obnovení kontroly, TSplus Advanced Security může pomoci operacionalizovat blokování hrubou silou a omezení přístupu na serverech Windows, ale omezení stále začíná snížením vystavení.

Snížení útočné plochy: architektury přístupu, které snižují riziko hrubé síly

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

Pokud si z opakovaných útoků RDP vezmete pouze jednu lekci, ať je to tato: architektura porazí ladění. Umístění kontrolovaného vstupního bodu před hostitele relací mění to, co mohou útočníci dosáhnout, a co můžete vynutit. Pokyny z blogu o zabezpečení společnosti Microsoft pro přijetí vzdálené plochy zdůrazňuje snížení přímé expozice, a Dokumenty Microsoft Learn RD Gateway jako způsob, jak zajistit bezpečný přístup přes TLS s řádnou konfigurací certifikátu.

Nejspolehlivější způsob, jak snížit pokusy o hrubou sílu RDP, je vyhnout se přímému vystavení RDP a místo toho vyžadovat přístup prostřednictvím kontrolovaného vstupního bodu, jako je RD Gateway VPN, nebo bastion, ideálně se silnou autentizací.

Přístupový vzor Expozice a riziko hrubé síly Provozní složitost Když to vyhovuje Poznámky
Přímý RDP z internetu Nejvyšší riziko a nejvyšší hluk. Neustálé skenování a hádání. Nízké náklady na nastavení, vysoké náklady na obranu. Pouze pro krátkodobý nouzový přístup s přísnými omezeními. Změna portu může snížit příležitostné skenování, ale sama o sobě neposkytuje silnou ochranu.
Přímé RDP s povolením IP Nižší vystavení, pokud je povolený seznam malý a stabilní. Střední. Vyžaduje udržování povolených seznamů a řešení změn cestování/ISP. Malé administrativní týmy s pevnými kancelářskými IP adresami nebo pevnými MSP výstupy. Nejlépe funguje v kombinaci s silnými autentizačními kontrolami a monitorováním.
RD Gateway před RDS/RDP Snižuje přímou expozici hostitelů relací a tunelů přes TLS. Střední až vysoká. Certifikáty, dostupnost a návrh politiky jsou důležité. Windows-centrické prostředí, která již používají vzory RDS. Plánovací pokyny RDS od Microsoft Learn pokrývají požadavky na bránu. Licencování Microsoftu zůstává vaší odpovědností a mělo by být ověřeno s Microsoftem nebo kvalifikovaným licenčním partnerem.
VPN pro vzdálený přístup Odstraní RDP z veřejného vystavení, pokud je to provedeno správně. Střední. Nasazení klienta, směrování a integrace MFA se liší. Administrátoři a zaměstnanci, kteří potřebují širší přístup k síti, nejen k jedné aplikaci. Omezte uživatele VPN na to, co potřebují, a poté stále zabezpečte RDP uvnitř sítě.
Bastion nebo skokový hostitel Silné snížení expozice. RDP je přístupné pouze z kontextu bastionu. Střední. Potřebuje silnou kontrolu nad samotným bastionem. Servery hostované v cloudu, regulovaná prostředí a přístup pouze pro administrátory. Často se dobře kombinuje s okny přístupu just-in-time a podmínkovými kontrolami v závislosti na platformě.
Publikujte aplikace/desktopové prostředí prostřednictvím webového portálu (HTTPS) Může snížit nebo eliminovat potřebu veřejně vystavovat surové RDP, v závislosti na návrhu. Nízká až střední. Zaměřuje se na poskytování toho, co uživatelé potřebují, nikoli na plný přístup k síti. SMB poskytující sadu aplikací Windows nebo vzdálených desktopů uživatelům a partnerům. Pokud je vaším cílem poskytnout uživatelům přístup k aplikacím Windows, aniž byste vystavovali surové RDP internetu, TSplus Remote Access stojí za zvážení pro publikaci aplikací a desktopů prostřednictvím zabezpečeného webového portálu.

Pokud musíte udržet nějaký přístup RDP k dispozici, považujte ho za chráněné administrátorské rozhraní, nikoli za obecný vstupní bod pro vzdálenou práci. Pokud se posouváte směrem k aplikace a desktopové publikování prostřednictvím zabezpečeného webového portálu Rychlý průvodce vám může pomoci začít. Vaše bezpečnostní postavení se výrazně zlepšuje, když se většina uživatelů vůbec nepřipojuje k TCP 3389.

Zpevněte autentizaci pro RDP, aniž byste uzamkli skutečné uživatele.

Dobrá odolnost proti hrubé síle je rovnováha mezi zpomalováním útočníků a udržením spolehlivého legálního přístupu. Účinná odolnost proti hrubé síle kombinuje NLA a silné přihlašovací údaje s politikou omezování rychlosti nebo zámku, která zpomaluje opakované selhání, přičemž je nastavena tak, aby se vyhnula odmítnutí služby vyvolanému útočníkem. NIST SP 800-63B diskutuje o omezování a zpracovávání opakovaných neúspěšných pokusů o ověření jako o základní kontrole, protože to snižuje proveditelnost rychlého hádání.

Začněte s NLA a hygienou účtu

NLA je základní úroveň pro RDP, protože vyžaduje ověření před tím, než je relace plně navázána. Samotná nezastaví útoky na hesla, ale snižuje vystavení a plýtvání zdroji ve srovnání s tím, když se neověřené relace posunou dál.

Poté se zaměřte na základní identity, na kterých se zakládá útok hrubou silou: odstraňte zbytečná administrátorská práva, vynucujte minimální oprávnění a vyčistěte zastaralé účty. Pokud máte zřejmé nebo sdílené místní administrátorské účty, rotujte je, omezte, kde se mohou přihlásit, a zvažte přejmenování nebo deaktivaci účtů, které nepotřebují interaktivní přihlášení. Udržujte uživatele vzdálené plochy a místní administrátory v úzkém okruhu, zejména na serverech, které hostují citlivá data.

Zamčení a omezování: proč je ladění důležité

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

Nastavení politiky uzamčení účtu Windows se běžně používají k omezení úspěšnosti útoků hrubou silou, a Microsoft Learn dokumentuje klíčové pojmy prahová hodnota zablokování, doba zablokování a počítadlo resetování. Kompromis je dostupnost. Útočníci mohou záměrně spouštět zablokování pro skutečné uživatele (nebo vaši podporu a administrátory), pokud je váš práh příliš nízký a vaše vystavení je široké.

Použijte tyto rozhodovací faktory, když ladíte zámek a omezování:

  • Jak je služba vystavena? Pokud je RDP přístupné z celého internetu, je pravděpodobnější, že budou zneužity zámky. Nejprve snižte vystavení, poté upravte zámek.
  • Jak se uživatelé autentizují? Brána, VPN nebo bastion může snížit potřebu agresivních zámků na hostiteli relace, protože na něj může dosáhnout méně neznámých zdrojů.
  • Jak nákladné je uzamčení? Pokud se zablokování překládá do výpadku pro tým podpory produkce, můžete preferovat omezování rychlosti a zákazy na základě IP před přísnými zablokováními účtů.
  • Jak se chovají sdílené účty? Sdílené přihlašovací údaje zvyšují dopad uzamčení. Eliminujte sdílené účty, kde je to možné.

Speciální případ: vestavěný místní správce

Mnoho prostředí stále má vestavěný místní účet správce na serverech a pracovních stanicích, a jeho chování při zablokování bylo častým zdrojem zmatku. Microsoft Support KB5020282 poskytuje kontext k zablokování účtu pro vestavěné místní administrátory, včetně toho, jak se zablokování může vztahovat na síťové přihlášení, jako je RDP, v závislosti na konfiguraci a verzi. Nepředpokládejte, že vestavěný administrátor se bude chovat stejně jako běžný uživatelský účet, a testujte to kontrolovaným způsobem, než se spolehnete na chování zablokování jako na primární kontrolu.

Pro týmy, které chtějí praktickou vrstvu zpevnění, TSplus Advanced Security zahrnuje ochranu proti hrubé síle, která je navržena tak, aby zastavila opakované neoprávněné pokusy na úrovni hostitele. Měla by doplňovat, nikoli nahrazovat, silné politiky ověřování Windows a pečlivé ladění zámků.

Síťové kontroly, které pomáhají (a ty, které lidé nadhodnocují)

Síťové kontroly jsou často nejrychlejšími vylepšeními, která můžete provést, ale mají různou hodnotu v reálném světě. Pokyny společnosti Microsoft pro problémy s hrubou silou RDP (včetně scénářů v Azure) neustále upřednostňují omezení příchozí konektivity před kosmetickými změnami.

Vysoká hodnota: povolení IP. Pokud můžete omezit RDP na známé adresy (IP adresy pro odchozí připojení z kanceláře, rozsahy VPN, bastionové podsítě, pevné IP adresy MSP), okamžitě odstraníte většinu brutálních útoků. To také činí vaše monitorování smysluplnějším, protože jakékoli zbývající selhání pochází z menšího počtu zdrojů.

Užitečné s opatrností: geografické a reputační kontroly. Geo blokování a reputace IP mohou snížit šum, ale mohou také zablokovat legitimní uživatele, kteří cestují, připojují se z roamingových sítí nebo přicházejí přes CGNAT. Útočníci mohou také používat VPN a proxy, takže považujte geo kontroly za snižovač rizika, nikoli za záruku.

Nadhodnoceno: změna portu RDP. IP whitelistování významně snižuje vystavení RDP útokům hrubou silou, zatímco změna portu RDP hlavně snižuje příležitostné skenování a neměla by být považována za primární ochranu. Změna portu může získat čas během incidentu, ale neřeší útoky na hesla od odhodlaného aktéra, který může port zjistit.

V prostředích, kde týmy chtějí jednodušší vynucení než ruční udržování složitých pravidel, TSplus Advanced Security přidává geografická ochrana a řízení na základě IP které lze konzistentně aplikovat na servery.

Monitoring a detekce: co zaznamenávat, na co upozorňovat a co vyšetřovat

Bruteforce je jeden z těch problémů, které se na první pohled zdají být zřejmé a nákladné, když je zjistíte pozdě. Cílem monitorování není navždy počítat každý neúspěšný pokus o přihlášení. Je to detekovat abnormální vzorce včas a prozkoumat, zda se tyto pokusy někdy změnily na úspěšné přihlášení.

Monitorujte abnormální výkyvy v neúspěšných přihlášeních (často Event ID 4625) a upozorňujte na vzory, které naznačují útoky na hesla nebo úspěšné následné přihlášení po opakovaných neúspěších. Microsoftova příručka pro řešení problémů s útoky hrubou silou zdůrazňuje stejný artefakt (4625), protože je to praktický výchozí bod, když se administrátoři snaží získat přístup a pochopit rozsah.

Pro každodenní operace se zaměřte na tři vyšetřovací otázky:

Je provoz externí nebo interní? Externí IP adresy zasahující veřejné rozhraní ukazují na problémy s vystavením. Interní IP adresy mohou naznačovat kompromitovaný koncový bod nebo nesprávně nakonfigurovaný servisní účet.

Je to jeden účet nebo více? Jeden účet naznačuje hrubou sílu. Mnoho účtů s nízkým počtem pokusů naznačuje stříkání hesel.

Podařil se nějakému účtu úspěch po výbuchu? Úspěšné přihlášení krátce po opakovaných neúspěších je vysoce prioritní korelace k prozkoumání, zejména pro privilegované účty.

Pokud již necentralizujete Windows protokoly, zvažte Windows Event Forwarding nebo váš stávající SIEM, abyste mohli konzistentně upozorňovat na více serverech. Pro týmy, které potřebují jednoduché upozornění a historická viditelnost během vrcholů útoků , TSplus Server Monitoring může vám pomoci sledovat zdraví a dostupnost serveru spolu s vaším bezpečnostním protokolováním.

Automatizované blokovací přístupy (a jak se vyhnout falešným pozitivům)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

Ruční odpověď se neškáluje, když jsou vaše hostitele připojeni k internetu. Automatizace je tam, kde mnoho týmů znovu získává kontrolu, pokud je navržena tak, aby byla zvratná a chránila legitimní přístup. Nejbezpečnější automatizace blokuje opakované neúspěšné přihlášení časově omezenými zákazy a jasnými povolenými seznamy, a musí brát v úvahu sdílené IP adresy, aby se vyhnula blokování legitimních uživatelů.

Jak automatizace vypadá v praxi

Běžné přístupy zahrnují moduly hostitelského firewallu, které detekují opakované selhání a dočasně zakazují IP, funkce EDR, které detekují chování hádání hesel, a skripty, které analyzují bezpečnostní protokoly a aplikují dynamická pravidla firewallu. Ovládání zaměřená na bránu (RD Gateway, VPN, bastion) často snižují potřebu agresivního blokování na úrovni hostitele, protože méně neznámých zdrojů se dostane na server.

Kde týmy vyhoří

Sdílené NAT a CGNAT. Pokud mnoho legitimních uživatelů přichází z jedné veřejné IP (pobočka, hotelová síť, někteří poskytovatelé internetových služeb), zablokování této IP může odříznout dobré uživatele spolu s útočníky. Časově omezené zákazy a známé dobré whitelisty snižují rozsah výbuchu.

Blokování vlastní cesty řízení. Vždy povolte své VPN rozsahy, bastionovou podsíť a egress IP adresy správy MSP, než povolíte agresivní blokování. Dokumentujte cestu pro nouzový přístup, která se nezakládá na stejné síťové trase.

Výpadky způsobené uzamčením. Pokud je vaší jedinou kontrolou uzamčení účtu, mohou útočníci to přetvořit na útok typu denial of service. Spojte politiky uzamčení s redukcí expozice a omezováním na základě IP, aby se hostitel nestal úzkým hrdlem.

TSplus Advanced Security přidává praktickou ochranu proti hrubé síle , IP a geografické kontroly a zpevnění zaměřené na ransomware pro servery Windows, které vám mohou pomoci snížit opakované pokusy o přihlášení RDP bez nasazení těžkého bezpečnostního balíčku.

Praktický základ pro prostředí SMB a MSP

SMB a MSP potřebují základ, který je opakovatelný, testovatelný a nepravděpodobné, že by narušil každodenní operace. Bezpečnostní pokyny pro vzdálenou plochu od Microsoftu podporují stejný obecný princip: snížit přímou expozici, poté zpevnit přístup a aktivně monitorovat.

  • Odstraňte přímé internetové vystavení RDP, kde je to možné, a směrujte přístup přes VPN, bránu nebo bastionové vzory.
  • Pokud musí být RDP stále dostupné, omezte příchozí přístup na malý seznam povolených IP adres a pravidelně jej kontrolujte.
  • Povolit ověřování na úrovni sítě (NLA) a vyžadovat silné, jedinečné přihlašovací údaje pro všechny interaktivní uživatele.
  • Zpevněte privilegovaný přístup: minimalizujte členství místních administrátorů a přezkoumejte členství uživatelů vzdálené plochy.
  • Nastavte politiku uzamčení účtu záměrně (prahová hodnota, trvání, resetování počítadla) a otestujte ji, abyste se vyhnuli výpadkům způsobeným uzamčením.
  • Monitorujte neúspěšné přihlášení (například ID události 4625) a okamžitě prozkoumejte vzory úspěchu po neúspěchu.
  • Udržujte Windows, komponenty související s RDP a služby přístupné z internetu aktualizované podle stanoveného plánu.
  • Přístup k dokumentu s rozbitím skla, včetně toho, jak získáte přístup k konzoli, pokud pravidla sítě zablokují vzdálený vstup.

Pokud chcete strukturovanou recenzi, použijte naši RDP bezpečnostní audit: 20-bodový kontrolní seznam pro rok 2026 .

Pro MSP je důležité standardizovat, co můžete (šablony GPO, základní linie firewallu, povolené IP inventáře pro správu) a jasně dokumentovat specifické povolené seznamy a výjimky pro zákazníky. Pokud potřebujete praktickou vrstvu zpevnění napříč mnoha zákaznickými servery, může být TSplus Advanced Security nasazen jako součást standardního bezpečnostního balíčku pro vzdálený přístup a TSplus Remote Access může podporovat postoj „neexponovat surové RDP přímo“ pro publikované aplikace a pracovní plochy.

FAQ

Zastaví změna výchozího portu RDP útoky hrubou silou?

Změna portu RDP může snížit šum z oportunistického skenování a vlastní pokyny Microsoftu k incidentům to zmiňují jako dočasné zmírnění v některých scénářích, ale nezastaví cílené hádání. Považujte to za sekundární taktiku a nejprve se zaměřte na snížení expozice (povolení, brána, VPN, bastion) a zpevnění autentizace.

Jaká nastavení politiky Windows jsou nejdůležitější pro ochranu proti hrubé síle RDP?

Začněte povolením NLA pro RDP, zpřísněním toho, kdo má právo se přihlásit prostřednictvím Remote Desktop, a konfigurací politiky uzamčení účtu (prahová hodnota, trvání, resetování počítadla) podle dokumentace Microsoft Learn. Silné politiky hesel a práva administrátora s minimálními oprávněními také snižují šanci, že hádání povede k významnému ohrožení.

Mohou nastavení zámku účtu zhoršit výpadky RDP během útoku?

Ano. Pokud je RDP široce vystaveno, mohou útočníci záměrně vyvolat zablokování skutečných uživatelů, což se stává problémem odmítnutí služby. Proto je doporučený postup nejprve snížit vystavení, a poté nastavit zablokování a omezování tak, aby byla vyvážena bezpečnost a dostupnost.

Je autentizace na úrovni sítě (NLA) dostatečná k zabezpečení RDP?

NLA je důležitý základ, ale sama o sobě nebrání útokům typu password spraying nebo credential stuffing. Stále potřebujete snížení expozice, silnou hygienu přihlašovacích údajů, rozumné omezování nebo chování při zablokování a monitorování neobvyklých vzorců přihlášení.

Co bych měl sledovat, abych včas odhalil pokusy o hrubou sílu RDP?

Hledejte abnormální výkyvy v neúspěšných přihlášeních, které jsou běžně viditelné jako ID události 4625, zejména když pocházejí z mnoha externích IP nebo cílí na mnoho uživatelských jmen v krátkém období. Také prozkoumejte jakékoli úspěšné přihlášení, které nastane krátce po opakovaných neúspěších, protože to může naznačovat uhádnuté nebo znovu použité heslo.

Závěr: upřednostněte snížení expozice, poté zpevněte a automatizujte

Ochrana proti hrubé síle RDP není jedno nastavení. Je to vícestupňový přístup, který funguje nejlépe v tomto pořadí: snížit nebo odstranit přímou expozici, zpevnit autentizaci (NLA, silné přihlašovací údaje, minimální oprávnění, rozumné uzamčení nebo zpomalení), aplikovat síťové kontroly, které skutečně omezují dostupnost, monitorovat významné vzory a automatizovat blokování opatrně, aby se předešlo falešným pozitivům.

Dokumentujte své změny, testujte je mimo pracovní dobu, když je to možné, a ověřte, že vaše cesta pro nouzový přístup stále funguje po úpravách firewallu a zámku. Pokud chcete tyto ochrany zprovoznit s menším manuálním úsilím, TSplus Advanced Security může pomoci s ochranou proti hrubé síle a omezením přístupu, a TSplus Remote Access může poskytnout bezpečnější model dodání pro publikované aplikace Windows a pracovní plochy prostřednictvím webového portálu. Pro hodnocení můžete stáhnout zkouška a recenze ceny .

Další čtení

back to top of the page icon