Hvordan et RDP brute-force angreb ser ud i praksis
Du bemærker normalt RDP brute force den samme måde: gentagne mislykkedes login-forsøg mod en Windows-server, der er tilgængelig fra internettet, ofte efterfulgt af kontolåsninger, støjende sikkerhedslogs og bekymrede brugere, der ikke kan oprette forbindelse. Mange af disse angreb er ikke "målrettede" i menneskelig forstand. Internet-eksponeret RDP scannes konstant, og automatiserede værktøjer vil fortsætte med at prøve brugernavne og adgangskoder, indtil de finder en svag legitimationsoplysning eller skaber forstyrrelse.
I MITRE ATT&CK kortlægges dette til Teknik T1110 (Brute Force) , som inkluderer relaterede mønstre såsom adgangskodegætte og adgangskodesprøjtning. I praktiske operationstermer er RDP brute force-angreb gentagne fjernlogonforsøg (ofte automatiserede), der prøver mange adgangskoder eller mange konti mod en eksponeret RDP-tjeneste, indtil legitimationsoplysninger findes eller konti forstyrres.
Typiske symptomer inkluderer:
- En pludselig stigning i mislykkede logon-forsøg i Windows-sikkerhedslogger
- Mange forsøg mod almindelige kontonavne (Administrator, admin, test, service-stil navne)
- Fejl fra mange eksterne IP-adresser, der nogle gange roterer hyppigt
- Brugerklager over konto-låsninger eller langsom login-ydeevne
- Højere CPU- eller godkendelsesbelastning under spidser (LSASS- og RDP-relaterede tjenester kan blive påvirket)
Det hjælper at navngive, hvad du ser. "Brute force" betyder normalt mange adgangskoder mod én konto. "Password spraying" betyder et par almindelige adgangskoder mod mange konti for at undgå låsegrænser. "Credential stuffing" betyder at teste brugernavn og adgangskodepar stjålet andre steder. Alle tre viser sig som gentagne fejl ved fjernlogon og fortjener den samme første reaktion: reducere eksponering og bremse forsøgene.
Hurtig diagnose: bekræft, at det er RDP brute force (og ikke en fejlkonfiguration)
Før du ændrer politikker og risikerer at låse legitime brugere ude, skal du bekræfte, hvad der fejler, fra hvor, og i hvilket omfang. Microsofts egen fejlfinding vejledning for Azure VMs under brute-force angreb bruger det samme udgangspunkt, selv uden for Azure: se efter høje mængder af mislykkede logins og korreler dem med eksterne kilde-IP'er.
- Tjek Windows-sikkerhedslogfilerne for en bølge af mislykkede login-forsøg i den periode, hvor brugerne rapporterede problemer. Event ID 4625 er en almindelig indikator at gennemgå.
- Se efter mønstre: gentagne kontonavne, mange forskellige konti eller den samme kilde-IP, der rammer flere brugere.
- Korreler mislykkede logins med succesfulde logins kort tid efter. Succesfulde logins registreres ofte som Event ID 4624, afhængigt af din revisionspolitik.
- Bekræft eksponering: er TCP 3389 (eller din tilpassede RDP-port) tilgængelig fra internettet gennem en firewallregel, NAT, portvideresendelse eller cloud-sikkerhedsgruppe?
- Bekræft, at du ikke ser "falske alarmer" fra legitime kilder (en RDS-gateway, en VPN-konsentrator, et fjernstyringsværktøj eller en intern scanner), der fremstår som gentagne fejl på grund af en gemt forkert adgangskode.
Hvis du ser Event ID 4625 i stort omfang, fra mange eksterne IP-adresser over korte perioder, har du sandsynligvis at gøre med aktiv gætning eller spraying snarere end en enkelt bruger, der indtaster den forkerte adgangskode.
Stop blødningen på 15 til 30 minutter (indeholdende handlinger, der virker)
Når brute-force trafik er aktiv, er prioriteten at genoprette kontrol og holde en sikker adminvej tilgængelig. Den hurtigste måde at reducere RDP brute-force risikoen på er at stoppe med at eksponere RDP direkte til internettet og begrænse indgående adgang til et kendt sæt af betroede IP-adresser eller en sikret adgangsvej (gateway, VPN eller bastion). Microsoft Learn's vejledning til Azure-hændelser forstærker denne samme containment tilgang: begræns indgående adgang først, og forbedr derefter adgangsvejen.
- Etabler en sikker måde at komme tilbage på, før du ændrer noget. Hvis du allerede er blevet låst ude, skal du bruge din out-of-band adgang (hypervisor-konsol, iLO/iDRAC, cloud-seriekonsol, bastion eller VPN), så du stadig kan administrere værten efter firewallændringer.
- Fjern direkte interneteksponering af RDP. Deaktiver den offentlige portvideresendelse eller stram indgående regler, så RDP ikke er åbent for "enhver kilde." Hvis du ikke kan fjerne det med det samme, begræns indgående adgang til en kort tilladelsesliste (dine kontor-IP'er, dit ledelsesnetværk, dine MSP faste udgående IP'er).
- På Azure eller lignende cloud-løsninger, stram perimeteren straks. Begræns den indgående regel i din NSG eller tilsvarende. Hvis du har muligheden, skift til Microsoft-godkendte mønstre som Azure Bastion, VPN Gateway eller just-in-time adgangskoncepter for at reducere eksponeringsvinduer.
- Bekræft Netværksniveauautentificering (NLA) er aktiveret. NLA tvinger autentificering, før en fuld fjernskrivebords-session etableres, hvilket reducerer eksponeringen for nogle præ-autentificeringsrisici og mindsker unødvendig ressourceforbrug under gætning.
- Gennemgå, hvem der kan logge ind via RDP. Valider medlemskab af lokale administratorer og Remote Desktop-brugere, og fjern eventuelle brede grupper, der ikke har brug for interaktiv fjernlog ind.
- Beskyt privilegerede konti med det samme. Hvis du mistænker, at en adgangskode kan være svag eller lækket, skal du rotere legitimationsoplysninger for privilegerede konti på en kontrolleret måde og tjekke for uventede nye lokale administratorer eller nyaktiverede konti.
- Stabiliser adgangen for rigtige brugere. Hvis brugere bliver låst ude, er løsningen normalt reduktion af eksponering og bedre throttling, ikke lavere sikkerhed. Undgå at haste ændringer i låsning, der kan skabe en bredere nedetid.
Når du har indholdet af trafikken under kontrol, kan du sikkert foretage langsigtede ændringer. Hvis du ønsker en værktøjsassisteret tilgang, efter at du har genvundet kontrollen, TSplus Advanced Security kan hjælpe med at operationalisere blokering af brute-force og adgangsbegrænsninger på Windows-servere, men inddæmning begynder stadig med at reducere eksponeringen.
Reducer angrebsfladen: de adgangsarkitekturer, der reducerer risikoen for brute-force.
Hvis du kun skal tage én lektion fra gentagne RDP-angreb, så gør det denne: arkitektur slår justering. At sætte et kontrolleret indgangspunkt foran sessionværter ændrer, hvad angribere kan nå, og hvad du kan håndhæve. Microsofts sikkerhedsblog vejledning til adoption af fjernskrivebord fremhæver reduktion af direkte eksponering, og Microsoft Learn dokumenter RD Gateway som en måde at give sikker adgang over TLS med korrekt certifikatkonfiguration.
Den mest pålidelige måde at reducere RDP brute-force forsøg på er at undgå direkte RDP eksponering og i stedet kræve adgang gennem et kontrolleret indgangspunkt såsom RD Gateway VPN eller en bastion, ideelt set med stærk autentificering.
| Adgangsmønster | Eksponering og brute-force risiko | Driftskompleksitet | Når det passer | Noter |
|---|---|---|---|---|
| Direkte RDP fra internettet | Højeste risiko og højeste støj. Konstant scanning og gætning. | Lav at opsætte, høj at forsvare. | Kun til kortvarig nødsituationstilgang med strenge begrænsninger. | Ændring af porten kan reducere opportunistisk scanning, men det giver ikke stærk beskyttelse i sig selv. |
| Direkte RDP med IP-whitelisting | Lavere eksponering, hvis tilladelseslisten er lille og stabil. | Medium. Kræver vedligeholdelse af tilladelser og håndtering af rejse/ISP ændringer. | Små adminteams med faste kontor-IP'er eller faste MSP-udgange. | Fungerer bedst, når det kombineres med stærke autentificeringskontroller og overvågning. |
| RD Gateway foran RDS/RDP | Reducerer direkte eksponering af sessionsværter og tunneler over TLS. | Medium til høj. Certifikater, tilgængelighed og politikdesign betyder noget. | Windows-centrerede miljøer, der allerede bruger RDS-mønstre. | Microsoft Learn’s RDS planlægningsvejledning dækker gatewaykrav. Microsoft-licensering forbliver dit ansvar og bør valideres med Microsoft eller en kvalificeret licenspartner. |
| VPN til fjernadgang | Fjerner RDP fra offentlig eksponering, når det gøres korrekt. | Medium. Klientudrulning, routing og MFA-integration varierer. | Administrators og personale, der har brug for bredere netværksadgang, ikke kun én app. | Begræns VPN-brugere til det, de har brug for, og sikr derefter stadig RDP inden for netværket. |
| Bastion eller jump host | Stærk eksponeringsreduktion. RDP er kun tilgængelig fra bastionkonteksten. | Medium. Har brug for stærk kontrol over bastionen selv. | Cloud-hostede servere, regulerede miljøer og adgang kun for administratorer. | Ofte passer det godt sammen med lige-nok-til-tid adgangsvinduer og betingede kontroller afhængigt af platform. |
| Publicer applikationer/skriveborde via en webportal (HTTPS) | Kan reducere eller eliminere behovet for at eksponere rå RDP offentligt, afhængigt af designet. | Lav til medium. Fokuserer på at levere, hvad brugerne har brug for, ikke fuld netværksadgang. | SMB'er, der leverer et sæt Windows-apps eller fjernskriveborde til brugere og partnere. | Hvis dit mål er at give brugerne adgang til Windows-applikationer uden at efterlade rå RDP eksponeret for internettet, er TSplus Remote Access værd at overveje til app- og desktop-publicering gennem en sikret webportal. |
Hvis du skal holde noget RDP-adgang tilgængelig, skal du behandle det som en beskyttet admin-grænseflade, ikke et generelt indgangspunkt for fjernarbejde. Hvis du bevæger dig mod app og desktop publishing gennem en sikret webportal En hurtigstartguide kan hjælpe dig med at komme i gang. Din sikkerhedsholdning forbedres betydeligt, når de fleste brugere slet ikke opretter forbindelse til TCP 3389.
Hærd autentificering for RDP uden at låse rigtige brugere ude
God modstand mod brute-force er en balance mellem at bremse angribere og holde legitim adgang pålidelig. Effektiv modstand mod brute-force kombinerer NLA og stærke legitimationsoplysninger med en hastighedsbegrænsning eller låsepolitik, der bremser gentagne fejl, mens den er indstillet til at undgå angriberudløst tjenestenægtelse. NIST SP 800-63B diskuterer throttling og håndtering af gentagne mislykkedes autentificeringsforsøg som en kernekontrol, fordi det reducerer muligheden for hurtig gætning.
Start med NLA og kontorensning
NLA er en baseline for RDP, fordi det kræver godkendelse, før sessionen er fuldt etableret. Det vil ikke stoppe password spraying af sig selv, men det reducerer eksponeringen og spildte ressourcer sammenlignet med at lade uautoriserede sessioner fortsætte.
Derefter adresser identitetsgrundlaget, som brute force lever af: fjern unødvendige administratorrettigheder, håndhæv mindst privilegium, og ryd op i forældede konti. Hvis du har åbenlyse eller delte lokale administrator konti, roter dem, begræns hvor de kan logge ind, og overvej at omdøbe eller deaktivere konti, der ikke har brug for interaktiv login. Hold Remote Desktop-brugere og lokale administratorer stramme, især på servere, der hoster følsomme data.
Låse og throttling: hvorfor justering er vigtigt
Windows Account Lockout Policy indstillinger bruges ofte til at reducere succes med brute-force, og Microsoft Learn dokumenterer de vigtigste termer : låsegrænse, låsevarighed og nulstillings tæller. Afvejningen er tilgængelighed. Angribere kan med vilje udløse låsninger for rigtige brugere (eller dit helpdesk og administratorer), hvis din grænse er for lav, og din eksponering er bred.
Brug disse beslutningsfaktorer, når du justerer låsning og throttling:
- Hvor udsat er tjenesten? Hvis RDP er tilgængelig fra hele internettet, er det mere sandsynligt, at låsninger bliver udnyttet. Reducer eksponeringen først, og juster derefter låsningen.
- Hvordan autentificerer brugerne sig? En gateway, VPN eller bastion kan reducere behovet for aggressive låsninger på sessionværten, fordi færre ukendte kilder kan nå den.
- Hvor kostbart er en låsning? Hvis låsning oversættes til en nedetid for et produktsupportteam, foretrækker du måske hastighedsbegrænsning og IP-baserede forbud frem for stramme kontolåsninger.
- Hvordan opfører delte konti sig? Delte legitimationsoplysninger forstærker virkningen af låsninger. Eliminér delte konti, hvor det er muligt.
Særlig tilfælde: indbygget lokal administrator
Mange miljøer har stadig en indbygget lokal administrator-konto på servere og arbejdsstationer, og dens låseadfærd har været et hyppigt forvirringspunkt. Microsoft Support KB5020282 giver kontekst om konto låsning for indbyggede lokale administratorer, herunder hvordan låsning kan gælde for netværkslogins såsom RDP afhængigt af konfiguration og version. Antag ikke, at den indbyggede administrator vil opføre sig på samme måde som en normal brugerkonto, og test på en kontrolleret måde, før du stoler på låseadfærden som en primær kontrol.
For teams der ønsker et praktisk hærdningslag, inkluderer TSplus Advanced Security beskyttelse mod brute-force, der er designet til at stoppe gentagne uautoriserede forsøg på vært niveau. Det bør supplere, ikke erstatte, stærke Windows-godkendelsespolitikker og omhyggelig låsejustering.
Netværkskontroller, der hjælper (og dem, folk overvurderer)
Netværkskontroller er ofte de hurtigste forbedringer, du kan foretage, men de har forskellig værdi i den virkelige verden. Microsofts vejledning til RDP brute-force problemer (herunder i Azure-scenarier) prioriterer konsekvent at begrænse indgående forbindelse over kosmetiske ændringer.
Høj værdi: IP tilladelse. Hvis du kan begrænse RDP til kendte adresser (kontorets udgående IP'er, VPN-områder, bastion-undernet, MSP faste IP'er), fjerner du straks det meste af brute-force trafik. Dette gør også din overvågning mere meningsfuld, fordi eventuelle resterende fejl kommer fra et mindre sæt af kilder.
Nyttig med omhu: geografiske og omdømmebaserede kontroller. Geo-blokering og IP-reputation kan reducere støj, men de kan også blokere legitime brugere, der rejser, forbinder fra roaming-netværk eller kommer gennem CGNAT. Angribere kan også bruge VPN'er og proxyer, så betragt geokontroller som en risikoreducer, ikke en garanti.
Overvurderet: ændring af RDP-porten. IP tilladelsesliste reducerer betydeligt RDP brute-force eksponering, mens ændring af RDP-porten hovedsageligt reducerer opportunistisk scanning og ikke bør betragtes som primær beskyttelse. En portændring kan købe tid under en hændelse, men det adresserer ikke password spraying fra en beslutsom aktør, der kan opdage porten.
I miljøer, hvor teams ønsker en enklere håndhævelse end at opretholde komplekse regelsæt manuelt, tilføjer TSplus Advanced Security geografisk beskyttelse og IP-baserede kontroller der kan anvendes konsekvent på tværs af servere.
Overvågning og detektion: hvad der skal logges, advares om og undersøges
Brute force er et af de problemer, der ser åbenlyst ud i bakspejlet og dyrt, når man opdager det sent. Målet med overvågning er ikke at tælle hver mislykket login for evigt. Det er at opdage unormale mønstre tidligt og at undersøge, om disse forsøg nogensinde blev til en succesfuld login.
Overvåg unormale stigninger i mislykkede logon-forsøg (ofte Event ID 4625) og giv besked om mønstre, der indikerer password spraying eller en succesfuld efterfølgende login efter gentagne fejl. Microsofts vejledning til fejlfinding af brute-force fremhæver den samme artefakt (4625), fordi det er et praktisk udgangspunkt, når administratorer forsøger at genvinde adgang og forstå omfanget.
For dag-til-dag operationer, fokuser på tre undersøgelsesspørgsmål:
Er trafikken ekstern eller intern? Eksterne IP'er, der rammer et offentligt grænseflade, peger på eksponeringsproblemer. Interne IP'er kan indikere et kompromitteret endpoint eller en forkert konfigureret servicekonto.
Er det én konto eller mange? Én konto antyder brute force. Mange konti med lave forsøg antyder password spraying.
Lykkedes nogen konto efter udbruddet? En vellykket login kort efter gentagne fejl er en højprioriteret korrelation at undersøge, især for privilegerede konti.
Hvis du ikke allerede centraliserer Windows-logs, skal du overveje Windows Event Forwarding eller dit eksisterende SIEM, så du kan sende alarmer på tværs af flere servere konsekvent. For teams der har brug for en simpel advarsler og historisk synlighed under angrebstoppe , TSplus Server Monitoring kan hjælpe dig med at spore serverens sundhed og tilgængelighed sammen med din sikkerhedslogning.
Automatiserede blokkeringsmetoder (og hvordan man undgår falske positiver)
Manuel respons skalerer ikke, når dine værter er internet-facing. Automatisering er, hvor mange teams genvinder kontrollen, så længe det er designet til at være omvendeligt og beskytte legitim adgang. Den sikreste automatisering blokerer gentagne mislykkede logins med tidsbegrænsede forbud og klare tilladelser, og den skal tage højde for delte IP-adresser for at undgå at blokere legitime brugere.
Hvordan automatisering ser ud i praksis
Almindelige tilgange inkluderer vært-firewallmoduler, der registrerer gentagne fejl og midlertidigt blokerer en IP, EDR-funktioner, der opdager adfærd med gætning af adgangskoder, og scripts, der analyserer sikkerhedslogfiler og anvender dynamiske firewallregler. Gateway-centrerede kontroller (RD Gateway, VPN, bastion) reducerer ofte behovet for aggressiv blokering på vært-niveau, fordi færre ukendte kilder nogensinde når serveren.
Hvor teams bliver brændt
Delte NAT og CGNAT. Hvis mange legitime brugere kommer fra én offentlig IP (et filialkontor, et hotelnetværk, nogle internetudbydere), kan blokering af den IP afskære gode brugere sammen med angribere. Tidsbegrænsede forbud og kendte gode tilladelser reducerer blast radius.
Blokering af din egen ledelsesvej. Tillad altid dine VPN-områder, bastion-under-netværk og MSP-administrations-udgående IP'er, før du aktiverer aggressiv blokering. Dokumenter en nødvej, der ikke er afhængig af den samme netværksrute.
Låseudløste nedbrud. Hvis din eneste kontrol er konto-låsning, kan angribere omdanne det til tjenestenægtelse. Kombiner låsepolitikker med eksponeringsreduktion og IP-baseret throttling, så værten ikke bliver flaskehalsen.
TSplus Advanced Security tilføjer praktisk beskyttelse mod brute-force. , IP og geografiske kontroller, samt ransomware-fokuseret hærdning for Windows-servere, som kan hjælpe dig med at reducere gentagne RDP-loginforsøg uden at implementere en tung sikkerhedsløsning.
En praktisk baseline for SMB- og MSP-miljøer
SMB'er og MSP'er har brug for en baseline, der er gentagelig, testbar og usandsynlig for at bryde daglige operationer. Microsofts sikkerhedsanvisninger for fjernskrivebord understøtter det samme generelle princip: reducer direkte eksponering, herefter styrk adgangen og overvåg aktivt.
- Fjern direkte interneteksponering af RDP, hvor det er muligt, og rute adgang gennem VPN, gateway eller bastionmønstre.
- Hvis RDP skal forblive tilgængelig, skal indgående adgang begrænses til en lille IP-whitelist og gennemgås regelmæssigt.
- Aktiver netværksniveauautentifikation (NLA) og kræv stærke, unikke legitimationsoplysninger for alle interaktive brugere.
- Stram privilegeret adgang: minimer lokal admin-medlemskab og gennemgå medlemskab af Remote Desktop Users.
- Indstil politik for konto-låsning med vilje (grænse, varighed, nulstil tæller) og test den for at undgå nedetid forårsaget af låsninger.
- Overvåg mislykkede logonforsøg (for eksempel, Event ID 4625) og undersøg mønstre for succes-efter-fejl hurtigt.
- Hold Windows, RDP-relaterede komponenter og internet-facing tjenester opdateret efter en fastlagt tidsplan.
- Dokument break-glass adgang, herunder hvordan du genvinder konsoladgang, hvis netværksregler blokerer for fjernadgang.
Hvis du ønsker en struktureret anmeldelse, brug vores RDP-sikkerhedsrevision: En 20-punkts tjekliste for 2026 .
For MSP'er, standardiser hvad du kan (GPO-skabeloner, firewall-baser, tilladte administrations-IP-inventar) og hold kundespecifikke tilladelser og undtagelser klart dokumenteret. Hvis du har brug for et praktisk hærdningslag på tværs af mange kundeservere, kan TSplus Advanced Security implementeres som en del af en standard sikkerhedspakke til fjernadgang, og TSplus Remote Access kan understøtte en "udstil ikke rå RDP direkte" holdning for offentliggjorte applikationer og skriveborde.
FAQ
Stopper ændring af den standard RDP-port brute-force angreb?
Nej. Ændring af RDP-porten kan reducere opportunistisk scanningstøj, og Microsofts egne retningslinjer for hændelser nævner det som en midlertidig afbødning i nogle scenarier, men det stopper ikke målrettet gætteri. Behandl det som en sekundær taktik og fokuser først på reduktion af eksponering (whitelisting, gateway, VPN, bastion) og styrkelse af autentificering.
Hvilke Windows-politikindstillinger betyder mest for RDP-brute-force-beskyttelse?
Start med at aktivere NLA for RDP, stramme op på, hvem der har ret til at logge ind via Remote Desktop, og konfigurere politik for konto-låsning (grænse, varighed, nulstillings tæller) som dokumenteret af Microsoft Learn. Stærke adgangskodepolitikker og administrative rettigheder med mindst privilegier reducerer også chancen for, at gætning fører til et meningsfuldt kompromis.
Kan indstillinger for konto-låsning gøre RDP-nedbrud værre under et angreb?
Ja. Hvis RDP er bredt eksponeret, kan angribere med vilje udløse låsninger for rigtige brugere, hvilket bliver et problem med denial-of-service. Derfor er den anbefalede rækkefølge at reducere eksponeringen først, derefter justere låsning og throttling på en måde, der balancerer sikkerhed med tilgængelighed.
Er netværksniveauautentifikation (NLA) nok til at sikre RDP?
NLA er en vigtig baseline, men det forhindrer ikke password spraying eller credential stuffing alene. Du har stadig brug for eksponeringsreduktion, stærk credential-hygiejne, fornuftig throttling eller låseadfærd og overvågning af usædvanlige loginmønstre.
Hvad skal jeg overvåge for tidligt at opdage RDP brute-force forsøg?
Se efter unormale spidser i mislykkede logon, der ofte vises som Event ID 4625, især når de kommer fra mange eksterne IP'er eller retter sig mod mange brugernavne på kort tid. Undersøg også ethvert succesfuldt logon, der sker kort efter gentagne fejl, da det kan indikere et gættet eller genbrugt kodeord.
Konklusion: prioriter reduktion af eksponering, derefter styrk og automatiser
RDP bruteforce-beskyttelse er ikke én indstilling. Det er en lagdelt tilgang, der fungerer bedst i denne rækkefølge: reducere eller fjerne direkte eksponering, styrke autentificering (NLA, stærke legitimationsoplysninger, mindst privilegium, fornuftig låsning eller throttling), anvende netværkskontroller, der faktisk begrænser tilgængelighed, overvåge for meningsfulde mønstre og automatisere blokering omhyggeligt for at undgå falske positiver.
Dokumenter dine ændringer, test dem uden for arbejdstid, når det er muligt, og bekræft, at din nødvej stadig fungerer efter justeringer af firewall og låsning. Hvis du ønsker at operationalisere disse beskyttelser med mindre manuelt arbejde, kan TSplus Advanced Security hjælpe med beskyttelse mod brute-force og adgangsbegrænsninger, og TSplus Remote Access kan give en sikrere leveringsmodel for offentliggjorte Windows-applikationer og skriveborde gennem en webportal. For at evaluere kan du download en prøve og anmeldelse priser .