فهرست مطالب
RDP brute force protection: how to block attacks and keep remote access working

حمله brute-force RDP در عمل چگونه به نظر می‌رسد

شما معمولاً متوجه می‌شوید حمله قوی RDP به همین ترتیب: ورودهای ناموفق مکرر به یک سرور ویندوز که از طریق اینترنت قابل دسترسی است، اغلب با قفل شدن حساب‌ها، گزارش‌های امنیتی پر سر و صدا و کاربران نگران که نمی‌توانند متصل شوند، همراه است. بسیاری از این حملات به معنای انسانی "هدف‌دار" نیستند. RDP که در معرض اینترنت قرار دارد به طور مداوم اسکن می‌شود و ابزارهای خودکار به تلاش برای نام‌های کاربری و رمزهای عبور ادامه می‌دهند تا زمانی که یک اعتبار ضعیف پیدا کنند یا اختلال ایجاد کنند.

در MITRE ATT&CK، این به نقشه می‌زند به تکنیک T1110 (حمله قوی) که شامل الگوهای مرتبطی مانند حدس رمز عبور و اسپری کردن رمز عبور است. از نظر عملی، حملات نیروی brute RDP تلاش‌های مکرر ورود به سیستم از راه دور (اغلب خودکار) هستند که بسیاری از رمزهای عبور یا بسیاری از حساب‌ها را در برابر یک سرویس RDP در معرض خطر امتحان می‌کنند تا زمانی که اعتبارنامه‌ها پیدا شوند یا حساب‌ها مختل شوند.

علائم معمول شامل:

  • یک افزایش ناگهانی در ورودهای ناموفق در لاگ‌های امنیتی ویندوز
  • تلاش‌های زیادی علیه نام‌های حساب‌های رایج (مدیر، ادمین، تست، نام‌های سبک سرویس)
  • شکست‌ها که از بسیاری از آدرس‌های IP خارجی ناشی می‌شوند، گاهی اوقات به طور مکرر تغییر می‌کنند.
  • شکایات کاربران در مورد قفل شدن حساب‌ها یا عملکرد کند ورود به سیستم
  • بارهای بالاتر از CPU یا بار احراز هویت در زمان اوج (خدمات مرتبط با LSASS و RDP ممکن است تحت تأثیر قرار گیرند)

این کمک می‌کند تا نام آنچه را که می‌بینید مشخص کنید. "حمله‌ی brute force" معمولاً به معنای استفاده از بسیاری از رمزهای عبور در برابر یک حساب است. "پاشش رمز عبور" به معنای استفاده از چند رمز عبور رایج در برابر بسیاری از حساب‌ها برای جلوگیری از آستانه‌های قفل شدن است. "تزریق اعتبار" به معنای آزمایش جفت‌های نام کاربری و رمز عبور دزدیده شده از جاهای دیگر است. هر سه به عنوان تلاش‌های مکرر ورود از راه دور ظاهر می‌شوند و شایسته‌ی همان پاسخ اولیه هستند: کاهش قرارگیری و کند کردن تلاش‌ها.

تشخیص سریع: تأیید کنید که این حمله brute force RDP است (و نه یک پیکربندی نادرست)

قبل از اینکه سیاست‌ها را تغییر دهید و خطر قفل کردن کاربران مشروع را به وجود آورید، تأیید کنید که چه چیزی در حال شکست است، از کجا و با چه حجمی. راهنمای عیب‌یابی مایکروسافت برای ماشین‌های مجازی Azure تحت حمله‌ی brute-force از همان نقطه شروع استفاده می‌کند حتی خارج از Azure: به دنبال حجم‌های بالای ورود ناموفق باشید و آن‌ها را با IPهای منبع خارجی همبسته کنید.

  • گزارش‌های امنیتی ویندوز را برای یک دوره از ورودهای ناموفق در زمانی که کاربران مشکلاتی را گزارش کردند، بررسی کنید. شناسه رویداد 4625 یک شاخص رایج برای بررسی است.
  • به دنبال الگوها باشید: نام‌های حساب تکراری، حساب‌های مختلف زیاد، یا یک آدرس IP منبع که به چندین کاربر ضربه می‌زند.
  • ورودهای ناموفق را با ورودهای موفق که به زودی پس از آن انجام می‌شوند مرتبط کنید. ورودهای موفق معمولاً به عنوان شناسه رویداد 4624 ثبت می‌شوند، بسته به سیاست حسابرسی شما.
  • تأیید دسترسی: آیا TCP 3389 (یا پورت RDP سفارشی شما) از طریق یک قانون فایروال، NAT، انتقال پورت یا گروه امنیتی ابری از اینترنت قابل دسترسی است؟
  • اطمینان حاصل کنید که "آلارم‌های کاذب" از منابع معتبر (یک دروازه RDS، یک متمرکزکننده VPN، یک ابزار مدیریت از راه دور یا یک اسکنر داخلی) که به عنوان شکست‌های مکرر به دلیل یک رمز عبور نادرست ذخیره شده ظاهر می‌شوند، مشاهده نمی‌کنید.

اگر شما Event ID 4625 را در حجم زیاد، از بسیاری از آدرس‌های IP خارجی در مدت زمان کوتاه مشاهده کنید، احتمالاً با حدس زدن یا اسپری فعال مواجه هستید نه یک کاربر واحد که رمز عبور اشتباه را وارد می‌کند.

خونریزی را در ۱۵ تا ۳۰ دقیقه متوقف کنید (اقدامات مهار که مؤثر هستند)

هنگامی که ترافیک حمله‌ی brute-force فعال است، اولویت بازگرداندن کنترل و حفظ یک مسیر امن برای مدیریت است. سریع‌ترین راه برای کاهش ریسک حمله‌ی brute-force RDP، متوقف کردن قرار دادن RDP به‌طور مستقیم در معرض اینترنت و محدود کردن دسترسی ورودی به یک مجموعه شناخته‌شده از آدرس‌های IP معتبر یا یک مسیر دسترسی امن (دروازه، VPN یا پایگاه) است. راهنمایی مایکروسافت لِرن برای حوادث آژور این رویکرد containment مشابه را تقویت می‌کند: ابتدا دسترسی ورودی را محدود کنید، سپس مسیر دسترسی را بهبود بخشید.

  1. یک راه امن برای بازگشت قبل از اینکه چیزی را تغییر دهید، ایجاد کنید. اگر قبلاً قفل شده‌اید، از دسترسی خارج از باند خود (کنسول هایپر وایزر، iLO/iDRAC، کنسول سریالی ابری، باستیون یا VPN) استفاده کنید تا بتوانید پس از تغییرات فایروال، همچنان میزبان را مدیریت کنید.
  2. دسترسی مستقیم اینترنتی RDP را حذف کنید. پورت عمومی را غیرفعال کنید یا قوانین ورودی را به گونه‌ای تنظیم کنید که RDP به "هر منبعی" باز نباشد. اگر نمی‌توانید بلافاصله آن را حذف کنید، دسترسی ورودی را به یک فهرست مجاز کوتاه محدود کنید (آدرس‌های IP دفتر شما، شبکه مدیریت شما، آدرس‌های IP خروجی ثابت MSP شما).
  3. در Azure یا ابرهای مشابه، بلافاصله محیط را محکم کنید. قانون ورودی را در NSG یا معادل آن محدود کنید. اگر گزینه دارید، به الگوهای تأیید شده مایکروسافت مانند Azure Bastion، VPN Gateway یا مفاهیم دسترسی به موقعیت‌های زمانی منتقل شوید تا پنجره‌های در معرض خطر را کاهش دهید.
  4. تأیید سطح شبکه احراز هویت (NLA) فعال است. NLA قبل از برقراری یک جلسه کامل دسکتاپ از راه دور، احراز هویت را اجباری می‌کند که این امر در معرض برخی از خطرات پیش‌احراز و کاهش استفاده غیرضروری از منابع در حین حدس زدن کمک می‌کند.
  5. بررسی کنید که چه کسی می‌تواند از طریق RDP وارد شود. عضویت مدیران محلی و کاربران Remote Desktop را تأیید کنید و هر گروه وسیعی که به ورود تعاملی از راه دور نیاز ندارد را حذف کنید.
  6. حساب‌های ممتاز را فوراً محافظت کنید. اگر مشکوک هستید که یک رمز عبور ممکن است ضعیف یا فاش شده باشد، اعتبارنامه‌ها را برای حساب‌های دارای امتیاز به‌طور کنترل‌شده تغییر دهید و برای مدیران محلی جدید غیرمنتظره یا حساب‌های تازه فعال‌شده بررسی کنید.
  7. دسترسی را برای کاربران واقعی پایدار کنید. اگر کاربران قفل شده‌اند، معمولاً راه حل کاهش قرارگیری و بهبود محدودسازی است، نه کاهش امنیت. از عجله در تغییرات قفل شدن که می‌تواند منجر به قطع گسترده‌تری شود، خودداری کنید.

پس از اینکه ترافیک را کنترل کردید، می‌توانید تغییرات بلندمدت را به‌طور ایمن انجام دهید. اگر پس از بازپس‌گیری کنترل، به رویکردی با کمک ابزار نیاز دارید، TSplus Advanced Security می‌تواند به عملیاتی کردن مسدودسازی حملات brute-force و محدودیت‌های دسترسی در سرورهای ویندوز کمک کند، اما محدودسازی همچنان با کاهش قرارگیری آغاز می‌شود.

کاهش سطح حمله: معماری‌های دسترسی که ریسک حملات brute-force را کاهش می‌دهند

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

اگر تنها یک درس از حملات مکرر RDP بگیرید، این باشد: معماری بر تنظیمات غلبه می‌کند. قرار دادن یک نقطه ورود کنترل‌شده در مقابل میزبان‌های جلسه، آنچه را که مهاجمان می‌توانند به آن دسترسی پیدا کنند و آنچه را که می‌توانید تحمیل کنید، تغییر می‌دهد. راهنمای وبلاگ امنیتی مایکروسافت برای پذیرش دسکتاپ از راه دور کاهش قرارگیری مستقیم و مدارک Microsoft Learn RD Gateway به عنوان روشی برای ارائه دسترسی امن از طریق TLS با پیکربندی صحیح گواهی.

قابل اعتمادترین راه برای کاهش تلاش‌های حمله‌ی brute-force RDP، اجتناب از قرارگیری مستقیم RDP و به جای آن، نیاز به دسترسی از طریق یک نقطه ورود کنترل‌شده مانند گذرگاه RD VPN یا یک دژ، به طور ایده‌آل با احراز هویت قوی.

الگوی دسترسی معرضی و ریسک حمله‌ی بروت‌فورس پیچیدگی عملیاتی زمانی که مناسب باشد یادداشت‌ها
دسترسی مستقیم RDP از اینترنت بالاترین ریسک و بالاترین نویز. اسکن و حدس مداوم. راه‌اندازی آسان، دفاع قوی. فقط برای دسترسی اضطراری کوتاه‌مدت با محدودیت‌های شدید. تغییر پورت ممکن است اسکن فرصت‌طلبانه را کاهش دهد، اما به تنهایی حفاظت قوی‌ای ارائه نمی‌دهد.
دسترسی مستقیم RDP با لیست مجاز IP اگر فهرست مجاز کوچک و پایدار باشد، قرار گرفتن در معرض کمتری وجود دارد. متوسط. نیاز به نگهداری از لیست‌های مجاز و مدیریت تغییرات سفر/ISP دارد. تیم‌های مدیریتی کوچک با IPهای ثابت اداری یا خروجی ثابت MSP. بهترین عملکرد را زمانی دارد که با کنترل‌های احراز هویت قوی و نظارت همراه باشد.
گیت‌وی RD در مقابل RDS/RDP کاهش قرارگیری مستقیم میزبان‌های جلسه و تونل‌ها بر روی TLS. متوسط تا بالا. گواهینامه‌ها، در دسترس بودن و طراحی سیاست اهمیت دارند. محیط‌های متمرکز بر ویندوز که در حال حاضر از الگوهای RDS استفاده می‌کنند. راهنمای برنامه‌ریزی RDS مایکروسافت لِرن شامل الزامات دروازه است. مجوزهای مایکروسافت همچنان مسئولیت شماست و باید با مایکروسافت یا یک شریک مجوز معتبر تأیید شود.
VPN برای دسترسی از راه دور RDP را از معرض عمومی حذف می‌کند زمانی که به درستی انجام شود. متوسط. استقرار مشتری، مسیریابی و ادغام MFA متفاوت است. مدیران و کارکنانی که به دسترسی وسیع‌تری به شبکه نیاز دارند، نه فقط یک برنامه. کاربران VPN را به آنچه نیاز دارند محدود کنید، سپس RDP را درون شبکه ایمن نگه دارید.
بستیشن یا هاست پرش کاهش قوی در معرض. RDP تنها از زمینه دژ قابل دسترسی است. متوسط. نیاز به کنترل قوی بر خود دژ دارد. سرورهای ابری، محیط‌های تنظیم‌شده و دسترسی فقط برای مدیر. اغلب با پنجره‌های دسترسی به موقع و کنترل‌های شرطی بسته به پلتفرم به خوبی جفت می‌شود.
انتشار برنامه‌ها/دسکتاپ‌ها از طریق یک پورتال وب (HTTPS) می‌تواند نیاز به افشای RDP خام به صورت عمومی را کاهش دهد یا از بین ببرد، بسته به طراحی. کم تا متوسط. بر ارائه آنچه کاربران نیاز دارند، نه دسترسی کامل به شبکه، تمرکز دارد. SMBها مجموعه‌ای از برنامه‌های ویندوز یا دسکتاپ‌های از راه دور را به کاربران و شرکا ارائه می‌دهند. اگر هدف شما این است که به کاربران دسترسی به برنامه‌های ویندوز را بدون قرار دادن RDP خام در معرض اینترنت بدهید، TSplus Remote Access ارزش ارزیابی برای انتشار برنامه و دسکتاپ از طریق یک پورتال وب امن را دارد.

اگر باید برخی از دسترسی‌های RDP را در دسترس نگه دارید، آن را به عنوان یک رابط مدیریت محافظت شده در نظر بگیرید، نه یک نقطه ورود عمومی برای کار از راه دور. اگر به سمت انتشار برنامه و دسکتاپ از طریق یک پورتال وب امن راهنمای شروع سریع می‌تواند به شما در شروع کار کمک کند. وضعیت امنیتی شما به طور قابل توجهی بهبود می‌یابد زمانی که بیشتر کاربران هرگز به TCP 3389 متصل نمی‌شوند.

احراز هویت را برای RDP تقویت کنید بدون اینکه کاربران واقعی قفل شوند

مقاومت خوب در برابر حملات بروت‌فورس تعادلی است بین کند کردن حمله‌کنندگان و حفظ دسترسی معتبر. مقاومت مؤثر در برابر بروت‌فورس ترکیبی از NLA و اعتبارنامه‌های قوی با یک سیاست محدودسازی نرخ یا قفل‌گذاری است که شکست‌های مکرر را کند می‌کند در حالی که به گونه‌ای تنظیم شده است که از حملات محروم‌سازی خدمات ناشی از حمله‌کنندگان جلوگیری کند. NIST SP 800-63B درباره محدودسازی و مدیریت تلاش‌های ناموفق احراز هویت تکراری به عنوان یک کنترل اصلی بحث می‌کند، زیرا این کار امکان حدس سریع را کاهش می‌دهد.

با NLA و بهداشت حساب شروع کنید

NLA یک پایه برای RDP است زیرا قبل از اینکه جلسه به طور کامل برقرار شود، به احراز هویت نیاز دارد. به تنهایی از اسپری کردن رمز عبور جلوگیری نخواهد کرد، اما در مقایسه با اجازه دادن به پیشرفت جلسات غیرمجاز، در معرض قرار گرفتن و منابع هدر رفته را کاهش می‌دهد.

سپس به اصول هویت که حملات brute force بر آن‌ها تکیه می‌کنند، بپردازید: حقوق اداری غیرضروری را حذف کنید، حداقل امتیاز را اعمال کنید و حساب‌های قدیمی را پاک کنید. اگر حساب‌های محلی اداری واضح یا مشترکی دارید، آن‌ها را تغییر دهید، محدود کنید که کجا می‌توانند وارد شوند و در نظر بگیرید که حساب‌هایی که به ورود تعاملی نیاز ندارند را تغییر نام دهید یا غیرفعال کنید. کاربران Remote Desktop و مدیران محلی را به‌ویژه در سرورهایی که داده‌های حساس را میزبانی می‌کنند، محدود نگه دارید.

قفل و محدودیت: چرا تنظیم اهمیت دارد

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

تنظیمات سیاست قفل حساب کاربری ویندوز معمولاً برای کاهش موفقیت حملات brute-force استفاده می‌شود و مدارک Microsoft Learn اصطلاحات کلیدی را مستند می‌کند آستانه قفل، مدت قفل و شمارنده بازنشانی. معامله در دسترس بودن است. مهاجمان می‌توانند به‌طور عمدی قفل‌ها را برای کاربران واقعی (یا کمک‌پشتیبانی و مدیران شما) فعال کنند اگر آستانه شما خیلی پایین باشد و در معرض خطر گسترده‌ای قرار داشته باشید.

از این عوامل تصمیم‌گیری هنگام تنظیم قفل و محدودسازی استفاده کنید:

  • خدمات چقدر در معرض خطر است؟ اگر RDP از کل اینترنت قابل دسترسی باشد، احتمال قفل شدن بیشتر به سلاح تبدیل می‌شود. ابتدا قرار گرفتن در معرض را کاهش دهید، سپس قفل شدن را تنظیم کنید.
  • کاربران چگونه احراز هویت می‌کنند؟ یک دروازه، VPN یا پناهگاه می‌تواند نیاز به قفل‌های تهاجمی بر روی میزبان جلسه را کاهش دهد زیرا منابع ناشناخته کمتری می‌توانند به آن دسترسی پیدا کنند.
  • قفل شدن چقدر هزینه دارد؟ اگر قفل شدن به معنای قطع خدمات برای یک تیم پشتیبانی تولید باشد، ممکن است محدودیت نرخ و ممنوعیت‌های مبتنی بر IP را به قفل‌های حساب سخت ترجیح دهید.
  • حساب‌های مشترک چگونه رفتار می‌کنند؟ اعتبارنامه‌های مشترک تأثیر قفل شدن‌ها را چند برابر می‌کنند. حساب‌های مشترک را در صورت امکان حذف کنید.

مورد خاص: مدیر محلی داخلی

بسیاری از محیط‌ها هنوز یک حساب کاربری محلی Administrator داخلی بر روی سرورها و ایستگاه‌های کاری دارند و رفتار قفل شدن آن معمولاً باعث سردرگمی می‌شود. پشتیبانی مایکروسافت KB5020282 زمینه‌ای در مورد قفل شدن حساب برای مدیران محلی داخلی ارائه می‌دهد، از جمله اینکه چگونه قفل شدن می‌تواند به ورودهای شبکه مانند RDP بسته به پیکربندی و نسخه اعمال شود. فرض نکنید که Administrator داخلی همانند یک حساب کاربری عادی رفتار خواهد کرد و قبل از اینکه به رفتار قفل شدن به عنوان یک کنترل اصلی تکیه کنید، به طور کنترل شده آزمایش کنید.

برای تیم‌هایی که به یک لایه سخت‌افزاری عملی نیاز دارند، TSplus Advanced Security شامل حفاظت در برابر حملات brute-force است که برای متوقف کردن تلاش‌های مکرر غیرمجاز در سطح میزبان طراحی شده است. این باید مکمل، نه جایگزین، سیاست‌های قوی احراز هویت ویندوز و تنظیمات دقیق قفل باشد.

کنترل‌های شبکه که کمک می‌کنند (و آن‌هایی که مردم بیش از حد برآورد می‌کنند)

کنترل‌های شبکه اغلب سریع‌ترین بهبودهایی هستند که می‌توانید ایجاد کنید، اما ارزش واقعی متفاوتی دارند. راهنمایی مایکروسافت برای مسائل مربوط به حملات brute-force RDP (شامل سناریوهای Azure) به طور مداوم محدود کردن اتصال ورودی را بر تغییرات ظاهری اولویت می‌دهد.

ارزش بالا: اجازه‌نامه‌گذاری IP. اگر می‌توانید RDP را به آدرس‌های شناخته شده (IPهای خروجی دفتر، دامنه‌های VPN، زیرشبکه‌های باستیون، IPهای ثابت MSP) محدود کنید، بیشتر ترافیک‌های brute-force را بلافاصله حذف می‌کنید. این همچنین نظارت شما را معنادارتر می‌کند زیرا هر گونه شکست باقی‌مانده از مجموعه کوچکتری از منابع ناشی می‌شود.

با احتیاط مفید: کنترل‌های جغرافیایی و مبتنی بر شهرت. مسدودسازی جغرافیایی و شهرت IP می‌تواند نویز را کاهش دهد، اما همچنین می‌تواند کاربران قانونی را که سفر می‌کنند، از شبکه‌های رومینگ متصل می‌شوند یا از طریق CGNAT وارد می‌شوند، مسدود کند. مهاجمان همچنین می‌توانند از VPNها و پروکسی‌ها استفاده کنند، بنابراین کنترل‌های جغرافیایی را به عنوان یک کاهش‌دهنده ریسک در نظر بگیرید، نه یک تضمین.

بیش از حد برآورد شده: تغییر پورت RDP. اجازه‌دادن IP به‌طور معناداری در معرض حملات brute-force RDP را کاهش می‌دهد، در حالی که تغییر پورت RDP عمدتاً اسکن‌های فرصت‌طلبانه را کاهش می‌دهد و نباید به‌عنوان حفاظت اصلی مورد اعتماد قرار گیرد. تغییر پورت می‌تواند در حین یک حادثه زمان بخرد، اما به حملات رمز عبور از سوی یک بازیگر مصمم که می‌تواند پورت را کشف کند، رسیدگی نمی‌کند.

در محیط‌هایی که تیم‌ها می‌خواهند اجرای ساده‌تری نسبت به نگهداری مجموعه‌های قوانین پیچیده به‌صورت دستی داشته باشند، TSplus Advanced Security اضافه می‌کند حفاظت جغرافیایی و کنترل‌های مبتنی بر IP که می‌توان به طور مداوم در سراسر سرورها اعمال کرد.

نظارت و شناسایی: چه چیزی را ثبت کنیم، بر روی چه چیزی هشدار دهیم و چه چیزی را بررسی کنیم

حمله‌های بروت‌فورس یکی از آن مشکلاتی است که در نگاه اول واضح به نظر می‌رسد و وقتی دیر متوجه آن می‌شوید، هزینه‌بر است. هدف از نظارت این نیست که هر تلاش ناموفق برای ورود را برای همیشه شمارش کنید. بلکه هدف شناسایی الگوهای غیرعادی در اوایل و بررسی این است که آیا آن تلاش‌ها هرگز به یک ورود موفق تبدیل شده‌اند یا خیر.

نظارت بر افزایش‌های غیرعادی در ورودهای ناموفق (اغلب شناسه رویداد 4625) و هشدار در مورد الگوهایی که نشان‌دهنده پاشش رمز عبور یا ورود موفق پس از شکست‌های مکرر است. راهنمای عیب‌یابی مایکروسافت در برابر حملات brute-force همان نشانه (4625) را برجسته می‌کند زیرا این یک نقطه شروع عملی است زمانی که مدیران در تلاشند تا دسترسی را دوباره به دست آورند و دامنه را درک کنند.

برای عملیات روزمره، بر روی سه سوال تحقیقاتی تمرکز کنید:

آیا ترافیک خارجی است یا داخلی؟ آدرس‌های IP خارجی که به یک رابط عمومی ضربه می‌زنند، به مشکلات در معرض خطر اشاره دارند. آدرس‌های IP داخلی ممکن است نشان‌دهنده یک نقطه پایانی آسیب‌دیده یا یک حساب کاربری خدماتی پیکربندی‌نشده باشند.

آیا این یک حساب است یا چند حساب؟ یک حساب کاربری نشان‌دهنده حمله‌ی brute force است. بسیاری از حساب‌ها با تلاش‌های کم هر یک نشان‌دهنده‌ی اسپری کردن رمز عبور هستند.

آیا هیچ حسابی پس از انفجار موفق شد؟ ورود موفقیت‌آمیز بلافاصله پس از شکست‌های مکرر یک همبستگی با اولویت بالا برای بررسی است، به‌ویژه برای حساب‌های دارای امتیاز.

اگر هنوز لاگ‌های ویندوز را متمرکز نکرده‌اید، به Forwarding رویدادهای ویندوز یا SIEM موجود خود فکر کنید تا بتوانید به طور مداوم در چندین سرور هشدار دهید. برای تیم‌هایی که به سادگی نیاز دارند هشدارها و دید تاریخی در زمان اوج حملات , نظارت بر سرور TSplus می‌تواند به شما در پیگیری سلامت و در دسترس بودن سرور به همراه ثبت‌نام امنیتی شما کمک کند.

رویکردهای مسدودسازی خودکار (و نحوه جلوگیری از مثبت‌های کاذب)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

پاسخ دستی زمانی که میزبان‌های شما به اینترنت متصل هستند، مقیاس‌پذیر نیست. اتوماسیون جایی است که بسیاری از تیم‌ها کنترل را دوباره به دست می‌آورند، به شرطی که به گونه‌ای طراحی شده باشد که قابل بازگشت باشد و دسترسی مشروع را محافظت کند. ایمن‌ترین اتوماسیون ورودهای ناموفق مکرر را با ممنوعیت‌های زمانی و لیست‌های مجاز واضح مسدود می‌کند و باید به آدرس‌های IP مشترک توجه کند تا از مسدود کردن کاربران مشروع جلوگیری کند.

چگونه اتوماسیون در عمل به نظر می‌رسد

رویکردهای رایج شامل ماژول‌های فایروال میزبان هستند که شکست‌های مکرر را شناسایی کرده و به طور موقت یک IP را مسدود می‌کنند، ویژگی‌های EDR که رفتار حدس زدن رمز عبور را شناسایی می‌کنند و اسکریپت‌هایی که لاگ‌های امنیتی را تجزیه و تحلیل کرده و قوانین فایروال پویا را اعمال می‌کنند. کنترل‌های متمرکز بر دروازه (RD Gateway، VPN، bastion) معمولاً نیاز به مسدودسازی تهاجمی در سطح میزبان را کاهش می‌دهند زیرا منابع ناشناخته کمتری به سرور می‌رسند.

جایی که تیم‌ها آسیب می‌بینند

NAT مشترک و CGNAT. اگر بسیاری از کاربران مشروع از یک IP عمومی (یک دفتر شعبه، یک شبکه هتل، برخی از ارائه‌دهندگان خدمات اینترنتی) بیایند، مسدود کردن آن IP می‌تواند کاربران خوب را به همراه مهاجمان قطع کند. ممنوعیت‌های زمان‌دار و فهرست‌های مجاز شناخته‌شده، شعاع آسیب را کاهش می‌دهند.

مسدود کردن مسیر مدیریت خودتان. همیشه دامنه‌های VPN، زیرشبکه‌های باقیمانده و IPهای خروجی مدیریت MSP خود را قبل از فعال‌سازی مسدودسازی تهاجمی در لیست سفید قرار دهید. یک مسیر شکستن شیشه‌ای مستند کنید که به همان مسیر شبکه وابسته نباشد.

قطع‌نامه‌های ناشی از قفل شدن. اگر تنها کنترل شما قفل کردن حساب باشد، مهاجمان می‌توانند آن را به حمله انکار سرویس تبدیل کنند. سیاست‌های قفل کردن را با کاهش قرارگیری و محدودسازی مبتنی بر IP ترکیب کنید تا میزبان به نقطه گلوگاهی تبدیل نشود.

TSplus Advanced Security حفاظت عملی در برابر حملات brute-force را اضافه می‌کند کنترل‌های IP و جغرافیایی و تقویت متمرکز بر باج‌افزار برای سرورهای ویندوز، که می‌تواند به شما در کاهش تلاش‌های مکرر ورود RDP بدون استقرار یک پشته امنیتی سنگین کمک کند.

یک مبنای عملی برای محیط‌های SMB و MSP

SMBها و MSPها به یک پایه نیاز دارند که قابل تکرار، قابل آزمایش و غیرمحتمل برای مختل کردن عملیات روزمره باشد. راهنمای امنیت دسکتاپ از راه دور مایکروسافت از همان اصل کلی حمایت می‌کند: کاهش قرارگیری مستقیم، سپس تقویت دسترسی و نظارت فعال.

  • دسترسی مستقیم اینترنتی RDP را در صورت امکان حذف کنید و دسترسی را از طریق VPN، دروازه یا الگوهای پشتیبانی هدایت کنید.
  • اگر RDP باید در دسترس بماند، دسترسی ورودی را به یک فهرست مجاز کوچک IP محدود کنید و به طور منظم آن را بررسی کنید.
  • احراز هویت سطح شبکه (NLA) را فعال کنید و از همه کاربران تعاملی بخواهید که از اعتبارنامه‌های قوی و منحصر به فرد استفاده کنند.
  • دسترسی‌های ویژه را محدود کنید: عضویت مدیر محلی را به حداقل برسانید و عضویت کاربران Remote Desktop را بررسی کنید.
  • سیاست قفل کردن حساب را به طور عمدی تنظیم کنید (آستانه، مدت زمان، بازنشانی شمارنده) و آن را آزمایش کنید تا از بروز قطعی‌های ناشی از قفل شدن جلوگیری کنید.
  • ورودهای ناموفق را زیر نظر داشته باشید (به عنوان مثال، شناسه رویداد 4625) و الگوهای موفقیت پس از شکست را به سرعت بررسی کنید.
  • ویندوز، اجزای مرتبط با RDP و خدماتی که به اینترنت متصل هستند را طبق یک برنامه زمان‌بندی مشخص به‌روز نگه‌دارید.
  • دسترسی به مستندات در شرایط اضطراری، از جمله نحوه بازیابی دسترسی به کنسول در صورتی که قوانین شبکه ورود از راه دور را مسدود کنند.

اگر می‌خواهید یک بررسی ساختاریافته داشته باشید، از ما استفاده کنید بازرسی امنیت RDP: یک چک لیست 20 موردی برای 2026 .

برای MSPها، آنچه را که می‌توانید استاندارد کنید (قالب‌های GPO، استانداردهای فایروال، فهرست‌های IP مدیریت مجاز) و لیست‌های مجاز و استثنائات خاص مشتری را به وضوح مستند نگه دارید. اگر به یک لایه سخت‌افزاری عملی در بسیاری از سرورهای مشتری نیاز دارید، TSplus Advanced Security می‌تواند به عنوان بخشی از یک بسته امنیتی استاندارد دسترسی از راه دور مستقر شود و TSplus Remote Access می‌تواند از یک رویکرد "عدم نمایش RDP خام به طور مستقیم" برای برنامه‌ها و دسکتاپ‌های منتشر شده پشتیبانی کند.

FAQ

آیا تغییر پورت پیش‌فرض RDP حملات بروت‌فورس را متوقف می‌کند؟

تغییر شماره پورت RDP می‌تواند نویز اسکن فرصت‌طلبانه را کاهش دهد و راهنمایی‌های حادثه‌ای مایکروسافت آن را به عنوان یک کاهش موقتی در برخی سناریوها ذکر می‌کند، اما این کار جلوی حدس‌های هدفمند را نمی‌گیرد. آن را به عنوان یک تاکتیک ثانویه در نظر بگیرید و ابتدا بر کاهش قرارگیری (لیست سفید، دروازه، VPN، دژ) و تقویت احراز هویت تمرکز کنید.

چه تنظیمات سیاست ویندوز برای حفاظت در برابر حملات brute-force RDP مهم‌تر هستند؟

با فعال‌سازی NLA برای RDP شروع کنید، محدود کردن افرادی که حق ورود از طریق Remote Desktop را دارند و پیکربندی سیاست قفل حساب (آستانه، مدت زمان، بازنشانی شمارنده) طبق مستندات Microsoft Learn. سیاست‌های قوی رمز عبور و حقوق مدیریت حداقلی نیز احتمال اینکه حدس زدن منجر به یک نفوذ معنادار شود را کاهش می‌دهد.

آیا تنظیمات قفل حساب می‌توانند در طول یک حمله، اختلالات RDP را بدتر کنند؟

بله. اگر RDP به طور گسترده‌ای در معرض باشد، مهاجمان می‌توانند به طور عمدی قفل شدن حساب‌های واقعی را فعال کنند که این مشکل منجر به عدم دسترسی به خدمات می‌شود. به همین دلیل، ترتیب پیشنهادی این است که ابتدا میزان در معرض بودن را کاهش دهید، سپس قفل شدن و محدودسازی را به گونه‌ای تنظیم کنید که امنیت را با در دسترس بودن متوازن کند.

آیا احراز هویت سطح شبکه (NLA) برای ایمن‌سازی RDP کافی است؟

NLA یک خط پایه مهم است، اما به تنهایی از اسپری کردن رمز عبور یا پر کردن اعتبار جلوگیری نمی‌کند. شما هنوز به کاهش قرارگیری، بهداشت قوی اعتبار، محدودسازی معقول یا رفتار قفل کردن و نظارت بر الگوهای ورود غیرمعمول نیاز دارید.

برای شناسایی زودهنگام تلاش‌های حمله‌ی brute-force RDP چه چیزی را باید نظارت کنم؟

به دنبال افزایش‌های غیرعادی در ورودهای ناموفق باشید که معمولاً به عنوان شناسه رویداد 4625 قابل مشاهده است، به ویژه زمانی که از بسیاری از IPهای خارجی می‌آید یا در یک بازه زمانی کوتاه به بسیاری از نام‌های کاربری هدف می‌زند. همچنین هر ورود موفقی که بلافاصله پس از شکست‌های مکرر رخ می‌دهد را بررسی کنید، زیرا می‌تواند نشان‌دهنده یک رمز عبور حدس زده شده یا استفاده مجدد شده باشد.

نتیجه‌گیری: کاهش قرارگیری را در اولویت قرار دهید، سپس سخت‌افزاری و خودکارسازی کنید.

حفاظت در برابر حملات brute force RDP یک تنظیم واحد نیست. این یک رویکرد چند لایه است که بهترین عملکرد را در این ترتیب دارد: کاهش یا حذف قرارگیری مستقیم، تقویت احراز هویت (NLA، اعتبارنامه‌های قوی، حداقل امتیاز، قفل‌گذاری معقول یا کاهش سرعت)، اعمال کنترل‌های شبکه که واقعاً قابلیت دسترسی را محدود می‌کنند، نظارت بر الگوهای معنادار و به‌طور دقیق خودکار کردن مسدودسازی برای جلوگیری از مثبت‌های کاذب.

تغییرات خود را مستند کنید، در صورت امکان آنها را خارج از ساعات کاری آزمایش کنید و تأیید کنید که مسیر اضطراری شما پس از تنظیمات فایروال و قفل همچنان کار می‌کند. اگر می‌خواهید این حفاظت‌ها را با تلاش دستی کمتر عملی کنید، TSplus Advanced Security می‌تواند در حفاظت در برابر حملات brute-force و محدودیت‌های دسترسی کمک کند و TSplus Remote Access می‌تواند یک مدل تحویل ایمن‌تر برای برنامه‌های ویندوز و دسکتاپ‌های منتشر شده از طریق یک پورتال وب ارائه دهد. برای ارزیابی، می‌توانید دانلود آزمایش و بررسی قیمت گذاری .

مطالعه بیشتر

back to top of the page icon