حمله brute-force RDP در عمل چگونه به نظر میرسد
شما معمولاً متوجه میشوید حمله قوی RDP به همین ترتیب: ورودهای ناموفق مکرر به یک سرور ویندوز که از طریق اینترنت قابل دسترسی است، اغلب با قفل شدن حسابها، گزارشهای امنیتی پر سر و صدا و کاربران نگران که نمیتوانند متصل شوند، همراه است. بسیاری از این حملات به معنای انسانی "هدفدار" نیستند. RDP که در معرض اینترنت قرار دارد به طور مداوم اسکن میشود و ابزارهای خودکار به تلاش برای نامهای کاربری و رمزهای عبور ادامه میدهند تا زمانی که یک اعتبار ضعیف پیدا کنند یا اختلال ایجاد کنند.
در MITRE ATT&CK، این به نقشه میزند به تکنیک T1110 (حمله قوی) که شامل الگوهای مرتبطی مانند حدس رمز عبور و اسپری کردن رمز عبور است. از نظر عملی، حملات نیروی brute RDP تلاشهای مکرر ورود به سیستم از راه دور (اغلب خودکار) هستند که بسیاری از رمزهای عبور یا بسیاری از حسابها را در برابر یک سرویس RDP در معرض خطر امتحان میکنند تا زمانی که اعتبارنامهها پیدا شوند یا حسابها مختل شوند.
علائم معمول شامل:
- یک افزایش ناگهانی در ورودهای ناموفق در لاگهای امنیتی ویندوز
- تلاشهای زیادی علیه نامهای حسابهای رایج (مدیر، ادمین، تست، نامهای سبک سرویس)
- شکستها که از بسیاری از آدرسهای IP خارجی ناشی میشوند، گاهی اوقات به طور مکرر تغییر میکنند.
- شکایات کاربران در مورد قفل شدن حسابها یا عملکرد کند ورود به سیستم
- بارهای بالاتر از CPU یا بار احراز هویت در زمان اوج (خدمات مرتبط با LSASS و RDP ممکن است تحت تأثیر قرار گیرند)
این کمک میکند تا نام آنچه را که میبینید مشخص کنید. "حملهی brute force" معمولاً به معنای استفاده از بسیاری از رمزهای عبور در برابر یک حساب است. "پاشش رمز عبور" به معنای استفاده از چند رمز عبور رایج در برابر بسیاری از حسابها برای جلوگیری از آستانههای قفل شدن است. "تزریق اعتبار" به معنای آزمایش جفتهای نام کاربری و رمز عبور دزدیده شده از جاهای دیگر است. هر سه به عنوان تلاشهای مکرر ورود از راه دور ظاهر میشوند و شایستهی همان پاسخ اولیه هستند: کاهش قرارگیری و کند کردن تلاشها.
تشخیص سریع: تأیید کنید که این حمله brute force RDP است (و نه یک پیکربندی نادرست)
قبل از اینکه سیاستها را تغییر دهید و خطر قفل کردن کاربران مشروع را به وجود آورید، تأیید کنید که چه چیزی در حال شکست است، از کجا و با چه حجمی. راهنمای عیبیابی مایکروسافت برای ماشینهای مجازی Azure تحت حملهی brute-force از همان نقطه شروع استفاده میکند حتی خارج از Azure: به دنبال حجمهای بالای ورود ناموفق باشید و آنها را با IPهای منبع خارجی همبسته کنید.
- گزارشهای امنیتی ویندوز را برای یک دوره از ورودهای ناموفق در زمانی که کاربران مشکلاتی را گزارش کردند، بررسی کنید. شناسه رویداد 4625 یک شاخص رایج برای بررسی است.
- به دنبال الگوها باشید: نامهای حساب تکراری، حسابهای مختلف زیاد، یا یک آدرس IP منبع که به چندین کاربر ضربه میزند.
- ورودهای ناموفق را با ورودهای موفق که به زودی پس از آن انجام میشوند مرتبط کنید. ورودهای موفق معمولاً به عنوان شناسه رویداد 4624 ثبت میشوند، بسته به سیاست حسابرسی شما.
- تأیید دسترسی: آیا TCP 3389 (یا پورت RDP سفارشی شما) از طریق یک قانون فایروال، NAT، انتقال پورت یا گروه امنیتی ابری از اینترنت قابل دسترسی است؟
- اطمینان حاصل کنید که "آلارمهای کاذب" از منابع معتبر (یک دروازه RDS، یک متمرکزکننده VPN، یک ابزار مدیریت از راه دور یا یک اسکنر داخلی) که به عنوان شکستهای مکرر به دلیل یک رمز عبور نادرست ذخیره شده ظاهر میشوند، مشاهده نمیکنید.
اگر شما Event ID 4625 را در حجم زیاد، از بسیاری از آدرسهای IP خارجی در مدت زمان کوتاه مشاهده کنید، احتمالاً با حدس زدن یا اسپری فعال مواجه هستید نه یک کاربر واحد که رمز عبور اشتباه را وارد میکند.
خونریزی را در ۱۵ تا ۳۰ دقیقه متوقف کنید (اقدامات مهار که مؤثر هستند)
هنگامی که ترافیک حملهی brute-force فعال است، اولویت بازگرداندن کنترل و حفظ یک مسیر امن برای مدیریت است. سریعترین راه برای کاهش ریسک حملهی brute-force RDP، متوقف کردن قرار دادن RDP بهطور مستقیم در معرض اینترنت و محدود کردن دسترسی ورودی به یک مجموعه شناختهشده از آدرسهای IP معتبر یا یک مسیر دسترسی امن (دروازه، VPN یا پایگاه) است. راهنمایی مایکروسافت لِرن برای حوادث آژور این رویکرد containment مشابه را تقویت میکند: ابتدا دسترسی ورودی را محدود کنید، سپس مسیر دسترسی را بهبود بخشید.
- یک راه امن برای بازگشت قبل از اینکه چیزی را تغییر دهید، ایجاد کنید. اگر قبلاً قفل شدهاید، از دسترسی خارج از باند خود (کنسول هایپر وایزر، iLO/iDRAC، کنسول سریالی ابری، باستیون یا VPN) استفاده کنید تا بتوانید پس از تغییرات فایروال، همچنان میزبان را مدیریت کنید.
- دسترسی مستقیم اینترنتی RDP را حذف کنید. پورت عمومی را غیرفعال کنید یا قوانین ورودی را به گونهای تنظیم کنید که RDP به "هر منبعی" باز نباشد. اگر نمیتوانید بلافاصله آن را حذف کنید، دسترسی ورودی را به یک فهرست مجاز کوتاه محدود کنید (آدرسهای IP دفتر شما، شبکه مدیریت شما، آدرسهای IP خروجی ثابت MSP شما).
- در Azure یا ابرهای مشابه، بلافاصله محیط را محکم کنید. قانون ورودی را در NSG یا معادل آن محدود کنید. اگر گزینه دارید، به الگوهای تأیید شده مایکروسافت مانند Azure Bastion، VPN Gateway یا مفاهیم دسترسی به موقعیتهای زمانی منتقل شوید تا پنجرههای در معرض خطر را کاهش دهید.
- تأیید سطح شبکه احراز هویت (NLA) فعال است. NLA قبل از برقراری یک جلسه کامل دسکتاپ از راه دور، احراز هویت را اجباری میکند که این امر در معرض برخی از خطرات پیشاحراز و کاهش استفاده غیرضروری از منابع در حین حدس زدن کمک میکند.
- بررسی کنید که چه کسی میتواند از طریق RDP وارد شود. عضویت مدیران محلی و کاربران Remote Desktop را تأیید کنید و هر گروه وسیعی که به ورود تعاملی از راه دور نیاز ندارد را حذف کنید.
- حسابهای ممتاز را فوراً محافظت کنید. اگر مشکوک هستید که یک رمز عبور ممکن است ضعیف یا فاش شده باشد، اعتبارنامهها را برای حسابهای دارای امتیاز بهطور کنترلشده تغییر دهید و برای مدیران محلی جدید غیرمنتظره یا حسابهای تازه فعالشده بررسی کنید.
- دسترسی را برای کاربران واقعی پایدار کنید. اگر کاربران قفل شدهاند، معمولاً راه حل کاهش قرارگیری و بهبود محدودسازی است، نه کاهش امنیت. از عجله در تغییرات قفل شدن که میتواند منجر به قطع گستردهتری شود، خودداری کنید.
پس از اینکه ترافیک را کنترل کردید، میتوانید تغییرات بلندمدت را بهطور ایمن انجام دهید. اگر پس از بازپسگیری کنترل، به رویکردی با کمک ابزار نیاز دارید، TSplus Advanced Security میتواند به عملیاتی کردن مسدودسازی حملات brute-force و محدودیتهای دسترسی در سرورهای ویندوز کمک کند، اما محدودسازی همچنان با کاهش قرارگیری آغاز میشود.
کاهش سطح حمله: معماریهای دسترسی که ریسک حملات brute-force را کاهش میدهند
اگر تنها یک درس از حملات مکرر RDP بگیرید، این باشد: معماری بر تنظیمات غلبه میکند. قرار دادن یک نقطه ورود کنترلشده در مقابل میزبانهای جلسه، آنچه را که مهاجمان میتوانند به آن دسترسی پیدا کنند و آنچه را که میتوانید تحمیل کنید، تغییر میدهد. راهنمای وبلاگ امنیتی مایکروسافت برای پذیرش دسکتاپ از راه دور کاهش قرارگیری مستقیم و مدارک Microsoft Learn RD Gateway به عنوان روشی برای ارائه دسترسی امن از طریق TLS با پیکربندی صحیح گواهی.
قابل اعتمادترین راه برای کاهش تلاشهای حملهی brute-force RDP، اجتناب از قرارگیری مستقیم RDP و به جای آن، نیاز به دسترسی از طریق یک نقطه ورود کنترلشده مانند گذرگاه RD VPN یا یک دژ، به طور ایدهآل با احراز هویت قوی.
| الگوی دسترسی | معرضی و ریسک حملهی بروتفورس | پیچیدگی عملیاتی | زمانی که مناسب باشد | یادداشتها |
|---|---|---|---|---|
| دسترسی مستقیم RDP از اینترنت | بالاترین ریسک و بالاترین نویز. اسکن و حدس مداوم. | راهاندازی آسان، دفاع قوی. | فقط برای دسترسی اضطراری کوتاهمدت با محدودیتهای شدید. | تغییر پورت ممکن است اسکن فرصتطلبانه را کاهش دهد، اما به تنهایی حفاظت قویای ارائه نمیدهد. |
| دسترسی مستقیم RDP با لیست مجاز IP | اگر فهرست مجاز کوچک و پایدار باشد، قرار گرفتن در معرض کمتری وجود دارد. | متوسط. نیاز به نگهداری از لیستهای مجاز و مدیریت تغییرات سفر/ISP دارد. | تیمهای مدیریتی کوچک با IPهای ثابت اداری یا خروجی ثابت MSP. | بهترین عملکرد را زمانی دارد که با کنترلهای احراز هویت قوی و نظارت همراه باشد. |
| گیتوی RD در مقابل RDS/RDP | کاهش قرارگیری مستقیم میزبانهای جلسه و تونلها بر روی TLS. | متوسط تا بالا. گواهینامهها، در دسترس بودن و طراحی سیاست اهمیت دارند. | محیطهای متمرکز بر ویندوز که در حال حاضر از الگوهای RDS استفاده میکنند. | راهنمای برنامهریزی RDS مایکروسافت لِرن شامل الزامات دروازه است. مجوزهای مایکروسافت همچنان مسئولیت شماست و باید با مایکروسافت یا یک شریک مجوز معتبر تأیید شود. |
| VPN برای دسترسی از راه دور | RDP را از معرض عمومی حذف میکند زمانی که به درستی انجام شود. | متوسط. استقرار مشتری، مسیریابی و ادغام MFA متفاوت است. | مدیران و کارکنانی که به دسترسی وسیعتری به شبکه نیاز دارند، نه فقط یک برنامه. | کاربران VPN را به آنچه نیاز دارند محدود کنید، سپس RDP را درون شبکه ایمن نگه دارید. |
| بستیشن یا هاست پرش | کاهش قوی در معرض. RDP تنها از زمینه دژ قابل دسترسی است. | متوسط. نیاز به کنترل قوی بر خود دژ دارد. | سرورهای ابری، محیطهای تنظیمشده و دسترسی فقط برای مدیر. | اغلب با پنجرههای دسترسی به موقع و کنترلهای شرطی بسته به پلتفرم به خوبی جفت میشود. |
| انتشار برنامهها/دسکتاپها از طریق یک پورتال وب (HTTPS) | میتواند نیاز به افشای RDP خام به صورت عمومی را کاهش دهد یا از بین ببرد، بسته به طراحی. | کم تا متوسط. بر ارائه آنچه کاربران نیاز دارند، نه دسترسی کامل به شبکه، تمرکز دارد. | SMBها مجموعهای از برنامههای ویندوز یا دسکتاپهای از راه دور را به کاربران و شرکا ارائه میدهند. | اگر هدف شما این است که به کاربران دسترسی به برنامههای ویندوز را بدون قرار دادن RDP خام در معرض اینترنت بدهید، TSplus Remote Access ارزش ارزیابی برای انتشار برنامه و دسکتاپ از طریق یک پورتال وب امن را دارد. |
اگر باید برخی از دسترسیهای RDP را در دسترس نگه دارید، آن را به عنوان یک رابط مدیریت محافظت شده در نظر بگیرید، نه یک نقطه ورود عمومی برای کار از راه دور. اگر به سمت انتشار برنامه و دسکتاپ از طریق یک پورتال وب امن راهنمای شروع سریع میتواند به شما در شروع کار کمک کند. وضعیت امنیتی شما به طور قابل توجهی بهبود مییابد زمانی که بیشتر کاربران هرگز به TCP 3389 متصل نمیشوند.
احراز هویت را برای RDP تقویت کنید بدون اینکه کاربران واقعی قفل شوند
مقاومت خوب در برابر حملات بروتفورس تعادلی است بین کند کردن حملهکنندگان و حفظ دسترسی معتبر. مقاومت مؤثر در برابر بروتفورس ترکیبی از NLA و اعتبارنامههای قوی با یک سیاست محدودسازی نرخ یا قفلگذاری است که شکستهای مکرر را کند میکند در حالی که به گونهای تنظیم شده است که از حملات محرومسازی خدمات ناشی از حملهکنندگان جلوگیری کند. NIST SP 800-63B درباره محدودسازی و مدیریت تلاشهای ناموفق احراز هویت تکراری به عنوان یک کنترل اصلی بحث میکند، زیرا این کار امکان حدس سریع را کاهش میدهد.
با NLA و بهداشت حساب شروع کنید
NLA یک پایه برای RDP است زیرا قبل از اینکه جلسه به طور کامل برقرار شود، به احراز هویت نیاز دارد. به تنهایی از اسپری کردن رمز عبور جلوگیری نخواهد کرد، اما در مقایسه با اجازه دادن به پیشرفت جلسات غیرمجاز، در معرض قرار گرفتن و منابع هدر رفته را کاهش میدهد.
سپس به اصول هویت که حملات brute force بر آنها تکیه میکنند، بپردازید: حقوق اداری غیرضروری را حذف کنید، حداقل امتیاز را اعمال کنید و حسابهای قدیمی را پاک کنید. اگر حسابهای محلی اداری واضح یا مشترکی دارید، آنها را تغییر دهید، محدود کنید که کجا میتوانند وارد شوند و در نظر بگیرید که حسابهایی که به ورود تعاملی نیاز ندارند را تغییر نام دهید یا غیرفعال کنید. کاربران Remote Desktop و مدیران محلی را بهویژه در سرورهایی که دادههای حساس را میزبانی میکنند، محدود نگه دارید.
قفل و محدودیت: چرا تنظیم اهمیت دارد
تنظیمات سیاست قفل حساب کاربری ویندوز معمولاً برای کاهش موفقیت حملات brute-force استفاده میشود و مدارک Microsoft Learn اصطلاحات کلیدی را مستند میکند آستانه قفل، مدت قفل و شمارنده بازنشانی. معامله در دسترس بودن است. مهاجمان میتوانند بهطور عمدی قفلها را برای کاربران واقعی (یا کمکپشتیبانی و مدیران شما) فعال کنند اگر آستانه شما خیلی پایین باشد و در معرض خطر گستردهای قرار داشته باشید.
از این عوامل تصمیمگیری هنگام تنظیم قفل و محدودسازی استفاده کنید:
- خدمات چقدر در معرض خطر است؟ اگر RDP از کل اینترنت قابل دسترسی باشد، احتمال قفل شدن بیشتر به سلاح تبدیل میشود. ابتدا قرار گرفتن در معرض را کاهش دهید، سپس قفل شدن را تنظیم کنید.
- کاربران چگونه احراز هویت میکنند؟ یک دروازه، VPN یا پناهگاه میتواند نیاز به قفلهای تهاجمی بر روی میزبان جلسه را کاهش دهد زیرا منابع ناشناخته کمتری میتوانند به آن دسترسی پیدا کنند.
- قفل شدن چقدر هزینه دارد؟ اگر قفل شدن به معنای قطع خدمات برای یک تیم پشتیبانی تولید باشد، ممکن است محدودیت نرخ و ممنوعیتهای مبتنی بر IP را به قفلهای حساب سخت ترجیح دهید.
- حسابهای مشترک چگونه رفتار میکنند؟ اعتبارنامههای مشترک تأثیر قفل شدنها را چند برابر میکنند. حسابهای مشترک را در صورت امکان حذف کنید.
مورد خاص: مدیر محلی داخلی
بسیاری از محیطها هنوز یک حساب کاربری محلی Administrator داخلی بر روی سرورها و ایستگاههای کاری دارند و رفتار قفل شدن آن معمولاً باعث سردرگمی میشود. پشتیبانی مایکروسافت KB5020282 زمینهای در مورد قفل شدن حساب برای مدیران محلی داخلی ارائه میدهد، از جمله اینکه چگونه قفل شدن میتواند به ورودهای شبکه مانند RDP بسته به پیکربندی و نسخه اعمال شود. فرض نکنید که Administrator داخلی همانند یک حساب کاربری عادی رفتار خواهد کرد و قبل از اینکه به رفتار قفل شدن به عنوان یک کنترل اصلی تکیه کنید، به طور کنترل شده آزمایش کنید.
برای تیمهایی که به یک لایه سختافزاری عملی نیاز دارند، TSplus Advanced Security شامل حفاظت در برابر حملات brute-force است که برای متوقف کردن تلاشهای مکرر غیرمجاز در سطح میزبان طراحی شده است. این باید مکمل، نه جایگزین، سیاستهای قوی احراز هویت ویندوز و تنظیمات دقیق قفل باشد.
کنترلهای شبکه که کمک میکنند (و آنهایی که مردم بیش از حد برآورد میکنند)
کنترلهای شبکه اغلب سریعترین بهبودهایی هستند که میتوانید ایجاد کنید، اما ارزش واقعی متفاوتی دارند. راهنمایی مایکروسافت برای مسائل مربوط به حملات brute-force RDP (شامل سناریوهای Azure) به طور مداوم محدود کردن اتصال ورودی را بر تغییرات ظاهری اولویت میدهد.
ارزش بالا: اجازهنامهگذاری IP. اگر میتوانید RDP را به آدرسهای شناخته شده (IPهای خروجی دفتر، دامنههای VPN، زیرشبکههای باستیون، IPهای ثابت MSP) محدود کنید، بیشتر ترافیکهای brute-force را بلافاصله حذف میکنید. این همچنین نظارت شما را معنادارتر میکند زیرا هر گونه شکست باقیمانده از مجموعه کوچکتری از منابع ناشی میشود.
با احتیاط مفید: کنترلهای جغرافیایی و مبتنی بر شهرت. مسدودسازی جغرافیایی و شهرت IP میتواند نویز را کاهش دهد، اما همچنین میتواند کاربران قانونی را که سفر میکنند، از شبکههای رومینگ متصل میشوند یا از طریق CGNAT وارد میشوند، مسدود کند. مهاجمان همچنین میتوانند از VPNها و پروکسیها استفاده کنند، بنابراین کنترلهای جغرافیایی را به عنوان یک کاهشدهنده ریسک در نظر بگیرید، نه یک تضمین.
بیش از حد برآورد شده: تغییر پورت RDP. اجازهدادن IP بهطور معناداری در معرض حملات brute-force RDP را کاهش میدهد، در حالی که تغییر پورت RDP عمدتاً اسکنهای فرصتطلبانه را کاهش میدهد و نباید بهعنوان حفاظت اصلی مورد اعتماد قرار گیرد. تغییر پورت میتواند در حین یک حادثه زمان بخرد، اما به حملات رمز عبور از سوی یک بازیگر مصمم که میتواند پورت را کشف کند، رسیدگی نمیکند.
در محیطهایی که تیمها میخواهند اجرای سادهتری نسبت به نگهداری مجموعههای قوانین پیچیده بهصورت دستی داشته باشند، TSplus Advanced Security اضافه میکند حفاظت جغرافیایی و کنترلهای مبتنی بر IP که میتوان به طور مداوم در سراسر سرورها اعمال کرد.
نظارت و شناسایی: چه چیزی را ثبت کنیم، بر روی چه چیزی هشدار دهیم و چه چیزی را بررسی کنیم
حملههای بروتفورس یکی از آن مشکلاتی است که در نگاه اول واضح به نظر میرسد و وقتی دیر متوجه آن میشوید، هزینهبر است. هدف از نظارت این نیست که هر تلاش ناموفق برای ورود را برای همیشه شمارش کنید. بلکه هدف شناسایی الگوهای غیرعادی در اوایل و بررسی این است که آیا آن تلاشها هرگز به یک ورود موفق تبدیل شدهاند یا خیر.
نظارت بر افزایشهای غیرعادی در ورودهای ناموفق (اغلب شناسه رویداد 4625) و هشدار در مورد الگوهایی که نشاندهنده پاشش رمز عبور یا ورود موفق پس از شکستهای مکرر است. راهنمای عیبیابی مایکروسافت در برابر حملات brute-force همان نشانه (4625) را برجسته میکند زیرا این یک نقطه شروع عملی است زمانی که مدیران در تلاشند تا دسترسی را دوباره به دست آورند و دامنه را درک کنند.
برای عملیات روزمره، بر روی سه سوال تحقیقاتی تمرکز کنید:
آیا ترافیک خارجی است یا داخلی؟ آدرسهای IP خارجی که به یک رابط عمومی ضربه میزنند، به مشکلات در معرض خطر اشاره دارند. آدرسهای IP داخلی ممکن است نشاندهنده یک نقطه پایانی آسیبدیده یا یک حساب کاربری خدماتی پیکربندینشده باشند.
آیا این یک حساب است یا چند حساب؟ یک حساب کاربری نشاندهنده حملهی brute force است. بسیاری از حسابها با تلاشهای کم هر یک نشاندهندهی اسپری کردن رمز عبور هستند.
آیا هیچ حسابی پس از انفجار موفق شد؟ ورود موفقیتآمیز بلافاصله پس از شکستهای مکرر یک همبستگی با اولویت بالا برای بررسی است، بهویژه برای حسابهای دارای امتیاز.
اگر هنوز لاگهای ویندوز را متمرکز نکردهاید، به Forwarding رویدادهای ویندوز یا SIEM موجود خود فکر کنید تا بتوانید به طور مداوم در چندین سرور هشدار دهید. برای تیمهایی که به سادگی نیاز دارند هشدارها و دید تاریخی در زمان اوج حملات , نظارت بر سرور TSplus میتواند به شما در پیگیری سلامت و در دسترس بودن سرور به همراه ثبتنام امنیتی شما کمک کند.
رویکردهای مسدودسازی خودکار (و نحوه جلوگیری از مثبتهای کاذب)
پاسخ دستی زمانی که میزبانهای شما به اینترنت متصل هستند، مقیاسپذیر نیست. اتوماسیون جایی است که بسیاری از تیمها کنترل را دوباره به دست میآورند، به شرطی که به گونهای طراحی شده باشد که قابل بازگشت باشد و دسترسی مشروع را محافظت کند. ایمنترین اتوماسیون ورودهای ناموفق مکرر را با ممنوعیتهای زمانی و لیستهای مجاز واضح مسدود میکند و باید به آدرسهای IP مشترک توجه کند تا از مسدود کردن کاربران مشروع جلوگیری کند.
چگونه اتوماسیون در عمل به نظر میرسد
رویکردهای رایج شامل ماژولهای فایروال میزبان هستند که شکستهای مکرر را شناسایی کرده و به طور موقت یک IP را مسدود میکنند، ویژگیهای EDR که رفتار حدس زدن رمز عبور را شناسایی میکنند و اسکریپتهایی که لاگهای امنیتی را تجزیه و تحلیل کرده و قوانین فایروال پویا را اعمال میکنند. کنترلهای متمرکز بر دروازه (RD Gateway، VPN، bastion) معمولاً نیاز به مسدودسازی تهاجمی در سطح میزبان را کاهش میدهند زیرا منابع ناشناخته کمتری به سرور میرسند.
جایی که تیمها آسیب میبینند
NAT مشترک و CGNAT. اگر بسیاری از کاربران مشروع از یک IP عمومی (یک دفتر شعبه، یک شبکه هتل، برخی از ارائهدهندگان خدمات اینترنتی) بیایند، مسدود کردن آن IP میتواند کاربران خوب را به همراه مهاجمان قطع کند. ممنوعیتهای زماندار و فهرستهای مجاز شناختهشده، شعاع آسیب را کاهش میدهند.
مسدود کردن مسیر مدیریت خودتان. همیشه دامنههای VPN، زیرشبکههای باقیمانده و IPهای خروجی مدیریت MSP خود را قبل از فعالسازی مسدودسازی تهاجمی در لیست سفید قرار دهید. یک مسیر شکستن شیشهای مستند کنید که به همان مسیر شبکه وابسته نباشد.
قطعنامههای ناشی از قفل شدن. اگر تنها کنترل شما قفل کردن حساب باشد، مهاجمان میتوانند آن را به حمله انکار سرویس تبدیل کنند. سیاستهای قفل کردن را با کاهش قرارگیری و محدودسازی مبتنی بر IP ترکیب کنید تا میزبان به نقطه گلوگاهی تبدیل نشود.
TSplus Advanced Security حفاظت عملی در برابر حملات brute-force را اضافه میکند کنترلهای IP و جغرافیایی و تقویت متمرکز بر باجافزار برای سرورهای ویندوز، که میتواند به شما در کاهش تلاشهای مکرر ورود RDP بدون استقرار یک پشته امنیتی سنگین کمک کند.
یک مبنای عملی برای محیطهای SMB و MSP
SMBها و MSPها به یک پایه نیاز دارند که قابل تکرار، قابل آزمایش و غیرمحتمل برای مختل کردن عملیات روزمره باشد. راهنمای امنیت دسکتاپ از راه دور مایکروسافت از همان اصل کلی حمایت میکند: کاهش قرارگیری مستقیم، سپس تقویت دسترسی و نظارت فعال.
- دسترسی مستقیم اینترنتی RDP را در صورت امکان حذف کنید و دسترسی را از طریق VPN، دروازه یا الگوهای پشتیبانی هدایت کنید.
- اگر RDP باید در دسترس بماند، دسترسی ورودی را به یک فهرست مجاز کوچک IP محدود کنید و به طور منظم آن را بررسی کنید.
- احراز هویت سطح شبکه (NLA) را فعال کنید و از همه کاربران تعاملی بخواهید که از اعتبارنامههای قوی و منحصر به فرد استفاده کنند.
- دسترسیهای ویژه را محدود کنید: عضویت مدیر محلی را به حداقل برسانید و عضویت کاربران Remote Desktop را بررسی کنید.
- سیاست قفل کردن حساب را به طور عمدی تنظیم کنید (آستانه، مدت زمان، بازنشانی شمارنده) و آن را آزمایش کنید تا از بروز قطعیهای ناشی از قفل شدن جلوگیری کنید.
- ورودهای ناموفق را زیر نظر داشته باشید (به عنوان مثال، شناسه رویداد 4625) و الگوهای موفقیت پس از شکست را به سرعت بررسی کنید.
- ویندوز، اجزای مرتبط با RDP و خدماتی که به اینترنت متصل هستند را طبق یک برنامه زمانبندی مشخص بهروز نگهدارید.
- دسترسی به مستندات در شرایط اضطراری، از جمله نحوه بازیابی دسترسی به کنسول در صورتی که قوانین شبکه ورود از راه دور را مسدود کنند.
اگر میخواهید یک بررسی ساختاریافته داشته باشید، از ما استفاده کنید بازرسی امنیت RDP: یک چک لیست 20 موردی برای 2026 .
برای MSPها، آنچه را که میتوانید استاندارد کنید (قالبهای GPO، استانداردهای فایروال، فهرستهای IP مدیریت مجاز) و لیستهای مجاز و استثنائات خاص مشتری را به وضوح مستند نگه دارید. اگر به یک لایه سختافزاری عملی در بسیاری از سرورهای مشتری نیاز دارید، TSplus Advanced Security میتواند به عنوان بخشی از یک بسته امنیتی استاندارد دسترسی از راه دور مستقر شود و TSplus Remote Access میتواند از یک رویکرد "عدم نمایش RDP خام به طور مستقیم" برای برنامهها و دسکتاپهای منتشر شده پشتیبانی کند.
FAQ
آیا تغییر پورت پیشفرض RDP حملات بروتفورس را متوقف میکند؟
تغییر شماره پورت RDP میتواند نویز اسکن فرصتطلبانه را کاهش دهد و راهنماییهای حادثهای مایکروسافت آن را به عنوان یک کاهش موقتی در برخی سناریوها ذکر میکند، اما این کار جلوی حدسهای هدفمند را نمیگیرد. آن را به عنوان یک تاکتیک ثانویه در نظر بگیرید و ابتدا بر کاهش قرارگیری (لیست سفید، دروازه، VPN، دژ) و تقویت احراز هویت تمرکز کنید.
چه تنظیمات سیاست ویندوز برای حفاظت در برابر حملات brute-force RDP مهمتر هستند؟
با فعالسازی NLA برای RDP شروع کنید، محدود کردن افرادی که حق ورود از طریق Remote Desktop را دارند و پیکربندی سیاست قفل حساب (آستانه، مدت زمان، بازنشانی شمارنده) طبق مستندات Microsoft Learn. سیاستهای قوی رمز عبور و حقوق مدیریت حداقلی نیز احتمال اینکه حدس زدن منجر به یک نفوذ معنادار شود را کاهش میدهد.
آیا تنظیمات قفل حساب میتوانند در طول یک حمله، اختلالات RDP را بدتر کنند؟
بله. اگر RDP به طور گستردهای در معرض باشد، مهاجمان میتوانند به طور عمدی قفل شدن حسابهای واقعی را فعال کنند که این مشکل منجر به عدم دسترسی به خدمات میشود. به همین دلیل، ترتیب پیشنهادی این است که ابتدا میزان در معرض بودن را کاهش دهید، سپس قفل شدن و محدودسازی را به گونهای تنظیم کنید که امنیت را با در دسترس بودن متوازن کند.
آیا احراز هویت سطح شبکه (NLA) برای ایمنسازی RDP کافی است؟
NLA یک خط پایه مهم است، اما به تنهایی از اسپری کردن رمز عبور یا پر کردن اعتبار جلوگیری نمیکند. شما هنوز به کاهش قرارگیری، بهداشت قوی اعتبار، محدودسازی معقول یا رفتار قفل کردن و نظارت بر الگوهای ورود غیرمعمول نیاز دارید.
برای شناسایی زودهنگام تلاشهای حملهی brute-force RDP چه چیزی را باید نظارت کنم؟
به دنبال افزایشهای غیرعادی در ورودهای ناموفق باشید که معمولاً به عنوان شناسه رویداد 4625 قابل مشاهده است، به ویژه زمانی که از بسیاری از IPهای خارجی میآید یا در یک بازه زمانی کوتاه به بسیاری از نامهای کاربری هدف میزند. همچنین هر ورود موفقی که بلافاصله پس از شکستهای مکرر رخ میدهد را بررسی کنید، زیرا میتواند نشاندهنده یک رمز عبور حدس زده شده یا استفاده مجدد شده باشد.
نتیجهگیری: کاهش قرارگیری را در اولویت قرار دهید، سپس سختافزاری و خودکارسازی کنید.
حفاظت در برابر حملات brute force RDP یک تنظیم واحد نیست. این یک رویکرد چند لایه است که بهترین عملکرد را در این ترتیب دارد: کاهش یا حذف قرارگیری مستقیم، تقویت احراز هویت (NLA، اعتبارنامههای قوی، حداقل امتیاز، قفلگذاری معقول یا کاهش سرعت)، اعمال کنترلهای شبکه که واقعاً قابلیت دسترسی را محدود میکنند، نظارت بر الگوهای معنادار و بهطور دقیق خودکار کردن مسدودسازی برای جلوگیری از مثبتهای کاذب.
تغییرات خود را مستند کنید، در صورت امکان آنها را خارج از ساعات کاری آزمایش کنید و تأیید کنید که مسیر اضطراری شما پس از تنظیمات فایروال و قفل همچنان کار میکند. اگر میخواهید این حفاظتها را با تلاش دستی کمتر عملی کنید، TSplus Advanced Security میتواند در حفاظت در برابر حملات brute-force و محدودیتهای دسترسی کمک کند و TSplus Remote Access میتواند یک مدل تحویل ایمنتر برای برنامههای ویندوز و دسکتاپهای منتشر شده از طریق یک پورتال وب ارائه دهد. برای ارزیابی، میتوانید دانلود آزمایش و بررسی قیمت گذاری .