Tartalomjegyzék
RDP brute force protection: how to block attacks and keep remote access working

Milyen egy RDP brute-force támadás a gyakorlatban

Általában észreveszed RDP brute force ugyanúgy: ismételt sikertelen bejelentkezések egy interneten elérhető Windows szerver ellen, amelyet gyakran követnek fióklezárások, zajos biztonsági naplók és aggódó felhasználók, akik nem tudnak csatlakozni. Ezeknek a támadásoknak sok esetben nincs "célzott" jellege az emberi értelemben. Az interneten elérhető RDP folyamatosan be van szkennelve, és az automatizált eszközök folyamatosan próbálkoznak felhasználónevekkel és jelszavakkal, amíg nem találnak egy gyenge hitelesítőt vagy nem okoznak zavart.

A MITRE ATT&CK-ban ez a következőhöz térképezi fel Technika T1110 (Brute Force) , amely magában foglalja a kapcsolódó mintákat, például a jelszó kitalálást és a jelszó permetezést. A gyakorlati műveletek szempontjából az RDP brute force támadások ismételt távoli bejelentkezési kísérletek (gyakran automatizáltak), amelyek sok jelszót vagy sok fiókot próbálnak meg egy nyilvános RDP szolgáltatás ellen, amíg a hitelesítő adatok meg nem találhatók vagy a fiókok meg nem zavarodnak.

A tipikus tünetek közé tartozik:

  • A hirtelen növekedés a sikertelen bejelentkezésekben a Windows biztonsági naplókban
  • Sok kísérlet a közönséges fióknevek ellen (Administrator, admin, teszt, szolgáltatás-stílusú nevek)
  • Sok külső IP-címről érkező hibák, amelyek néha gyakran váltakoznak.
  • Felhasználói panaszok a fiók zárolásáról vagy a lassú bejelentkezési teljesítményről
  • Magasabb CPU- vagy hitelesítési terhelés a csúcsidőszakokban (az LSASS és az RDP-hez kapcsolódó szolgáltatások érintettek lehetnek)

Segít, ha megnevezi, amit lát. A "brute force" általában azt jelenti, hogy sok jelszót próbálnak meg egy fiók ellen. A "jelszó permetezés" azt jelenti, hogy néhány gyakori jelszót próbálnak meg sok fiók ellen, hogy elkerüljék a zárolási küszöböket. A "hitelesítő adatok betöltése" azt jelenti, hogy másutt ellopott felhasználónév és jelszó párokat tesztelnek. Mindhárom esetben ismételt távoli bejelentkezési hibák jelennek meg, és ugyanazt az első reakciót érdemlik: csökkenteni kell a kitettséget és lelassítani a kísérleteket.

Gyors diagnózis: erősítse meg, hogy RDP brute force (és nem egy hibás konfiguráció)

Mielőtt megváltoztatná a politikákat és kockáztatná a jogos felhasználók kizárását, erősítse meg, mi nem működik, honnan, és mekkora mennyiségben. Microsoft saját hibaelhárító útmutatója Azure VM-ekhez bruteforce támadás alatt ugyanazt a kiindulópontot használja az Azure-on kívül is: keressen nagy mennyiségű sikertelen bejelentkezést, és korrelálja azokat a külső forrás IP-címekkel.

  • Ellenőrizze a Windows Security naplókat a sikertelen bejelentkezések hirtelen növekedése miatt, amikor a felhasználók problémákat jelentettek. A 4625-ös eseményazonosító gyakori jelző a felülvizsgálathoz.
  • Keressen mintákat: ismétlődő fióknevek, sok különböző fiók, vagy ugyanaz az IP-cím több felhasználót is elér.
  • Korrellálja a sikertelen bejelentkezéseket a sikeres bejelentkezésekkel, amelyek nem sokkal ezután történnek. A sikeres bejelentkezéseket gyakran az 4624-es eseményazonosítóként rögzítik, a felülvizsgálati politikájától függően.
  • Megerősítés: elérhető-e a TCP 3389 (vagy a saját RDP portja) az internetről egy tűzfal szabályon, NAT-on, porttovábbításon vagy felhőbiztonsági csoporton keresztül?
  • Ellenőrizze, hogy nem lát-e „hamis riasztásokat” jogos forrásokból (egy RDS átjáró, egy VPN koncentrátor, egy távoli kezelőeszköz vagy egy belső szkenner), amelyek ismételt hibaként jelennek meg egy elmentett hibás jelszó miatt.

Ha nagy mennyiségben, sok külső IP-címről, rövid időn belül látja a 4625-ös eseményazonosítót, valószínűleg aktív kitalálással vagy sprével van dolga, nem pedig egyetlen felhasználó helytelen jelszót gépel.

Állítsa meg a vérzést 15-30 perc alatt (hatékony intézkedések)

Amikor a brute-force forgalom aktív, a prioritás a kontroll helyreállítása és egy biztonságos adminisztrátori útvonal fenntartása. A leggyorsabb módja az RDP brute-force kockázat csökkentésének, ha megállítjuk az RDP közvetlen internetre való kitettségét, és korlátozzuk a bejövő hozzáférést egy ismert, megbízható IP-címekből álló halmazra vagy egy biztonságos hozzáférési útra (gateway, VPN vagy bastion). A Microsoft Learn útmutatása Azure eseményekhez megerősíti ezt a tartási megközelítést: először korlátozza a bejövő hozzáférést, majd javítsa a hozzáférési utat.

  1. Hozzon létre egy biztonságos visszatérési módot, mielőtt bármit megváltoztatna. Ha már kizárták, használja a külső hozzáférést (hipervizor konzol, iLO/iDRAC, felhői soros konzol, bastion vagy VPN), hogy a tűzfal módosításai után is tudja kezelni a gazdagépet.
  2. Távolítsa el az RDP közvetlen internetes expozícióját. Tiltsa le a nyilvános porttovábbítást, vagy szigorítsa a bejövő szabályokat, hogy az RDP ne legyen nyitva „bármely forrás” számára. Ha nem tudja azonnal eltávolítani, korlátozza a bejövő hozzáférést egy rövid engedélyezett listára (az irodai IP-címek, a menedzsment hálózat, az MSP fix kimeneti IP-címek).
  3. Az Azure-on vagy hasonló felhőkön azonnal szigorítsa a perimétert. Korlátozza a bejövő szabályt az NSG-jében vagy annak megfelelőjében. Ha van rá lehetősége, váltson a Microsoft által jóváhagyott mintákra, mint például az Azure Bastion, VPN Gateway vagy az azonnali hozzáférési koncepciók, hogy csökkentse a kitettségi időszakokat.
  4. Megerősít Hálózati szintű hitelesítés (NLA) engedélyezve van. Az NLA hitelesítést kér, mielőtt a teljes távoli asztali munkamenet létrejön, ami csökkenti a pre-auth kockázatoknak való kitettséget, és csökkenti a felesleges erőforrás-használatot a találgatás során.
  5. Ellenőrizze, ki tud bejelentkezni RDP-n keresztül. Érvényesítse a helyi rendszergazdák és a Távoli Asztali Felhasználók tagságát, és távolítsa el azokat a széles csoportokat, amelyeknek nincs szükségük interaktív távoli bejelentkezésre.
  6. Védje meg a privilégiumos fiókokat azonnal. Ha gyanítja, hogy egy jelszó gyenge vagy kiszivárgott, a jogosultságokkal rendelkező fiókok hitelesítő adatait szabályozott módon cserélje le, és ellenőrizze a váratlan új helyi rendszergazdákat vagy az újonnan engedélyezett fiókokat.
  7. Stabilizálja a hozzáférést a valódi felhasználók számára. Ha a felhasználók ki vannak zárva, a megoldás általában a kitettség csökkentése és a jobb korlátozás, nem a biztonság csökkentése. Kerülje el a sietős zárolási változtatásokat, amelyek szélesebb körű leállást okozhatnak.

Miután a forgalmat sikerült korlátozni, biztonságosan végezhet hosszú távú változtatásokat. Ha eszközökkel támogatott megközelítést szeretne, miután visszanyerte az irányítást, TSplus Advanced Security segíthet a brute-force blokkolás és a hozzáférési korlátozások működésbe hozásában Windows szervereken, de a korlátozás még mindig az expozíció csökkentésével kezdődik.

Csökkentse a támadási felületet: az elérési architektúrák, amelyek csökkentik a brute-force kockázatot

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

Ha csak egy dolgot tanulsz a megismételt RDP támadásokból, az legyen ez: az architektúra felülmúlja a finomhangolást. Egy ellenőrzött belépési pont elhelyezése a munkamenet hosztok előtt megváltoztatja, hogy a támadók mit érhetnek el és mit tudsz érvényesíteni. Microsoft biztonsági blogjának útmutatója a távoli asztal használatához kiemeli a közvetlen kitettség csökkentését, és Microsoft Learn dokumentumok RD Gateway mint a TLS-en keresztüli biztonságos hozzáférés biztosításának módja, megfelelő tanúsítványbeállítással.

A legmegbízhatóbb módja az RDP brute-force kísérletek csökkentésének az, hogy elkerüljük a közvetlen RDP kitettséget, és ehelyett egy ellenőrzött belépési ponton, például a következőn keresztül követeljük meg a hozzáférést: RD Gateway VPN vagy egy bastion, lehetőleg erős hitelesítéssel.

Hozzáférési minta Kitettség és brute-force kockázat Működési összetettség Amikor illeszkedik Megjegyzések
Közvetlen RDP az internetről A legmagasabb kockázat és a legnagyobb zaj. Folyamatos szkennelés és találgatás. Alacsony a beállításhoz, magas a védelemhez. Csak rövid távú vészhelyzeti hozzáférés szigorú korlátozásokkal. A port megváltoztatása csökkentheti az opportunista szkennelést, de önmagában nem nyújt erős védelmet.
Közvetlen RDP IP engedélyezéssel Kisebb kitettség, ha az engedélyezett lista kicsi és stabil. Közepes. Megköveteli az engedélyezett listák fenntartását és az utazások/ISP-változások kezelését. Kis adminisztrátor csapatok rögzített irodai IP-kkel vagy rögzített MSP kimenettel. A legjobban akkor működik, ha erős hitelesítési ellenőrzésekkel és megfigyeléssel párosítják.
RD Gateway az RDS/RDP előtt Csökkenti a session hostok és a TLS-en keresztüli alagutak közvetlen kitettségét. Közepes és magas. A tanúsítványok, elérhetőség és a politika tervezése fontos. Windows-centrikus környezetek, amelyek már RDS mintákat használnak. A Microsoft Learn RDS tervezési útmutatója a kapu követelményeit tartalmazza. A Microsoft licencelés a te felelősséged, és azt a Microsofttal vagy egy megfelelő licencpartnerral kell érvényesíteni.
VPN távoli hozzáféréshez Helyesen elvégezve eltávolítja az RDP-t a nyilvános hozzáféréstől. Közepes. Az ügyfél telepítése, irányítása és az MFA integráció változik. Adminok és munkatársak, akik szélesebb hálózati hozzáférésre van szükségük, nem csak egy alkalmazásra. Korlátozza a VPN felhasználókat arra, amire szükségük van, majd még mindig biztosítsa az RDP-t a hálózaton belül.
Bastion vagy ugró hoszt Erős expozíció csökkentés. Az RDP csak a bastion kontextusból érhető el. Közepes. Erős ellenőrzés szükséges a bástya magán. Felhőalapú szerverek, szabályozott környezetek és adminisztrátori hozzáférés. Gyakran jól párosítható az éppen időben elérhető ablakokkal és a platformtól függő feltételes vezérlésekkel.
Alkalmazások/asztalok közzététele webportálon (HTTPS) Csökkentheti vagy megszüntetheti a nyers RDP nyilvános kiadásának szükségességét a tervezéstől függően. Alacsony és közepes. A felhasználók igényeinek kielégítésére összpontosít, nem a teljes hálózati hozzáférésre. KKV-k, amelyek Windows alkalmazások vagy távoli asztalok egy készletét biztosítják felhasználóknak és partnereknek. Ha az a célja, hogy a felhasználók hozzáférjenek a Windows alkalmazásokhoz anélkül, hogy a nyers RDP-t az internetnek kitéve hagyná, a TSplus Remote Access érdemes megfontolni az alkalmazás- és asztali kiadás érdekében egy biztonságos webportálon keresztül.

Ha néhány RDP-hozzáférést meg kell tartania, kezelje azt védett adminisztrátori felületként, ne pedig általános távoli munkabejárati pontként. Ha a következő felé halad, alkalmazás- és asztali kiadás egy biztonságos webportálon keresztül , egy gyors kezdő útmutató segíthet elindulni. A biztonsági helyzete jelentősen javul, amikor a legtöbb felhasználó soha nem csatlakozik a TCP 3389-hez.

Hozzáférés-ellenőrzés megerősítése RDP-n anélkül, hogy valódi felhasználókat zárnánk ki

A jó brute-force ellenállás egyensúlyt teremt a támadók lelassítása és a jogosult hozzáférés megbízhatóságának fenntartása között. A hatékony brute-force ellenállás az NLA és a erős hitelesítő adatok kombinálásával, valamint egy sebességkorlátozó vagy zárolási politikával valósul meg, amely lelassítja az ismételt hibákat, miközben úgy van beállítva, hogy elkerülje a támadók által kiváltott szolgáltatásmegtagadást. NIST SP 800-63B megbeszéli a korlátozást és a többszöri sikertelen hitelesítési kísérletek kezelését mint alapvető ellenőrzést, mivel ez csökkenti a gyors találgatás lehetőségét.

Kezdje az NLA-val és a fiók higiénével

Az NLA egy alapértelmezett követelmény az RDP-hez, mivel hitelesítést igényel, mielőtt a munkamenet teljesen létrejönne. Önmagában nem állítja meg a jelszó spriccelést, de csökkenti a kitettséget és a pazarló erőforrásokat azzal szemben, hogy lehetővé teszi a hitelesítetlen munkamenetek további előrehaladását.

Ezután foglalkozzon az identitás alapjaival, amelyeken a brute force támaszkodik: távolítsa el a felesleges adminisztrátori jogokat, érvényesítse a legkisebb jogosultságot, és tisztítsa meg a régi fiókokat. Ha nyilvánvaló vagy megosztott helyi adminisztrátori fiókjai vannak, forgassa őket, korlátozza, hol jelentkezhetnek be, és fontolja meg azok átnevezését vagy letiltását, amelyeknek nincs szükségük interaktív bejelentkezésre. Tartsa szorosra a Távoli Asztal Felhasználókat és a helyi Adminisztrátorokat, különösen azokon a szervereken, amelyek érzékeny adatokat tárolnak.

Zárolás és korlátozás: miért fontos a hangolás

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

A Windows-fiók zárolási házirend beállításait általában a brute-force sikerének csökkentésére használják, és A Microsoft Learn dokumentálja a kulcsszavakat zárolási küszöb, zárolási időtartam és visszaállító számláló. A kompromisszum a rendelkezésre állás. A támadók szándékosan kiválthatják a zárolásokat a valódi felhasználók (vagy a helpdesk és az adminisztrátorok) számára, ha a küszöbértéked túl alacsony, és a kitettséged széles.

Használja ezeket a döntési tényezőket, amikor a zárolást és a korlátozást beállítja:

  • Mennyire van kitéve a szolgáltatás? Ha az RDP elérhető az egész internetről, a zárolások valószínűbb, hogy fegyverként használhatók. Először csökkentse a kitettséget, majd állítsa be a zárolást.
  • Hogyan hitelesítik a felhasználók magukat? Egy átjáró, VPN vagy bástya csökkentheti a session host agresszív zárolásának szükségességét, mivel kevesebb ismeretlen forrás érheti el.
  • Mennyibe kerül egy kizárás? Ha a zárolás leállást jelent a termelési támogatói csapat számára, akkor előnyben részesítheti a sebességkorlátozást és az IP-alapú kitiltásokat a szigorú fiókzárolásokkal szemben.
  • Hogyan viselkednek a megosztott fiókok? A megosztott hitelesítő adatok megsokszorozzák a zárolások hatását. Lehetőleg szüntesse meg a megosztott fiókokat.

Különleges eset: beépített helyi rendszergazda

Sok környezetben még mindig van egy beépített helyi Adminisztrátor fiók a szervereken és munkaállomásokon, és a zárolási viselkedése gyakori zűrzavart okozott. Microsoft Support KB5020282 információt nyújt a beépített helyi rendszergazdák fiókjának zárolásáról, beleértve, hogy a zárolás hogyan vonatkozhat a hálózati bejelentkezésekre, például az RDP-re, a konfigurációtól és a verziótól függően. Ne feltételezze, hogy a beépített rendszergazda ugyanúgy viselkedik, mint egy normál felhasználói fiók, és tesztelje kontrollált módon, mielőtt a zárolási viselkedést elsődleges ellenőrzésként használná.

A csapatok számára, akik praktikus megerősítési réteget szeretnének, a TSplus Advanced Security tartalmazza a bruteforce védelmet, amelyet a jogosulatlan próbálkozások megállítására terveztek a gazdagép szintjén. Kiegészítenie kell a szigorú Windows hitelesítési politikákat és a gondos zárolási beállításokat, nem pedig helyettesítenie.

Hálózati vezérlések, amelyek segítenek (és azokat, amelyeket az emberek túlértékelnek)

A hálózati vezérlések gyakran a leggyorsabb fejlesztések, amelyeket végrehajthatsz, de különböző valós értékkel bírnak. A Microsoft útmutatása az RDP brute-force problémákkal kapcsolatban (beleértve az Azure forgatókönyveket is) következetesen a bejövő kapcsolatok korlátozását helyezi előtérbe a kozmetikai változtatásokkal szemben.

Magas érték: IP engedélyezés. Ha korlátozni tudja az RDP-t ismert címekre (irodai kimeneti IP-címek, VPN tartományok, bastion alhálózatok, MSP fix IP-címek), azonnal eltávolítja a legtöbb brute-force forgalmat. Ez a megfigyelését is értelmesebbé teszi, mivel a fennmaradó hibák egy kisebb forrássorból származnak.

Hasznos óvatosan: földrajzi és hírnév alapú ellenőrzések. A geo-blokkolás és az IP-hírnév csökkentheti a zajt, de blokkolhatja a jogos felhasználókat is, akik utaznak, roaming hálózatokból csatlakoznak, vagy CGNAT-on keresztül érkeznek. A támadók VPN-eket és proxykat is használhatnak, ezért a geo-ellenőrzéseket kockázatcsökkentő intézkedésként kell kezelni, nem pedig garanciaként.

Túlbecsült: az RDP port megváltoztatása. Az IP engedélyezés jelentősen csökkenti az RDP brute-force kitettséget, míg az RDP port megváltoztatása elsősorban az opportunista szkennelést csökkenti, és nem szabad elsődleges védelemként számítani rá. A portváltoztatás időt nyerhet egy incidens során, de nem kezeli a jelszó spriccelést egy eltökélt szereplőtől, aki felfedezheti a portot.

Olyan környezetekben, ahol a csapatok egyszerűbb érvényesítést szeretnének, mint a bonyolult szabályrendszerek manuális fenntartása, a TSplus Advanced Security hozzáadja földrajzi védelem és IP-alapú vezérlések ami következetesen alkalmazható a szervereken.

Monitoring és észlelés: mit kell naplózni, figyelmeztetni és kivizsgálni

A brute force az egyik olyan probléma, amely utólag nyilvánvalónak tűnik, és drágának, amikor későn észlelik. A megfigyelés célja nem az, hogy örökké számolja a sikertelen bejelentkezéseket. Az, hogy korán észleljük a rendellenes mintákat, és megvizsgáljuk, hogy ezek a kísérletek valaha sikeres bejelentkezésre vezettek-e.

Monitorozza a szokatlan csúcsokat a sikertelen bejelentkezésekben (gyakran az 4625-ös eseményazonosító) és figyelmeztessen azokra a mintákra, amelyek jelszó spriccelésre vagy sikeres következő bejelentkezésre utalnak a többszöri hiba után. A Microsoft bruteforce hibaelhárítási útmutatója ugyanazt az artefaktumot (4625) emeli ki, mivel ez egy praktikus kiindulópont, amikor az adminisztrátorok próbálnak visszanyerni hozzáférést és megérteni a terjedelmet.

A napi működéshez három vizsgálati kérdésre összpontosítson:

A forgalom külső vagy belső? A nyilvános interfészhez érkező külső IP-k kitettségi problémákra utalnak. A belső IP-k egy kompromittált végpontot vagy egy hibásan konfigurált szolgáltatásfiókot jelezhetnek.

Egy fiók vagy sok? Egy fiók a brute force támadásra utal. Sok fiók, amely alacsony próbálkozásszámmal rendelkezik, a jelszó permetezésére utal.

Sikerült bármelyik fióknak a robbanás után? A sikeres bejelentkezés, amelyet röviddel a többszöri sikertelen próbálkozás után hajtanak végre, magas prioritású korreláció, amelyet érdemes megvizsgálni, különösen a privilégiumokkal rendelkező fiókok esetében.

Ha még nem centralizálja a Windows naplókat, fontolja meg a Windows események továbbítását vagy a meglévő SIEM-jét, hogy következetesen tudjon riasztani több szerveren. Azoknak a csapatoknak, akiknek egyszerű megoldásra van szükségük figyelmeztetések és történelmi láthatóság a támadási csúcsok alatt , TSplus Szerver Figyelés segíthet a szerver állapotának és elérhetőségének nyomon követésében a biztonsági naplózás mellett.

Automatikus blokkolási megközelítések (és hogyan kerülhetjük el a hamis pozitív eredményeket)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

A kézi válaszadás nem skálázható, amikor a hosztjaid interneten keresztül elérhetők. Az automatizálás az, ahol sok csapat visszanyeri az irányítást, amennyiben azt visszafordíthatóra és a jogos hozzáférés védelmére tervezték. A legbiztonságosabb automatizálás blokkolja az ismételt sikertelen bejelentkezéseket időkorlátos kitiltásokkal és világos engedélyezett listákkal, és figyelembe kell vennie a megosztott IP-címeket, hogy elkerülje a jogos felhasználók blokkolását.

Amit az automatizálás a gyakorlatban jelent

A gyakori megközelítések közé tartoznak a gazdafal modulok, amelyek észlelik az ismételt hibákat és ideiglenesen kitiltanak egy IP-t, az EDR funkciók, amelyek észlelik a jelszó kitalálási viselkedést, valamint a biztonsági naplókat elemző szkriptek, amelyek dinamikus tűzfalszabályokat alkalmaznak. A kapu központú vezérlések (RD Gateway, VPN, bastion) gyakran csökkentik az agresszív gazdaszintű blokkolás szükségességét, mivel kevesebb ismeretlen forrás éri el a szervert.

Ahol a csapatok megégnek

Megosztott NAT és CGNAT. Ha sok jogos felhasználó érkezik egy nyilvános IP-címről (például egy fiókirodából, egy szállodai hálózatról, néhány internetszolgáltatótól), akkor az IP-cím blokkolása a támadók mellett a jó felhasználókat is kizárhatja. Az időkorlátos tilalmak és a jól ismert engedélyezett listák csökkentik a robbanási sugár terjedelmét.

A saját menedzsment útvonalának blokkolása. Mindig engedélyezze a VPN tartományait, a bastion alhálózatot és az MSP menedzsment kimeneti IP-címeket, mielőtt engedélyezné az agresszív blokkolást. Dokumentáljon egy vészhelyzeti utat, amely nem támaszkodik ugyanarra a hálózati útvonalra.

Zárolás miatti leállások. Ha az egyetlen ellenőrzésed a fiók zárolása, a támadók ezt szolgáltatásmegtagadássá alakíthatják. Párosítsd a zárolási politikákat a kitettség csökkentésével és az IP-alapú korlátozással, hogy a gazda ne váljon a szűk keresztmetszetté.

A TSplus Advanced Security gyakorlati bruteforce védelmet ad hozzá. , IP és földrajzi vezérlések, valamint a Windows szerverekre összpontosító zsarolóvírus elleni megerősítés, amely segíthet csökkenteni a megismételt RDP bejelentkezési kísérleteket anélkül, hogy nehéz biztonsági megoldásokat kellene telepíteni.

A praktikus alap a KKV és MSP környezetekhez

A kis- és középvállalkozásoknak (SMB) és a szolgáltatásnyújtóknak (MSP) egy olyan alapra van szükségük, amely megismételhető, tesztelhető, és valószínűtlen, hogy megszakítja a napi működést. A Microsoft távoli asztali biztonsági irányelvei ugyanazt az általános elvet támogatják: csökkenteni a közvetlen kitettséget, majd megerősíteni a hozzáférést és aktívan figyelni.

  • Távolítsa el az RDP közvetlen internetes expozícióját, ahol lehetséges, és irányítsa az hozzáférést VPN-en, átjárón vagy bástya mintákon keresztül.
  • Ha az RDP-nek elérhetőnek kell maradnia, korlátozza a bejövő hozzáférést egy kis IP engedélyezési listára, és rendszeresen ellenőrizze azt.
  • Engedélyezze a Hálózati Szintű Hitelesítést (NLA), és követelje meg az erős, egyedi hitelesítő adatokat minden interaktív felhasználótól.
  • Szűkítse a privilégiumokkal rendelkező hozzáférést: minimalizálja a helyi adminisztrátor tagságot és ellenőrizze a Remote Desktop Users tagságot.
  • Szándékosan állítsa be a Fióklezárási Politika paramétereit (küszöbérték, időtartam, visszaállítási számláló) és tesztelje, hogy elkerülje a lezárás miatti leállásokat.
  • Figyelje a sikertelen bejelentkezéseket (például az 4625-ös eseményazonosítót), és azonnal vizsgálja meg a sikeres-után-sikertelen mintákat.
  • Tartsa naprakészen a Windows, az RDP-hez kapcsolódó összetevőket és az internetnek kitett szolgáltatásokat egy meghatározott ütemterv szerint.
  • Dokumentum törésüveg hozzáférés, beleértve, hogy hogyan nyeri vissza a konzolhoz való hozzáférést, ha a hálózati szabályok blokkolják a távoli belépést.

Ha strukturált értékelést szeretne, használja a RDP Biztonsági Audit: 20 Pontból álló Ellenőrzőlista 2026-ra .

MSP-k számára standardizálja, amit csak tud (GPO sablonok, tűzfal alapbeállítások, engedélyezett kezelési IP-inventáriumok), és tartsa világosan dokumentálva az ügyfél-specifikus engedélyezett listákat és kivételeket. Ha szüksége van egy gyakorlati megerősítési rétegre sok ügyfélszerveren, a TSplus Advanced Security részeként telepíthető egy standard távoli hozzáférési biztonsági csomagban, és a TSplus Remote Access támogathatja a "ne tegye ki közvetlenül a nyers RDP-t" megközelítést a közzétett alkalmazások és asztalok esetében.

FAQ

Megakadályozza a brute-force támadásokat a RDP alapértelmezett portjának megváltoztatása?

A RDP port megváltoztatása csökkentheti az opportunista szkennelési zajt, és a Microsoft saját incidens útmutatása említi ezt ideiglenes enyhítésként bizonyos forgatókönyvekben, de nem állítja meg a célzott találgatást. Tekintse ezt másodlagos taktikának, és először a kitettség csökkentésére (engedélyezési lista, átjáró, VPN, bástya) és az azonosítás megerősítésére összpontosítson.

Mely Windows házirendbeállítások a legfontosabbak az RDP brute-force védelem szempontjából?

Kezdje az NLA engedélyezésével az RDP-hez, szigorítva, hogy ki rendelkezik joggal a Remote Desktop-on való bejelentkezésre, és konfigurálja a Fióklezárási Szabályzatot (küszöbérték, időtartam, visszaállító számláló) a Microsoft Learn dokumentációja szerint. Az erős jelszópolitikák és a minimális jogosultságú adminisztrátori jogok szintén csökkentik annak esélyét, hogy a találgatás jelentős kompromisszummal járjon.

Az account zárolási beállítások súlyosbíthatják az RDP leállásokat egy támadás során?

Igen. Ha az RDP széles körben ki van téve, a támadók szándékosan kiválthatják a zárolásokat a valódi felhasználók számára, ami szolgáltatásmegtagadási problémát okoz. Ezért a javasolt sorrend az, hogy először csökkentsük a kitettséget, majd úgy állítsuk be a zárolást és a korlátozást, hogy egyensúlyt teremtsünk a biztonság és a rendelkezésre állás között.

Elég a Hálózati Szintű Hitelesítés (NLA) az RDP védelméhez?

Az NLA egy fontos alap, de önmagában nem akadályozza meg a jelszópermetezést vagy a hitelesítő adatok töltögetését. Továbbra is szükség van a kitettség csökkentésére, a szigorú hitelesítő adatkezelésre, az ésszerű korlátozásra vagy zárolási viselkedésre, valamint a szokatlan bejelentkezési minták figyelésére.

Mit kell figyelnem az RDP brute-force kísérletek korai észleléséhez?

Keressen rendellenes csúcsokat a sikertelen bejelentkezésekben, amelyek általában az 4625-ös eseményazonosítóként láthatók, különösen, ha sok külső IP-címről érkeznek, vagy sok felhasználónevet céloznak meg rövid időn belül. Vizsgálja meg azokat a sikeres bejelentkezéseket is, amelyek röviddel a többszöri hiba után történnek, mert ez egy kitalált vagy újrahasznált jelszóra utalhat.

Következtetés: először a kitettség csökkentésére, majd a megerősítésre és automatizálásra összpontosítson.

Az RDP bruteforce védelem nem egy beállítás. Ez egy réteges megközelítés, amely a legjobban ebben a sorrendben működik: csökkenteni vagy megszüntetni a közvetlen kitettséget, megerősíteni a hitelesítést (NLA, erős hitelesítő adatok, minimális jogosultság, ésszerű zárolás vagy korlátozás), alkalmazni a hálózati ellenőrzéseket, amelyek valóban korlátozzák az elérhetőséget, figyelni a jelentős mintákra, és gondosan automatizálni a blokkolást a hamis pozitív eredmények elkerülése érdekében.

Dokumentáld a változtatásaidat, teszteld őket munkaidőn kívül, amikor lehetséges, és érvényesítsd, hogy a vészhelyzeti eljárásod továbbra is működik a tűzfal és a zárolási beállítások módosítása után. Ha szeretnéd ezeket a védelmeket kevesebb manuális erőfeszítéssel működésbe hozni, a TSplus Advanced Security segíthet a bruteforce védelemben és a hozzáférési korlátozásokban, a TSplus Remote Access pedig biztonságosabb szállítási modellt kínál a közzétett Windows alkalmazások és asztalok számára egy webportálon keresztül. Az értékeléshez, teheted. letöltés próba és értékelés árak .

További olvasmányok

back to top of the page icon