Apa yang terlihat seperti serangan brute-force RDP dalam praktiknya
Anda biasanya memperhatikan RDP brute force cara yang sama: upaya masuk yang gagal berulang kali terhadap server Windows yang dapat diakses dari internet, sering diikuti oleh penguncian akun, log Keamanan yang bising, dan pengguna yang khawatir yang tidak dapat terhubung. Banyak dari serangan ini tidak "ditargetkan" dalam arti manusia. RDP yang terpapar internet terus-menerus dipindai, dan alat otomatis akan terus mencoba nama pengguna dan kata sandi sampai mereka menemukan kredensial yang lemah atau menciptakan gangguan.
Dalam MITRE ATT&CK, ini dipetakan ke Teknik T1110 (Brute Force) , yang mencakup pola terkait seperti tebakan kata sandi dan penyemprotan kata sandi. Dalam istilah operasi praktis, serangan brute force RDP adalah upaya logon jarak jauh yang diulang (sering otomatis) yang mencoba banyak kata sandi atau banyak akun terhadap layanan RDP yang terbuka sampai kredensial ditemukan atau akun terganggu.
Gejala yang umum termasuk:
- Lonjakan mendadak dari kegagalan logon di log Keamanan Windows
- Banyak upaya terhadap nama akun umum (Administrator, admin, tes, nama gaya layanan)
- Kegagalan yang berasal dari banyak alamat IP eksternal, terkadang berputar dengan cepat.
- Pengguna mengeluh tentang penguncian akun atau kinerja logon yang lambat
- Beban CPU atau otentikasi yang lebih tinggi selama lonjakan (layanan terkait LSASS dan RDP dapat terpengaruh)
Ini membantu untuk menyebutkan apa yang Anda lihat. "Brute force" biasanya berarti banyak kata sandi terhadap satu akun. "Password spraying" berarti beberapa kata sandi umum terhadap banyak akun untuk menghindari ambang penguncian. "Credential stuffing" berarti menguji pasangan nama pengguna dan kata sandi yang dicuri di tempat lain. Ketiga hal ini muncul sebagai kegagalan logon jarak jauh yang berulang dan layak mendapatkan respons pertama yang sama: mengurangi paparan dan memperlambat upaya.
Diagnosis cepat: pastikan itu adalah serangan brute force RDP (dan bukan salah konfigurasi)
Sebelum Anda mengubah kebijakan dan berisiko mengunci pengguna yang sah, konfirmasikan apa yang gagal, dari mana, dan pada volume berapa. Panduan pemecahan masalah Microsoft untuk VM Azure yang mengalami serangan brute-force menggunakan titik awal yang sama bahkan di luar Azure: cari volume tinggi dari upaya masuk yang gagal dan hubungkan dengan IP sumber eksternal.
- Periksa log Keamanan Windows untuk lonjakan kegagalan masuk selama waktu pengguna melaporkan masalah. ID Acara 4625 adalah indikator umum untuk ditinjau.
- Cari pola: nama akun yang diulang, banyak akun berbeda, atau IP sumber yang sama mengakses banyak pengguna.
- Korelasikan tanda masuk yang gagal dengan logon yang berhasil segera setelahnya. Logon yang berhasil sering kali dicatat sebagai Event ID 4624, tergantung pada kebijakan audit Anda.
- Konfirmasi paparan: apakah TCP 3389 (atau port RDP kustom Anda) dapat dijangkau dari internet melalui aturan firewall, NAT, pengalihan port, atau grup keamanan cloud?
- Verifikasi bahwa Anda tidak melihat "alarm palsu" dari sumber yang sah (gateway RDS, konsentrator VPN, alat manajemen jarak jauh, atau pemindai internal) yang muncul sebagai kegagalan berulang akibat kata sandi yang salah yang disimpan.
Jika Anda melihat ID Acara 4625 dalam jumlah besar, dari banyak alamat IP eksternal dalam waktu singkat, Anda kemungkinan sedang menghadapi penebakan atau penyemprotan aktif daripada seorang pengguna yang mengetikkan kata sandi yang salah.
Hentikan pendarahan dalam 15 hingga 30 menit (tindakan penahanan yang efektif)
Ketika lalu lintas brute-force aktif, prioritasnya adalah memulihkan kontrol dan menjaga jalur admin yang aman tersedia. Cara tercepat untuk mengurangi risiko brute-force RDP adalah dengan menghentikan paparan RDP secara langsung ke internet dan membatasi akses masuk ke sekumpulan alamat IP tepercaya yang diketahui atau jalur akses yang aman (gerbang, VPN, atau bastion). Panduan Microsoft Learn untuk insiden Azure memperkuat pendekatan pengendalian yang sama ini: batasi akses masuk terlebih dahulu, kemudian tingkatkan jalur akses.
- Tentukan cara yang aman untuk kembali sebelum Anda mengubah apa pun. Jika Anda sudah terkunci, gunakan akses out-of-band Anda (konsol hypervisor, iLO/iDRAC, konsol serial cloud, bastion, atau VPN) sehingga Anda masih dapat mengelola host setelah perubahan firewall.
- Hapus paparan internet langsung dari RDP. Nonaktifkan penerusan port publik atau perketat aturan masuk sehingga RDP tidak terbuka untuk "sumber mana pun." Jika Anda tidak dapat menghapusnya segera, batasi akses masuk ke daftar putih yang pendek (IP kantor Anda, jaringan manajemen Anda, IP egress tetap MSP Anda).
- Di Azure atau cloud serupa, segera perketat perimeter. Batasi aturan masuk di NSG Anda atau yang setara. Jika Anda memiliki opsi, beralihlah ke pola yang disetujui oleh Microsoft seperti Azure Bastion, VPN Gateway, atau konsep akses tepat waktu untuk mengurangi jendela paparan.
- Konfirmasi Autentikasi Tingkat Jaringan (NLA) diaktifkan. NLA memaksa otentikasi sebelum sesi desktop jarak jauh penuh dibuat, yang mengurangi paparan terhadap beberapa risiko pra-otentikasi dan mengurangi penggunaan sumber daya yang tidak perlu selama penebakan.
- Tinjau siapa yang dapat masuk melalui RDP. Validasi keanggotaan Administrator lokal dan Pengguna Remote Desktop, serta hapus kelompok luas yang tidak memerlukan masuk jarak jauh interaktif.
- Lindungi akun istimewa segera. Jika Anda mencurigai bahwa kata sandi mungkin lemah atau bocor, ganti kredensial untuk akun yang memiliki hak istimewa dengan cara yang terkontrol, dan periksa adanya admin lokal baru yang tidak terduga atau akun yang baru diaktifkan.
- Stabilkan akses untuk pengguna yang nyata. Jika pengguna terkunci, solusinya biasanya adalah pengurangan paparan dan pengaturan throttling yang lebih baik, bukan menurunkan keamanan. Hindari terburu-buru dalam perubahan penguncian yang dapat menyebabkan pemadaman yang lebih luas.
Setelah Anda mengendalikan lalu lintas, Anda dapat melakukan perubahan jangka panjang dengan aman. Jika Anda menginginkan pendekatan yang dibantu alat setelah Anda mendapatkan kembali kendali, TSplus Advanced Security dapat membantu mengoperasionalkan pemblokiran brute-force dan pembatasan akses pada server Windows, tetapi penahanan tetap dimulai dengan mengurangi paparan.
Kurangi permukaan serangan: arsitektur akses yang mengurangi risiko serangan brute-force
Jika Anda hanya mengambil satu pelajaran dari serangan RDP yang berulang, buatlah ini: arsitektur mengalahkan penyesuaian. Menempatkan titik masuk yang terkontrol di depan host sesi mengubah apa yang dapat dijangkau oleh penyerang dan apa yang dapat Anda tegakkan. Panduan Blog Keamanan Microsoft untuk adopsi desktop jarak jauh menekankan pengurangan paparan langsung, dan Dokumen Microsoft Learn RD Gateway sebagai cara untuk memberikan akses yang aman melalui TLS dengan konfigurasi sertifikat yang tepat.
Cara paling andal untuk mengurangi upaya brute-force RDP adalah dengan menghindari paparan RDP secara langsung dan sebaliknya memerlukan akses melalui titik masuk yang terkontrol seperti RD Gateway VPN, atau bastion, idealnya dengan autentikasi yang kuat.
| Pola akses | Paparan dan risiko serangan brute-force | Kompleksitas operasional | Ketika itu cocok | Catatan |
|---|---|---|---|---|
| Akses RDP langsung dari internet | Risiko tertinggi dan kebisingan tertinggi. Pemindaian dan penebakan yang konstan. | Rendah untuk diatur, tinggi untuk dipertahankan. | Hanya untuk akses darurat jangka pendek dengan pembatasan ketat. | Mengubah port dapat mengurangi pemindaian oportunistik, tetapi itu tidak memberikan perlindungan yang kuat dengan sendirinya. |
| RDP langsung dengan whitelist IP | Paparan lebih rendah jika daftar putih kecil dan stabil. | Sedang. Memerlukan pemeliharaan daftar putih dan penanganan perubahan perjalanan/ISP. | Tim admin kecil dengan IP kantor tetap atau egress MSP tetap. | Bekerja paling baik ketika dipasangkan dengan kontrol autentikasi yang kuat dan pemantauan. |
| Gateway RD di depan RDS/RDP | Mengurangi paparan langsung dari host sesi dan terowongan melalui TLS. | Sedang hingga tinggi. Sertifikat, ketersediaan, dan desain kebijakan penting. | Lingkungan yang berfokus pada Windows yang sudah menggunakan pola RDS. | Panduan perencanaan RDS Microsoft Learn mencakup persyaratan gateway. Lisensi Microsoft tetap menjadi tanggung jawab Anda dan harus divalidasi dengan Microsoft atau mitra lisensi yang memenuhi syarat. |
| VPN untuk akses jarak jauh | Menghapus RDP dari paparan publik jika dilakukan dengan benar. | Medium. Penempatan klien, pengalihan, dan integrasi MFA bervariasi. | Admin dan staf yang memerlukan akses jaringan yang lebih luas, bukan hanya satu aplikasi. | Batasi pengguna VPN sesuai kebutuhan mereka, kemudian tetap amankan RDP di dalam jaringan. |
| Bastion atau jump host | Pengurangan paparan yang kuat. RDP hanya dapat diakses dari konteks bastion. | Sedang. Membutuhkan kontrol yang kuat terhadap bastion itu sendiri. | Server yang dihosting di cloud, lingkungan yang diatur, dan akses hanya untuk admin. | Sering dipasangkan dengan jendela akses tepat waktu dan kontrol bersyarat tergantung pada platform. |
| Menerbitkan aplikasi/desktop melalui portal web (HTTPS) | Dapat mengurangi atau menghilangkan kebutuhan untuk mengekspos RDP mentah secara publik, tergantung pada desain. | Rendah hingga menengah. Fokus pada penyampaian apa yang dibutuhkan pengguna, bukan akses jaringan penuh. | UKM yang menyediakan serangkaian aplikasi Windows atau desktop jarak jauh kepada pengguna dan mitra. | Jika tujuan Anda adalah memberikan akses kepada pengguna ke aplikasi Windows tanpa membiarkan RDP mentah terbuka di internet, TSplus Remote Access layak untuk dievaluasi untuk penerbitan aplikasi dan desktop melalui portal web yang aman. |
Jika Anda harus menjaga beberapa akses RDP tetap tersedia, perlakukan itu sebagai antarmuka admin yang dilindungi, bukan sebagai titik masuk kerja jarak jauh yang umum. Jika Anda bergerak menuju aplikasi dan penerbitan desktop melalui portal web yang aman Panduan cepat dapat membantu Anda memulai. Posisi keamanan Anda meningkat secara signifikan ketika sebagian besar pengguna tidak pernah terhubung ke TCP 3389 sama sekali.
Perkuat autentikasi untuk RDP tanpa mengunci pengguna yang sebenarnya
Ketahanan terhadap serangan brute-force yang baik adalah keseimbangan antara memperlambat penyerang dan menjaga akses yang sah tetap dapat diandalkan. Ketahanan terhadap serangan brute-force yang efektif menggabungkan NLA dan kredensial yang kuat dengan kebijakan pembatasan laju atau penguncian yang memperlambat kegagalan berulang sambil disesuaikan untuk menghindari penolakan layanan yang dipicu oleh penyerang. NIST SP 800-63B membahas pembatasan dan penanganan upaya otentikasi yang gagal berulang sebagai kontrol inti, karena ini mengurangi kemungkinan tebakan cepat.
Mulailah dengan NLA dan kebersihan akun
NLA adalah dasar untuk RDP karena memerlukan otentikasi sebelum sesi sepenuhnya terjalin. Ini tidak akan menghentikan penyebaran kata sandi dengan sendirinya, tetapi mengurangi paparan dan sumber daya yang terbuang dibandingkan membiarkan sesi yang tidak terautentikasi berjalan lebih jauh.
Kemudian tangani dasar identitas yang dimanfaatkan oleh brute force: hapus hak admin yang tidak perlu, terapkan prinsip hak akses paling sedikit, dan bersihkan akun yang tidak aktif. Jika Anda memiliki akun admin lokal yang jelas atau dibagikan, rotasikan, batasi tempat mereka dapat masuk, dan pertimbangkan untuk mengganti nama atau menonaktifkan akun yang tidak memerlukan login interaktif. Jaga agar Pengguna Remote Desktop dan Administrator lokal tetap ketat, terutama pada server yang menyimpan data sensitif.
Penguncian dan pengaturan: mengapa penyesuaian itu penting
Pengaturan Kebijakan Penguncian Akun Windows umumnya digunakan untuk mengurangi keberhasilan serangan brute-force, dan Dokumen Microsoft Learn mendokumentasikan istilah-istilah kunci ambang penguncian, durasi penguncian, dan penghitung reset. Komprominya adalah ketersediaan. Penyerang dapat dengan sengaja memicu penguncian untuk pengguna nyata (atau helpdesk dan admin Anda) jika ambang Anda terlalu rendah dan paparan Anda terlalu luas.
Gunakan faktor keputusan ini saat Anda mengatur penguncian dan pembatasan:
- Seberapa terbuka layanan ini? Jika RDP dapat diakses dari seluruh internet, penguncian lebih mungkin disalahgunakan. Kurangi paparan terlebih dahulu, lalu sesuaikan penguncian.
- Bagaimana pengguna melakukan otentikasi? Sebuah gateway, VPN, atau bastion dapat mengurangi kebutuhan untuk penguncian agresif pada host sesi karena lebih sedikit sumber yang tidak dikenal dapat mencapainya.
- Seberapa mahal biaya penguncian? Jika penguncian berarti gangguan bagi tim dukungan produksi, Anda mungkin lebih memilih pembatasan laju dan larangan berbasis IP daripada penguncian akun yang ketat.
- Bagaimana perilaku akun bersama? Kredensial yang dibagikan menggandakan dampak dari penguncian. Hilangkan akun yang dibagikan jika memungkinkan.
Kasus khusus: Administrator lokal bawaan
Banyak lingkungan masih memiliki akun Administrator lokal bawaan di server dan workstation, dan perilaku penguncian ini sering menjadi sumber kebingungan. Microsoft Support KB5020282 memberikan konteks tentang penguncian akun untuk administrator lokal bawaan, termasuk bagaimana penguncian dapat berlaku untuk logon jaringan seperti RDP tergantung pada konfigurasi dan versi. Jangan menganggap Administrator bawaan akan berperilaku sama seperti akun pengguna normal, dan uji dengan cara yang terkontrol sebelum Anda mengandalkan perilaku penguncian sebagai kontrol utama.
Untuk tim yang menginginkan lapisan penguatan praktis, TSplus Advanced Security mencakup perlindungan terhadap serangan brute-force yang dirancang untuk menghentikan upaya tidak sah yang berulang di tingkat host. Ini seharusnya melengkapi, bukan menggantikan, kebijakan otentikasi Windows yang kuat dan penyesuaian penguncian yang hati-hati.
Kontrol jaringan yang membantu (dan yang sering kali terlalu diperkirakan orang)
Kontrol jaringan seringkali merupakan perbaikan tercepat yang dapat Anda lakukan, tetapi mereka memiliki nilai dunia nyata yang berbeda. Panduan Microsoft untuk masalah brute-force RDP (termasuk dalam skenario Azure) secara konsisten memprioritaskan pembatasan konektivitas masuk daripada perubahan kosmetik.
Nilai tinggi: IP allowlisting. Jika Anda dapat membatasi RDP ke alamat yang dikenal (IP keluar kantor, rentang VPN, subnet bastion, IP tetap MSP), Anda akan segera menghilangkan sebagian besar lalu lintas brute-force. Ini juga membuat pemantauan Anda lebih berarti karena setiap kegagalan yang tersisa berasal dari kumpulan sumber yang lebih kecil.
Berguna dengan hati-hati: kontrol berbasis geografis dan reputasi. Pemblokiran geo dan reputasi IP dapat mengurangi kebisingan, tetapi mereka juga dapat memblokir pengguna yang sah yang bepergian, terhubung dari jaringan roaming, atau datang melalui CGNAT. Penyerang juga dapat menggunakan VPN dan proksi, jadi perlakukan kontrol geo sebagai pengurang risiko, bukan sebagai jaminan.
Terlebih estimasi: mengubah port RDP. IP allowlisting secara signifikan mengurangi paparan brute-force RDP, sementara mengubah port RDP terutama mengurangi pemindaian oportunistik dan tidak boleh diandalkan sebagai perlindungan utama. Perubahan port dapat memberikan waktu selama insiden, tetapi tidak mengatasi penyemprotan kata sandi dari aktor yang bertekad yang dapat menemukan port tersebut.
Dalam lingkungan di mana tim menginginkan penegakan yang lebih sederhana daripada mempertahankan seperangkat aturan yang kompleks secara manual, TSplus Advanced Security menambahkan perlindungan geografis dan kontrol berbasis IP yang dapat diterapkan secara konsisten di seluruh server.
Pemantauan dan deteksi: apa yang harus dicatat, diwaspadai, dan diselidiki
Kekuatan kasar adalah salah satu masalah yang terlihat jelas setelah kejadian dan mahal ketika Anda menyadarinya terlambat. Tujuan pemantauan bukanlah untuk menghitung setiap upaya masuk yang gagal selamanya. Tujuannya adalah untuk mendeteksi pola abnormal lebih awal dan menyelidiki apakah upaya tersebut pernah berubah menjadi masuk yang berhasil.
Monitor untuk lonjakan abnormal dalam logon yang gagal (sering Event ID 4625) dan beri peringatan pada pola yang menunjukkan penyemprotan kata sandi atau login lanjutan yang berhasil setelah kegagalan berulang. Panduan pemecahan masalah brute-force Microsoft menyoroti artefak yang sama (4625) karena ini adalah titik awal praktis ketika administrator mencoba mendapatkan kembali akses dan memahami ruang lingkup.
Untuk operasi sehari-hari, fokus pada tiga pertanyaan investigasi:
Apakah lalu lintasnya eksternal atau internal? IP eksternal yang mengakses antarmuka publik menunjukkan masalah paparan. IP internal dapat menunjukkan titik akhir yang terkompromi atau akun layanan yang salah konfigurasi.
Apakah itu satu akun atau banyak? Satu akun menunjukkan serangan brute force. Banyak akun dengan sedikit percobaan masing-masing menunjukkan penyemprotan kata sandi.
Apakah ada akun yang berhasil setelah ledakan itu? Logon yang berhasil segera setelah kegagalan berulang adalah korelasi prioritas tinggi untuk diselidiki, terutama untuk akun yang memiliki hak istimewa.
Jika Anda belum memusatkan log Windows, pertimbangkan Windows Event Forwarding atau SIEM yang sudah ada agar Anda dapat memberikan peringatan di berbagai server secara konsisten. Untuk tim yang membutuhkan yang sederhana peringatan dan visibilitas historis selama lonjakan serangan , TSplus Server Monitoring dapat membantu Anda melacak kesehatan dan ketersediaan server bersama dengan pencatatan keamanan Anda.
Pendekatan pemblokiran otomatis (dan cara menghindari positif palsu)
Respon manual tidak dapat diskalakan ketika host Anda terhubung ke internet. Automasi adalah tempat banyak tim mendapatkan kembali kendali, asalkan dirancang untuk dapat dibalik dan melindungi akses yang sah. Automasi yang paling aman memblokir upaya login yang gagal berulang dengan larangan berbatas waktu dan daftar putih yang jelas, dan harus memperhitungkan alamat IP yang dibagikan untuk menghindari pemblokiran pengguna yang sah.
Apa bentuk otomatisasi dalam praktik
Pendekatan umum termasuk modul firewall host yang mendeteksi kegagalan berulang dan sementara memblokir IP, fitur EDR yang mendeteksi perilaku menebak kata sandi, dan skrip yang menganalisis log Keamanan dan menerapkan aturan firewall dinamis. Kontrol yang berfokus pada gateway (RD Gateway, VPN, bastion) sering mengurangi kebutuhan untuk pemblokiran agresif di tingkat host karena lebih sedikit sumber yang tidak dikenal yang mencapai server.
Di mana tim terbakar
NAT Bersama dan CGNAT. Jika banyak pengguna sah berasal dari satu IP publik (kantor cabang, jaringan hotel, beberapa ISP), memblokir IP tersebut dapat memutuskan pengguna yang baik bersama dengan penyerang. Larangan yang dibatasi waktu dan daftar putih yang dikenal baik mengurangi radius ledakan.
Memblokir jalur manajemen Anda sendiri. Selalu izinkan rentang VPN Anda, subnet bastion, dan IP egress manajemen MSP sebelum Anda mengaktifkan pemblokiran agresif. Dokumentasikan jalur break-glass yang tidak bergantung pada rute jaringan yang sama.
Gangguan yang disebabkan oleh penguncian. Jika satu-satunya kontrol Anda adalah penguncian akun, penyerang dapat mengubahnya menjadi penolakan layanan. Pasangkan kebijakan penguncian dengan pengurangan paparan dan pengaturan berbasis IP sehingga host tidak menjadi titik penyumbat.
TSplus Advanced Security menambahkan perlindungan praktis terhadap serangan brute-force. , kontrol IP dan geografis, serta penguatan yang berfokus pada ransomware untuk server Windows, yang dapat membantu Anda mengurangi upaya login RDP yang berulang tanpa menerapkan tumpukan keamanan yang berat.
Dasar praktis untuk lingkungan SMB dan MSP
UKM dan MSP perlu memiliki dasar yang dapat diulang, diuji, dan tidak mungkin mengganggu operasi sehari-hari. Panduan keamanan desktop jarak jauh Microsoft mendukung prinsip umum yang sama: mengurangi paparan langsung, kemudian memperkuat akses dan memantau secara aktif.
- Hapus paparan internet langsung dari RDP jika memungkinkan, dan arahkan akses melalui VPN, gateway, atau pola bastion.
- Jika RDP harus tetap dapat diakses, batasi akses masuk ke daftar IP yang diizinkan yang kecil dan tinjau secara berkala.
- Aktifkan Autentikasi Tingkat Jaringan (NLA) dan minta kredensial yang kuat dan unik untuk semua pengguna interaktif.
- Perketat akses istimewa: minimalkan keanggotaan admin lokal dan tinjau keanggotaan Pengguna Remote Desktop.
- Tetapkan Kebijakan Penguncian Akun secara sengaja (ambang batas, durasi, reset penghitung) dan uji untuk menghindari gangguan yang disebabkan oleh penguncian.
- Pantau logon yang gagal (misalnya, ID Acara 4625) dan selidiki pola keberhasilan setelah kegagalan dengan cepat.
- Jaga Windows, komponen terkait RDP, dan layanan yang terhubung ke internet tetap diperbarui sesuai jadwal yang ditentukan.
- Akses break-glass dokumen, termasuk cara Anda akan mendapatkan kembali akses konsol jika aturan jaringan memblokir masuk jarak jauh.
Jika Anda menginginkan ulasan yang terstruktur, gunakan kami Audit Keamanan RDP: Daftar Periksa 20 Poin untuk 2026 .
Untuk MSP, standarkan apa yang bisa Anda (template GPO, baseline firewall, inventaris IP manajemen yang diizinkan) dan simpan daftar putih dan pengecualian khusus pelanggan dengan jelas terdokumentasi. Jika Anda memerlukan lapisan penguatan praktis di banyak server pelanggan, TSplus Advanced Security dapat diterapkan sebagai bagian dari paket keamanan akses jarak jauh standar, dan TSplus Remote Access dapat mendukung sikap "jangan mengekspos RDP mentah secara langsung" untuk aplikasi dan desktop yang dipublikasikan.
FAQ
Apakah mengubah port RDP default menghentikan serangan brute-force?
Mengubah port RDP dapat mengurangi kebisingan pemindaian oportunistik, dan panduan insiden Microsoft sendiri menyebutnya sebagai mitigasi sementara dalam beberapa skenario, tetapi itu tidak menghentikan tebakan yang ditargetkan. Anggap ini sebagai taktik sekunder dan fokuslah terlebih dahulu pada pengurangan paparan (daftar putih, gerbang, VPN, bastion) dan penguatan otentikasi.
Pengaturan kebijakan Windows mana yang paling penting untuk perlindungan brute-force RDP?
Mulailah dengan mengaktifkan NLA untuk RDP, memperketat siapa yang memiliki hak untuk masuk melalui Remote Desktop, dan mengonfigurasi Kebijakan Penguncian Akun (ambang batas, durasi, reset penghitung) seperti yang didokumentasikan oleh Microsoft Learn. Kebijakan kata sandi yang kuat dan hak admin dengan hak istimewa paling sedikit juga mengurangi kemungkinan bahwa penebakan mengarah pada kompromi yang berarti.
Apakah pengaturan penguncian akun dapat memperburuk pemadaman RDP selama serangan?
Ya. Jika RDP terpapar secara luas, penyerang dapat dengan sengaja memicu penguncian untuk pengguna yang sebenarnya, yang menjadi masalah penolakan layanan. Itulah sebabnya urutan yang disarankan adalah mengurangi paparan terlebih dahulu, kemudian menyesuaikan penguncian dan pembatasan dengan cara yang menyeimbangkan keamanan dengan ketersediaan.
Apakah Autentikasi Tingkat Jaringan (NLA) cukup untuk mengamankan RDP?
NLA adalah dasar yang penting, tetapi itu tidak mencegah penyemprotan kata sandi atau pengisian kredensial dengan sendirinya. Anda masih memerlukan pengurangan paparan, kebersihan kredensial yang kuat, pengaturan pembatasan atau perilaku penguncian yang masuk akal, dan pemantauan untuk pola masuk yang tidak biasa.
Apa yang harus saya pantau untuk mendeteksi upaya brute-force RDP lebih awal?
Cari lonjakan abnormal dalam logon yang gagal, yang biasanya terlihat sebagai Event ID 4625, terutama ketika berasal dari banyak IP eksternal atau menargetkan banyak nama pengguna dalam waktu singkat. Juga selidiki setiap logon yang berhasil yang terjadi segera setelah kegagalan berulang, karena ini dapat menunjukkan kata sandi yang ditebak atau digunakan kembali.
Kesimpulan: prioritaskan pengurangan paparan, kemudian perkuat dan otomatisasi
Perlindungan brute force RDP bukanlah satu pengaturan. Ini adalah pendekatan berlapis yang paling efektif dalam urutan ini: mengurangi atau menghilangkan paparan langsung, memperkuat otentikasi (NLA, kredensial yang kuat, hak akses minimal, penguncian yang masuk akal atau pembatasan), menerapkan kontrol jaringan yang benar-benar membatasi keterjangkauan, memantau pola yang berarti, dan mengotomatiskan pemblokiran dengan hati-hati untuk menghindari positif palsu.
Dokumentasikan perubahan Anda, uji di luar jam kerja jika memungkinkan, dan validasi bahwa jalur darurat Anda masih berfungsi setelah penyesuaian firewall dan penguncian. Jika Anda ingin mengoperasionalkan perlindungan ini dengan usaha manual yang lebih sedikit, TSplus Advanced Security dapat membantu dengan perlindungan terhadap serangan brute-force dan pembatasan akses, dan TSplus Remote Access dapat menyediakan model pengiriman yang lebih aman untuk aplikasi dan desktop Windows yang diterbitkan melalui portal web. Untuk mengevaluasi, Anda dapat unduh uji coba dan ulasan penetapan harga .