목차
RDP brute force protection: how to block attacks and keep remote access working

RDP 무차별 대입 공격이 실제로 어떻게 보이는지

보통 당신은 알아차립니다 RDP 무차별 대입 같은 방식: 인터넷에 연결 가능한 Windows 서버에 대한 반복적인 실패한 로그인 시도가 있으며, 종종 계정 잠금, 시끄러운 보안 로그, 연결할 수 없는 걱정하는 사용자들이 뒤따릅니다. 이러한 공격 중 많은 부분은 인간의 의미에서 "목표"가 아닙니다. 인터넷에 노출된 RDP는 지속적으로 스캔되며, 자동화된 도구는 약한 자격 증명을 찾거나 중단을 생성할 때까지 사용자 이름과 비밀번호를 계속 시도합니다.

MITRE ATT&CK에서는 이것이 다음과 같이 매핑됩니다. 기술 T1110 (무차별 대입) 비밀번호 추측 및 비밀번호 스프레이와 같은 관련 패턴이 포함됩니다. 실질적인 운영 용어로, RDP 무차별 대입 공격은 노출된 RDP 서비스에 대해 많은 비밀번호나 많은 계정을 시도하는 반복적인 원격 로그인 시도(종종 자동화됨)입니다. 자격 증명이 발견되거나 계정이 중단될 때까지 계속됩니다.

일반적인 증상은 다음과 같습니다:

  • Windows 보안 로그에서 실패한 로그온의 갑작스러운 급증
  • 일반 계정 이름(관리자, admin, test, 서비스 스타일 이름)에 대한 많은 시도
  • 많은 외부 IP 주소에서 발생하는 실패, 때때로 자주 변경됨
  • 사용자가 계정 잠금 또는 느린 로그인 성능에 대한 불만을 제기합니다.
  • 버스트 동안 더 높은 CPU 또는 인증 부하(LSASS 및 RDP 관련 서비스에 영향을 줄 수 있음)

보는 것을 이름 붙이는 데 도움이 됩니다. "Brute force"는 일반적으로 하나의 계정에 대해 많은 비밀번호를 의미합니다. "Password spraying"은 잠금 임계값을 피하기 위해 여러 계정에 대해 몇 가지 일반적인 비밀번호를 의미합니다. "Credential stuffing"은 다른 곳에서 도난당한 사용자 이름과 비밀번호 쌍을 테스트하는 것을 의미합니다. 이 세 가지 모두 반복된 원격 로그온 실패로 나타나며 동일한 첫 번째 대응이 필요합니다: 노출을 줄이고 시도를 늦추십시오.

빠른 진단: RDP 무차별 대입 공격인지 (잘못된 구성인지 아님) 확인하십시오.

정책을 변경하고 정당한 사용자를 잠글 위험을 감수하기 전에, 무엇이 실패하고 있는지, 어디서 발생하는지, 그리고 어떤 양에서 발생하는지 확인하십시오. Microsoft의 자체 문제 해결 가이드라인 Azure VM에 대한 무차별 공격 Azure 외부에서도 동일한 시작점을 사용합니다: 실패한 로그인 시도가 많은 경우를 찾아 외부 소스 IP와 상관관계를 분석합니다.

  • Windows 보안 로그에서 사용자가 문제를 보고한 시간 동안 실패한 로그인 시도의 급증을 확인하십시오. 이벤트 ID 4625는 검토할 일반적인 지표입니다.
  • 패턴을 찾아보세요: 반복되는 계정 이름, 다양한 계정, 또는 동일한 소스 IP가 여러 사용자에게 접근하는 경우.
  • 실패한 로그인 시도를 성공적인 로그인과 곧바로 연관 지으십시오. 성공적인 로그인은 감사 정책에 따라 종종 이벤트 ID 4624로 기록됩니다.
  • 노출 확인: TCP 3389(또는 사용자 지정 RDP 포트)가 방화벽 규칙, NAT, 포트 포워드 또는 클라우드 보안 그룹을 통해 인터넷에서 접근 가능한가요?
  • 합법적인 출처(예: RDS 게이트웨이, VPN 집중기, 원격 관리 도구 또는 내부 스캐너)에서 저장된 잘못된 비밀번호로 인해 반복된 실패로 나타나는 "허위 경고"를 보지 않는지 확인하십시오.

대량의 외부 IP 주소에서 짧은 시간 동안 이벤트 ID 4625가 많이 발생하는 경우, 단일 사용자가 잘못된 비밀번호를 입력하는 것보다 활성 추측 또는 스프레이 공격을 다루고 있을 가능성이 높습니다.

15분에서 30분 이내에 출혈을 멈추세요 (효과적인 차단 조치)

무차별 대입 공격 트래픽이 활성화되면, 우선순위는 제어를 복원하고 안전한 관리자 경로를 유지하는 것입니다. RDP 무차별 대입 위험을 줄이는 가장 빠른 방법은 RDP를 인터넷에 직접 노출하는 것을 중단하고, 신뢰할 수 있는 IP 주소 집합이나 안전한 접근 경로(게이트웨이, VPN 또는 방화벽)에 대한 수신 접근을 제한하는 것입니다. Microsoft Learn의 Azure 사건에 대한 안내 이 동일한 격리 접근 방식을 강화합니다: 먼저 수신 접근을 제한한 다음 접근 경로를 개선합니다.

  1. 변경하기 전에 안전한 복귀 방법을 설정하세요. 이미 잠금 해제된 경우, 방화벽 변경 후에도 호스트를 관리할 수 있도록 아웃 오브 밴드 액세스(하이퍼바이저 콘솔, iLO/iDRAC, 클라우드 직렬 콘솔, 배스천 또는 VPN)를 사용하십시오.
  2. RDP의 직접 인터넷 노출을 제거하십시오. 공용 포트 포워드를 비활성화하거나 RDP가 "모든 출처"에 열리지 않도록 인바운드 규칙을 강화하십시오. 즉시 제거할 수 없다면 인바운드 액세스를 짧은 허용 목록(귀하의 사무실 IP, 관리 네트워크, MSP 고정 이그레스 IP)으로 제한하십시오.
  3. Azure 또는 유사한 클라우드에서 즉시 경계를 강화하십시오. NSG 또는 동등한 장치에서 수신 규칙을 제한하십시오. 선택할 수 있는 경우 Azure Bastion, VPN Gateway 또는 적시 액세스 개념과 같은 Microsoft에서 승인한 패턴으로 이동하여 노출 창을 줄이십시오.
  4. 확인 네트워크 수준 인증 (NLA) 활성화되었습니다. NLA는 전체 원격 데스크톱 세션이 설정되기 전에 인증을 강제하여 일부 사전 인증 위험에 대한 노출을 줄이고 추측하는 동안 불필요한 리소스 사용을 줄입니다.
  5. RDP를 통해 로그인할 수 있는 사람을 검토하십시오. 로컬 관리자 및 원격 데스크톱 사용자에 대한 멤버십을 검증하고, 대화형 원격 로그인이 필요하지 않은 광범위한 그룹을 제거합니다.
  6. 특권 계정을 즉시 보호하십시오. 비밀번호가 약하거나 유출되었을 가능성이 있다고 의심되는 경우, 권한이 있는 계정의 자격 증명을 통제된 방식으로 변경하고, 예상치 못한 새로운 로컬 관리자나 새로 활성화된 계정을 확인하십시오.
  7. 실제 사용자를 위한 접근을 안정화하십시오. 사용자가 잠금 상태에 있는 경우, 해결책은 일반적으로 노출 감소와 더 나은 제한 조치이며, 보안을 낮추는 것이 아닙니다. 더 넓은 중단을 초래할 수 있는 잠금 변경을 서두르지 마십시오.

트래픽이 차단되면, 장기적인 변화를 안전하게 진행할 수 있습니다. 제어를 되찾은 후 도구 지원 접근 방식을 원하신다면, TSplus 고급 보안 운영상의 무차별 대입 차단 및 Windows 서버에 대한 접근 제한을 실현하는 데 도움을 줄 수 있지만, 차단은 여전히 노출을 줄이는 것에서 시작됩니다.

공격 표면 축소: 무차별 대입 공격 위험을 줄이는 접근 아키텍처

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

반복적인 RDP 공격에서 단 하나의 교훈만 얻는다면, 그것은 다음과 같습니다: 아키텍처가 조정을 이긴다. 세션 호스트 앞에 제어된 진입점을 두면 공격자가 접근할 수 있는 것과 당신이 시행할 수 있는 것이 달라집니다. Microsoft의 보안 블로그 원격 데스크톱 도입에 대한 안내 직접적인 노출을 줄이는 것을 강조하며, Microsoft Learn 문서 RD 게이트웨이 TLS를 통해 적절한 인증서 구성을 갖춘 안전한 액세스를 제공하는 방법으로.

RDP 무차별 대입 공격을 줄이는 가장 신뢰할 수 있는 방법은 직접 RDP 노출을 피하고 대신 제어된 진입 지점을 통해 접근을 요구하는 것입니다. RD 게이트웨이 VPN 또는 요새, 이상적으로는 강력한 인증이 있는.

접근 패턴 노출 및 무차별 대입 공격 위험 운영 복잡성 맞을 때 노트
인터넷에서 직접 RDP 최고의 위험과 가장 높은 소음. 지속적인 스캔과 추측. 설치 비용이 낮고 방어 비용이 높습니다. 단기 긴급 접근을 위한 제한이 엄격한 경우에만 사용됩니다. 포트를 변경하면 기회적 스캔을 줄일 수 있지만, 그 자체로 강력한 보호를 제공하지는 않습니다.
IP 허용 목록을 통한 직접 RDP 허용 목록이 작고 안정적일 경우 노출이 적습니다. 중간. 허용 목록을 유지하고 여행/ISP 변경 사항을 처리해야 합니다. 고정된 사무실 IP 또는 고정된 MSP 출구가 있는 소규모 관리 팀. 강력한 인증 제어 및 모니터링과 함께 사용할 때 가장 효과적입니다.
RDS/RDP 앞의 RD 게이트웨이 세션 호스트와 TLS를 통한 터널의 직접 노출을 줄입니다. 중간에서 높음. 인증서, 가용성 및 정책 설계가 중요합니다. RDS 패턴을 이미 사용하고 있는 Windows 중심 환경. Microsoft Learn의 RDS 계획 가이드는 게이트웨이 요구 사항을 다룹니다. Microsoft 라이센스는 귀하의 책임이며 Microsoft 또는 자격을 갖춘 라이센스 파트너와 확인해야 합니다.
원격 액세스를 위한 VPN RDP를 올바르게 수행하면 공개 노출에서 제거됩니다. 중간. 클라이언트 배포, 라우팅 및 MFA 통합이 다릅니다. 더 넓은 네트워크 접근이 필요한 관리자와 직원, 단지 하나의 앱만이 아닙니다. VPN 사용자를 필요한 만큼 제한한 후, 네트워크 내에서 RDP를 여전히 안전하게 유지하십시오.
배스천 또는 점프 호스트 강한 노출 감소. RDP는 요새 컨텍스트에서만 접근할 수 있습니다. 중간. 요새 자체에 대한 강력한 제어가 필요합니다. 클라우드 호스팅 서버, 규제된 환경 및 관리자 전용 액세스. 종종 플랫폼에 따라 적시 액세스 창 및 조건부 제어와 잘 결합됩니다.
웹 포털(HTTPS)을 통해 애플리케이션/데스크톱 게시 설계에 따라 원시 RDP를 공개적으로 노출할 필요성을 줄이거나 없앨 수 있습니다. 낮음에서 중간. 사용자가 필요로 하는 것을 제공하는 데 중점을 두며, 전체 네트워크 접근은 아닙니다. 중소기업이 사용자와 파트너에게 Windows 앱 또는 원격 데스크톱 세트를 제공하는 것. 사용자에게 원시 RDP를 인터넷에 노출하지 않고 Windows 애플리케이션에 대한 액세스를 제공하는 것이 목표라면, TSplus Remote Access는 보안 웹 포털을 통한 애플리케이션 및 데스크톱 게시를 위해 평가할 가치가 있습니다.

일부 RDP 액세스를 계속 사용할 수 있어야 한다면, 이를 일반 원격 작업 진입점이 아닌 보호된 관리자 인터페이스로 취급하십시오. 이동 중이라면 보안 웹 포털을 통한 앱 및 데스크탑 출판 빠른 시작 가이드는 시작하는 데 도움이 될 수 있습니다. 대부분의 사용자가 TCP 3389에 전혀 연결하지 않을 때 보안 태세가 크게 개선됩니다.

RDP에 대한 인증을 강화하되 실제 사용자를 잠그지 않도록 하십시오.

좋은 브루트 포스 저항은 공격자를 지연시키는 것과 합법적인 접근을 신뢰할 수 있도록 유지하는 것 사이의 균형입니다. 효과적인 브루트 포스 저항은 NLA와 강력한 자격 증명을 결합하고, 반복적인 실패를 지연시키는 속도 제한 또는 잠금 정책을 통해 조정하여 공격자가 유발하는 서비스 거부를 피하도록 조정됩니다. NIST SP 800-63B 속도 제한 및 반복된 인증 실패 시도를 핵심 제어로 처리하는 방법에 대해 논의합니다. 이는 빠른 추측의 가능성을 줄이기 때문입니다.

NLA 및 계정 위생으로 시작하십시오.

NLA는 RDP의 기준선으로, 세션이 완전히 설정되기 전에 인증을 요구합니다. NLA는 스스로 비밀번호 스프레이 공격을 막지는 않지만, 인증되지 않은 세션이 더 진행되는 것에 비해 노출과 낭비되는 자원을 줄입니다.

그런 다음 브루트 포스가 의존하는 아이덴티티 기본 사항을 다루십시오: 불필요한 관리자 권한을 제거하고, 최소 권한을 적용하며, 오래된 계정을 정리하십시오. 명백하거나 공유된 로컬 관리자 계정이 있는 경우 이를 교체하고, 로그인할 수 있는 위치를 제한하며, 대화형 로그인이 필요하지 않은 계정의 이름을 변경하거나 비활성화하는 것을 고려하십시오. 원격 데스크톱 사용자와 로컬 관리자를 엄격하게 유지하십시오, 특히 민감한 데이터를 호스팅하는 서버에서.

잠금 및 제한: 조정이 중요한 이유

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

Windows 계정 잠금 정책 설정은 일반적으로 무차별 대입 공격의 성공을 줄이는 데 사용됩니다. Microsoft Learn은 주요 용어를 문서화합니다. 잠금 임계값, 잠금 기간 및 재설정 카운터. 거래의 대가는 가용성입니다. 공격자는 임계값이 너무 낮고 노출이 넓으면 실제 사용자(또는 귀하의 헬프 데스크 및 관리자)를 위해 잠금을 의도적으로 트리거할 수 있습니다.

잠금 해제 및 제한을 조정할 때 이러한 결정 요소를 사용하십시오:

  • 서비스는 얼마나 노출되어 있습니까? RDP가 전체 인터넷에서 접근 가능하다면, 잠금이 무기화될 가능성이 더 높습니다. 노출을 먼저 줄이고, 그 다음에 잠금을 조정하세요.
  • 사용자는 어떻게 인증하나요? 게이트웨이, VPN 또는 배스천은 세션 호스트에 대한 공격적인 잠금을 줄일 수 있습니다. 이는 알려지지 않은 소스가 그것에 도달할 수 있는 경우가 적기 때문입니다.
  • 잠금 해제 비용은 얼마나 되나요? 생산 지원 팀에 대한 잠금 해제가 중단으로 이어진다면, 엄격한 계정 잠금보다 속도 제한 및 IP 기반 차단을 선호할 수 있습니다.
  • 공유 계정은 어떻게 작동하나요? 공유 자격 증명은 잠금의 영향을 배가시킵니다. 가능한 경우 공유 계정을 제거하십시오.

특수 사례: 내장된 로컬 관리자

많은 환경에서 여전히 서버와 워크스테이션에 내장된 로컬 관리자 계정이 있으며, 그 잠금 동작은 자주 혼란을 초래하는 요소였습니다. Microsoft 지원 KB5020282 내장된 로컬 관리자에 대한 계정 잠금에 대한 맥락을 제공하며, 구성 및 버전에 따라 RDP와 같은 네트워크 로그온에 잠금이 적용될 수 있는 방법을 포함합니다. 내장된 관리자가 일반 사용자 계정과 동일하게 동작할 것이라고 가정하지 말고, 잠금 동작을 주요 제어 수단으로 의존하기 전에 통제된 방식으로 테스트하십시오.

팀이 실용적인 강화 계층을 원할 경우, TSplus Advanced Security는 호스트 수준에서 반복적인 무단 시도를 차단하도록 설계된 브루트 포스 보호 기능을 포함합니다. 이는 강력한 Windows 인증 정책과 신중한 잠금 조정을 대체하는 것이 아니라 보완해야 합니다.

네트워크 제어는 도움이 되며 (사람들이 과대평가하는 것들)

네트워크 제어는 종종 가장 빠른 개선 사항이 될 수 있지만, 실제로는 서로 다른 가치를 가집니다. Microsoft의 RDP 브루트 포스 문제에 대한 지침(Azure 시나리오 포함)은 일관되게 외부 연결 제한을 미적인 변경보다 우선시합니다.

높은 가치: IP 허용 목록. RDP를 알려진 주소(사무실 이탈 IP, VPN 범위, 방어망 서브넷, MSP 고정 IP)로 제한할 수 있다면, 대부분의 무차별 대입 공격 트래픽을 즉시 제거할 수 있습니다. 또한, 남아 있는 실패는 더 작은 출처 집합에서 발생하므로 모니터링이 더 의미 있게 됩니다.

주의하여 사용하세요: 지리적 및 평판 기반 제어. 지리적 차단 및 IP 평판은 소음을 줄일 수 있지만, 여행 중이거나 로밍 네트워크에 연결하거나 CGNAT를 통해 오는 합법적인 사용자도 차단할 수 있습니다. 공격자들은 VPN과 프록시를 사용할 수 있으므로 지리적 제어를 보장하는 것이 아니라 위험 감소 장치로 취급해야 합니다.

과대평가: RDP 포트 변경. IP 허용 목록은 RDP 무차별 대입 공격 노출을 의미 있게 줄여주며, RDP 포트 변경은 주로 기회주의적 스캐닝을 줄여주고 기본 보호 수단으로 의존해서는 안 됩니다. 포트 변경은 사건 발생 시 시간을 벌 수 있지만, 포트를 발견할 수 있는 결단력 있는 행위자의 비밀번호 스프레이 공격에는 대응하지 않습니다.

팀이 복잡한 규칙 세트를 수동으로 유지하는 것보다 더 간단한 시행을 원할 때, TSplus Advanced Security가 추가됩니다. 지리적 보호 및 IP 기반 제어 서버 전반에 일관되게 적용할 수 있는.

모니터링 및 탐지: 무엇을 기록하고, 경고하며, 조사할 것인가

무차별 대입 공격은 뒤늦게 보면 명백해 보이고, 늦게 발견했을 때 비용이 많이 드는 문제 중 하나입니다. 모니터링의 목표는 모든 실패한 로그인 시도를 영원히 세는 것이 아닙니다. 그것은 비정상적인 패턴을 조기에 감지하고, 그러한 시도가 성공적인 로그인으로 이어졌는지 조사하는 것입니다.

이상한 로그인 실패 급증(종종 이벤트 ID 4625)을 모니터링하고 비밀번호 스프레이 공격이나 반복적인 실패 후 성공적인 후속 로그인을 나타내는 패턴에 대해 경고합니다. Microsoft의 브루트 포스 문제 해결 가이드는 관리자가 액세스를 복구하고 범위를 이해하려고 할 때 실용적인 출발점이기 때문에 동일한 아티팩트(4625)를 강조합니다.

일상적인 운영을 위해 세 가지 조사 질문에 집중하세요:

트래픽이 외부인가요, 내부인가요? 공용 인터페이스에 접속하는 외부 IP는 노출 문제를 나타냅니다. 내부 IP는 손상된 엔드포인트 또는 잘못 구성된 서비스 계정을 나타낼 수 있습니다.

하나의 계정인가요, 아니면 여러 개의 계정인가요? 하나의 계정은 무차별 대입 공격을 암시합니다. 시도가 적은 여러 계정은 비밀번호 스프레이 공격을 암시합니다.

폭발 후에 어떤 계정이 성공했나요? 반복적인 실패 후 곧바로 성공적인 로그온은 특히 특권 계정에 대해 조사해야 할 높은 우선 순위의 상관관계입니다.

Windows 로그를 중앙 집중화하지 않았다면, 여러 서버에서 일관되게 경고할 수 있도록 Windows 이벤트 포워딩 또는 기존 SIEM을 고려하십시오. 간단한 것이 필요한 팀을 위해 공격 급증 동안의 경고 및 역사적 가시성 , TSplus 서버 모니터링 서버 상태 및 가용성을 보안 로그와 함께 추적하는 데 도움을 줄 수 있습니다.

자동화된 차단 접근 방식(및 잘못된 긍정 결과를 피하는 방법)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

수동 응답은 호스트가 인터넷에 노출될 때 확장되지 않습니다. 자동화는 많은 팀이 제어를 되찾는 곳이며, 이는 되돌릴 수 있도록 설계되고 합법적인 액세스를 보호해야 합니다. 가장 안전한 자동화는 시간 제한이 있는 차단과 명확한 허용 목록으로 반복된 실패한 로그인을 차단하며, 합법적인 사용자를 차단하지 않도록 공유 IP 주소를 고려해야 합니다.

자동화가 실제로 어떻게 보이는지

일반적인 접근 방식에는 반복적인 실패를 감지하고 IP를 일시적으로 차단하는 호스트 방화벽 모듈, 비밀번호 추측 행동을 감지하는 EDR 기능, 보안 로그를 분석하고 동적 방화벽 규칙을 적용하는 스크립트가 포함됩니다. 게이트웨이 중심의 제어(RD 게이트웨이, VPN, 방어선)는 종종 공격적인 호스트 수준 차단의 필요성을 줄입니다. 왜냐하면 알려지지 않은 출처가 서버에 도달하는 경우가 적기 때문입니다.

팀이 화상을 입는 곳

공유 NAT 및 CGNAT. 많은 합법적인 사용자가 하나의 공용 IP(지사, 호텔 네트워크, 일부 ISP)에서 오는 경우, 해당 IP를 차단하면 공격자와 함께 좋은 사용자도 차단될 수 있습니다. 시간 제한이 있는 차단 및 알려진 허용 목록은 피해 범위를 줄입니다.

자신의 관리 경로 차단. 항상 VPN 범위, 요새 서브넷 및 MSP 관리 이그레스 IP를 허용 목록에 추가한 후 공격적인 차단을 활성화하십시오. 동일한 네트워크 경로에 의존하지 않는 비상 경로를 문서화하십시오.

잠금으로 인한 중단. 계정 잠금만이 유일한 제어 수단이라면, 공격자는 이를 서비스 거부로 전환할 수 있습니다. 잠금 정책을 노출 감소 및 IP 기반 제한과 결합하여 호스트가 병목 현상이 되지 않도록 하십시오.

TSplus Advanced Security는 실용적인 무차별 대입 공격 방어 기능을 추가합니다. IP 및 지리적 제어, 그리고 Windows 서버에 대한 랜섬웨어 중심의 강화로, 무거운 보안 스택을 배포하지 않고도 반복적인 RDP 로그인 시도를 줄이는 데 도움이 될 수 있습니다.

중소기업 및 관리 서비스 제공업체 환경을 위한 실용적인 기준

SMB와 MSP는 반복 가능하고 테스트할 수 있으며 일상적인 운영을 중단할 가능성이 낮은 기준이 필요합니다. Microsoft의 원격 데스크톱 보안 지침은 동일한 일반 원칙을 지원합니다: 직접 노출을 줄이고, 접근을 강화한 다음, 적극적으로 모니터링합니다.

  • RDP의 직접 인터넷 노출을 가능한 한 제거하고 VPN, 게이트웨이 또는 방어 패턴을 통해 액세스를 라우팅하십시오.
  • RDP가 계속 접근 가능해야 하는 경우, 수신 접근을 소규모 IP 허용 목록으로 제한하고 이를 정기적으로 검토하십시오.
  • 네트워크 수준 인증(NLA)을 활성화하고 모든 대화형 사용자에게 강력하고 고유한 자격 증명을 요구합니다.
  • 특권 액세스를 강화하십시오: 로컬 관리자 멤버십을 최소화하고 원격 데스크톱 사용자 멤버십을 검토하십시오.
  • 계정 잠금 정책을 의도적으로 설정하고(임계값, 기간, 카운터 재설정) 이를 테스트하여 잠금으로 인한 중단을 피하십시오.
  • 로그온 실패(예: 이벤트 ID 4625)를 모니터링하고 성공-실패 패턴을 신속하게 조사하십시오.
  • 정해진 일정에 따라 Windows, RDP 관련 구성 요소 및 인터넷에 노출된 서비스를 패치하십시오.
  • 문서 브레이크 글래스 액세스, 네트워크 규칙이 원격 진입을 차단할 경우 콘솔 액세스를 어떻게 복구할 것인지 포함.

구조화된 리뷰를 원하신다면, 저희를 이용하세요. RDP 보안 감사: 2026년을 위한 20가지 체크리스트 .

MSP를 위해 가능한 것을 표준화하십시오(GPO 템플릿, 방화벽 기준선, 허용된 관리 IP 목록) 및 고객별 허용 목록과 예외를 명확하게 문서화하십시오. 여러 고객 서버에 걸쳐 실용적인 강화 계층이 필요한 경우, TSplus Advanced Security를 표준 원격 액세스 보안 패키지의 일환으로 배포할 수 있으며, TSplus Remote Access는 게시된 애플리케이션 및 데스크톱에 대해 "원시 RDP를 직접 노출하지 않음" 태세를 지원할 수 있습니다.

FAQ

기본 RDP 포트를 변경하면 무차별 대입 공격을 막을 수 있나요?

RDP 포트를 변경하면 기회주의적 스캐닝 소음을 줄일 수 있으며, Microsoft의 사고 대응 지침에서도 일부 시나리오에서 임시 완화책으로 언급하고 있지만, 목표로 하는 추측을 막지는 않습니다. 이를 보조 전술로 간주하고 노출 감소(허용 목록, 게이트웨이, VPN, 방어망) 및 인증 강화에 먼저 집중하십시오.

RDP 무차별 대입 공격 보호를 위해 가장 중요한 Windows 정책 설정은 무엇인가요?

RDP에 대한 NLA를 활성화하고, 원격 데스크톱을 통해 로그인할 권한이 있는 사람을 제한하며, Microsoft Learn에 문서화된 대로 계정 잠금 정책(임계값, 기간, 재설정 카운터)을 구성하는 것부터 시작하십시오. 강력한 비밀번호 정책과 최소 권한 관리자 권한은 추측이 의미 있는 손상으로 이어질 가능성을 줄입니다.

계정 잠금 설정이 공격 중 RDP 중단을 악화시킬 수 있습니까?

네. RDP가 광범위하게 노출되면 공격자가 실제 사용자에 대한 잠금을 의도적으로 유발할 수 있으며, 이는 서비스 거부 문제로 이어집니다. 그렇기 때문에 권장되는 순서는 먼저 노출을 줄이고, 그 다음 보안과 가용성의 균형을 맞추는 방식으로 잠금 및 제한을 조정하는 것입니다.

네트워크 수준 인증(NLA)만으로 RDP를 안전하게 보호할 수 있나요?

NLA는 중요한 기준이지만, 그 자체로 비밀번호 스프레이 공격이나 자격 증명 채우기를 방지하지는 않습니다. 여전히 노출 감소, 강력한 자격 증명 관리, 합리적인 속도 조절 또는 잠금 행동, 그리고 비정상적인 로그인 패턴 모니터링이 필요합니다.

RDP 무차별 대입 공격을 조기에 탐지하기 위해 무엇을 모니터링해야 합니까?

이상한 로그인 실패 급증을 찾아보세요. 이는 일반적으로 이벤트 ID 4625로 표시되며, 특히 많은 외부 IP에서 발생하거나 짧은 시간에 많은 사용자 이름을 대상으로 할 때 눈에 띕니다. 또한 반복적인 실패 후에 발생하는 성공적인 로그인도 조사해야 합니다. 이는 추측되었거나 재사용된 비밀번호를 나타낼 수 있습니다.

결론: 노출 감소를 우선시한 후 강화하고 자동화하십시오.

RDP 브루트 포스 보호는 단일 설정이 아닙니다. 이는 다음 순서로 가장 잘 작동하는 다층 접근 방식입니다: 직접 노출을 줄이거나 제거하고, 인증을 강화하며(NLA, 강력한 자격 증명, 최소 권한, 합리적인 잠금 또는 제한), 실제로 접근성을 제한하는 네트워크 제어를 적용하고, 의미 있는 패턴을 모니터링하며, 잘못된 긍정을 피하기 위해 차단을 신중하게 자동화합니다.

변경 사항을 문서화하고, 가능할 때 업무 시간 외에 테스트하며, 방화벽 및 잠금 조정 후에도 비상 경로가 여전히 작동하는지 확인하십시오. 이러한 보호 기능을 수동 노력 없이 운영화하려면 TSplus Advanced Security가 무차별 공격 방지 및 접근 제한에 도움을 줄 수 있으며, TSplus Remote Access는 웹 포털을 통해 게시된 Windows 애플리케이션 및 데스크톱에 대한 보다 안전한 배포 모델을 제공할 수 있습니다. 평가하려면, 당신은 다운로드 체험 및 리뷰 가격 책정 .

추가 읽기

back to top of the page icon