Apa yang kelihatan seperti serangan brute-force RDP dalam amalan
Anda biasanya perasan RDP serangan brute force cara yang sama: percubaan log masuk yang gagal berulang terhadap pelayan Windows yang boleh diakses dari internet, sering diikuti dengan penguncian akaun, log Keselamatan yang bising, dan pengguna yang bimbang yang tidak dapat menyambung. Banyak serangan ini tidak "ditujukan" dalam erti kata manusia. RDP yang terdedah kepada internet sentiasa diimbas, dan alat automatik akan terus mencuba nama pengguna dan kata laluan sehingga mereka menemui kelayakan yang lemah atau mencipta gangguan.
Dalam MITRE ATT&CK, ini dipetakan kepada Teknik T1110 (Brute Force) yang merangkumi corak berkaitan seperti meneka kata laluan dan penyemburan kata laluan. Dalam istilah operasi praktikal, serangan brute force RDP adalah percubaan log masuk jarak jauh yang berulang (selalunya automatik) yang mencuba banyak kata laluan atau banyak akaun terhadap perkhidmatan RDP yang terdedah sehingga kelayakan ditemui atau akaun terganggu.
Gejala biasa termasuk:
- Timbunan mendadak log masuk yang gagal dalam log Keselamatan Windows
- Banyak percubaan terhadap nama akaun biasa (Administrator, admin, ujian, nama gaya perkhidmatan)
- Kegagalan yang datang dari banyak alamat IP luar, kadang-kadang berputar dengan kerap.
- Pengguna mengadu tentang penguncian akaun atau prestasi log masuk yang perlahan
- Beban CPU atau pengesahan yang lebih tinggi semasa lonjakan (perkhidmatan berkaitan LSASS dan RDP boleh terjejas)
Ia membantu untuk menamakan apa yang anda lihat. "Brute force" biasanya bermaksud banyak kata laluan terhadap satu akaun. "Password spraying" bermaksud beberapa kata laluan biasa terhadap banyak akaun untuk mengelakkan ambang penguncian. "Credential stuffing" bermaksud menguji pasangan nama pengguna dan kata laluan yang dicuri dari tempat lain. Ketiga-tiga menunjukkan kegagalan log masuk jauh yang berulang dan memerlukan respons pertama yang sama: mengurangkan pendedahan dan memperlahankan percubaan.
Diagnosis cepat: sahkan ia adalah serangan brute force RDP (dan bukan salah konfigurasi)
Sebelum anda mengubah polisi dan berisiko mengunci pengguna yang sah, sahkan apa yang gagal, dari mana, dan pada jumlah berapa. Panduan penyelesaian masalah Microsoft sendiri untuk VM Azure di bawah serangan brute-force menggunakan titik permulaan yang sama walaupun di luar Azure: cari jumlah tinggi kegagalan log masuk dan kaitkan mereka dengan IP sumber luaran.
- Periksa log Keselamatan Windows untuk lonjakan percubaan log masuk yang gagal semasa pengguna melaporkan masalah. ID Acara 4625 adalah petunjuk biasa untuk disemak.
- Cari corak: nama akaun yang berulang, banyak akaun yang berbeza, atau IP sumber yang sama mengakses banyak pengguna.
- Kaitkan tanda masuk yang gagal dengan log masuk yang berjaya tidak lama selepas itu. Log masuk yang berjaya sering direkodkan sebagai ID Acara 4624, bergantung kepada dasar audit anda.
- Sahkan pendedahan: adakah TCP 3389 (atau port RDP khusus anda) boleh diakses dari internet melalui peraturan firewall, NAT, pemajuan port, atau kumpulan keselamatan awan?
- Sahkan anda tidak melihat "amaran palsu" dari sumber yang sah (gerbang RDS, konsentrator VPN, alat pengurusan jauh, atau pengimbas dalaman) yang muncul sebagai kegagalan berulang disebabkan oleh kata laluan yang salah disimpan.
Jika anda melihat ID Acara 4625 dalam jumlah besar, dari banyak alamat IP luar dalam jangka masa yang singkat, anda mungkin berhadapan dengan tekaan aktif atau penyebaran daripada seorang pengguna yang menaip kata laluan yang salah.
Hentikan pendarahan dalam 15 hingga 30 minit (tindakan penahanan yang berkesan)
Apabila trafik brute-force aktif, keutamaan adalah untuk memulihkan kawalan dan memastikan laluan admin yang selamat tersedia. Cara paling cepat untuk mengurangkan risiko brute-force RDP adalah dengan menghentikan pendedahan RDP secara langsung kepada internet dan mengehadkan akses masuk kepada satu set alamat IP yang dipercayai atau laluan akses yang selamat (gerbang, VPN, atau bastion). Panduan Microsoft Learn untuk insiden Azure menguatkan pendekatan pengawalan yang sama ini: hadkan akses masuk terlebih dahulu, kemudian tingkatkan laluan akses.
- Tentukan cara yang selamat untuk kembali sebelum anda mengubah apa-apa. Jika anda sudah terkunci, gunakan akses luar jalur anda (konsol hypervisor, iLO/iDRAC, konsol serial awan, bastion, atau VPN) supaya anda masih boleh menguruskan hos selepas perubahan firewall.
- Buang pendedahan internet secara langsung bagi RDP. Matikan pemajuan port awam atau ketatkan peraturan masuk supaya RDP tidak terbuka kepada "sebarang sumber." Jika anda tidak dapat mengeluarkannya dengan segera, hadkan akses masuk kepada senarai yang dibenarkan yang pendek (IP pejabat anda, rangkaian pengurusan anda, IP egress tetap MSP anda).
- Di Azure atau awan serupa, ketatkan perimeter dengan segera. Hadkan peraturan masuk dalam NSG anda atau yang setara. Jika anda mempunyai pilihan, beralih kepada corak yang disokong oleh Microsoft seperti Azure Bastion, VPN Gateway, atau konsep akses tepat pada masanya untuk mengurangkan tingkap pendedahan.
- Sahkan Network Level Authentication (NLA) diaktifkan. NLA memaksa pengesahan sebelum sesi desktop jauh penuh ditubuhkan, yang mengurangkan pendedahan kepada beberapa risiko pra-pengesahan dan mengurangkan penggunaan sumber yang tidak perlu semasa meneka.
- Semak siapa yang boleh log masuk melalui RDP. Sahkan keahlian Pentadbir tempatan dan Pengguna Desktop Jauh, dan keluarkan sebarang kumpulan luas yang tidak memerlukan log masuk jauh interaktif.
- Lindungi akaun istimewa dengan segera. Jika anda mengesyaki kata laluan mungkin lemah atau bocor, putar kelayakan untuk akaun berprivilege dengan cara yang terkawal, dan semak untuk pentadbir tempatan baru yang tidak dijangka atau akaun yang baru diaktifkan.
- Menstabilkan akses untuk pengguna sebenar. Jika pengguna terkunci, penyelesaiannya biasanya adalah pengurangan pendedahan dan pengawalan yang lebih baik, bukan menurunkan keselamatan. Elakkan tergesa-gesa dalam perubahan kunci yang boleh menyebabkan gangguan yang lebih luas.
Setelah anda mengawal trafik, anda boleh membuat perubahan jangka panjang dengan selamat. Jika anda ingin pendekatan yang dibantu alat setelah anda mendapatkan semula kawalan, TSplus Advanced Security boleh membantu mengoperasikan pemblokiran brute-force dan sekatan akses pada pelayan Windows, tetapi pengawalan masih bermula dengan mengurangkan pendedahan.
Kurangkan permukaan serangan: seni bina akses yang mengurangkan risiko serangan kekerasan.
Jika anda hanya mengambil satu pelajaran dari serangan RDP yang berulang, jadikan ini: seni bina mengatasi pengubahsuaian. Meletakkan titik masuk yang terkawal di hadapan hos sesi mengubah apa yang boleh dicapai oleh penyerang dan apa yang anda boleh kuatkuasakan. Panduan Blog Keselamatan Microsoft untuk pengambilan desktop jauh menekankan pengurangan pendedahan langsung, dan Dokumen Microsoft Learn RD Gateway sebagai cara untuk menyediakan akses yang selamat melalui TLS dengan konfigurasi sijil yang betul.
Cara yang paling boleh dipercayai untuk mengurangkan percubaan brute-force RDP adalah dengan mengelakkan pendedahan RDP secara langsung dan sebaliknya memerlukan akses melalui titik masuk yang terkawal seperti Gerbang RD VPN, atau bastion, idealnya dengan pengesahan yang kuat.
| Corak akses | Pendedahan dan risiko serangan brute-force | Kompleksiti operasi | Apabila ia sesuai | Nota |
|---|---|---|---|---|
| Akses RDP secara langsung dari internet | Risiko tertinggi dan bunyi tertinggi. Pengimbasan dan tekaan yang berterusan. | Rendah untuk disiapkan, tinggi untuk mempertahankan. | Hanya untuk akses kecemasan jangka pendek dengan sekatan ketat. | Mengubah port mungkin mengurangkan pengimbasan oportunistik, tetapi ia tidak memberikan perlindungan yang kuat dengan sendirinya. |
| RDP Langsung dengan pengecualian IP | Pendedahan yang lebih rendah jika senarai yang dibenarkan kecil dan stabil. | Sederhana. Memerlukan penyelenggaraan senarai yang dibenarkan dan menangani perubahan perjalanan/ISP. | Pasukan pentadbir kecil dengan IP pejabat tetap atau egress MSP tetap. | Bekerja dengan baik apabila dipadankan dengan kawalan pengesahan yang kuat dan pemantauan. |
| Gerbang RD di hadapan RDS/RDP | Mengurangkan pendedahan langsung hos sesi dan terowong melalui TLS. | Sederhana hingga tinggi. Sijil, ketersediaan, dan reka bentuk polisi adalah penting. | Persekitaran yang berpusat pada Windows yang sudah menggunakan corak RDS. | Panduan perancangan RDS Microsoft Learn merangkumi keperluan gerbang. Pelesenan Microsoft tetap menjadi tanggungjawab anda dan harus disahkan dengan Microsoft atau rakan pelesenan yang berkelayakan. |
| VPN untuk akses jauh | Menghapus RDP dari pendedahan awam apabila dilakukan dengan betul. | Sederhana. Penghantaran klien, penghalaan, dan integrasi MFA berbeza. | Pentadbir dan kakitangan yang memerlukan akses rangkaian yang lebih luas, bukan hanya satu aplikasi. | Hadkan pengguna VPN kepada apa yang mereka perlukan, kemudian masih selamatkan RDP di dalam rangkaian. |
| Bastion atau hos lompat | Pengurangan pendedahan yang kuat. RDP hanya boleh diakses dari konteks bastion. | Sederhana. Memerlukan kawalan yang kuat terhadap bastion itu sendiri. | Pelayan yang dihoskan di awan, persekitaran yang dikawal, dan akses hanya untuk pentadbir. | Sering dipadankan dengan tingkap akses tepat pada masanya dan kawalan bersyarat bergantung kepada platform. |
| Terbitkan aplikasi/desktop melalui portal web (HTTPS) | Boleh mengurangkan atau menghapuskan keperluan untuk mendedahkan RDP mentah secara terbuka, bergantung kepada reka bentuk. | Rendah hingga sederhana. Memfokuskan pada penyampaian apa yang diperlukan oleh pengguna, bukan akses penuh ke rangkaian. | PKS yang menyediakan sekumpulan aplikasi Windows atau desktop jauh kepada pengguna dan rakan kongsi. | Jika matlamat anda adalah untuk memberikan pengguna akses kepada aplikasi Windows tanpa mendedahkan RDP mentah kepada internet, TSplus Remote Access adalah berbaloi untuk dinilai bagi penerbitan aplikasi dan desktop melalui portal web yang selamat. |
Jika anda mesti mengekalkan beberapa akses RDP yang tersedia, anggap ia sebagai antara muka admin yang dilindungi, bukan titik masuk kerja jarak jauh yang umum. Jika anda sedang bergerak ke arah aplikasi dan penerbitan desktop melalui portal web yang selamat Panduan permulaan yang cepat dapat membantu anda memulakan. Kedudukan keselamatan anda bertambah baik dengan ketara apabila kebanyakan pengguna tidak pernah menyambung ke TCP 3389 sama sekali.
Kukuhkan pengesahan untuk RDP tanpa mengunci pengguna sebenar.
Ketahanan yang baik terhadap serangan brute-force adalah keseimbangan antara memperlambat penyerang dan memastikan akses yang sah tetap boleh dipercayai. Ketahanan brute-force yang berkesan menggabungkan NLA dan kelayakan yang kuat dengan dasar had kadar atau penguncian yang memperlambat kegagalan berulang sambil disesuaikan untuk mengelakkan penolakan perkhidmatan yang dicetuskan oleh penyerang. NIST SP 800-63B membincangkan pengurangan dan pengendalian percubaan pengesahan yang gagal berulang sebagai kawalan utama, kerana ia mengurangkan kebolehlaksanaan tekaan yang cepat.
Mulakan dengan NLA dan kebersihan akaun
NLA adalah asas untuk RDP kerana ia memerlukan pengesahan sebelum sesi sepenuhnya ditubuhkan. Ia tidak akan menghentikan penyebaran kata laluan dengan sendirinya, tetapi ia mengurangkan pendedahan dan sumber yang terbuang berbanding membiarkan sesi yang tidak disahkan berjalan lebih jauh.
Kemudian tangani asas identiti yang dimanfaatkan oleh serangan brute force: hapuskan hak admin yang tidak perlu, kuatkuasakan prinsip hak minimum, dan bersihkan akaun yang tidak aktif. Jika anda mempunyai akaun admin tempatan yang jelas atau dikongsi, putar mereka, hadkan tempat mereka boleh log masuk, dan pertimbangkan untuk menamakan semula atau menyahaktifkan akaun yang tidak memerlukan log masuk interaktif. Kekalkan Pengguna Desktop Jauh dan Pentadbir tempatan dengan ketat, terutamanya pada pelayan yang menyimpan data sensitif.
Kunci dan pengekangan: mengapa penyetelan penting
Tetapan Dasar Kunci Akaun Windows biasanya digunakan untuk mengurangkan kejayaan serangan brute-force, dan Dokumen Microsoft Learn mendokumentasikan istilah-istilah utama had penguncian, tempoh penguncian, dan kaunter reset. Pertukaran adalah ketersediaan. Penyerang boleh secara sengaja mencetuskan penguncian untuk pengguna sebenar (atau meja bantuan dan pentadbir anda) jika had anda terlalu rendah dan pendedahan anda terlalu luas.
Gunakan faktor keputusan ini apabila anda menyelaraskan penguncian dan pengekangan:
- Sejauh mana perkhidmatan terdedah? Jika RDP boleh diakses dari seluruh internet, penguncian lebih cenderung untuk digunakan sebagai senjata. Kurangkan pendedahan terlebih dahulu, kemudian sesuaikan penguncian.
- Bagaimana pengguna mengesahkan diri? Gerbang, VPN, atau bastion boleh mengurangkan keperluan untuk penguncian agresif pada hos sesi kerana lebih sedikit sumber yang tidak dikenali dapat mencapainya.
- Seberapa mahal kunci keluar? Jika penguncian menyebabkan gangguan bagi pasukan sokongan pengeluaran, anda mungkin lebih suka had kadar dan larangan berdasarkan IP berbanding penguncian akaun yang ketat.
- Bagaimana tingkah laku akaun bersama? Kredensial yang dikongsi menggandakan impak penguncian. Hapuskan akaun yang dikongsi jika boleh.
Kes khas: pentadbir tempatan terbina dalam
Banyak persekitaran masih mempunyai akaun Pentadbir tempatan terbina dalam pada pelayan dan stesen kerja, dan tingkah laku penguncian ini sering menjadi sumber kekeliruan. Microsoft Support KB5020282 memberikan konteks mengenai penguncian akaun untuk pentadbir tempatan terbina dalam, termasuk bagaimana penguncian boleh dikenakan kepada log masuk rangkaian seperti RDP bergantung kepada konfigurasi dan versi. Jangan anggap Pentadbir terbina dalam akan berkelakuan sama seperti akaun pengguna biasa, dan uji dengan cara terkawal sebelum anda bergantung kepada tingkah laku penguncian sebagai kawalan utama.
Untuk pasukan yang mahukan lapisan pengukuhan praktikal, TSplus Advanced Security termasuk perlindungan terhadap serangan brute-force yang direka untuk menghentikan percubaan tidak sah yang berulang pada tahap hos. Ia seharusnya melengkapi, bukan menggantikan, dasar pengesahan Windows yang kuat dan penyetelan penguncian yang teliti.
Kawalan rangkaian yang membantu (dan yang dianggap terlalu tinggi oleh orang)
Kawalan rangkaian sering kali merupakan peningkatan terpantas yang boleh anda lakukan, tetapi ia mempunyai nilai dunia sebenar yang berbeza. Panduan Microsoft untuk isu brute-force RDP (termasuk dalam senario Azure) sentiasa mengutamakan sekatan sambungan masuk berbanding perubahan kosmetik.
Nilai tinggi: pengecualian IP. Jika anda boleh mengehadkan RDP kepada alamat yang diketahui (IP egress pejabat, julat VPN, subnet bastion, IP tetap MSP), anda akan menghapuskan kebanyakan trafik brute-force dengan segera. Ini juga menjadikan pemantauan anda lebih bermakna kerana sebarang kegagalan yang tinggal datang dari set sumber yang lebih kecil.
Berguna dengan berhati-hati: kawalan berdasarkan geografi dan reputasi. Geo blocking dan reputasi IP boleh mengurangkan bunyi, tetapi ia juga boleh menyekat pengguna yang sah yang melakukan perjalanan, menyambung dari rangkaian roaming, atau datang melalui CGNAT. Penyerang juga boleh menggunakan VPN dan proksi, jadi anggap kawalan geo sebagai pengurang risiko, bukan jaminan.
Terlalu tinggi: menukar port RDP. IP allowlisting secara signifikan mengurangkan pendedahan brute-force RDP, sementara menukar port RDP terutamanya mengurangkan pengimbasan oportunistik dan tidak boleh bergantung sebagai perlindungan utama. Perubahan port boleh membeli masa semasa insiden, tetapi ia tidak menangani penyemburan kata laluan daripada pelaku yang bertekad yang boleh menemui port tersebut.
Dalam persekitaran di mana pasukan mahukan penguatkuasaan yang lebih mudah daripada mengekalkan set peraturan yang kompleks secara manual, TSplus Advanced Security menambah perlindungan geografi dan kawalan berasaskan IP yang boleh digunakan secara konsisten di seluruh pelayan.
Pemantauan dan pengesanan: apa yang perlu dicatat, diberi amaran, dan disiasat
Kekuatan kasar adalah salah satu masalah yang kelihatan jelas setelah kejadian dan mahal apabila anda menyedarinya lewat. Tujuan pemantauan bukan untuk mengira setiap log masuk yang gagal selama-lamanya. Ia adalah untuk mengesan corak yang tidak normal lebih awal dan untuk menyiasat sama ada percubaan tersebut pernah menjadi log masuk yang berjaya.
Pantau lonjakan tidak normal dalam logon yang gagal (sering ID Acara 4625) dan beri amaran tentang corak yang menunjukkan penyemburan kata laluan atau logon susulan yang berjaya selepas kegagalan berulang. Panduan penyelesaian masalah brute-force Microsoft menekankan artefak yang sama (4625) kerana ia adalah titik permulaan yang praktikal apabila pentadbir cuba mendapatkan semula akses dan memahami skop.
Untuk operasi harian, tumpukan pada tiga soalan penyiasatan:
Adakah trafik itu luaran atau dalaman? IP awam yang mengakses titik antara muka awam menunjukkan isu pendedahan. IP dalaman mungkin menunjukkan titik akhir yang terjejas atau akaun perkhidmatan yang salah konfigurasi.
Adakah ia satu akaun atau banyak? Satu akaun mencadangkan serangan brute force. Banyak akaun dengan percubaan rendah masing-masing mencadangkan penyemburan kata laluan.
Adakah mana-mana akaun berjaya selepas letupan itu? Log masuk yang berjaya tidak lama selepas kegagalan berulang adalah korelasi keutamaan tinggi untuk disiasat, terutamanya untuk akaun berprivilege.
Jika anda belum mengumpulkan log Windows, pertimbangkan Penghantaran Acara Windows atau SIEM yang sedia ada supaya anda dapat memberi amaran di seluruh pelayan dengan konsisten. Untuk pasukan yang memerlukan yang mudah amaran dan keterlihatan sejarah semasa lonjakan serangan , Pemantauan Server TSplus boleh membantu anda menjejak kesihatan dan ketersediaan pelayan bersama dengan log keselamatan anda.
Pendekatan pemblokiran automatik (dan cara mengelakkan positif palsu)
Tindak balas manual tidak dapat ditingkatkan apabila hos anda terdedah kepada internet. Automasi adalah di mana banyak pasukan mendapatkan semula kawalan, selagi ia direka untuk boleh dibalikkan dan untuk melindungi akses yang sah. Automasi yang paling selamat menyekat log masuk yang gagal berulang dengan larangan terikat masa dan senarai yang jelas dibenarkan, dan ia mesti mengambil kira alamat IP yang dikongsi untuk mengelakkan menyekat pengguna yang sah.
Apa rupa automasi dalam amalan
Pendekatan umum termasuk modul firewall hos yang mengesan kegagalan berulang dan sementara menyekat IP, ciri EDR yang mengesan tingkah laku meneka kata laluan, dan skrip yang menganalisis log Keselamatan dan menerapkan peraturan firewall dinamik. Kawalan berpusat pada gerbang (Gerbang RD, VPN, bastion) sering mengurangkan keperluan untuk menyekat pada tahap hos secara agresif kerana lebih sedikit sumber yang tidak dikenali sampai ke pelayan.
Di mana pasukan terbakar
NAT Bersama dan CGNAT. Jika banyak pengguna sah datang dari satu IP awam (pejabat cawangan, rangkaian hotel, beberapa ISP), menyekat IP tersebut boleh memutuskan pengguna yang baik bersama dengan penyerang. Larangan terikat masa dan senarai putih yang diketahui baik mengurangkan radius letupan.
Menghalang laluan pengurusan anda sendiri. Sentiasa whitelist julat VPN anda, subnet bastion, dan IP egress pengurusan MSP sebelum anda mengaktifkan pemblokiran agresif. Dokumentasikan laluan break-glass yang tidak bergantung pada laluan rangkaian yang sama.
Kejadian gangguan yang disebabkan oleh penguncian. Jika satu-satunya kawalan anda adalah penguncian akaun, penyerang boleh menjadikannya sebagai penolakan perkhidmatan. Pasangkan dasar penguncian dengan pengurangan pendedahan dan pengurangan berasaskan IP supaya hos tidak menjadi titik sesak.
TSplus Advanced Security menambah perlindungan brute-force yang praktikal IP dan kawalan geografi, serta pengukuhan yang fokus kepada ransomware untuk pelayan Windows, yang boleh membantu anda mengurangkan percubaan log masuk RDP yang berulang tanpa menggunakan tumpukan keselamatan yang berat.
Garis dasar praktikal untuk persekitaran SMB dan MSP
PKS dan MSP memerlukan asas yang boleh diulang, boleh diuji, dan tidak mungkin mengganggu operasi harian. Panduan keselamatan desktop jauh Microsoft menyokong prinsip umum yang sama: mengurangkan pendedahan langsung, kemudian mengukuhkan akses dan memantau secara aktif.
- Hapus pendedahan internet secara langsung bagi RDP jika boleh, dan lalukan akses melalui VPN, portal, atau corak bastion.
- Jika RDP mesti tetap dapat diakses, hadkan akses masuk kepada senarai IP yang dibenarkan yang kecil dan semak secara berkala.
- Aktifkan Pengesahan Tahap Rangkaian (NLA) dan perlukan kelayakan yang kuat dan unik untuk semua pengguna interaktif.
- Perketat akses istimewa: minimakan keanggotaan admin tempatan dan semak keanggotaan Pengguna Desktop Jauh.
- Tetapkan Dasar Penguncian Akaun secara sengaja (ambang, tempoh, menetapkan semula kaunter) dan uji ia untuk mengelakkan gangguan yang disebabkan oleh penguncian.
- Pantau log masuk yang gagal (contohnya, ID Acara 4625) dan siasat corak kejayaan selepas kegagalan dengan segera.
- Pastikan Windows, komponen berkaitan RDP, dan perkhidmatan yang terdedah kepada internet dikemas kini mengikut jadual yang ditetapkan.
- Akses pecah kaca dokumen, termasuk cara anda akan mendapatkan semula akses konsol jika peraturan rangkaian menyekat kemasukan jarak jauh.
Jika anda ingin ulasan yang terstruktur, gunakan kami Audit Keselamatan RDP: Senarai Semak 20 Perkara untuk 2026 .
Bagi MSP, standardkan apa yang anda boleh (templat GPO, garis dasar firewall, inventori IP pengurusan yang dibenarkan) dan simpan senarai dibenarkan dan pengecualian khusus pelanggan dengan jelas didokumenkan. Jika anda memerlukan lapisan pengukuhan praktikal di banyak pelayan pelanggan, TSplus Advanced Security boleh digunakan sebagai sebahagian daripada pakej keselamatan akses jauh standard, dan TSplus Remote Access boleh menyokong sikap "jangan dedahkan RDP mentah secara langsung" untuk aplikasi dan desktop yang diterbitkan.
FAQ
Adakah menukar port RDP lalai menghentikan serangan brute-force?
Mengubah port RDP boleh mengurangkan bunyi pengimbasan oportunistik, dan panduan insiden Microsoft sendiri menyebutnya sebagai mitigasi sementara dalam beberapa senario, tetapi ia tidak menghentikan tekaan yang disasarkan. Anggap ia sebagai taktik sekunder dan fokus terlebih dahulu pada pengurangan pendedahan (senarai putih, pintu gerbang, VPN, bastion) dan pengukuhan pengesahan.
Apakah tetapan dasar Windows yang paling penting untuk perlindungan daripada serangan brute-force RDP?
Mulakan dengan mengaktifkan NLA untuk RDP, mengetatkan siapa yang mempunyai hak untuk log masuk melalui Remote Desktop, dan mengkonfigurasi Dasar Kunci Akaun (ambang, tempoh, menetapkan semula kaunter) seperti yang didokumenkan oleh Microsoft Learn. Dasar kata laluan yang kuat dan hak admin dengan keistimewaan minimum juga mengurangkan kemungkinan tekaan membawa kepada kompromi yang bermakna.
Bolehkah tetapan penguncian akaun menjadikan gangguan RDP lebih teruk semasa serangan?
Ya. Jika RDP terdedah secara meluas, penyerang boleh dengan sengaja mencetuskan penguncian untuk pengguna sebenar, yang menjadi masalah penolakan perkhidmatan. Itulah sebabnya urutan yang disyorkan adalah untuk mengurangkan pendedahan terlebih dahulu, kemudian menyelaraskan penguncian dan pengekangan dengan cara yang mengimbangi keselamatan dengan ketersediaan.
Adakah Pengesahan Tahap Rangkaian (NLA) mencukupi untuk mengamankan RDP?
NLA adalah garis dasar yang penting, tetapi ia tidak mencegah penyemburan kata laluan atau pengisian kelayakan dengan sendirinya. Anda masih memerlukan pengurangan pendedahan, kebersihan kelayakan yang kuat, pengawalan yang munasabah atau tingkah laku penguncian, dan pemantauan untuk corak log masuk yang tidak biasa.
Apa yang harus saya pantau untuk mengesan percubaan brute-force RDP dengan awal?
Cari lonjakan tidak normal dalam logon yang gagal, yang biasanya terlihat sebagai ID Acara 4625, terutama apabila ia datang dari banyak IP luar atau menyasarkan banyak nama pengguna dalam tempoh yang singkat. Juga siasat sebarang logon yang berjaya yang berlaku tidak lama selepas kegagalan berulang, kerana ia boleh menunjukkan kata laluan yang diteka atau digunakan semula.
Kesimpulan: utamakan pengurangan pendedahan, kemudian kukuhkan dan automasikan
Perlindungan brute force RDP bukanlah satu tetapan. Ia adalah pendekatan berlapis yang berfungsi dengan baik dalam urutan ini: mengurangkan atau menghapuskan pendedahan langsung, menguatkan pengesahan (NLA, kelayakan yang kuat, hak minimum, penguncian yang munasabah atau pengekangan), menerapkan kawalan rangkaian yang benar-benar mengehadkan kebolehcapaian, memantau corak yang bermakna, dan mengautomasikan pemblokiran dengan teliti untuk mengelakkan positif palsu.
Dokumentasikan perubahan anda, uji mereka di luar waktu perniagaan jika boleh, dan sahkan bahawa laluan kecemasan anda masih berfungsi selepas penyesuaian firewall dan penguncian. Jika anda ingin mengoperasikan perlindungan ini dengan usaha manual yang kurang, TSplus Advanced Security boleh membantu dengan perlindungan daripada serangan brute-force dan sekatan akses, dan TSplus Remote Access boleh menyediakan model penghantaran yang lebih selamat untuk aplikasi dan desktop Windows yang diterbitkan melalui portal web. Untuk menilai, anda boleh muat turun ujian dan ulasan penetapan harga .