Jak wygląda atak brute-force RDP w praktyce
Zazwyczaj zauważasz RDP atak siłowy w ten sam sposób: powtarzające się nieudane logowania do serwera Windows, który jest dostępny z internetu, często prowadzące do zablokowania kont, hałaśliwych dzienników zabezpieczeń i zmartwionych użytkowników, którzy nie mogą się połączyć. Wiele z tych ataków nie jest "ukierunkowanych" w ludzkim sensie. RDP wystawione na internet jest nieustannie skanowane, a zautomatyzowane narzędzia będą próbować nazw użytkowników i haseł, aż znajdą słabe poświadczenie lub spowodują zakłócenia.
W MITRE ATT&CK, to odpowiada Technika T1110 (Brute Force) , które obejmują powiązane wzorce, takie jak zgadywanie haseł i rozpryskiwanie haseł. W praktycznych terminach operacyjnych ataki brute force RDP to powtarzające się próby zdalnego logowania (często zautomatyzowane), które próbują wielu haseł lub wielu kont przeciwko narażonej usłudze RDP, aż do momentu znalezienia poświadczeń lub zakłócenia kont.
Typowe objawy obejmują:
- Nagły wzrost nieudanych logowań w dziennikach zabezpieczeń systemu Windows
- Wiele prób ataków na popularne nazwy kont (Administrator, admin, test, nazwy w stylu usługi)
- Awaria pochodząca z wielu zewnętrznych adresów IP, czasami często zmieniających się
- Skargi użytkowników dotyczące zablokowania konta lub wolnego logowania
- Wyższe obciążenie CPU lub uwierzytelniania podczas szczytów (usługi związane z LSASS i RDP mogą być dotknięte)
Pomaga nazwać to, co widzisz. "Atak siłowy" zazwyczaj oznacza wiele haseł przeciwko jednemu kontu. "Spray haseł" oznacza kilka powszechnych haseł przeciwko wielu kontom, aby uniknąć progów blokady. "Wstrzykiwanie poświadczeń" oznacza testowanie par nazw użytkowników i haseł skradzionych gdzie indziej. Wszystkie trzy objawiają się jako powtarzające się nieudane logowania zdalne i zasługują na tę samą pierwszą reakcję: zmniejszenie narażenia i spowolnienie prób.
Szybka diagnoza: potwierdź, że to atak brute force RDP (a nie błędna konfiguracja)
Zanim zmienisz zasady i ryzykujesz zablokowaniem legalnych użytkowników, potwierdź, co zawodzi, skąd i w jakiej ilości. Własne wskazówki dotyczące rozwiązywania problemów firmy Microsoft dla maszyn wirtualnych Azure poddanych atakowi typu brute-force używa tego samego punktu wyjścia nawet poza Azure: szukaj dużych ilości nieudanych prób logowania i koreluj je z zewnętrznymi adresami IP.
- Sprawdź dzienniki zabezpieczeń systemu Windows pod kątem nagłego wzrostu nieudanych logowań w czasie, gdy użytkownicy zgłaszali problemy. Identyfikator zdarzenia 4625 jest powszechnym wskaźnikiem do przeglądu.
- Szukaj wzorców: powtarzające się nazwy kont, wiele różnych kont lub ten sam adres IP atakujący wielu użytkowników.
- Skoreluj nieudane logowania z udanymi logowaniami wkrótce po nich. Udane logowania są często rejestrowane jako identyfikator zdarzenia 4624, w zależności od twojej polityki audytu.
- Potwierdź dostępność: czy TCP 3389 (lub twój niestandardowy port RDP) jest osiągalny z internetu przez regułę zapory, NAT, przekierowanie portu lub grupę zabezpieczeń w chmurze?
- Zweryfikuj, czy nie widzisz „fałszywych alarmów” z legalnych źródeł (brama RDS, koncentrator VPN, narzędzie do zdalnego zarządzania lub wewnętrzny skaner), które pojawiają się jako powtarzające się błędy z powodu zapisania błędnego hasła.
Jeśli widzisz identyfikator zdarzenia 4625 w dużej ilości, z wielu zewnętrznych adresów IP w krótkich okresach, prawdopodobnie masz do czynienia z aktywnym zgadywaniem lub rozpryskiwaniem, a nie z pojedynczym użytkownikiem wpisującym błędne hasło.
Zatrzymaj krwawienie w ciągu 15 do 30 minut (działania ograniczające, które działają)
Gdy ruch brute-force jest aktywny, priorytetem jest przywrócenie kontroli i zapewnienie bezpiecznej ścieżki administracyjnej. Najszybszym sposobem na zmniejszenie ryzyka ataków brute-force na RDP jest zaprzestanie bezpośredniego wystawiania RDP na internet oraz ograniczenie dostępu przychodzącego do znanego zestawu zaufanych adresów IP lub zabezpieczonej ścieżki dostępu (brama, VPN lub bastion). Wskazówki Microsoft Learn dotyczące incydentów w Azure wzmacnia to samo podejście do ograniczeń: najpierw ogranicz dostęp przychodzący, a następnie popraw ścieżkę dostępu.
- Ustal bezpieczny sposób powrotu, zanim cokolwiek zmienisz. Jeśli już zostałeś zablokowany, użyj dostępu poza pasmem (konsola hypervisora, iLO/iDRAC, konsola szeregowa w chmurze, bastion lub VPN), aby nadal móc zarządzać hostem po zmianach w zaporze.
- Usuń bezpośrednią ekspozycję internetu na RDP. Wyłącz publiczne przekierowanie portów lub zaostrz zasady przychodzące, aby RDP nie był otwarty na „jakiekolwiek źródło”. Jeśli nie możesz tego usunąć natychmiast, ogranicz dostęp przychodzący do krótkiej białej listy (twoje adresy IP biura, twoja sieć zarządzająca, twoje stałe adresy IP MSP).
- Na Azure lub podobnych chmurach, natychmiast zaostrzyć obwód. Ogranicz regułę przychodzącą w swoim NSG lub równoważnym. Jeśli masz taką możliwość, przejdź do wzorców zatwierdzonych przez Microsoft, takich jak Azure Bastion, VPN Gateway lub koncepcje dostępu w trybie just-in-time, aby zmniejszyć okna narażenia.
- Potwierdź Uwierzytelnianie na poziomie sieci (NLA) jest włączona. NLA wymusza uwierzytelnienie przed nawiązaniem pełnej sesji pulpitu zdalnego, co zmniejsza narażenie na niektóre ryzyka przed uwierzytelnieniem i ogranicza niepotrzebne zużycie zasobów podczas zgadywania.
- Sprawdź, kto może zalogować się za pomocą RDP. Zweryfikuj członkostwo lokalnych administratorów i użytkowników zdalnego pulpitu oraz usuń wszelkie szerokie grupy, które nie potrzebują interaktywnego logowania zdalnego.
- Chroń konta uprzywilejowane od razu. Jeśli podejrzewasz, że hasło może być słabe lub wyciekło, zmień dane logowania dla uprzywilejowanych kont w kontrolowany sposób i sprawdź, czy nie pojawiły się nieoczekiwani nowi lokalni administratorzy lub nowo włączone konta.
- Stabilizuj dostęp dla prawdziwych użytkowników. Jeśli użytkownicy są blokowani, rozwiązaniem zazwyczaj jest zmniejszenie ekspozycji i lepsze ograniczenie, a nie obniżenie bezpieczeństwa. Unikaj pośpiesznych zmian blokady, które mogą spowodować szersze przerwy w działaniu.
Gdy już masz ruch pod kontrolą, możesz bezpiecznie wprowadzać długoterminowe zmiany. Jeśli chcesz podejścia z pomocą narzędzi po odzyskaniu kontroli, TSplus Advanced Security może pomóc w operacjonalizacji blokowania ataków siłowych i ograniczeń dostępu na serwerach Windows, ale ograniczenie nadal zaczyna się od zmniejszenia narażenia.
Zredukować powierzchnię ataku: architektury dostępu, które zmniejszają ryzyko ataków siłowych
Jeśli masz zapamiętać tylko jedną lekcję z powtarzających się ataków RDP, niech to będzie to: architektura przewyższa dostosowywanie. Umieszczenie kontrolowanego punktu wejścia przed hostami sesji zmienia to, co mogą osiągnąć atakujący i co możesz egzekwować. Wskazówki bloga bezpieczeństwa Microsoftu dotyczące przyjęcia pulpitu zdalnego podkreśla zmniejszenie bezpośredniego narażenia, a Dokumenty Microsoft Learn dotyczące bramy RD jako sposób na zapewnienie bezpiecznego dostępu przez TLS z odpowiednią konfiguracją certyfikatu.
Najbardziej niezawodnym sposobem na zmniejszenie prób ataków brute-force na RDP jest unikanie bezpośredniego narażenia RDP i zamiast tego wymaganie dostępu przez kontrolowany punkt wejścia, taki jak Brama RD VPN lub bastion, najlepiej z silną autoryzacją.
| Wzór dostępu | Ekspozycja i ryzyko ataków siłowych | Złożoność operacyjna | Kiedy pasuje | Notatki |
|---|---|---|---|---|
| Bezpośredni RDP z internetu | Najwyższe ryzyko i najwyższy hałas. Ciągłe skanowanie i zgadywanie. | Niski do skonfigurowania, wysoki do obrony. | Tylko do krótkoterminowego dostępu awaryjnego z rygorystycznymi ograniczeniami. | Zmiana portu może zmniejszyć oportunistyczne skanowanie, ale sama w sobie nie zapewnia silnej ochrony. |
| Bezpośredni RDP z dozwolonymi adresami IP | Mniejsze ryzyko, jeśli lista dozwolonych jest mała i stabilna. | Średni. Wymaga utrzymania list dozwolonych i obsługi zmian w podróży/ISP. | Małe zespoły administracyjne z ustalonymi adresami IP biura lub ustalonymi wyjściami MSP. | Najlepiej działa w połączeniu z silnymi kontrolami uwierzytelniania i monitorowaniem. |
| Brama RD przed RDS/RDP | Redukuje bezpośrednie narażenie hostów sesji i tuneli przez TLS. | Średni do wysokiego. Certyfikaty, dostępność i projektowanie polityki mają znaczenie. | Środowiska skoncentrowane na systemie Windows, które już korzystają ze wzorców RDS. | Wytyczne dotyczące planowania RDS firmy Microsoft obejmują wymagania dotyczące bramy. Licencjonowanie Microsoft pozostaje Twoją odpowiedzialnością i powinno być weryfikowane z firmą Microsoft lub kwalifikowanym partnerem licencyjnym. |
| VPN do zdalnego dostępu | Usuwa RDP z publicznego dostępu, gdy jest to zrobione poprawnie. | Średnie. Wdrażanie klienta, routowanie i integracja MFA różnią się. | Administratorzy i pracownicy, którzy potrzebują szerszego dostępu do sieci, a nie tylko do jednej aplikacji. | Ogranicz użytkowników VPN do tego, czego potrzebują, a następnie nadal zabezpiecz RDP wewnątrz sieci. |
| Bastion lub host skokowy | Silne ograniczenie ekspozycji. RDP jest dostępny tylko z kontekstu bastionu. | Średni. Wymaga silnej kontroli samego bastionu. | Serwery w chmurze, regulowane środowiska i dostęp tylko dla administratorów. | Często dobrze współpracuje z oknami dostępu na żądanie i kontrolami warunkowymi w zależności od platformy. |
| Publikuj aplikacje/pulpity za pośrednictwem portalu internetowego (HTTPS) | Może zmniejszyć lub wyeliminować potrzebę publicznego udostępniania surowego RDP, w zależności od projektu. | Niski do średniego. Skupia się na dostarczaniu tego, czego potrzebują użytkownicy, a nie na pełnym dostępie do sieci. | Małe i średnie przedsiębiorstwa dostarczające zestaw aplikacji Windows lub pulpity zdalne użytkownikom i partnerom. | Jeśli Twoim celem jest zapewnienie użytkownikom dostępu do aplikacji Windows bez narażania surowego RDP na dostęp z internetu, TSplus Remote Access warto ocenić pod kątem publikacji aplikacji i pulpitu za pośrednictwem zabezpieczonego portalu internetowego. |
Jeśli musisz zachować dostęp RDP, traktuj go jako chroniony interfejs administracyjny, a nie ogólny punkt dostępu do pracy zdalnej. Jeśli zmierzasz w kierunku publikacja aplikacji i dokumentów na komputerze za pośrednictwem zabezpieczonego portalu internetowego Szybki przewodnik może pomóc Ci w rozpoczęciu. Twoja postura bezpieczeństwa znacznie się poprawia, gdy większość użytkowników w ogóle nie łączy się z TCP 3389.
Wzmocnij uwierzytelnianie dla RDP bez blokowania prawdziwych użytkowników
Dobra odporność na ataki siłowe to równowaga między spowolnieniem atakujących a zapewnieniem niezawodnego dostępu dla uprawnionych użytkowników. Skuteczna odporność na ataki siłowe łączy NLA i silne poświadczenia z polityką ograniczania tempa lub blokady, która spowalnia powtarzające się niepowodzenia, jednocześnie dostosowując się, aby uniknąć odmowy usługi wywołanej przez atakującego. NIST SP 800-63B omawia ograniczanie i obsługę powtarzających się nieudanych prób uwierzytelnienia jako kluczową kontrolę, ponieważ zmniejsza to możliwość szybkiego zgadywania.
Zacznij od NLA i higieny konta
NLA jest podstawą dla RDP, ponieważ wymaga uwierzytelnienia przed pełnym nawiązaniem sesji. Nie zatrzyma samo w sobie ataków typu password spraying, ale zmniejsza narażenie i marnotrawstwo zasobów w porównaniu do pozwolenia na dalszy postęp nieautoryzowanych sesji.
Następnie zajmij się podstawami tożsamości, na których opiera się atak siłowy: usuń niepotrzebne uprawnienia administratora, egzekwuj zasadę najmniejszych uprawnień i oczyść nieaktywne konta. Jeśli masz oczywiste lub wspólne lokalne konta administratora, zmień je, ogranicz, gdzie mogą się logować, i rozważ zmianę nazwy lub dezaktywację kont, które nie potrzebują interaktywnego logowania. Utrzymuj użytkowników zdalnego pulpitu i lokalnych administratorów w ścisłej kontroli, szczególnie na serwerach, które przechowują wrażliwe dane.
Zablokowanie i ograniczenie: dlaczego dostrojenie ma znaczenie
Ustawienia polityki blokady konta systemu Windows są powszechnie stosowane w celu zmniejszenia skuteczności ataków typu brute-force, a Dokumenty Microsoft Learn opisują kluczowe terminy próg blokady, czas blokady i licznik resetowania. Wymiana to dostępność. Napastnicy mogą celowo wywoływać blokady dla prawdziwych użytkowników (lub twojego helpdesku i administratorów), jeśli twój próg jest zbyt niski, a twoja ekspozycja jest szeroka.
Użyj tych czynników decyzyjnych, gdy dostosowujesz blokadę i ograniczenia:
- Jak bardzo usługa jest narażona? Jeśli RDP jest dostępny z całego internetu, blokady są bardziej prawdopodobne do wykorzystania. Najpierw zmniejsz narażenie, a następnie dostosuj blokadę.
- Jak użytkownicy się uwierzytelniają? Bramka, VPN lub bastion mogą zmniejszyć potrzebę agresywnych blokad na hoście sesji, ponieważ mniej nieznanych źródeł może się do niego dostać.
- Jak kosztowna jest blokada? Jeśli zablokowanie konta prowadzi do przerwy w pracy zespołu wsparcia produkcji, możesz preferować ograniczanie prędkości i blokady oparte na adresach IP zamiast ścisłych zablokowań kont.
- Jak zachowują się konta współdzielone? Wspólne dane uwierzytelniające mnożą wpływ blokad. Wyeliminuj wspólne konta, gdzie to możliwe.
Specjalny przypadek: wbudowany lokalny administrator
Wiele środowisk wciąż ma wbudowane lokalne konto Administratora na serwerach i stacjach roboczych, a jego zachowanie w przypadku zablokowania było częstym źródłem zamieszania. Microsoft Support KB5020282 zapewnia kontekst dotyczący zablokowania konta dla wbudowanych lokalnych administratorów, w tym jak zablokowanie może dotyczyć logowania do sieci, takiego jak RDP, w zależności od konfiguracji i wersji. Nie zakładaj, że wbudowany Administrator będzie zachowywał się tak samo jak normalne konto użytkownika, i przetestuj w kontrolowany sposób, zanim polegasz na zachowaniu zablokowania jako głównym środku kontroli.
Dla zespołów, które chcą praktycznej warstwy wzmacniającej, TSplus Advanced Security zawiera ochronę przed atakami typu brute-force, zaprojektowaną w celu zatrzymania powtarzających się nieautoryzowanych prób na poziomie hosta. Powinna ona uzupełniać, a nie zastępować, silne polityki uwierzytelniania systemu Windows oraz staranne dostosowanie blokady.
Kontrole sieciowe, które pomagają (i te, które ludzie przeceniają)
Kontrole sieciowe są często najszybszymi ulepszeniami, jakie możesz wprowadzić, ale mają różną wartość w rzeczywistości. Wytyczne Microsoftu dotyczące problemów z atakami brute-force RDP (w tym w scenariuszach Azure) konsekwentnie priorytetowo traktują ograniczenie przychodzącej łączności nad zmianami kosmetycznymi.
Wysoka wartość: dozwolenie IP. Jeśli możesz ograniczyć RDP do znanych adresów (IP wyjściowe biura, zakresy VPN, podsieci bastionowe, stałe adresy IP MSP), natychmiast usuwasz większość ruchu ataków siłowych. To również sprawia, że twoje monitorowanie staje się bardziej znaczące, ponieważ wszelkie pozostałe niepowodzenia pochodzą z mniejszego zestawu źródeł.
Użyteczne z ostrożnością: kontrole oparte na geolokalizacji i reputacji. Blokowanie geograficzne i reputacja IP mogą zmniejszyć hałas, ale mogą również zablokować legalnych użytkowników, którzy podróżują, łączą się z sieciami roamingowymi lub korzystają z CGNAT. Napastnicy mogą również używać VPN-ów i serwerów proxy, więc traktuj kontrole geograficzne jako sposób na zmniejszenie ryzyka, a nie jako gwarancję.
Przeszacowane: zmiana portu RDP. Zezwolenie na IP znacząco redukuje narażenie na ataki brute-force RDP, podczas gdy zmiana portu RDP głównie zmniejsza oportunistyczne skanowanie i nie powinna być traktowana jako główna forma ochrony. Zmiana portu może zyskać czas podczas incydentu, ale nie rozwiązuje problemu z rozprzestrzenianiem haseł przez zdeterminowanego aktora, który może odkryć port.
W środowiskach, w których zespoły chcą prostszego egzekwowania niż ręczne utrzymywanie złożonych zestawów reguł, TSplus Advanced Security dodaje ochrona geograficzna i kontrola oparta na IP które można stosować konsekwentnie na serwerach.
Monitoring i wykrywanie: co rejestrować, na co zwracać uwagę i co badać
Brute force to jeden z tych problemów, który wydaje się oczywisty w retrospektywie i kosztowny, gdy zauważysz go za późno. Celem monitorowania nie jest liczenie każdego nieudanego logowania na zawsze. Chodzi o wczesne wykrywanie nienormalnych wzorców i badanie, czy te próby kiedykolwiek przekształciły się w udane logowanie.
Monitoruj nietypowe skoki w nieudanych logowaniach (często identyfikator zdarzenia 4625) i powiadamiaj o wzorcach, które wskazują na atak typu password spraying lub udane logowanie po powtarzających się niepowodzeniach. Wytyczne Microsoftu dotyczące rozwiązywania problemów z atakami siłowymi podkreślają ten sam artefakt (4625), ponieważ jest to praktyczny punkt wyjścia, gdy administratorzy próbują odzyskać dostęp i zrozumieć zakres.
Skup się na trzech pytaniach dochodzeniowych w codziennych operacjach:
Czy ruch jest zewnętrzny czy wewnętrzny? Zewnętrzne adresy IP uderzające w publiczny interfejs wskazują na problemy z ekspozycją. Wewnętrzne adresy IP mogą wskazywać na skompromitowany punkt końcowy lub źle skonfigurowane konto usługi.
Czy to jedno konto, czy wiele? Jedno konto sugeruje atak siłowy. Wiele kont z niską liczbą prób sugeruje rozpryskiwanie haseł.
Czy jakiekolwiek konto odniosło sukces po wybuchu? Udane logowanie krótko po powtarzających się niepowodzeniach jest priorytetową korelacją do zbadania, szczególnie w przypadku kont uprzywilejowanych.
Jeśli jeszcze nie centralizujesz dzienników systemu Windows, rozważ przesyłanie zdarzeń systemu Windows lub istniejący system SIEM, aby móc konsekwentnie wysyłać powiadomienia na wielu serwerach. Dla zespołów, które potrzebują prostych alerty i historyczna widoczność podczas szczytów ataków , TSplus Monitorowanie Serwera może pomóc w śledzeniu stanu serwera i dostępności wraz z rejestrowaniem bezpieczeństwa.
Automatyczne podejścia do blokowania (i jak unikać fałszywych pozytywów)
Odpowiedź ręczna nie skaluje się, gdy Twoje hosty są dostępne przez internet. Automatyzacja to obszar, w którym wiele zespołów odzyskuje kontrolę, pod warunkiem, że jest zaprojektowana tak, aby była odwracalna i chroniła legalny dostęp. Najbezpieczniejsza automatyzacja blokuje powtarzające się nieudane logowania za pomocą czasowych zakazów i wyraźnych list dozwolonych, a także musi uwzględniać współdzielone adresy IP, aby uniknąć blokowania legalnych użytkowników.
Jak automatyzacja wygląda w praktyce
Powszechne podejścia obejmują moduły zapory ogniowej hosta, które wykrywają powtarzające się niepowodzenia i tymczasowo blokują adres IP, funkcje EDR, które wykrywają zachowania związane z odgadywaniem haseł, oraz skrypty, które analizują dzienniki zabezpieczeń i stosują dynamiczne zasady zapory. Kontrole skoncentrowane na bramie (RD Gateway, VPN, bastion) często zmniejszają potrzebę agresywnego blokowania na poziomie hosta, ponieważ mniej nieznanych źródeł dociera do serwera.
Gdzie zespoły ponoszą straty
Wspólny NAT i CGNAT. Jeśli wielu legalnych użytkowników pochodzi z jednego publicznego adresu IP (biuro oddziału, sieć hotelowa, niektórzy dostawcy usług internetowych), zablokowanie tego adresu IP może odciąć dobrych użytkowników razem z atakującymi. Ograniczone czasowo zakazy i znane dobre listy dozwolone zmniejszają zasięg ataku.
Blokowanie własnej ścieżki zarządzania. Zawsze dodawaj do białej listy swoje zakresy VPN, podsieć bastionową i IP wyjściowe zarządzania MSP, zanim włączysz agresywne blokowanie. Udokumentuj ścieżkę awaryjną, która nie polega na tej samej trasie sieciowej.
Przerwy spowodowane zablokowaniem. Jeśli jedyną kontrolą jest zablokowanie konta, napastnicy mogą to przekształcić w atak typu denial of service. Połącz polityki blokady z redukcją narażenia i ograniczaniem na podstawie IP, aby host nie stał się wąskim gardłem.
TSplus Advanced Security dodaje praktyczną ochronę przed atakami siłowymi IP i kontrola geograficzna oraz wzmocnienie zabezpieczeń skoncentrowane na ransomware dla serwerów Windows, które mogą pomóc w redukcji powtarzających się prób logowania RDP bez wdrażania ciężkiego stosu zabezpieczeń.
Praktyczna baza dla środowisk SMB i MSP
Małe i średnie przedsiębiorstwa oraz dostawcy usług zarządzanych potrzebują podstawy, która jest powtarzalna, testowalna i mało prawdopodobne, że zakłóci codzienne operacje. Wytyczne Microsoftu dotyczące bezpieczeństwa zdalnego pulpitu wspierają tę samą ogólną zasadę: zmniejszyć bezpośrednie narażenie, a następnie wzmocnić dostęp i aktywnie monitorować.
- Usuń bezpośrednią ekspozycję internetu na RDP, gdzie to możliwe, i kieruj dostęp przez VPN, bramę lub wzorce bastionowe.
- Jeśli RDP musi pozostać dostępny, ogranicz dostęp przychodzący do małej listy dozwolonych adresów IP i regularnie ją przeglądaj.
- Włącz uwierzytelnianie na poziomie sieci (NLA) i wymagaj silnych, unikalnych poświadczeń dla wszystkich użytkowników interaktywnych.
- Zaostrzenie dostępu uprzywilejowanego: zminimalizowanie członkostwa lokalnych administratorów oraz przegląd członkostwa użytkowników Pulpitu Zdalnego.
- Ustaw politykę blokady konta celowo (próg, czas trwania, resetowanie licznika) i przetestuj ją, aby uniknąć przerw w działaniu spowodowanych blokadą.
- Monitoruj nieudane logowania (na przykład, identyfikator zdarzenia 4625) i szybko badaj wzorce sukcesu po niepowodzeniu.
- Utrzymuj system Windows, komponenty związane z RDP oraz usługi dostępne w internecie zaktualizowane zgodnie z ustalonym harmonogramem.
- Dostęp do dokumentu break-glass, w tym jak odzyskać dostęp do konsoli, jeśli zasady sieciowe zablokują zdalny dostęp.
Jeśli chcesz uporządkowanej recenzji, skorzystaj z naszego Audyt bezpieczeństwa RDP: 20-punktowa lista kontrolna na 2026 rok .
Dla MSP-ów, ustandaryzuj to, co możesz (szablony GPO, podstawy zapory, dozwolone inwentarze IP do zarządzania) i trzymaj specyficzne dla klienta listy dozwolone oraz wyjątki wyraźnie udokumentowane. Jeśli potrzebujesz praktycznej warstwy zabezpieczeń na wielu serwerach klientów, TSplus Advanced Security może być wdrożony jako część standardowego pakietu zabezpieczeń dostępu zdalnego, a TSplus Remote Access może wspierać postawę „nie ujawniaj surowego RDP bezpośrednio” dla publikowanych aplikacji i pulpitów.
FAQ
Czy zmiana domyślnego portu RDP zatrzymuje ataki typu brute-force?
Zmiana portu RDP może zmniejszyć hałas związany z oportunistycznym skanowaniem, a własne wytyczne dotyczące incydentów Microsoftu wspominają o tym jako o tymczasowym środku zaradczym w niektórych scenariuszach, ale nie zatrzymuje to ukierunkowanego zgadywania. Traktuj to jako drugorzędną taktykę i najpierw skoncentruj się na redukcji ekspozycji (whitelistowanie, brama, VPN, bastion) oraz wzmocnieniu uwierzytelniania.
Jakie ustawienia polityki systemu Windows są najważniejsze dla ochrony przed atakami brute-force RDP?
Zacznij od włączenia NLA dla RDP, zaostrzenia zasad dotyczących logowania się przez Remote Desktop oraz skonfigurowania Polityki Zablokowania Konta (próg, czas trwania, licznik resetowania) zgodnie z dokumentacją Microsoft Learn. Silne zasady dotyczące haseł i minimalne uprawnienia administratora również zmniejszają szansę, że zgadywanie prowadzi do istotnego naruszenia.
Czy ustawienia blokady konta mogą pogorszyć awarie RDP podczas ataku?
Tak. Jeśli RDP jest szeroko narażony, napastnicy mogą celowo wywoływać zablokowania dla prawdziwych użytkowników, co staje się problemem odmowy usługi. Dlatego zalecana kolejność to najpierw zmniejszenie narażenia, a następnie dostosowanie zablokowania i ograniczeń w sposób, który równoważy bezpieczeństwo z dostępnością.
Czy uwierzytelnianie na poziomie sieci (NLA) jest wystarczające do zabezpieczenia RDP?
NLA jest ważną podstawą, ale sama w sobie nie zapobiega atakom typu password spraying ani credential stuffing. Nadal potrzebujesz redukcji ekspozycji, silnej higieny poświadczeń, rozsądnego ograniczania lub zachowań blokujących oraz monitorowania nietypowych wzorców logowania.
Co powinienem monitorować, aby wcześnie wykryć próby ataków brute-force RDP?
Szukaj nieprawidłowych skoków w nieudanych logowaniach, które są zazwyczaj widoczne jako identyfikator zdarzenia 4625, szczególnie gdy pochodzą z wielu zewnętrznych adresów IP lub celują w wiele nazw użytkowników w krótkim czasie. Również zbadaj każde udane logowanie, które występuje krótko po powtarzających się niepowodzeniach, ponieważ może to wskazywać na odgadnięte lub ponownie użyte hasło.
Wnioski: priorytetem jest redukcja narażenia, a następnie wzmocnienie i automatyzacja
Ochrona przed atakami brute force RDP nie jest jedną ustawieniem. To podejście warstwowe, które działa najlepiej w tej kolejności: zredukować lub usunąć bezpośrednią ekspozycję, wzmocnić uwierzytelnianie (NLA, silne poświadczenia, minimalne uprawnienia, rozsądne blokady lub ograniczenia), zastosować kontrolę sieciową, która rzeczywiście ogranicza dostępność, monitorować znaczące wzorce i automatycznie blokować ostrożnie, aby uniknąć fałszywych alarmów.
Dokumentuj swoje zmiany, testuj je poza godzinami pracy, gdy to możliwe, i upewnij się, że twoja ścieżka awaryjna nadal działa po dostosowaniach zapory i blokad. Jeśli chcesz zoperacjonalizować te zabezpieczenia przy mniejszym wysiłku manualnym, TSplus Advanced Security może pomóc w ochronie przed atakami siłowymi i ograniczeniach dostępu, a TSplus Remote Access może zapewnić bezpieczniejszy model dostarczania opublikowanych aplikacji i pulpitów systemu Windows za pośrednictwem portalu internetowego. Aby ocenić, możesz pobierz próba i recenzja cennik .