Índice
RDP brute force protection: how to block attacks and keep remote access working

Como é um ataque de força bruta RDP na prática

Você geralmente nota RDP força bruta da mesma forma: tentativas de acesso falhadas repetidas contra um servidor Windows que é acessível pela internet, frequentemente seguidas de bloqueios de conta, registos de segurança barulhentos e utilizadores preocupados que não conseguem conectar. Muitos desses ataques não são "direcionados" no sentido humano. O RDP exposto à internet é constantemente escaneado, e ferramentas automatizadas continuarão a tentar nomes de utilizador e senhas até encontrarem uma credencial fraca ou causarem interrupções.

No MITRE ATT&CK, isso mapeia para Técnica T1110 (Brute Force) , que inclui padrões relacionados, como adivinhação de senhas e pulverização de senhas. Em termos práticos de operações, ataques de força bruta RDP são tentativas de logon remoto repetidas (frequentemente automatizadas) que tentam muitas senhas ou muitas contas contra um serviço RDP exposto até que as credenciais sejam encontradas ou as contas sejam interrompidas.

Os sintomas típicos incluem:

  • Um aumento repentino de tentativas de login falhadas nos registos de segurança do Windows
  • Muitas tentativas contra nomes de conta comuns (Administrador, admin, teste, nomes de estilo de serviço)
  • Falhas provenientes de muitos endereços IP externos, às vezes rodando com frequência.
  • Reclamações de usuários sobre bloqueios de conta ou desempenho lento de login
  • Carga mais alta de CPU ou autenticação durante picos (serviços relacionados ao LSASS e RDP podem ser afetados)

Ajuda a nomear o que está a ver. "Força bruta" geralmente significa muitas senhas contra uma conta. "Spraying de senhas" significa algumas senhas comuns contra muitas contas para evitar limites de bloqueio. "Credential stuffing" significa testar pares de nome de utilizador e senha roubados em outros lugares. Todos os três aparecem como falhas de login remoto repetidas e merecem a mesma primeira resposta: reduzir a exposição e desacelerar as tentativas.

Diagnóstico rápido: confirme que é um ataque de força bruta RDP (e não uma má configuração)

Antes de alterar políticas e arriscar bloquear usuários legítimos, confirme o que está falhando, de onde e em que volume. A orientação de resolução de problemas da Microsoft para VMs do Azure sob ataque de força bruta usa o mesmo ponto de partida mesmo fora do Azure: procure altos volumes de tentativas de login falhadas e correlacione-os com IPs de fontes externas.

  • Verifique os registos de segurança do Windows para um aumento de tentativas de acesso falhadas durante o período em que os utilizadores relataram problemas. O ID do evento 4625 é um indicador comum a ser revisto.
  • Procure por padrões: nomes de conta repetidos, muitas contas diferentes ou o mesmo IP de origem acessando vários usuários.
  • Correlacione as tentativas de acesso falhadas com os logons bem-sucedidos logo a seguir. Os logons bem-sucedidos são frequentemente registados como ID de Evento 4624, dependendo da sua política de auditoria.
  • Confirme a exposição: o TCP 3389 (ou a sua porta RDP personalizada) é acessível a partir da internet através de uma regra de firewall, NAT, redirecionamento de porta ou grupo de segurança em nuvem?
  • Verifique se não está a ver "falsos alarmes" de fontes legítimas (um gateway RDS, um concentrador VPN, uma ferramenta de gestão remota ou um scanner interno) que aparecem como falhas repetidas devido a uma palavra-passe errada guardada.

Se você ver o ID de Evento 4625 em grande volume, de muitos endereços IP externos em curtos períodos, é provável que esteja lidando com adivinhação ou spray ativo em vez de um único usuário digitando a senha errada.

Pare a hemorragia em 15 a 30 minutos (ações de contenção que funcionam)

Quando o tráfego de força bruta está ativo, a prioridade é restaurar o controle e manter um caminho administrativo seguro disponível. A maneira mais rápida de reduzir o risco de força bruta no RDP é parar de expor o RDP diretamente à internet e limitar o acesso de entrada a um conjunto conhecido de endereços IP confiáveis ou a um caminho de acesso seguro (gateway, VPN ou bastião). Orientações do Microsoft Learn para incidentes do Azure reforça esta mesma abordagem de contenção: restringir o acesso de entrada primeiro, depois melhorar o caminho de acesso.

  1. Estabeleça uma forma segura de voltar antes de mudar qualquer coisa. Se você já estiver bloqueado, use seu acesso fora de banda (console do hipervisor, iLO/iDRAC, console serial em nuvem, bastião ou VPN) para que você ainda possa gerenciar o host após as alterações no firewall.
  2. Remover a exposição direta da internet do RDP. Desative o encaminhamento de porta pública ou restrinja as regras de entrada para que o RDP não esteja aberto a "qualquer fonte". Se não puder removê-lo imediatamente, restrinja o acesso de entrada a uma lista de permissões curta (seus IPs de escritório, sua rede de gestão, seus IPs de saída fixos do MSP).
  3. Na Azure ou em nuvens semelhantes, aperte o perímetro imediatamente. Restringa a regra de entrada no seu NSG ou equivalente. Se tiver a opção, mude para padrões endossados pela Microsoft, como Azure Bastion, VPN Gateway ou conceitos de acesso just-in-time para reduzir janelas de exposição.
  4. Confirmar Autenticação de Nível de Rede (NLA) está ativado. A NLA força a autenticação antes que uma sessão completa de área de trabalho remota seja estabelecida, o que reduz a exposição a alguns riscos pré-autenticação e diminui o uso desnecessário de recursos durante tentativas de adivinhação.
  5. Revise quem pode iniciar sessão via RDP. Valide a adesão de Administradores locais e Utilizadores de Área de Trabalho Remota, e remova quaisquer grupos amplos que não necessitem de entrada remota interativa.
  6. Proteja contas privilegiadas imediatamente. Se suspeitar que uma senha pode ser fraca ou vazada, altere as credenciais para contas privilegiadas de forma controlada e verifique se há novos administradores locais inesperados ou contas recém-ativadas.
  7. Estabilizar o acesso para usuários reais. Se os utilizadores estão a ser bloqueados, a solução geralmente é a redução da exposição e um melhor controlo, não a diminuição da segurança. Evite apressar alterações de bloqueio que possam causar uma interrupção mais ampla.

Uma vez que você tenha o tráfego contido, pode fazer mudanças a longo prazo com segurança. Se você quiser uma abordagem assistida por ferramentas depois de recuperar o controle, TSplus Advanced Security pode ajudar a operacionalizar o bloqueio de força bruta e as restrições de acesso em servidores Windows, mas a contenção ainda começa com a redução da exposição.

Reduzir a superfície de ataque: as arquiteturas de acesso que cortam o risco de força bruta

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

Se você só tirar uma lição de ataques RDP repetidos, que seja esta: a arquitetura supera ajustes. Colocar um ponto de entrada controlado na frente dos hosts de sessão muda o que os atacantes podem alcançar e o que você pode impor. Orientações do blog de segurança da Microsoft para a adoção de desktop remoto enfatiza a redução da exposição direta, e Documentos do Microsoft Learn RD Gateway como uma forma de fornecer acesso seguro sobre TLS com a configuração adequada do certificado.

A maneira mais confiável de reduzir as tentativas de força bruta RDP é evitar a exposição direta ao RDP e, em vez disso, exigir acesso através de um ponto de entrada controlado, como Gateway RD VPN, ou um bastião, idealmente com autenticação forte.

Padrão de acesso Exposição e risco de força bruta Complexidade operacional Quando se ajusta Notas
Acesso RDP direto da internet Maior risco e maior ruído. Digitalização e adivinhação constantes. Baixo para configurar, alto para defender. Apenas para acesso de emergência a curto prazo com restrições rigorosas. Alterar a porta pode reduzir a varredura oportunista, mas não oferece uma proteção forte por si só.
Acesso RDP direto com lista de permissões de IP Menor exposição se a lista de permissões for pequena e estável. Médio. Requer a manutenção de listas de permissões e o tratamento de mudanças de viagem/ISP. Pequenas equipas de administração com IPs de escritório fixos ou saída de MSP fixa. Funciona melhor quando combinado com controles de autenticação fortes e monitoramento.
Gateway RD na frente do RDS/RDP Reduz a exposição direta dos hosts de sessão e túneis sobre TLS. Médio a alto. Certificados, disponibilidade e design de políticas são importantes. Ambientes centrados no Windows que já utilizam padrões RDS. A orientação de planejamento de RDS da Microsoft Learn abrange os requisitos do gateway. A licenciamento da Microsoft continua sendo sua responsabilidade e deve ser validado com a Microsoft ou um parceiro de licenciamento qualificado.
VPN para acesso remoto Remove o RDP da exposição pública quando feito corretamente. Médio. A implementação do cliente, o roteamento e a integração de MFA variam. Administradores e funcionários que precisam de acesso mais amplo à rede, não apenas a um aplicativo. Limite os utilizadores de VPN ao que precisam, mantendo a segurança do RDP dentro da rede.
Bastião ou host de salto Redução forte da exposição. O RDP só é acessível a partir do contexto de bastião. Médio. Necessita de um forte controle do próprio bastião. Servidores hospedados na nuvem, ambientes regulamentados e acesso apenas para administradores. Frequentemente combina bem com janelas de acesso just-in-time e controles condicionais dependendo da plataforma.
Publicar aplicações/áreas de trabalho através de um portal web (HTTPS) Pode reduzir ou eliminar a necessidade de expor o RDP bruto publicamente, dependendo do design. Baixo a médio. Foca em fornecer o que os usuários precisam, não acesso total à rede. PMEs a fornecer um conjunto de aplicações Windows ou desktops remotos a utilizadores e parceiros. Se o seu objetivo é dar aos usuários acesso a aplicativos do Windows sem expor o RDP bruto à internet, o TSplus Remote Access vale a pena ser avaliado para publicação de aplicativos e desktops através de um portal web seguro.

Se você precisar manter algum acesso RDP disponível, trate-o como uma interface de administração protegida, não como um ponto de entrada geral para trabalho remoto. Se você está se movendo em direção a aplicativo e publicação em desktop através de um portal web seguro um guia de início rápido pode ajudá-lo a começar. A sua postura de segurança melhora significativamente quando a maioria dos utilizadores nunca se conecta ao TCP 3389.

Reforçar a autenticação para RDP sem bloquear usuários reais

Uma boa resistência a ataques de força bruta é um equilíbrio entre desacelerar os atacantes e manter o acesso legítimo confiável. A resistência eficaz a ataques de força bruta combina NLA e credenciais fortes com uma política de limitação de taxa ou bloqueio que desacelera falhas repetidas, enquanto é ajustada para evitar negações de serviço acionadas por atacantes. NIST SP 800-63B discute a limitação e o tratamento de tentativas de autenticação falhadas repetidas como um controle central, pois reduz a viabilidade de adivinhações rápidas.

Comece com NLA e higiene da conta

NLA é uma base para RDP porque requer autenticação antes que a sessão seja totalmente estabelecida. Não irá parar a pulverização de senhas por si só, mas reduz a exposição e os recursos desperdiçados em comparação a permitir que sessões não autenticadas avancem mais.

Em seguida, aborde os conceitos básicos de identidade dos quais a força bruta se alimenta: remova direitos de administrador desnecessários, imponha o princípio do menor privilégio e limpe contas obsoletas. Se você tiver contas de administrador local óbvias ou compartilhadas, altere-as, restrinja onde elas podem fazer login e considere renomear ou desativar contas que não precisam de login interativo. Mantenha os Usuários de Área de Trabalho Remota e os Administradores locais restritos, especialmente em servidores que hospedam dados sensíveis.

Bloqueio e limitação: por que a afinação é importante

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

As configurações da Política de Bloqueio de Conta do Windows são comumente usadas para reduzir o sucesso de ataques de força bruta, e A Microsoft Learn documenta os termos-chave limite de bloqueio, duração do bloqueio e contador de reinício. O compromisso é a disponibilidade. Os atacantes podem intencionalmente acionar bloqueios para usuários reais (ou seu suporte técnico e administradores) se seu limite for muito baixo e sua exposição for ampla.

Utilize estes fatores de decisão ao ajustar o bloqueio e a limitação:

  • Quão exposto está o serviço? Se o RDP for acessível de toda a internet, os bloqueios têm maior probabilidade de serem armados. Reduza a exposição primeiro, depois ajuste o bloqueio.
  • Como os usuários se autenticam? Um gateway, VPN ou bastião pode reduzir a necessidade de bloqueios agressivos no host da sessão porque menos fontes desconhecidas podem alcançá-lo.
  • Quão custoso é um bloqueio? Se o bloqueio se traduzir em uma interrupção para uma equipe de suporte à produção, você pode preferir a limitação de taxa e proibições baseadas em IP em vez de bloqueios de conta rigorosos.
  • Como se comportam as contas compartilhadas? Credenciais compartilhadas multiplicam o impacto dos bloqueios. Elimine contas compartilhadas sempre que possível.

Caso especial: Administrador local integrado

Muitos ambientes ainda têm uma conta de Administrador local integrada em servidores e estações de trabalho, e seu comportamento de bloqueio tem sido um ponto frequente de confusão. Microsoft Support KB5020282 fornece contexto sobre o bloqueio de conta para administradores locais integrados, incluindo como o bloqueio pode se aplicar a logons de rede, como RDP, dependendo da configuração e da versão. Não assuma que o Administrador integrado se comportará da mesma forma que uma conta de usuário normal e teste de maneira controlada antes de confiar no comportamento de bloqueio como um controle primário.

Para equipas que desejam uma camada de endurecimento prático, o TSplus Advanced Security inclui proteção contra força bruta projetada para impedir tentativas não autorizadas repetidas a nível do host. Deve complementar, e não substituir, políticas de autenticação do Windows robustas e um ajuste cuidadoso do bloqueio.

Controles de rede que ajudam (e os que as pessoas superestimam)

Os controles de rede são frequentemente as melhorias mais rápidas que você pode fazer, mas têm diferentes valores no mundo real. A orientação da Microsoft para problemas de força bruta do RDP (incluindo em cenários do Azure) prioriza consistentemente a restrição da conectividade de entrada em vez de mudanças cosméticas.

Alto valor: lista de permissões de IP. Se você puder restringir o RDP a endereços conhecidos (IPs de saída do escritório, faixas de VPN, sub-redes de bastião, IPs fixos de MSP), você remove a maior parte do tráfego de força bruta imediatamente. Isso também torna seu monitoramento mais significativo, pois quaisquer falhas restantes vêm de um conjunto menor de fontes.

Útil com cuidado: controles baseados em geografia e reputação. O bloqueio geográfico e a reputação de IP podem reduzir o ruído, mas também podem bloquear usuários legítimos que viajam, se conectam de redes de roaming ou vêm através de CGNAT. Os atacantes também podem usar VPNs e proxies, portanto, trate os controles geográficos como um redutor de riscos, não como uma garantia.

Superestimado: mudando a porta RDP. A lista de permissões de IP reduz significativamente a exposição a ataques de força bruta RDP, enquanto a alteração da porta RDP reduz principalmente a varredura oportunista e não deve ser considerada como proteção primária. Uma mudança de porta pode ganhar tempo durante um incidente, mas não resolve o problema de ataques de senha por parte de um ator determinado que pode descobrir a porta.

Em ambientes onde as equipes desejam uma aplicação mais simples do que manter conjuntos de regras complexas manualmente, TSplus Advanced Security adiciona proteção geográfica e controles baseados em IP que pode ser aplicado de forma consistente em servidores.

Monitoramento e detecção: o que registrar, alertar e investigar

A força bruta é um desses problemas que parece óbvio em retrospectiva e caro quando você o identifica tarde. O objetivo da monitorização não é contar cada tentativa de login falhada para sempre. É detectar padrões anormais precocemente e investigar se essas tentativas alguma vez se transformaram em um login bem-sucedido.

Monitorizar picos anormais em tentativas de login falhadas (frequentemente ID do Evento 4625) e alertar sobre padrões que indicam pulverização de senhas ou um login subsequente bem-sucedido após falhas repetidas. A orientação de resolução de problemas de força bruta da Microsoft destaca o mesmo artefato (4625) porque é um ponto de partida prático quando os administradores estão tentando recuperar o acesso e entender o alcance.

Para as operações do dia a dia, concentre-se em três questões de investigação:

O tráfego é externo ou interno? IPs externos atingindo um ponto de interface pública indicam problemas de exposição. IPs internos podem indicar um endpoint comprometido ou uma conta de serviço mal configurada.

É uma conta ou muitas? Uma conta sugere força bruta. Muitas contas com poucas tentativas cada sugerem pulverização de senhas.

Alguma conta teve sucesso após a explosão? Um logon bem-sucedido logo após falhas repetidas é uma correlação de alta prioridade a ser investigada, especialmente para contas privilegiadas.

Se você ainda não centraliza os logs do Windows, considere o Encaminhamento de Eventos do Windows ou seu SIEM existente para que você possa alertar de forma consistente em vários servidores. Para equipes que precisam de simplicidade alertas e visibilidade histórica durante picos de ataque , TSplus Monitoramento de Servidor pode ajudá-lo a monitorar a saúde e a disponibilidade do servidor juntamente com o seu registro de segurança.

Abordagens de bloqueio automatizado (e como evitar falsos positivos)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

A resposta manual não escala quando os seus hosts estão expostos à internet. A automação é onde muitas equipas recuperam o controlo, desde que seja projetada para ser reversível e para proteger o acesso legítimo. A automação mais segura bloqueia tentativas de login falhadas repetidas com proibições temporárias e listas de permissões claras, e deve levar em conta endereços IP partilhados para evitar bloquear utilizadores legítimos.

Como a automação se parece na prática

Abordagens comuns incluem módulos de firewall de host que detectam falhas repetidas e banem temporariamente um IP, recursos de EDR que detectam comportamentos de adivinhação de senhas e scripts que analisam logs de segurança e aplicam regras de firewall dinâmicas. Controles centrados no gateway (RD Gateway, VPN, bastião) frequentemente reduzem a necessidade de bloqueio agressivo a nível de host, pois menos fontes desconhecidas chegam ao servidor.

Onde as equipas se queimam

NAT compartilhado e CGNAT. Se muitos utilizadores legítimos vierem de um único IP público (um escritório filial, uma rede de hotel, alguns ISPs), bloquear esse IP pode cortar bons utilizadores juntamente com atacantes. Proibições temporárias e listas de permissões conhecidas reduzem o raio de impacto.

Bloqueando o seu próprio caminho de gestão. Sempre permita a lista branca das suas faixas de VPN, sub-rede de bastião e IPs de saída de gestão MSP antes de ativar o bloqueio agressivo. Documente um caminho de emergência que não dependa da mesma rota de rede.

Interrupções causadas por bloqueios. Se o seu único controle for o bloqueio de conta, os atacantes podem transformá-lo em negação de serviço. Combine políticas de bloqueio com redução de exposição e limitação baseada em IP para que o host não se torne o ponto de estrangulamento.

TSplus Advanced Security adiciona proteção prática contra força bruta , controles de IP e geográficos, e endurecimento focado em ransomware para servidores Windows, que podem ajudá-lo a reduzir tentativas de login RDP repetidas sem implantar uma pilha de segurança pesada.

Uma base prática para ambientes SMB e MSP

As PME e MSP precisam de uma base que seja repetível, testável e improvável de interromper as operações diárias. A orientação de segurança de desktop remoto da Microsoft apoia o mesmo princípio geral: reduzir a exposição direta, depois fortalecer o acesso e monitorar ativamente.

  • Remova a exposição direta da internet ao RDP sempre que possível e direcione o acesso através de VPN, gateway ou padrões de bastião.
  • Se o RDP deve permanecer acessível, restrinja o acesso de entrada a uma pequena lista de IPs permitidos e revise-a regularmente.
  • Ative a Autenticação de Nível de Rede (NLA) e exija credenciais fortes e únicas para todos os usuários interativos.
  • Aperte o acesso privilegiado: minimize a adesão de administradores locais e revise a adesão de Usuários do Remote Desktop.
  • Defina a Política de Bloqueio de Conta intencionalmente (limite, duração, redefinir contador) e teste-a para evitar interrupções causadas por bloqueios.
  • Monitore falhas de login (por exemplo, ID do Evento 4625) e investigue padrões de sucesso após falha prontamente.
  • Mantenha o Windows, os componentes relacionados ao RDP e os serviços expostos à internet atualizados em um cronograma definido.
  • Acesso de quebra de vidro do documento, incluindo como você recuperará o acesso ao console se as regras de rede bloquearem a entrada remota.

Se você quiser uma análise estruturada, use o nosso Auditoria de Segurança RDP: Uma Lista de Verificação de 20 Pontos para 2026 .

Para MSPs, padronize o que puder (modelos GPO, linhas de base de firewall, inventários de IPs de gestão permitidos) e mantenha listas de permissões e exceções específicas do cliente claramente documentadas. Se precisar de uma camada de endurecimento prático em muitos servidores de clientes, TSplus Advanced Security pode ser implantado como parte de um pacote de segurança de acesso remoto padrão, e TSplus Remote Access pode suportar uma postura de "não expor RDP bruto diretamente" para aplicações e desktops publicados.

FAQ

Mudar a porta RDP padrão impede ataques de força bruta?

Não. Mudar a porta RDP pode reduzir o ruído de varredura oportunista, e a própria orientação de incidentes da Microsoft menciona isso como uma mitigação temporária em alguns cenários, mas não impede a adivinhação direcionada. Trate isso como uma tática secundária e concentre-se primeiro na redução da exposição (lista de permissões, gateway, VPN, bastião) e no fortalecimento da autenticação.

Quais configurações de política do Windows são mais importantes para a proteção contra ataques de força bruta RDP?

Comece por ativar o NLA para RDP, restringindo quem tem o direito de iniciar sessão via Remote Desktop, e configurando a Política de Bloqueio de Conta (limite, duração, contador de reinício) conforme documentado pelo Microsoft Learn. Políticas de senha fortes e direitos administrativos de menor privilégio também reduzem a probabilidade de que a adivinhação leve a uma violação significativa.

As configurações de bloqueio de conta podem piorar as interrupções do RDP durante um ataque?

Sim. Se o RDP estiver amplamente exposto, os atacantes podem intencionalmente provocar bloqueios para usuários reais, o que se torna um problema de negação de serviço. É por isso que a ordem recomendada é reduzir a exposição primeiro, depois ajustar o bloqueio e a limitação de forma a equilibrar segurança com disponibilidade.

A autenticação a nível de rede (NLA) é suficiente para proteger o RDP?

NLA é uma linha de base importante, mas por si só não impede a pulverização de senhas ou o preenchimento de credenciais. Você ainda precisa de redução de exposição, boa higiene de credenciais, limitação sensata ou comportamento de bloqueio, e monitoramento de padrões de login incomuns.

O que devo monitorar para detectar tentativas de força bruta RDP precocemente?

Procure picos anormais em logons falhados, comumente visíveis como ID de Evento 4625, especialmente quando vêm de muitos IPs externos ou visam muitos nomes de usuário em um curto período. Também investigue qualquer logon bem-sucedido que ocorra logo após falhas repetidas, pois pode indicar uma senha adivinhada ou reutilizada.

Conclusão: priorizar a redução da exposição, depois endurecer e automatizar

A proteção contra força bruta RDP não é uma configuração única. É uma abordagem em camadas que funciona melhor nesta ordem: reduzir ou remover a exposição direta, fortalecer a autenticação (NLA, credenciais fortes, menor privilégio, bloqueio sensato ou limitação), aplicar controles de rede que realmente limitem a acessibilidade, monitorar padrões significativos e automatizar o bloqueio com cuidado para evitar falsos positivos.

Documente suas alterações, teste-as fora do horário comercial sempre que possível e valide se seu caminho de emergência ainda funciona após ajustes no firewall e bloqueio. Se você quiser operacionalizar essas proteções com menos esforço manual, TSplus Advanced Security pode ajudar com proteção contra força bruta e restrições de acesso, e TSplus Remote Access pode fornecer um modelo de entrega mais seguro para aplicativos e desktops Windows publicados por meio de um portal da web. Para avaliar, você pode baixar um teste e revisão preços .

Leitura adicional

back to top of the page icon