Mục lục
RDP brute force protection: how to block attacks and keep remote access working

Một cuộc tấn công brute-force RDP trông như thế nào trong thực tế

Bạn thường nhận thấy RDP tấn công brute force cách tương tự: các lần đăng nhập không thành công lặp đi lặp lại vào một máy chủ Windows có thể truy cập từ internet, thường dẫn đến việc khóa tài khoản, nhật ký bảo mật ồn ào và người dùng lo lắng không thể kết nối. Nhiều cuộc tấn công này không phải là "nhắm mục tiêu" theo nghĩa con người. RDP tiếp xúc với internet liên tục bị quét, và các công cụ tự động sẽ tiếp tục thử tên người dùng và mật khẩu cho đến khi chúng tìm thấy một thông tin xác thực yếu hoặc tạo ra sự gián đoạn.

Trong MITRE ATT&CK, điều này tương ứng với Kỹ thuật T1110 (Brute Force) , bao gồm các mẫu liên quan như đoán mật khẩu và phun mật khẩu. Trong các thuật ngữ hoạt động thực tế, các cuộc tấn công brute force RDP là các nỗ lực đăng nhập từ xa lặp đi lặp lại (thường là tự động) cố gắng nhiều mật khẩu hoặc nhiều tài khoản chống lại một dịch vụ RDP bị lộ cho đến khi thông tin xác thực được tìm thấy hoặc các tài khoản bị gián đoạn.

Các triệu chứng điển hình bao gồm:

  • Một đợt tăng đột ngột số lần đăng nhập không thành công trong nhật ký bảo mật Windows
  • Nhiều nỗ lực chống lại các tên tài khoản phổ biến (Quản trị viên, admin, test, tên kiểu dịch vụ)
  • Các lỗi đến từ nhiều địa chỉ IP bên ngoài, đôi khi thay đổi thường xuyên.
  • Người dùng phàn nàn về việc khóa tài khoản hoặc hiệu suất đăng nhập chậm.
  • Tải CPU hoặc xác thực cao hơn trong các đợt bùng phát (các dịch vụ liên quan đến LSASS và RDP có thể bị ảnh hưởng)

Nó giúp đặt tên cho những gì bạn đang thấy. "Tấn công brute force" thường có nghĩa là nhiều mật khẩu đối với một tài khoản. "Phun mật khẩu" có nghĩa là một vài mật khẩu phổ biến đối với nhiều tài khoản để tránh ngưỡng khóa. "Nhồi thông tin xác thực" có nghĩa là kiểm tra các cặp tên người dùng và mật khẩu bị đánh cắp ở nơi khác. Tất cả ba đều xuất hiện như những lần đăng nhập từ xa thất bại lặp đi lặp lại và xứng đáng nhận được phản ứng đầu tiên giống nhau: giảm thiểu sự tiếp xúc và làm chậm các nỗ lực.

Chẩn đoán nhanh: xác nhận đây là tấn công brute force RDP (và không phải là cấu hình sai)

Trước khi bạn thay đổi chính sách và có nguy cơ khóa người dùng hợp pháp, hãy xác nhận điều gì đang gặp sự cố, từ đâu và với khối lượng nào. Hướng dẫn khắc phục sự cố của Microsoft cho các máy ảo Azure dưới cuộc tấn công brute-force sử dụng cùng một điểm khởi đầu ngay cả bên ngoài Azure: tìm kiếm khối lượng lớn các lần đăng nhập không thành công và liên kết chúng với các địa chỉ IP nguồn bên ngoài.

  • Kiểm tra nhật ký Bảo mật Windows để tìm một đợt đăng nhập không thành công trong thời gian người dùng báo cáo sự cố. Mã sự kiện 4625 là một chỉ báo phổ biến để xem xét.
  • Tìm kiếm các mẫu: tên tài khoản lặp lại, nhiều tài khoản khác nhau, hoặc cùng một địa chỉ IP nguồn truy cập nhiều người dùng.
  • Liên kết các lần đăng nhập không thành công với các lần đăng nhập thành công ngay sau đó. Các lần đăng nhập thành công thường được ghi lại với Mã sự kiện 4624, tùy thuộc vào chính sách kiểm toán của bạn.
  • Xác nhận khả năng tiếp cận: TCP 3389 (hoặc cổng RDP tùy chỉnh của bạn) có thể truy cập từ internet thông qua quy tắc tường lửa, NAT, chuyển tiếp cổng hoặc nhóm bảo mật đám mây không?
  • Xác minh rằng bạn không thấy "cảnh báo giả" từ các nguồn hợp pháp (một cổng RDS, một bộ tập trung VPN, một công cụ quản lý từ xa hoặc một máy quét nội bộ) xuất hiện như những thất bại lặp lại do một mật khẩu sai đã được lưu.

Nếu bạn thấy ID sự kiện 4625 với số lượng lớn, từ nhiều địa chỉ IP bên ngoài trong khoảng thời gian ngắn, bạn có thể đang đối phó với việc đoán hoặc xịt mật khẩu một cách chủ động thay vì một người dùng đơn lẻ nhập sai mật khẩu.

Ngừng chảy máu trong 15 đến 30 phút (các hành động kiểm soát có hiệu quả)

Khi lưu lượng truy cập brute-force đang hoạt động, ưu tiên là khôi phục quyền kiểm soát và giữ cho một đường dẫn quản trị an toàn có sẵn. Cách nhanh nhất để giảm thiểu rủi ro brute-force RDP là ngừng việc phơi bày RDP trực tiếp ra internet và giới hạn quyền truy cập vào một tập hợp địa chỉ IP đáng tin cậy đã biết hoặc một đường dẫn truy cập an toàn (cổng, VPN hoặc bastion). Hướng dẫn của Microsoft Learn cho các sự cố Azure củng cố cách tiếp cận chứa đựng này: hạn chế truy cập vào trước, sau đó cải thiện đường dẫn truy cập.

  1. Thiết lập một cách an toàn để quay lại trước khi bạn thay đổi bất cứ điều gì. Nếu bạn đã bị khóa, hãy sử dụng quyền truy cập ngoài băng tần của bạn (bảng điều khiển hypervisor, iLO/iDRAC, bảng điều khiển chuỗi đám mây, bastion hoặc VPN) để bạn vẫn có thể quản lý máy chủ sau khi thay đổi tường lửa.
  2. Loại bỏ sự tiếp xúc trực tiếp với internet của RDP. Vô hiệu hóa chuyển tiếp cổng công cộng hoặc thắt chặt các quy tắc vào để RDP không mở cho "bất kỳ nguồn nào." Nếu bạn không thể xóa nó ngay lập tức, hãy hạn chế quyền truy cập vào một danh sách cho phép ngắn (các địa chỉ IP văn phòng của bạn, mạng quản lý của bạn, các địa chỉ IP ra cố định của MSP của bạn).
  3. Trên Azure hoặc các đám mây tương tự, hãy thắt chặt chu vi ngay lập tức. Hạn chế quy tắc inbound trong NSG hoặc tương đương của bạn. Nếu bạn có tùy chọn, hãy chuyển sang các mẫu được Microsoft chứng nhận như Azure Bastion, VPN Gateway hoặc các khái niệm truy cập theo thời gian thực để giảm thiểu thời gian tiếp xúc.
  4. Xác nhận Mạng Cấp Độ Xác Thực (NLA) đã được kích hoạt. NLA yêu cầu xác thực trước khi một phiên làm việc từ xa hoàn chỉnh được thiết lập, điều này giảm thiểu sự tiếp xúc với một số rủi ro trước xác thực và giảm thiểu việc sử dụng tài nguyên không cần thiết trong quá trình đoán.
  5. Xem ai có thể đăng nhập qua RDP. Xác thực tư cách thành viên của các Quản trị viên cục bộ và Người dùng Remote Desktop, và loại bỏ bất kỳ nhóm rộng nào không cần đăng nhập từ xa tương tác.
  6. Bảo vệ tài khoản đặc quyền ngay lập tức. Nếu bạn nghi ngờ rằng một mật khẩu có thể yếu hoặc bị rò rỉ, hãy thay đổi thông tin đăng nhập cho các tài khoản có quyền hạn trong một cách kiểm soát, và kiểm tra xem có bất kỳ quản trị viên cục bộ mới nào hoặc các tài khoản mới được kích hoạt không.
  7. Ổn định quyền truy cập cho người dùng thực. Nếu người dùng bị khóa, cách khắc phục thường là giảm thiểu sự tiếp xúc và cải thiện việc kiểm soát, chứ không phải hạ thấp mức độ bảo mật. Tránh vội vàng thực hiện các thay đổi khóa có thể gây ra sự cố rộng hơn.

Khi bạn đã kiểm soát được lưu lượng, bạn có thể thực hiện các thay đổi lâu dài một cách an toàn. Nếu bạn muốn một phương pháp hỗ trợ công cụ sau khi lấy lại quyền kiểm soát, TSplus Advanced Security có thể giúp hiện thực hóa việc chặn brute-force và hạn chế truy cập trên các máy chủ Windows, nhưng việc kiểm soát vẫn bắt đầu bằng cách giảm thiểu sự tiếp xúc.

Giảm bề mặt tấn công: các kiến trúc truy cập cắt giảm rủi ro tấn công brute-force

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

Nếu bạn chỉ rút ra một bài học từ các cuộc tấn công RDP lặp đi lặp lại, hãy nhớ điều này: kiến trúc quan trọng hơn việc điều chỉnh. Đặt một điểm truy cập được kiểm soát trước các máy chủ phiên sẽ thay đổi những gì kẻ tấn công có thể tiếp cận và những gì bạn có thể thực thi. Hướng dẫn của Blog Bảo mật Microsoft cho việc áp dụng remote desktop nhấn mạnh việc giảm thiểu tiếp xúc trực tiếp, và Tài liệu Microsoft Learn RD Gateway như một cách để cung cấp quyền truy cập an toàn qua TLS với cấu hình chứng chỉ phù hợp.

Cách đáng tin cậy nhất để giảm thiểu các nỗ lực tấn công brute-force RDP là tránh tiếp xúc trực tiếp với RDP và thay vào đó yêu cầu truy cập thông qua một điểm vào được kiểm soát như RD Gateway VPN, hoặc một pháo đài, lý tưởng với xác thực mạnh.

Mô hình truy cập Rủi ro lộ thông tin và tấn công brute-force Độ phức tạp vận hành Khi nó phù hợp Ghi chú
Truy cập RDP trực tiếp từ internet Rủi ro cao nhất và tiếng ồn cao nhất. Quét và đoán liên tục. Thấp để thiết lập, cao để bảo vệ. Chỉ dành cho truy cập khẩn cấp ngắn hạn với các hạn chế nghiêm ngặt. Thay đổi cổng có thể giảm quét cơ hội, nhưng nó không cung cấp bảo vệ mạnh mẽ chỉ bằng chính nó.
Truy cập RDP trực tiếp với danh sách cho phép IP Giảm thiểu rủi ro nếu danh sách cho phép nhỏ và ổn định. Trung bình. Cần duy trì danh sách cho phép và xử lý các thay đổi về du lịch/ISP. Nhóm quản trị nhỏ với IP văn phòng cố định hoặc egress MSP cố định. Hoạt động tốt nhất khi kết hợp với các biện pháp kiểm soát xác thực mạnh mẽ và giám sát.
RD Gateway trước RDS/RDP Giảm thiểu sự tiếp xúc trực tiếp của các máy chủ phiên và các đường hầm qua TLS. Trung bình đến cao. Chứng chỉ, khả năng sẵn có và thiết kế chính sách là quan trọng. Môi trường tập trung vào Windows đã sử dụng các mẫu RDS. Hướng dẫn lập kế hoạch RDS của Microsoft Learn bao gồm các yêu cầu về cổng. Việc cấp phép của Microsoft vẫn là trách nhiệm của bạn và nên được xác thực với Microsoft hoặc một đối tác cấp phép đủ điều kiện.
VPN cho truy cập từ xa Loại bỏ RDP khỏi sự tiếp xúc công khai khi thực hiện đúng cách. Trung bình. Triển khai khách hàng, định tuyến và tích hợp MFA khác nhau. Quản trị viên và nhân viên cần quyền truy cập mạng rộng hơn, không chỉ một ứng dụng. Hạn chế người dùng VPN theo nhu cầu của họ, sau đó vẫn bảo mật RDP bên trong mạng.
Máy chủ Bastion hoặc máy chủ nhảy Giảm thiểu tiếp xúc mạnh. RDP chỉ có thể truy cập từ ngữ cảnh bastion. Trung bình. Cần kiểm soát mạnh mẽ chính cái thành trì đó. Máy chủ lưu trữ trên đám mây, môi trường được quản lý và quyền truy cập chỉ dành cho quản trị viên. Thường kết hợp tốt với các cửa sổ truy cập đúng lúc và các điều khiển điều kiện tùy thuộc vào nền tảng.
Xuất bản ứng dụng/máy tính để bàn qua cổng web (HTTPS) Có thể giảm hoặc loại bỏ nhu cầu công khai RDP thô, tùy thuộc vào thiết kế. Thấp đến trung bình. Tập trung vào việc cung cấp những gì người dùng cần, không phải truy cập mạng đầy đủ. Các doanh nghiệp vừa và nhỏ cung cấp một bộ ứng dụng Windows hoặc máy tính để bàn từ xa cho người dùng và đối tác. Nếu mục tiêu của bạn là cung cấp cho người dùng quyền truy cập vào các ứng dụng Windows mà không để RDP thô lộ ra internet, TSplus Remote Access đáng để xem xét cho việc phát hành ứng dụng và máy tính để bàn thông qua một cổng web bảo mật.

Nếu bạn phải giữ một số quyền truy cập RDP, hãy coi đó như một giao diện quản trị được bảo vệ, không phải là một điểm truy cập làm việc từ xa chung. Nếu bạn đang tiến tới ứng dụng và xuất bản trên máy tính thông qua một cổng web bảo mật Một hướng dẫn khởi động nhanh có thể giúp bạn bắt đầu. Tư thế bảo mật của bạn cải thiện đáng kể khi hầu hết người dùng không bao giờ kết nối với TCP 3389.

Củng cố xác thực cho RDP mà không khóa người dùng thực.

Khả năng chống tấn công brute-force tốt là sự cân bằng giữa việc làm chậm kẻ tấn công và giữ cho quyền truy cập hợp pháp đáng tin cậy. Khả năng chống tấn công brute-force hiệu quả kết hợp NLA và thông tin xác thực mạnh mẽ với chính sách giới hạn tốc độ hoặc khóa tài khoản làm chậm các lần thử không thành công lặp lại trong khi được điều chỉnh để tránh từ chối dịch vụ do kẻ tấn công kích hoạt. NIST SP 800-63B thảo luận về việc giới hạn và xử lý các nỗ lực xác thực không thành công lặp đi lặp lại như một biện pháp kiểm soát cốt lõi, vì nó giảm khả năng đoán nhanh.

Bắt đầu với NLA và vệ sinh tài khoản

NLA là một tiêu chuẩn cơ bản cho RDP vì nó yêu cầu xác thực trước khi phiên làm việc được thiết lập hoàn toàn. Nó sẽ không ngăn chặn việc tấn công bằng cách thử mật khẩu một cách ngẫu nhiên, nhưng nó giảm thiểu sự tiếp xúc và lãng phí tài nguyên so với việc để các phiên không được xác thực tiếp tục tiến xa hơn.

Sau đó, giải quyết các vấn đề cơ bản về danh tính mà tấn công brute force khai thác: loại bỏ quyền quản trị không cần thiết, thực thi nguyên tắc tối thiểu quyền hạn và dọn dẹp các tài khoản cũ. Nếu bạn có các tài khoản quản trị cục bộ rõ ràng hoặc được chia sẻ, hãy thay đổi chúng, hạn chế nơi chúng có thể đăng nhập và xem xét việc đổi tên hoặc vô hiệu hóa các tài khoản không cần đăng nhập tương tác. Giữ cho Người dùng Remote Desktop và các Quản trị viên cục bộ chặt chẽ, đặc biệt là trên các máy chủ lưu trữ dữ liệu nhạy cảm.

Khóa và giới hạn: tại sao việc điều chỉnh lại quan trọng

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

Cài đặt chính sách khóa tài khoản Windows thường được sử dụng để giảm thiểu thành công của các cuộc tấn công brute-force, và Tài liệu Microsoft Learn ghi lại các thuật ngữ chính ngưỡng khóa, thời gian khóa và bộ đếm đặt lại. Sự đánh đổi là khả năng sẵn có. Kẻ tấn công có thể cố ý kích hoạt khóa cho người dùng thực (hoặc bộ phận hỗ trợ và quản trị viên của bạn) nếu ngưỡng của bạn quá thấp và phạm vi tiếp xúc của bạn quá rộng.

Sử dụng các yếu tố quyết định này khi bạn điều chỉnh khóa và giới hạn:

  • Dịch vụ này có mức độ tiếp xúc như thế nào? Nếu RDP có thể truy cập từ toàn bộ internet, việc khóa tài khoản có khả năng bị lợi dụng cao hơn. Giảm thiểu sự tiếp xúc trước, sau đó điều chỉnh khóa tài khoản.
  • Người dùng xác thực như thế nào? Một cổng, VPN hoặc bastion có thể giảm nhu cầu về việc khóa chặt trên máy chủ phiên vì ít nguồn không xác định có thể tiếp cận nó.
  • Mất bao nhiêu chi phí cho một lần khóa tài khoản? Nếu việc khóa tài khoản dẫn đến sự cố cho một nhóm hỗ trợ sản xuất, bạn có thể thích giới hạn tỷ lệ và cấm dựa trên IP hơn là khóa tài khoản chặt chẽ.
  • Tài khoản chia sẻ hoạt động như thế nào? Thông tin đăng nhập chia sẻ làm tăng tác động của việc khóa tài khoản. Loại bỏ các tài khoản chia sẻ khi có thể.

Trường hợp đặc biệt: quản trị viên cục bộ tích hợp sẵn

Nhiều môi trường vẫn có tài khoản Quản trị viên cục bộ tích hợp sẵn trên các máy chủ và máy trạm, và hành vi khóa tài khoản của nó đã thường xuyên gây nhầm lẫn. Microsoft Support KB5020282 cung cấp bối cảnh về việc khóa tài khoản cho các quản trị viên cục bộ tích hợp, bao gồm cách khóa tài khoản có thể áp dụng cho các đăng nhập mạng như RDP tùy thuộc vào cấu hình và phiên bản. Đừng giả định rằng Quản trị viên tích hợp sẽ hoạt động giống như một tài khoản người dùng bình thường, và hãy kiểm tra theo cách có kiểm soát trước khi bạn dựa vào hành vi khóa tài khoản như một biện pháp kiểm soát chính.

Đối với các nhóm muốn có một lớp bảo mật thực tiễn, TSplus Advanced Security bao gồm bảo vệ chống tấn công brute-force được thiết kế để ngăn chặn các nỗ lực không được phép lặp đi lặp lại ở cấp độ máy chủ. Nó nên bổ sung, chứ không thay thế, các chính sách xác thực Windows mạnh mẽ và việc điều chỉnh khóa cẩn thận.

Các kiểm soát mạng giúp (và những cái mà mọi người đánh giá quá cao)

Các biện pháp kiểm soát mạng thường là những cải tiến nhanh nhất mà bạn có thể thực hiện, nhưng chúng có giá trị thực tế khác nhau. Hướng dẫn của Microsoft về các vấn đề tấn công brute-force RDP (bao gồm trong các kịch bản Azure) luôn ưu tiên việc hạn chế kết nối vào hơn là các thay đổi mang tính thẩm mỹ.

Giá trị cao: cho phép IP. Nếu bạn có thể giới hạn RDP chỉ cho các địa chỉ đã biết (IP ra khỏi văn phòng, dải VPN, subnet bastion, IP cố định của MSP), bạn sẽ loại bỏ hầu hết lưu lượng brute-force ngay lập tức. Điều này cũng làm cho việc giám sát của bạn trở nên có ý nghĩa hơn vì bất kỳ sự cố nào còn lại đều đến từ một tập hợp nguồn nhỏ hơn.

Hữu ích với sự cẩn thận: các kiểm soát dựa trên địa lý và danh tiếng. Chặn địa lý và uy tín IP có thể giảm tiếng ồn, nhưng chúng cũng có thể chặn người dùng hợp pháp đang đi du lịch, kết nối từ các mạng di động, hoặc đến qua CGNAT. Kẻ tấn công cũng có thể sử dụng VPN và proxy, vì vậy hãy coi các biện pháp kiểm soát địa lý như một cách giảm rủi ro, chứ không phải là một sự đảm bảo.

Đánh giá quá cao: thay đổi cổng RDP. Việc cho phép IP có ý nghĩa giảm thiểu sự tiếp xúc với tấn công brute-force RDP, trong khi việc thay đổi cổng RDP chủ yếu giảm thiểu việc quét cơ hội và không nên được dựa vào như một biện pháp bảo vệ chính. Việc thay đổi cổng có thể mua thêm thời gian trong một sự cố, nhưng nó không giải quyết được việc phun mật khẩu từ một tác nhân quyết tâm có thể phát hiện cổng.

Trong các môi trường mà các nhóm muốn thực thi đơn giản hơn so với việc duy trì các bộ quy tắc phức tạp một cách thủ công, TSplus Advanced Security thêm vào bảo vệ địa lý và kiểm soát dựa trên IP có thể được áp dụng nhất quán trên các máy chủ.

Giám sát và phát hiện: những gì cần ghi lại, cảnh báo và điều tra

Tấn công brute force là một trong những vấn đề mà nhìn lại thì có vẻ hiển nhiên và tốn kém khi bạn phát hiện ra muộn. Mục tiêu của việc giám sát không phải là đếm mọi lần đăng nhập thất bại mãi mãi. Mục tiêu là phát hiện các mẫu bất thường sớm và điều tra xem những nỗ lực đó có bao giờ trở thành một lần đăng nhập thành công hay không.

Giám sát các đỉnh bất thường trong các lần đăng nhập thất bại (thường là Mã sự kiện 4625) và cảnh báo về các mẫu cho thấy việc phun mật khẩu hoặc một lần đăng nhập thành công tiếp theo sau nhiều lần thất bại. Hướng dẫn khắc phục sự cố brute-force của Microsoft nhấn mạnh cùng một dấu hiệu (4625) vì đây là một điểm khởi đầu thực tiễn khi các quản trị viên đang cố gắng lấy lại quyền truy cập và hiểu phạm vi.

Đối với các hoạt động hàng ngày, tập trung vào ba câu hỏi điều tra:

Lưu lượng truy cập là bên ngoài hay bên trong? Các địa chỉ IP bên ngoài truy cập vào một giao diện công cộng chỉ ra các vấn đề về sự lộ diện. Các địa chỉ IP nội bộ có thể chỉ ra một điểm cuối bị xâm phạm hoặc một tài khoản dịch vụ được cấu hình sai.

Nó là một tài khoản hay nhiều tài khoản? Một tài khoản gợi ý tấn công brute force. Nhiều tài khoản với số lần thử thấp gợi ý tấn công password spraying.

Có tài khoản nào thành công sau đợt bùng nổ không? Một lần đăng nhập thành công ngay sau những lần thất bại liên tiếp là một mối tương quan ưu tiên cao cần điều tra, đặc biệt đối với các tài khoản có quyền hạn.

Nếu bạn chưa tập trung hóa nhật ký Windows, hãy xem xét việc Chuyển tiếp Sự kiện Windows hoặc SIEM hiện có của bạn để bạn có thể cảnh báo trên nhiều máy chủ một cách nhất quán. Đối với các nhóm cần sự đơn giản cảnh báo và khả năng hiển thị lịch sử trong các đợt tấn công tăng cao , TSplus Server Monitoring có thể giúp bạn theo dõi tình trạng và khả năng sẵn sàng của máy chủ cùng với việc ghi lại bảo mật.

Các phương pháp chặn tự động (và cách tránh các kết quả dương tính giả)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

Phản hồi thủ công không thể mở rộng khi các máy chủ của bạn tiếp cận internet. Tự động hóa là nơi nhiều nhóm lấy lại quyền kiểm soát, miễn là nó được thiết kế để có thể đảo ngược và bảo vệ quyền truy cập hợp pháp. Tự động hóa an toàn nhất chặn các lần đăng nhập thất bại lặp lại bằng cách cấm tạm thời và danh sách cho phép rõ ràng, và nó phải tính đến các địa chỉ IP chia sẻ để tránh chặn người dùng hợp pháp.

Cái nhìn thực tế về tự động hóa

Các phương pháp phổ biến bao gồm các mô-đun tường lửa máy chủ phát hiện các lỗi lặp lại và tạm thời cấm một IP, các tính năng EDR phát hiện hành vi đoán mật khẩu, và các kịch bản phân tích nhật ký bảo mật và áp dụng các quy tắc tường lửa động. Các kiểm soát tập trung vào cổng (RD Gateway, VPN, bastion) thường giảm nhu cầu chặn ở cấp máy chủ một cách quyết liệt vì ít nguồn không xác định nào đến được máy chủ.

Nơi các đội bị thiệt hại

NAT chia sẻ và CGNAT. Nếu nhiều người dùng hợp pháp đến từ một địa chỉ IP công cộng (một văn phòng chi nhánh, một mạng khách sạn, một số nhà cung cấp dịch vụ Internet), việc chặn địa chỉ IP đó có thể cắt đứt người dùng tốt cùng với kẻ tấn công. Các lệnh cấm có thời hạn và danh sách cho phép đã biết giúp giảm phạm vi ảnh hưởng.

Chặn con đường quản lý của bạn. Luôn cho phép danh sách trắng các dải VPN của bạn, subnet bastion và IP egress quản lý MSP trước khi bạn kích hoạt chặn mạnh mẽ. Ghi lại một lộ trình khẩn cấp không phụ thuộc vào cùng một tuyến mạng.

Sự cố do khóa tài khoản. Nếu kiểm soát duy nhất của bạn là khóa tài khoản, kẻ tấn công có thể biến nó thành từ chối dịch vụ. Kết hợp các chính sách khóa với việc giảm thiểu tiếp xúc và điều tiết dựa trên IP để máy chủ không trở thành điểm nghẽn.

TSplus Advanced Security bổ sung bảo vệ chống tấn công brute-force thực tiễn , kiểm soát IP và địa lý, và tăng cường bảo mật tập trung vào ransomware cho các máy chủ Windows, điều này có thể giúp bạn giảm thiểu các nỗ lực đăng nhập RDP lặp đi lặp lại mà không cần triển khai một hệ thống bảo mật nặng nề.

Một cơ sở thực tiễn cho môi trường SMB và MSP

Các doanh nghiệp vừa và nhỏ (SMBs) và các nhà cung cấp dịch vụ quản lý (MSPs) cần một tiêu chuẩn có thể lặp lại, có thể kiểm tra và ít có khả năng làm gián đoạn hoạt động hàng ngày. Hướng dẫn bảo mật máy tính từ xa của Microsoft hỗ trợ cùng một nguyên tắc chung: giảm thiểu sự tiếp xúc trực tiếp, sau đó tăng cường quyền truy cập và theo dõi một cách chủ động.

  • Loại bỏ sự tiếp xúc trực tiếp với internet của RDP khi có thể, và định tuyến truy cập qua VPN, cổng, hoặc các mẫu bastion.
  • Nếu RDP phải luôn có thể truy cập, hãy hạn chế quyền truy cập vào một danh sách IP cho phép nhỏ và xem xét nó thường xuyên.
  • Bật Xác thực Mức Mạng (NLA) và yêu cầu thông tin đăng nhập mạnh mẽ, độc nhất cho tất cả người dùng tương tác.
  • Thắt chặt quyền truy cập đặc quyền: giảm thiểu tư cách thành viên quản trị viên cục bộ và xem xét tư cách thành viên Người dùng Remote Desktop.
  • Đặt chính sách khóa tài khoản một cách có chủ ý (ngưỡng, thời gian, đặt lại bộ đếm) và kiểm tra nó để tránh các sự cố do khóa tài khoản.
  • Theo dõi các lần đăng nhập thất bại (ví dụ, ID sự kiện 4625) và điều tra kịp thời các mẫu thành công sau khi thất bại.
  • Giữ cho Windows, các thành phần liên quan đến RDP và các dịch vụ tiếp xúc với internet được cập nhật theo một lịch trình xác định.
  • Truy cập break-glass tài liệu, bao gồm cách bạn sẽ khôi phục quyền truy cập vào bảng điều khiển nếu các quy tắc mạng chặn quyền truy cập từ xa.

Nếu bạn muốn một đánh giá có cấu trúc, hãy sử dụng của chúng tôi Kiểm tra an ninh RDP: Danh sách 20 điểm cần kiểm tra cho năm 2026 .

Đối với các MSP, hãy chuẩn hóa những gì bạn có thể (mẫu GPO, tiêu chuẩn tường lửa, danh sách IP quản lý được phép) và giữ cho các danh sách cho phép và ngoại lệ cụ thể của khách hàng được tài liệu hóa rõ ràng. Nếu bạn cần một lớp bảo mật thực tiễn trên nhiều máy chủ của khách hàng, TSplus Advanced Security có thể được triển khai như một phần của gói bảo mật truy cập từ xa tiêu chuẩn, và TSplus Remote Access có thể hỗ trợ một tư thế “không để lộ RDP thô trực tiếp” cho các ứng dụng và máy tính để bàn đã được công bố.

FAQ

Thay đổi cổng RDP mặc định có ngăn chặn các cuộc tấn công brute-force không?

Thay đổi cổng RDP có thể giảm tiếng ồn quét cơ hội, và hướng dẫn sự cố của chính Microsoft đề cập đến nó như một biện pháp tạm thời trong một số tình huống, nhưng nó không ngăn chặn việc đoán có mục tiêu. Hãy coi đó như một chiến thuật thứ cấp và tập trung trước vào việc giảm thiểu sự tiếp xúc (cho phép danh sách, cổng, VPN, bức tường) và tăng cường xác thực.

Những cài đặt chính sách Windows nào quan trọng nhất cho việc bảo vệ chống tấn công brute-force RDP?

Bắt đầu bằng cách kích hoạt NLA cho RDP, thắt chặt quyền đăng nhập qua Remote Desktop, và cấu hình Chính sách Khóa Tài khoản (ngưỡng, thời gian, đặt lại bộ đếm) như được tài liệu hóa bởi Microsoft Learn. Các chính sách mật khẩu mạnh và quyền quản trị tối thiểu cũng giảm khả năng đoán mật khẩu dẫn đến một sự xâm phạm có ý nghĩa.

Cài đặt khóa tài khoản có thể làm tình trạng gián đoạn RDP trở nên tồi tệ hơn trong quá trình tấn công không?

Có. Nếu RDP bị lộ ra rộng rãi, kẻ tấn công có thể cố ý kích hoạt khóa tài khoản cho người dùng thực, điều này trở thành một vấn đề từ chối dịch vụ. Đó là lý do tại sao thứ tự được khuyến nghị là giảm thiểu sự lộ diện trước, sau đó điều chỉnh khóa tài khoản và giới hạn theo cách cân bằng giữa bảo mật và khả năng truy cập.

Xác thực cấp độ mạng (NLA) có đủ để bảo mật RDP không?

NLA là một tiêu chuẩn quan trọng, nhưng nó không ngăn chặn việc phun mật khẩu hoặc nhồi nhét thông tin xác thực một cách độc lập. Bạn vẫn cần giảm thiểu tiếp xúc, duy trì thông tin xác thực mạnh, hành vi điều chỉnh hợp lý hoặc khóa tài khoản, và giám sát các mẫu đăng nhập bất thường.

Tôi nên theo dõi điều gì để phát hiện sớm các nỗ lực tấn công brute-force RDP?

Tìm kiếm các đỉnh bất thường trong các lần đăng nhập thất bại, thường hiển thị dưới dạng ID sự kiện 4625, đặc biệt khi chúng đến từ nhiều địa chỉ IP bên ngoài hoặc nhắm đến nhiều tên người dùng trong một khoảng thời gian ngắn. Cũng điều tra bất kỳ lần đăng nhập thành công nào xảy ra ngay sau các lần thất bại lặp đi lặp lại, vì điều này có thể chỉ ra một mật khẩu bị đoán hoặc tái sử dụng.

Kết luận: ưu tiên giảm thiểu tiếp xúc, sau đó tăng cường và tự động hóa

Bảo vệ chống tấn công brute force RDP không phải là một cài đặt đơn lẻ. Đây là một phương pháp nhiều lớp hoạt động tốt nhất theo thứ tự này: giảm hoặc loại bỏ sự tiếp xúc trực tiếp, tăng cường xác thực (NLA, thông tin xác thực mạnh, quyền tối thiểu, khóa hợp lý hoặc giới hạn), áp dụng các kiểm soát mạng thực sự giới hạn khả năng tiếp cận, theo dõi các mẫu có ý nghĩa và tự động chặn một cách cẩn thận để tránh các cảnh báo sai.

Ghi lại các thay đổi của bạn, kiểm tra chúng ngoài giờ làm việc khi có thể, và xác nhận rằng đường dẫn khẩn cấp của bạn vẫn hoạt động sau khi điều chỉnh tường lửa và khóa tài khoản. Nếu bạn muốn triển khai những biện pháp bảo vệ này với ít nỗ lực thủ công hơn, TSplus Advanced Security có thể giúp với việc bảo vệ chống tấn công brute-force và hạn chế truy cập, và TSplus Remote Access có thể cung cấp một mô hình phân phối an toàn hơn cho các ứng dụng và máy tính để bàn Windows đã được xuất bản thông qua một cổng web. Để đánh giá, bạn có thể tải xuống một bản dùng thử và đánh giá bảng giá .

Đọc thêm

back to top of the page icon