目录
RDP brute force protection: how to block attacks and keep remote access working

RDP暴力攻击在实践中是什么样的

您通常会注意到 RDP暴力破解 以相同的方式:针对可以从互联网访问的 Windows 服务器的重复失败登录,通常会导致账户锁定、嘈杂的安全日志和无法连接的担忧用户。这些攻击中的许多并不是以人类的方式“针对性”进行的。暴露在互联网上的 RDP 不断被扫描,自动化工具会不断尝试用户名和密码,直到找到一个弱凭证或造成干扰。

在MITRE ATT&CK中,这映射到 技术 T1110(暴力破解) ,包括与之相关的模式,如密码猜测和密码喷洒。在实际操作术语中,RDP暴力破解攻击是针对暴露的RDP服务进行的重复远程登录尝试(通常是自动化的),它们尝试许多密码或许多账户,直到找到凭据或账户被干扰。

典型症状包括:

  • Windows安全日志中登录失败的突然激增
  • 针对常见账户名称(管理员、admin、测试、服务类名称)的多次尝试
  • 来自许多外部IP地址的故障,有时频繁轮换
  • 用户抱怨账户锁定或登录性能缓慢
  • 在高峰期间的更高 CPU 或身份验证负载(LSASS 和 RDP 相关服务可能会受到影响)

它有助于命名您所看到的内容。“暴力破解”通常意味着对一个账户尝试多个密码。“密码喷洒”意味着对多个账户尝试一些常见密码,以避免锁定阈值。“凭证填充”意味着测试在其他地方被盗的用户名和密码对。这三种情况都表现为重复的远程登录失败,值得采取相同的首次响应:减少暴露并减缓尝试速度。

快速诊断:确认它是RDP暴力破解(而不是错误配置)

在您更改政策并冒着锁定合法用户的风险之前,请确认故障的原因、来源和数量。 微软针对遭受暴力攻击的 Azure 虚拟机的故障排除指南 即使在 Azure 之外也使用相同的起点:寻找大量失败的登录尝试,并将其与外部源 IP 进行关联。

  • 检查 Windows 安全日志,查看用户报告问题期间是否有大量失败的登录尝试。事件 ID 4625 是一个常见的检查指标。
  • 查找模式:重复的账户名称、多个不同的账户,或同一源IP访问多个用户。
  • 将失败的登录与随后成功的登录进行关联。成功的登录通常记录为事件 ID 4624,具体取决于您的审计策略。
  • 确认暴露:TCP 3389(或您的自定义 RDP 端口)是否可以通过防火墙规则、NAT、端口转发或云安全组从互联网访问?
  • 验证您是否没有看到来自合法来源的“误报”(RDS网关、VPN集中器、远程管理工具或内部扫描仪),这些来源因保存的错误密码而出现重复失败。

如果您在短时间内从许多外部IP地址看到大量事件ID 4625,您可能正在处理主动猜测或喷洒,而不是单个用户输入错误密码。

在 15 到 30 分钟内止血(有效的控制措施)

当暴力攻击流量活跃时,优先任务是恢复控制并保持安全的管理员路径可用。减少 RDP 暴力攻击风险的最快方法是停止将 RDP 直接暴露于互联网,并限制入站访问到一组已知的受信任 IP 地址或安全访问路径(网关、VPN 或堡垒)。 Microsoft Learn 对 Azure 事件的指导 加强这种相同的隔离方法:首先限制入站访问,然后改善访问路径。

  1. 在您更改任何内容之前,建立一个安全的返回方式。 如果您已经被锁定,请使用带外访问(虚拟机监控台、iLO/iDRAC、云串行控制台、堡垒机或VPN),以便在防火墙更改后仍然可以管理主机。
  2. 消除RDP的直接互联网暴露。 禁用公共端口转发或收紧入站规则,以便 RDP 不对“任何来源”开放。如果您无法立即删除它,请将入站访问限制为一个短的允许列表(您的办公室 IP、您的管理网络、您的 MSP 固定出口 IP)。
  3. 在 Azure 或类似的云上,立即收紧周边。 限制您在 NSG 或等效设备中的入站规则。如果您有选择,请转向 Microsoft 推荐的模式,例如 Azure Bastion、VPN 网关或及时访问概念,以减少暴露窗口。
  4. 确认 网络级别身份验证 (NLA) 已启用。 NLA 在建立完整的远程桌面会话之前强制进行身份验证,这减少了某些预身份验证风险的暴露,并减少了在猜测期间不必要的资源使用。
  5. 查看谁可以通过 RDP 登录。 验证本地管理员和远程桌面用户的成员资格,并删除任何不需要交互式远程登录的广泛组。
  6. 立即保护特权账户。 如果您怀疑密码可能较弱或泄露,请以受控方式更换特权账户的凭据,并检查是否有意外的新本地管理员或新启用的账户。
  7. 为真实用户稳定访问。 如果用户被锁定,解决方案通常是减少暴露和更好的限流,而不是降低安全性。避免匆忙进行锁定更改,这可能会导致更广泛的停机。

一旦您控制了流量,您可以安全地进行长期更改。如果您在重新获得控制后想要一种工具辅助的方法, TSplus高级安全 可以帮助在Windows服务器上实现暴力攻击阻止和访问限制,但控制仍然始于减少暴露。

减少攻击面:降低暴力破解风险的访问架构

Diagram comparing direct RDP vs allowlisting, RD Gateway, VPN, bastion and HTTPS portal for brute-force risk reduction

如果你从重复的RDP攻击中只学到一课,那就是:架构胜过调整。在会话主机前放置一个受控的入口点会改变攻击者可以接触到的内容以及你可以强制执行的内容。 微软安全博客关于远程桌面采用的指导 强调减少直接暴露,和 Microsoft Learn 文档 RD 网关 作为通过TLS提供安全访问的一种方式,需正确配置证书。

减少RDP暴力破解尝试的最可靠方法是避免直接暴露RDP,而是要求通过受控入口点访问,例如 RD 网关 ,VPN,或堡垒,理想情况下具有强身份验证。

访问模式 暴露和暴力攻击风险 操作复杂性 当它适合时 注意事项
直接从互联网进行RDP 最高风险和最高噪音。持续扫描和猜测。 设置低,防御高。 仅用于短期紧急访问,限制严格。 更改端口可能会减少机会性扫描,但它本身并不能提供强有力的保护。
直接RDP与IP白名单 如果允许列表较小且稳定,则暴露较低。 中等。需要维护允许列表并处理旅行/ISP更改。 小型管理团队使用固定的办公室IP或固定的MSP出口。 与强身份验证控制和监控配合使用效果最佳。
RD 网关位于 RDS/RDP 前面 减少会话主机和通过TLS的隧道的直接暴露。 中到高。证书、可用性和政策设计很重要。 已经使用RDS模式的以Windows为中心的环境。 Microsoft Learn的RDS规划指南涵盖了网关要求。Microsoft的许可仍然是您的责任,应与Microsoft或合格的许可合作伙伴进行验证。
远程访问的VPN 正确操作时,可以消除RDP的公共暴露。 中等。客户端部署、路由和多因素身份验证集成各不相同。 需要更广泛网络访问的管理员和员工,而不仅仅是一个应用程序。 限制VPN用户仅使用所需的功能,然后在网络内部仍然保护RDP。
堡垒或跳跃主机 强曝光减少。RDP仅可从堡垒上下文访问。 中等。需要对堡垒本身进行强有力的控制。 云托管服务器、受监管环境和仅管理员访问。 通常与按需访问窗口和根据平台的条件控制搭配使用。
通过网络门户(HTTPS)发布应用程序/桌面 可以减少或消除公开暴露原始 RDP 的需求,具体取决于设计。 低到中等。专注于提供用户所需的内容,而不是完全的网络访问。 中小企业向用户和合作伙伴提供一套Windows应用程序或远程桌面。 如果您的目标是让用户访问 Windows 应用程序,而不将原始 RDP 暴露在互联网上,TSplus Remote Access 值得评估通过安全的网络门户进行应用程序和桌面发布。

如果您必须保持某些 RDP 访问权限,请将其视为受保护的管理员界面,而不是一般的远程工作入口点。如果您正在朝着 通过安全的网络门户进行应用程序和桌面出版 快速入门指南可以帮助您入门。当大多数用户根本不连接到 TCP 3389 时,您的安全态势会显著改善。

加强RDP的身份验证而不锁定真实用户

良好的暴力破解抵抗力是在减缓攻击者和保持合法访问可靠之间的平衡。有效的暴力破解抵抗力结合了 NLA 和强大的凭据,以及一种速率限制或锁定策略,能够减缓重复失败,同时调整以避免攻击者触发的服务拒绝。 NIST SP 800-63B 讨论限流和处理重复失败的身份验证尝试作为核心控制,因为它降低了快速猜测的可行性。

从 NLA 和账户卫生开始

NLA是RDP的基线,因为它要求在会话完全建立之前进行身份验证。它不会单独阻止密码喷洒,但与让未经身份验证的会话进一步进行相比,它减少了暴露和浪费的资源。

然后处理暴力攻击所依赖的身份基本信息:移除不必要的管理员权限,执行最小权限原则,并清理过期账户。如果您有明显或共享的本地管理员账户,请更换它们,限制它们可以登录的位置,并考虑重命名或禁用不需要交互式登录的账户。保持远程桌面用户和本地管理员的权限紧缩,特别是在托管敏感数据的服务器上。

锁定和限流:调优的重要性

Visual showing how strict RDP lockouts can cause outages and why throttling plus exposure reduction is safer

Windows账户锁定策略设置通常用于减少暴力破解成功, 微软学习文档了关键术语 锁定阈值、锁定持续时间和重置计数器。权衡是可用性。如果您的阈值过低且暴露面过广,攻击者可以故意触发真实用户(或您的帮助台和管理员)的锁定。

使用这些决策因素来调整锁定和限流:

  • 服务的暴露程度如何? 如果RDP可以从整个互联网访问,锁定更有可能被武器化。首先减少暴露,然后调整锁定。
  • 用户如何进行身份验证? 网关、VPN或堡垒可以减少会话主机上激进锁定的需求,因为可以到达它的未知来源更少。
  • 锁定的成本是多少? 如果锁定会导致生产支持团队的停机,您可能更喜欢速率限制和基于IP的禁令,而不是严格的账户锁定。
  • 共享账户如何运作? 共享凭据会加大锁定的影响。尽可能消除共享账户。

特殊情况:内置本地管理员

许多环境仍在服务器和工作站上拥有内置的本地管理员帐户,其锁定行为常常引起混淆。 微软支持 KB5020282 提供有关内置本地管理员帐户锁定的上下文,包括锁定如何适用于网络登录(例如 RDP),这取决于配置和版本。不要假设内置管理员的行为与普通用户帐户相同,并在依赖锁定行为作为主要控制措施之前以受控方式进行测试。

对于希望增加实用加固层的团队,TSplus Advanced Security 包括旨在阻止在主机级别重复未经授权尝试的暴力破解保护。它应当补充而不是替代强大的 Windows 身份验证策略和仔细的锁定调整。

网络控制帮助(以及人们高估的那些)

网络控制通常是您可以进行的最快改进,但它们在现实世界中的价值不同。微软针对RDP暴力破解问题(包括在Azure场景中)的指导始终优先考虑限制入站连接,而不是外观上的更改。

高价值:IP 允许列表。 如果您可以将 RDP 限制为已知地址(办公室出口 IP、VPN 范围、堡垒子网、MSP 固定 IP),您可以立即消除大部分暴力破解流量。这也使您的监控更有意义,因为任何剩余的失败都来自更小的来源集。

谨慎使用:基于地理和声誉的控制。 地理封锁和IP声誉可以减少噪音,但它们也可能阻止合法用户,这些用户可能在旅行、从漫游网络连接或通过CGNAT访问。攻击者也可以使用VPN和代理,因此将地理控制视为风险降低措施,而不是保证。

高估:更改RDP端口。 IP 允许列表显著减少 RDP 暴力破解的风险,而更改 RDP 端口主要减少机会性扫描,不应被视为主要保护措施。端口更改可以在事件发生时争取时间,但并不能解决来自能够发现端口的决心行动者的密码喷洒问题。

在团队希望比手动维护复杂规则集更简单的执行环境中,TSplus Advanced Security 添加了 地理保护和基于IP的控制 可以在服务器之间一致地应用。

监控和检测:记录、警报和调查内容

暴力破解是一个在事后看来显而易见的问题,而在你晚些时候发现时则显得昂贵。监控的目标不是永远计算每一个失败的登录。它是为了尽早发现异常模式,并调查这些尝试是否曾经转变为成功的登录。

监控失败登录的异常峰值(通常是事件 ID 4625),并对表明密码喷洒或在重复失败后成功登录的模式发出警报。微软的暴力破解故障排除指南强调了相同的工件(4625),因为这是管理员尝试恢复访问并理解范围时的一个实用起点。

日常运营中,关注三个调查问题:

流量是外部还是内部? 外部IP访问公共接口指向暴露问题。内部IP可能表示一个被攻破的端点或一个配置错误的服务账户。

这是一个账户还是多个账户? 一个账户表明暴力破解。许多账户每次尝试较少表明密码喷洒。

在爆发后有任何账户成功吗? 在多次失败后成功登录是一个高优先级的关联,需要调查,特别是对于特权账户。

如果您尚未集中管理Windows日志,请考虑使用Windows事件转发或您现有的SIEM,以便在多个服务器之间一致地发出警报。对于需要简单的团队 攻击高峰期间的警报和历史可见性 , TSplus 服务器监控 可以帮助您跟踪服务器的健康状况和可用性,以及您的安全日志记录。

自动阻止方法(以及如何避免误报)

Workflow loop: detect Event ID 4625 spikes, alert, apply temporary IP bans, maintain allowlists, and review results

手动响应在您的主机面向互联网时无法扩展。自动化是许多团队重新获得控制权的地方,只要它被设计为可逆并保护合法访问。最安全的自动化通过时间限制的禁令和明确的白名单阻止重复的失败登录,并且必须考虑共享IP地址,以避免阻止合法用户。

自动化在实践中的样子

常见的方法包括检测重复失败并暂时禁止 IP 的主机防火墙模块、检测密码猜测行为的 EDR 功能,以及解析安全日志并应用动态防火墙规则的脚本。以网关为中心的控制(RD 网关、VPN、堡垒)通常减少了对激进主机级阻止的需求,因为很少有未知来源能够到达服务器。

团队遭遇困境的地方

共享NAT和CGNAT。 如果许多合法用户来自一个公共IP(如分支机构、酒店网络、某些ISP),阻止该IP可能会同时切断良好用户和攻击者。时间限制的禁令和已知的良好白名单可以减少影响范围。

阻止您自己的管理路径。 始终将您的 VPN 范围、堡垒子网和 MSP 管理出口 IP 列入白名单,然后再启用强制阻止。记录一个不依赖于相同网络路径的紧急访问路径。

因锁定导致的停机。 如果您唯一的控制是账户锁定,攻击者可以将其转化为拒绝服务。将锁定策略与暴露减少和基于IP的限流相结合,以便主机不会成为瓶颈。

TSplus Advanced Security 增加了实用的暴力破解保护 ,IP和地理控制,以及针对Windows服务器的勒索软件防护强化,这可以帮助您减少重复的RDP登录尝试,而无需部署繁重的安全堆栈。

中小企业和托管服务提供商环境的实用基准

中小企业和托管服务提供商需要一个可重复、可测试且不易破坏日常运营的基线。微软的远程桌面安全指导支持相同的一般原则:减少直接暴露,然后加强访问并积极监控。

  • 尽可能移除RDP的直接互联网暴露,并通过VPN、网关或堡垒模式进行访问。
  • 如果必须保持RDP可访问,请将入站访问限制为小型IP白名单,并定期审查。
  • 启用网络级身份验证(NLA),并要求所有交互式用户使用强大且独特的凭据。
  • 收紧特权访问:最小化本地管理员成员资格并审查远程桌面用户成员资格。
  • 故意设置账户锁定策略(阈值、持续时间、重置计数器)并进行测试,以避免因锁定导致的停机。
  • 监控失败的登录(例如,事件 ID 4625)并及时调查成功后失败的模式。
  • 保持Windows、与RDP相关的组件和面向互联网的服务按定义的计划进行修补。
  • 文档破玻璃访问,包括如果网络规则阻止远程进入,您将如何重新获得控制台访问权限。

如果您想要一个结构化的评审,请使用我们的 RDP安全审计:2026年20项检查清单 .

对于MSP,标准化您可以的内容(GPO模板、防火墙基线、允许的管理IP清单),并清晰记录客户特定的允许列表和例外。如果您需要在多个客户服务器上实施实用的加固层,TSplus Advanced Security可以作为标准远程访问安全包的一部分进行部署,而TSplus Remote Access可以支持“不要直接暴露原始RDP”的策略,用于发布的应用程序和桌面。

FAQ

更改默认RDP端口能否阻止暴力攻击?

不。更改RDP端口可以减少机会性扫描噪声,微软自己的事件指导在某些情况下提到它作为一种临时缓解措施,但它并不能阻止有针对性的猜测。将其视为一种次要策略,首先关注减少暴露(白名单、网关、VPN、堡垒)和加强身份验证。

对于 RDP 暴力破解保护,哪些 Windows 策略设置最重要?

首先启用 RDP 的 NLA,收紧通过远程桌面登录的权限,并根据 Microsoft Learn 的文档配置帐户锁定策略(阈值、持续时间、重置计数器)。强密码策略和最低权限的管理员权限也减少了猜测导致重大泄露的机会。

账户锁定设置会在攻击期间加剧 RDP 中断吗?

是的。如果RDP被广泛暴露,攻击者可以故意触发真实用户的锁定,这会导致拒绝服务问题。这就是为什么推荐的顺序是首先减少暴露,然后以平衡安全性和可用性的方式调整锁定和限流。

网络级身份验证(NLA)足够保护RDP吗?

NLA是一个重要的基线,但它本身并不能防止密码喷洒或凭证填充。您仍然需要减少暴露、保持强大的凭证卫生、合理的限流或锁定行为,以及监控异常的登录模式。

我应该监控什么以便及早发现RDP暴力破解尝试?

查找失败登录中的异常峰值,通常显示为事件 ID 4625,特别是当它们来自许多外部 IP 或在短时间内针对许多用户名时。还要调查在重复失败后不久发生的任何成功登录,因为这可能表明密码被猜测或重复使用。

结论:优先减少暴露,然后加强和自动化

RDP暴力攻击保护不是一个设置。它是一种分层的方法,最佳顺序如下:减少或消除直接暴露,增强身份验证(NLA、强凭据、最小权限、合理的锁定或限流),应用实际限制可达性的网络控制,监控有意义的模式,并仔细自动化阻止以避免误报。

记录您的更改,尽可能在非工作时间进行测试,并验证在防火墙和锁定调整后您的应急路径仍然有效。如果您希望以更少的手动努力来实现这些保护,TSplus Advanced Security可以帮助提供暴力破解保护和访问限制,而TSplus Remote Access可以通过网络门户为发布的Windows应用程序和桌面提供更安全的交付模型。要评估,您可以 下载 试用和评审 定价 .

进一步阅读

back to top of the page icon