RDP 暴力破解攻擊在實踐中的樣子
您通常會注意到 RDP 暴力破解 以相同的方式:針對可從互聯網訪問的 Windows 伺服器重複失敗的登錄,通常會導致帳戶鎖定、嘈雜的安全日誌以及無法連接的擔憂用戶。這些攻擊中的許多並不是以人類的方式“針對性”進行的。暴露於互聯網的 RDP 不斷被掃描,自動化工具將不斷嘗試用戶名和密碼,直到找到弱密碼或造成干擾。
在MITRE ATT&CK中,這對應於 技術 T1110(暴力破解) ,包括與之相關的模式,例如密碼猜測和密碼噴灑。在實際操作術語中,RDP 暴力破解攻擊是針對暴露的 RDP 服務進行的重複遠程登錄嘗試(通常是自動化的),這些嘗試會對許多密碼或許多帳戶進行嘗試,直到找到憑據或帳戶受到干擾。
典型症狀包括:
- 在Windows安全日誌中突然出現的登錄失敗激增
- 對常見帳戶名稱(Administrator、admin、test、service風格名稱)的多次嘗試
- 來自許多外部IP地址的失敗,有時會頻繁輪換
- 用戶抱怨帳戶鎖定或登錄性能緩慢
- 在高峰期間的 CPU 或身份驗證負載(LSASS 和 RDP 相關服務可能會受到影響)
它有助於命名您所看到的內容。“暴力破解”通常意味著對一個帳戶進行多次密碼嘗試。“密碼噴灑”意味著對多個帳戶使用幾個常見的密碼,以避免鎖定閾值。“憑證填充”意味著測試在其他地方竊取的用戶名和密碼對。這三種情況都顯示為重複的遠程登錄失敗,應該得到相同的首次響應:減少暴露並減慢嘗試速度。
快速診斷:確認它是RDP暴力破解(而不是錯誤配置)
在您更改政策並冒著鎖定合法用戶的風險之前,請確認失敗的原因、來源以及數量。 微軟針對遭受暴力破解攻擊的 Azure 虛擬機的故障排除指導 即使在 Azure 之外也使用相同的起點:尋找大量失敗的登錄嘗試並將其與外部來源 IP 相關聯。
- 檢查 Windows 安全日誌,以查看用戶報告問題期間是否有大量登錄失敗事件。事件 ID 4625 是一個常見的指標,值得檢查。
- 尋找模式:重複的帳戶名稱、許多不同的帳戶,或相同的來源 IP 影響多個用戶。
- 將失敗的登錄與隨後的成功登錄相關聯。成功的登錄通常記錄為事件 ID 4624,具體取決於您的審核政策。
- 確認暴露:TCP 3389(或您的自定義 RDP 端口)是否可以通過防火牆規則、NAT、端口轉發或雲安全組從互聯網訪問?
- 確認您沒有看到來自合法來源的“虛假警報”(如 RDS 閘道器、VPN 集中器、遠程管理工具或內部掃描器),這些來源因為保存的錯誤密碼而顯示為重複失敗。
如果您在短時間內從許多外部 IP 地址看到大量的事件 ID 4625,您可能面對的是主動猜測或噴灑攻擊,而不是單一用戶輸入錯誤密碼。
在 15 到 30 分鐘內止血(有效的控制措施)
當暴力破解流量活躍時,優先事項是恢復控制並保持安全的管理路徑可用。減少 RDP 暴力破解風險的最快方法是停止將 RDP 直接暴露於互聯網,並限制進入訪問到一組已知的受信任 IP 地址或安全訪問路徑(網關、VPN 或堡壘)。 Microsoft Learn 的 Azure 事件指導 強化這種相同的隔離方法:首先限制入站訪問,然後改善訪問路徑。
- 在您更改任何內容之前,建立一個安全的回退方式。 如果您已經被鎖定,請使用您的帶外訪問(虛擬機監控台、iLO/iDRAC、雲端序列控制台、堡壘或VPN),以便在防火牆更改後仍然可以管理主機。
- 移除 RDP 的直接網路暴露。 禁用公共端口轉發或收緊入站規則,以便 RDP 不對“任何來源”開放。如果您無法立即移除,請將入站訪問限制為短的允許清單(您的辦公室 IP、您的管理網絡、您的 MSP 固定出口 IP)。
- 在 Azure 或類似的雲端上,立即加強周邊防護。 限制您在 NSG 或等效設備中的入站規則。如果您有選擇,請轉向 Microsoft 認可的模式,例如 Azure Bastion、VPN Gateway 或即時訪問概念,以減少暴露窗口。
- 確認 網路層級驗證 (NLA) 已啟用。 NLA 在建立完整的遠端桌面會話之前強制進行身份驗證,這減少了某些預身份驗證風險的暴露,並降低了在猜測過程中不必要的資源使用。
- 檢查誰可以通過 RDP 登錄。 驗證本地管理員和遠端桌面使用者的成員資格,並移除任何不需要互動式遠端登入的廣泛群組。
- 立即保護特權帳戶。 如果您懷疑密碼可能較弱或已洩漏,請以受控方式更換特權帳戶的憑證,並檢查是否有意外的新本地管理員或新啟用的帳戶。
- 穩定真實用戶的訪問。 如果用戶被鎖定,解決方法通常是減少暴露和更好的限流,而不是降低安全性。避免匆忙進行鎖定更改,這可能會造成更大範圍的中斷。
一旦您控制了流量,您可以安全地進行長期變更。如果您在重新獲得控制後想要使用工具輔助的方法, TSplus 高級安全性 可以幫助在 Windows 伺服器上實現暴力破解阻擋和訪問限制,但控制仍然始於減少暴露。
減少攻擊面:降低暴力破解風險的訪問架構
如果你從重複的 RDP 攻擊中只學到一課,那就是:架構勝過調整。在會話主機前放置一個受控的進入點會改變攻擊者可以接觸的內容以及你可以強制執行的內容。 微軟安全部落格對遠端桌面採用的指導 強調減少直接暴露,並 Microsoft Learn 文件 RD Gateway 作為通過TLS提供安全訪問的一種方式,並進行適當的證書配置。
減少 RDP 暴力破解嘗試的最可靠方法是避免直接暴露 RDP,而是要求通過受控的進入點進行訪問,例如 RD Gateway ,VPN,或堡壘,理想情況下具有強身份驗證。
| 訪問模式 | 暴露和暴力破解風險 | 操作複雜性 | 當它合適時 | 注意事項 |
|---|---|---|---|---|
| 直接從互聯網進行RDP | 最高風險和最高噪音。持續掃描和猜測。 | 低成本設置,高成本防禦。 | 僅限於短期緊急訪問,並有嚴格限制。 | 更改端口可能會減少機會掃描,但它本身並不提供強大的保護。 |
| 直接 RDP 與 IP 白名單 | 如果允許清單小且穩定,則風險較低。 | 中等。需要維護允許清單並處理旅行/ISP變更。 | 小型管理團隊擁有固定的辦公室IP或固定的MSP出口。 | 與強身份驗證控制和監控配合使用時效果最佳。 |
| RD Gateway 在 RDS/RDP 前面 | 減少會話主機的直接暴露和通過 TLS 的隧道。 | 中到高。證書、可用性和政策設計很重要。 | 已經使用 RDS 模式的 Windows 為中心的環境。 | Microsoft Learn 的 RDS 計劃指導涵蓋了網關要求。微軟授權仍然是您的責任,應與微軟或合格的授權合作夥伴進行驗證。 |
| 遠端存取的VPN | 正確執行時可移除RDP的公共暴露。 | 中等。客戶部署、路由和多重身份驗證整合各不相同。 | 需要更廣泛網絡訪問的管理員和員工,而不僅僅是一個應用程序。 | 限制 VPN 用戶僅使用所需的資源,然後在網絡內部仍然保護 RDP。 |
| 堡壘或跳躍主機 | 強大的曝光減少。RDP僅能從堡壘上下文訪問。 | 中等。需要對堡壘本身進行強有力的控制。 | 雲端托管伺服器、受管控的環境以及僅限管理員訪問。 | 通常與即時訪問窗口和根據平台的條件控制搭配良好。 |
| 透過網頁入口網站 (HTTPS) 發佈應用程式/桌面 | 可以根據設計減少或消除公開暴露原始 RDP 的需求。 | 低至中等。專注於提供用戶所需的功能,而非完全的網絡訪問。 | 中小企業向用戶和合作夥伴提供一套 Windows 應用程式或遠端桌面。 | 如果您的目標是讓用戶訪問 Windows 應用程序,而不將原始 RDP 暴露於互聯網,則值得評估 TSplus Remote Access 以通過安全的網頁門戶進行應用程序和桌面發布。 |
如果您必須保留某些 RDP 存取權限,請將其視為受保護的管理介面,而不是一般的遠端工作進入點。如果您正在朝著 應用程式和桌面出版透過安全的網頁入口網站 快速入門指南可以幫助您開始。當大多數用戶根本不連接到 TCP 3389 時,您的安全態勢會顯著改善。
加強RDP的身份驗證而不鎖定真實用戶
良好的暴力破解抵抗力是在減緩攻擊者和保持合法訪問可靠之間的平衡。有效的暴力破解抵抗力結合了 NLA 和強大的憑證,並採用速率限制或鎖定政策,這可以減緩重複失敗的情況,同時調整以避免攻擊者觸發的拒絕服務。 NIST SP 800-63B 討論限制和處理重複失敗的身份驗證嘗試作為核心控制,因為這降低了快速猜測的可行性。
從 NLA 和帳戶衛生開始
NLA 是 RDP 的基準,因為它要求在會話完全建立之前進行身份驗證。它不會自行阻止密碼噴灑,但與讓未經身份驗證的會話進一步進行相比,它減少了暴露和浪費的資源。
然後處理暴力破解所依賴的身份基本問題:移除不必要的管理權限,強制執行最小特權,並清理過期帳戶。如果您有明顯或共享的本地管理帳戶,請更換它們,限制它們可以登錄的地方,並考慮重新命名或禁用不需要互動登錄的帳戶。保持遠端桌面使用者和本地管理員的權限緊縮,特別是在承載敏感數據的伺服器上。
鎖定和限制:為什麼調整很重要
Windows 帳戶鎖定策略設置通常用於減少暴力破解的成功率,並 Microsoft Learn 文件記錄了關鍵術語 鎖定閾值、鎖定持續時間和重置計數器。權衡是可用性。如果您的閾值過低且暴露範圍過廣,攻擊者可以故意觸發真正用戶(或您的幫助台和管理員)的鎖定。
使用這些決策因素來調整鎖定和限流:
- 服務的暴露程度如何? 如果 RDP 可以從整個互聯網訪問,鎖定更有可能被武器化。首先減少暴露,然後調整鎖定。
- 用戶如何進行身份驗證? 網關、VPN或堡壘可以減少對會話主機的激進鎖定需求,因為較少的未知來源可以到達它。
- 鎖定的成本是多少? 如果鎖定會導致生產支援團隊的停機,您可能會更喜歡速率限制和基於 IP 的禁止,而不是嚴格的帳戶鎖定。
- 共享帳戶的行為如何? 共享憑證會加劇鎖定的影響。盡可能消除共享帳戶。
特殊情況:內建本地管理員
許多環境仍然在伺服器和工作站上擁有內建的本地管理員帳戶,而其鎖定行為經常引起混淆。 Microsoft 支援 KB5020282 提供有關內建本地管理員帳戶鎖定的背景資訊,包括根據配置和版本,鎖定如何適用於網路登錄(例如 RDP)。不要假設內建管理員的行為與普通用戶帳戶相同,並在依賴鎖定行為作為主要控制措施之前,以受控方式進行測試。
對於希望增加實用加固層的團隊,TSplus Advanced Security 包含旨在阻止在主機層面上重複未經授權嘗試的暴力破解保護。它應該補充,而不是取代,強大的 Windows 認證政策和仔細的鎖定調整。
幫助的網絡控制(以及人們高估的那些)
網絡控制通常是您可以進行的最快改進,但它們在現實世界中的價值各不相同。微軟對於RDP暴力破解問題(包括在Azure場景中)的指導始終優先考慮限制入站連接,而非外觀上的變更。
高價值:IP 允許清單。 如果您可以將 RDP 限制在已知地址(辦公室出口 IP、VPN 範圍、堡壘子網、MSP 固定 IP)上,您可以立即消除大部分暴力破解流量。這也使您的監控更具意義,因為任何剩餘的失敗都來自較小的來源集。
小心使用:基於地理和聲譽的控制。 地理封鎖和IP聲譽可以減少噪音,但它們也可能阻止合法用戶,例如旅行者、從漫遊網絡連接的用戶或通過CGNAT進入的用戶。攻擊者也可以使用VPN和代理,因此將地理控制視為風險降低措施,而不是保證。
高估:更改 RDP 端口。 IP 允許清單顯著減少 RDP 暴力破解的風險,而更改 RDP 端口主要是減少機會性掃描,並不應被視為主要保護措施。端口更改可以在事件發生時爭取時間,但無法解決能夠發現端口的決心行為者的密碼噴灑問題。
在團隊希望比手動維護複雜規則集更簡單的執行環境中,TSplus Advanced Security 增加了 地理保護和基於IP的控制 可以在伺服器之間一致地應用。
監控和檢測:應該記錄、警報和調查什麼
暴力破解是那些在事後看起來顯而易見且在你遲遲發現時代價高昂的問題之一。監控的目標不是永遠計算每一次失敗的登錄。它是及早檢測異常模式,並調查這些嘗試是否曾經轉變為成功的登錄。
監控失敗登錄的異常峰值(通常是事件 ID 4625),並對顯示密碼噴灑或在重複失敗後成功登錄的模式發出警報。微軟的暴力破解故障排除指導強調了相同的工件(4625),因為這是管理員試圖恢復訪問和理解範圍時的實用起點。
日常運營中,專注於三個調查問題:
流量是外部還是內部? 外部 IP 觸及公共介面指向暴露問題。內部 IP 可能表示已被攻擊的端點或配置錯誤的服務帳戶。
這是一個帳戶還是多個帳戶? 一個帳戶顯示出暴力破解的跡象。許多帳戶每次嘗試次數較少顯示出密碼噴灑的跡象。
在爆發後,有任何帳戶成功嗎? 在多次失敗後成功登錄是一個高優先級的相關性,需要調查,特別是對於特權帳戶。
如果您尚未集中管理 Windows 日誌,請考慮使用 Windows 事件轉發或您現有的 SIEM,以便能夠在多個伺服器之間一致地發出警報。對於需要簡單的團隊 攻擊高峰期間的警報和歷史可見性 , TSplus 伺服器監控 可以幫助您跟踪伺服器的健康狀況和可用性,以及您的安全日誌。
自動封鎖方法(以及如何避免錯誤的正面結果)
手動回應在您的主機面對互聯網時無法擴展。自動化是許多團隊重新獲得控制權的地方,只要它被設計為可逆並保護合法訪問。最安全的自動化通過時間限制的禁止和明確的白名單來阻止重複的登錄失敗,並且必須考慮共享的IP地址,以避免阻止合法用戶。
自動化在實踐中的樣子
常見的方法包括檢測重複失敗並暫時禁止 IP 的主機防火牆模組、檢測密碼猜測行為的 EDR 功能,以及解析安全日誌並應用動態防火牆規則的腳本。以網關為中心的控制(RD Gateway、VPN、堡壘)通常減少了對激進主機級別阻止的需求,因為較少的未知來源會到達伺服器。
團隊遭遇困境的地方
共享NAT和CGNAT。 如果許多合法用戶來自一個公共IP(如分支辦公室、酒店網絡、某些ISP),封鎖該IP可能會同時切斷良好用戶和攻擊者。限時禁令和已知良好的白名單可以減少影響範圍。
阻止您自己的管理路徑。 始終允許您的 VPN 範圍、堡壘子網和 MSP 管理出口 IP,在啟用強制阻止之前。記錄一條不依賴於相同網路路徑的緊急通道。
因鎖定驅動的停機。 如果您唯一的控制是帳戶鎖定,攻擊者可以將其轉變為拒絕服務。將鎖定政策與暴露減少和基於 IP 的限流配對,以便主機不會成為瓶頸。
TSplus Advanced Security 增加了實用的暴力破解保護 ,IP 和地理控制,以及針對 Windows 伺服器的勒索軟體加固,這可以幫助您減少重複的 RDP 登入嘗試,而無需部署繁重的安全堆疊。
中小企業和管理服務提供商環境的實用基準
中小企業和管理服務提供商需要一個可重複、可測試且不易中斷日常運營的基準。微軟的遠端桌面安全指導支持相同的一般原則:減少直接暴露,然後加強訪問並主動監控。
- 在可能的情況下,移除 RDP 的直接互聯網暴露,並通過 VPN、網關或堡壘模式路由訪問。
- 如果必須保持 RDP 可達,請將入站訪問限制為小型 IP 白名單並定期檢查。
- 啟用網路層級驗證 (NLA) 並要求所有互動使用者使用強大且獨特的憑證。
- 加強特權訪問:最小化本地管理員成員資格並審查遠端桌面用戶成員資格。
- 故意設置帳戶鎖定政策(閾值、持續時間、重置計數器)並進行測試,以避免因鎖定而導致的停機。
- 監控失敗的登錄(例如,事件 ID 4625)並及時調查成功後失敗的模式。
- 保持 Windows、RDP 相關組件和面向互聯網的服務按定義的時間表進行修補。
- 文檔緊急訪問,包括如果網絡規則阻止遠程進入,您將如何恢復控制台訪問。
如果您想要一個結構化的評價,請使用我們的 RDP安全審核:2026年20項檢查清單 .
對於MSP,標準化您能標準化的內容(GPO範本、防火牆基準、允許的管理IP清單),並清楚記錄客戶特定的允許清單和例外情況。如果您需要在許多客戶伺服器上實施實用的加固層,TSplus Advanced Security可以作為標準遠端存取安全套件的一部分進行部署,而TSplus Remote Access可以支持對已發布的應用程式和桌面的“不要直接暴露原始RDP”姿態。
FAQ
更改默認的 RDP 端口是否能阻止暴力破解攻擊?
不。更改 RDP 端口可以減少機會性掃描噪音,微軟自己的事件指導提到這在某些情況下作為臨時緩解措施,但它並不能阻止針對性的猜測。將其視為次要策略,首先專注於減少暴露(允許清單、網關、VPN、堡壘)和加強身份驗證。
對於 RDP 暴力破解保護,哪些 Windows 政策設置最重要?
首先啟用 RDP 的 NLA,收緊誰有權通過遠端桌面登錄,並根據 Microsoft Learn 的文檔配置帳戶鎖定策略(閾值、持續時間、重置計數器)。強密碼政策和最小特權管理員權限也減少了猜測導致重大妥協的機會。
帳戶鎖定設置會在攻擊期間使RDP中斷更糟嗎?
是的。如果RDP被廣泛暴露,攻擊者可以故意觸發真正用戶的鎖定,這會成為一個拒絕服務問題。這就是為什麼建議的順序是首先減少暴露,然後調整鎖定和限流,以平衡安全性和可用性。
網路層級驗證 (NLA) 是否足以保護 RDP?
NLA 是一個重要的基準,但它本身並不能防止密碼噴灑或憑證填充。您仍然需要減少暴露、強大的憑證衛生、合理的限速或鎖定行為,以及監控異常的登錄模式。
我應該監控什麼以便及早檢測到 RDP 暴力破解嘗試?
尋找失敗登錄的異常峰值,通常顯示為事件 ID 4625,特別是當它們來自許多外部 IP 或在短時間內針對許多用戶名時。還要調查在重複失敗後不久發生的任何成功登錄,因為這可能表明密碼被猜測或重複使用。
結論:優先減少暴露,然後加強和自動化
RDP 暴力破解保護不是一個設定。這是一種分層的方法,最佳的順序是:減少或消除直接暴露,加強身份驗證(NLA、強密碼、最小權限、合理的鎖定或限速),應用實際限制可達性的網絡控制,監控有意義的模式,並小心自動阻止以避免誤報。
記錄您的更改,盡可能在非工作時間進行測試,並驗證在防火牆和鎖定調整後,您的緊急訪問路徑仍然有效。如果您希望以更少的手動努力來實施這些保護,TSplus Advanced Security 可以幫助提供暴力破解保護和訪問限制,而 TSplus Remote Access 可以通過網頁門戶為已發布的 Windows 應用程序和桌面提供更安全的交付模型。要進行評估,您可以 下載 試用和評估 定價 .