Remote Desktop Protocol forbliver et topmål, fordi blotlagt port 3389, svage adgangskoder og støjende login-telemetri gør livet nemt for bots og lavfærdige skuespillere. Hvis du spørger, hvordan man forhindrer RDP brute force-angreb, er det korte svar at reducere eksponeringen, øge autentificeringsstyrken og se logfilerne som en høg. Skjul port 3389 bag en VPN- eller RD-gateway, håndhæv MFA ved hvert adgangspunkt, aktiver netværksniveaugodkendelse, indstil kontolåsepolitikker mellem 5 og 10 forsøg med 15-30 minutters varighed, og overvåg hændelses-id 4625 spikes konstant. Angribere scanner, gætter og pivoterer hurtigere hvert år, så din spillebog har brug for konkrete kontroller, ikke ønsketænkning.
TL;DR: Hurtig beskyttelsestjekliste
- Skjul port 3389 bag VPN eller RD Gateway for at eliminere offentlig eksponering
- Kræv multifaktorgodkendelse for alle RDP-adgangspunkter
- Aktiver Network Level Authentication (NLA) til verifikation før session
- Indstil kontolås: 5-10 ugyldige forsøg, 15-30 minutters varighed, 15 minutters nulstilling
- Overvåg Windows Event ID'er 4625 (mislykkedes) og 4624 (vellykket) konstant
- Brug IP-tilladelsesliste og geo-blokering for at begrænse kildeadgang
- Oprethold en stærk adgangskodepolitik med minimumslængde på 14+ tegn
Hvorfor RDP Brute Force-angreb lykkes
Open RDP er attraktivt, fordi det kan findes ved massescanninger på få minutter, det kører ofte med lokale administratorrettigheder, og en svag adgangskode kan føre til ransomware. Port 3389 ligger eksponeret på det offentlige internet som en billboard-reklameadgang, og automatiserede værktøjer behøver ikke ekspertise for at hamre løs på login-skærme. Adgangskodeangreb er eskaleret dramatisk, med Microsoft rapporterer en stigning på 74 % alene fra 2021 til 2022. Derfor starter enhver guide til forebyggelse af brute force-angreb altid med ikke at eksponere 3389 på det offentlige internet og derefter tilføje lag som MFA og lockout-regler, før nogen når logonskærmen.
Nylige kampagner fra netværk som FDN3 i midten af 2025 viste, hvor hurtigt storstilet adgangskodespraying kan målrette mod SSL VPN og RDP-enheder på tværs af tusindvis af systemer. Angrebene topper under bestemte vinduer, når sikkerhedsteams er mindst forberedte, og mønsteret gentages, fordi det grundlæggende forbliver brudt. Pludselige stigninger i mislykkede logons, gentagne forsøg på tværs af mange brugernavne og land-hopping IP'er er de afslørende tegn, men når du bemærker dem uden ordentlig overvågning, er skaden ofte begyndt. Indsatsen er høj: Verizons 2025-rapport om databrudsundersøgelser fundet ransomware til stede i 44 % af alle brud, hvor RDP fortsat er et foretrukket indgangspunkt for disse angreb.
Moderne slutpunktsdetektion kan sy RDP-data på sessionsniveau sammen, så respondere opdager sprøjte-og-bede-mønstre hurtigere. Men forebyggelse slår detektion hver gang, og derfor fokuserer næste afsnit på kontroller, der stopper angreb, før de bliver til hændelser.
Sådan forhindrer du RDP Brute Force-angreb: kernebeskyttelsesmetoder
De hurtigste gevinster kommer fra nedskæringer i netværkseksponering, stærkere login-gates og indbyggede Windows-politikker. At mestre, hvordan man forhindrer RDP brute force-angreb, betyder at implementere RDP brute force-beskyttelse, der kombinerer alle disse lag.
Luk den åbne dør først: Fjern Public 3389
Skjul RDP bag en VPN eller implementer Remote Desktop Gateway på port 443 med TLS-kryptering. En kort tilladelsesliste for kendte IP'er plus en gateway slår rå portvideresendelse hver eneste gang. Dette træk reducerer støj og sænker lydstyrken for gætte adgangskoder dramatisk. Konfigurer din perimeter firewall til at blokere direkte adgang til port 3389 fra internettet, og diriger derefter al lovlig trafik gennem den sikrede gateway. Angriberne kan ikke brute force, hvad de ikke kan nå.
Slå Multi-Factor Authentication til for RDP
Push-spam-resistent MFA, som app-prompts med nummermatchning eller hardwarenøgler, blokerer de fleste adgangskodeindtrængen. Tilføj MFA på gateway-niveau eller via en RDP-udbyder med tæt katalogintegration. Ifølge Microsofts undersøgelser har over 99% af kompromitterede konti ikke MFA aktiveret, hvilket fortæller dig alt om, hvorfor denne kontrol betyder noget. Implementer det gennem RD Gateway ved hjælp af Network Policy Server-integration med Azure AD, eller brug tredjepartsløsninger, der understøtter TOTP og hardwaretokens.
Kræv netværksniveaugodkendelse (NLA)
NLA fremtvinger godkendelse, før et fuldt skrivebord indlæses, reducerer ressourceforbruget fra mislykkede sessioner og reducerer angrebsoverfladen. Par NLA med TLS for krypteret overførsel af legitimationsoplysninger. Dette flytter verifikationen til begyndelsen af forbindelsesprocessen ved hjælp af Credential Security Support Provider (CredSSP). Ifølge peer-reviewed forskning kan NLA reducere RDP-latenstiden med 48 % under aktive angreb ved at forhindre uautentificerede sessioner i at forbruge serverressourcer. Aktiver det via Systemegenskaber, fanen Fjern ved at vælge "Tillad kun forbindelser fra computere, der kører netværksniveaugodkendelse."
Anvend kontolåsepolitikker
Indstil fornuftige tærskler og lockout-vinduer, så bots ikke kan gætte for evigt. Disse er klassiske metoder til forebyggelse af brute force-angreb fra RDP, og de fungerer stadig, når de er konfigureret korrekt. Konfigurer gennem lokal sikkerhedspolitik (secpol.msc) under kontopolitikker med disse parametre: en tærskel på 5-10 ugyldige forsøg, en lockout-varighed på 15-30 minutter og en nulstillingstæller efter 15 minutter. Disse værdier kommer fra konsensus på tværs af flere 2025-sikkerhedsbaselines, herunder Windows-sikkerhedsanbefalinger og industrirammer. Balancer sikkerhed mod helpdesk-belastning, fordi hver låst konto genererer en supportbillet.
Brug tilladelseslister og geo-hegn
Begræns, hvem der overhovedet kan banke på døren. Landeblokke, ASN-blokke og korte statiske tilladelseslister reducerer trafikken til næsten nul i mange små kontoropsætninger. Konfigurer disse regler på firewall-niveau, bloker hele geografiske områder, du aldrig gør forretninger med, og begræns adgangen til specifikke IP-områder for fjernmedarbejdere. Nogle miljøer tager dette videre ved at implementere tidsbaserede adgangskontroller, der kun tillader RDP i arbejdstiden.
Hærd adgangskoder og rotation
Brug lange adgangssætninger, unikke hemmeligheder pr. administrator og en adgangskodeadministrator. Dette er grundlæggende RDP brute force-beskyttelse, men alligevel starter for mange brud her. Indstil minimum adgangskodelængde til 14 tegn med kompleksitetskrav håndhævet gennem gruppepolitik. Jo længere adgangskoden er, jo sværere bliver det for automatiserede værktøjer at knække gennem brute force-metoder. Undgå genbrug af adgangskoder på tværs af forskellige administrative konti, fordi én kompromitteret legitimationsoplysninger kan falde over hele din infrastruktur.
Opdater Windows og RDP Stack omgående
Patch kendte RDP-fejl og rulleopdateringer på tværs af servere og klienter. Gamle sårbarheder dukker stadig op i naturen, og angribere målretter først uoprettede systemer, fordi de er nemmere. Implementer en regelmæssig programrettelsesplan ved hjælp af Windows Update, WSUS eller Intune-baselines for at sikre, at din RDP-infrastruktur forbliver opdateret mod kendte udnyttelser.
Saml og advare om mislykkede logins
Videresend Windows Security-logfiler til en SIEM, se hændelses-id'er 4625 og 4624, og advare om unormale mængder, kildegeografier og servicekontohits. At lære at forhindre brute force-angreb omfatter altid at holde øje med logfiler, fordi reaktiv detektering begrænser skader, når forebyggende kontroller fejler. Konfigurer advarsler for mere end 10 mislykkede forsøg fra en enkelt IP inden for en time, og overvåg for Type 10 (fjern interaktiv) og Type 3 (netværk) logonmønstre, der indikerer RDP-aktivitet.
Hver af disse reducerer risikoen i sig selv. Sammen danner de RDP metoder til forebyggelse af brute force angreb, der holder under reelt pres.
| Metode | Implementeringskompleksitet | Hvor skal man konfigurere | Primær fordel |
| VPN/RD Gateway | Medium | Firewall eller RD Gateway (port 443) | Eliminerer offentlig port 3389 eksponering |
| Multi-Factor Authentication | Medium | Gateway, identitetsudbyder eller RDP-tilføjelse | Stopper loginforsøg med adgangskode |
| Godkendelse på netværksniveau | Lav | Systemegenskaber → Fjernbetjening → NLA afkrydsningsfelt | Godkendelse før oprettelse af session |
| Kontolåsepolitik | Lav | secpol.msc → Account Policies → Account Lockout | Begrænser uendelig adgangskode gætte |
| Overvågning af hændelseslog | Medium | SIEM/EDR eller Windows Event Viewer | Tidlig opdagelse af angrebsmønster |
| IP-tilladelsesliste/geo-hegn | Lav | Firewall-regler eller IPS/Geo-politikker | Begrænser adgang til forbindelseskilden |
| Stærk adgangskodepolitik | Lav | Domæne GPO eller lokal sikkerhedspolitik | Øger sværhedsgraden med brute force |
| Regelmæssig patching | Lav | Windows Update, WSUS eller Intune | Lukker kendte RDP-sårbarheder |
Sådan opdager du aktive RDP Brute Force-angreb
Før kontrol, hold øje med det grundlæggende. Overvåg hændelses-id 4625 i Windows-sikkerhedsloggen for mislykkede logonforsøg, fordi spidser indikerer aktive angreb. Når du ser snesevis eller hundredvis af 4625 begivenheder fra den samme kilde-IP inden for få minutter, ser du et brute force-forsøg i realtid. Moderne detektion leder efter Type 3-logons (netværksgodkendelse via NLA) efterfulgt af Type 10-logons (fjerninteraktive), da godkendelsesflowet ændrede sig med vedtagelse af netværksniveaugodkendelse.
Vær opmærksom på mislykkede loginmønstre på tværs af flere brugernavne fra enkelte IP'er, som signalerer adgangskodespray snarere end målrettede angreb. Geografiske uoverensstemmelser betyder også noget. Hvis dine brugere arbejder i Nordamerika, men du ser loginforsøg fra Østeuropa eller Asien, er det et rødt flag, der er værd at undersøge med det samme. Nogle angribere bruger boligproxyer til at skjule deres sande placering, men volumen- og timingmønstre afslører stadig deres tilstedeværelse.
Videresend disse hændelser til et centraliseret logningssystem eller SIEM, der kan korrelere aktivitet på tværs af flere servere. Indstil alarmtærskler baseret på dit miljøs normale godkendelsesmønstre, fordi det, der ser normalt ud for en stor virksomhed, kan være mistænkeligt for en lille virksomhed. Målet er at lære, hvordan man stopper brute force-angreb og deres mønstre, før de lykkes, ikke kun at dokumentere dem, efter at der er sket skade.
Sådan stopper du et RDP Brute Force-angreb i gang
Hvis overvågningen udløser en advarsel for gentagne mislykkede logon eller legitimationssprays, skal du udføre trinene i rækkefølge. Indhold først kilden ved at blokere IP eller rækkevidde ved perimeter firewall. Hvis lydstyrken er høj, skal du anvende midlertidige hastighedsgrænser for at bremse angrebet, mens du undersøger. Vent ikke på, at automatiserede værktøjer indhenter det, når du kan se angrebet ske i realtid.
For det andet, stabiliser identiteten ved at udløbe den målrettede kontos adgangskode og tjekke for genbrug på andre tjenester. Deaktiver kontoen, hvis der er mistanke om kompromittering, fordi at forhindre adgang slår oprydning efter et brud. Gennemgå de seneste vellykkede logins for den konto for at afgøre, om angriberen allerede kom ind, før du lagde mærke til det.
For det tredje, valider adgangsstier ved at bekræfte, at RD Gateway eller VPN er påkrævet for adgang, og fjern enhver falsk port-videresendelse, der genudsætter 3389 til internettet. Nogle angreb lykkes, fordi nogen åbnede en midlertidig firewall-regel for måneder siden og glemte at lukke den. For det fjerde, jagt efter bivirkninger ved at gennemgå RDP-sessionslogfiler, nye lokale administratorer, serviceinstallationer og planlagte opgaver. EDR-telemetri hjælper med at fange vedholdende bevægelser, som angribere planter under korte adgangsvinduer.
Til sidst, tuner registreringer ved at tilføje regler for mislykkede logon-storme på privilegerede konti, og udløs billetsalg til opfølgning, så lektioner bliver standard. Disse handlinger holder hændelser korte og demonstrerer nøjagtigt, hvordan man forhindrer brute force-angreb i at forårsage skade, når først detektion advarer ild.
Avancerede RDP Brute Force-beskyttelsesstrategier
Et par ekstra trin betaler sig, især for internet-vendte arbejdsbelastninger og administratorer på farten. Indstil per-IP-tærskler på din RD-gateway eller firewall, og juster IPS-signaturer, der matcher RDP-fejlbehæftede håndtryksoversvømmelser. Dette forhindrer bots i at hamre dig med maskinhastighed og giver SOC-advarsler mere kontekst til triage. Ratebegrænsning ved netværkskanten forhindrer individuelle angribere i at forbruge alle dine godkendelsesressourcer. Store ransomware-grupper, herunder Black Basta og RansomHub, har taget RDP-brute-forcing til sig som en primær indledende adgangsteknik.
Moderne EDR tilføjer sessionsmetadata, der hjælper med at skelne administratorarbejde fra iscenesatte angreb, hvilket understøtter jagt på tværs af relaterede værter. Den kontekst forkorter opholdstiden, når angribere bevæger sig sideværts gennem dit miljø. Forskellen mellem at fange en indtrængen i timer versus dage kommer ofte ned til at have den rigtige telemetri på de rigtige steder.
Slå unødvendig omdirigering af drev, udklipsholder og printer fra på højrisiko-værter. Deaktivering af bekvemmelighedsfunktioner øger friktion for ubudne gæster, der forsøger at eksfiltrere data eller flytte værktøjer ind i dit miljø. Par med mindste privilegerede principper og lokal admin adskillelse, så kompromittering af én konto ikke udleverer alt. Det er nemmere at stoppe brute-force-forsøg, når sidebevægelser bremses til en kravle.
Portobfuskation ved at ændre standard 3389 stopper ikke bestemte scanninger, men den trimmer støj fra bots, der kun rammer standardporte. Hvis du ændrer det, skal du stadig parre med VPN, tilladelseslister og MFA, fordi uklarhed alene fejler mod målrettede angreb. På nye Windows-servere skal du bekræfte indstillinger for Fjernskrivebord, NLA og firewall-regler fra en forhøjet terminal ved hjælp af PowerShell eller CMD. Opgaver som at aktivere RDP via kommandolinjen forbliver rene og reproducerbare, når de scripts og gennemgås, hvilket knytter disse trin til din ændringsproces, så drift fanges tidligt.
RDP-hygiejne er en del af en bredere fjernadgangshistorie. Hvis du administrerer systemer via browsere eller tredjepartsapps, skal du også kontrollere disse—Chrome Remote Desktop sikkerhedsrisiko, for eksempel, kan generere lige så meget log-støj som udsat 3389. God hygiejne på tværs af værktøjer holder RDP brute force-beskyttelse stærk over hele linjen.
Konklusion
Nu har du et klart, lagdelt svar på "hvordan man forhindrer RDP brute force-angreb?" Hold eksponeringen lav med en VPN eller gateway, hæv barren med MFA, NLA og lockout-politikker, og se godkendelseslogfiler nøje. Disse trin danner praktisk forebyggelse af brute force angreb, der fungerer i virkelige miljøer under faktisk pres, ikke kun i dokumentation.
Hvis du har brug for et rent miljø til at teste disse kontroller eller et produktionsfodfæste med ordentlig sikkerhed, kan du køb RDP fra udbydere, der inkluderer hurtig tilslutning, NVMe-lagring til hurtig I/O og ordentlig overvågningsinfrastruktur. Vælg datacentre, der matcher dit teams placering, så ventetiden forbliver lav, og sørg for, at udbyderen understøtter de sikkerhedskontroller, du har brug for.
Har du brug for et fjernskrivebord?
Pålidelige, højtydende RDP-servere med 99,95 oppetid. Tag dit skrivebord med på farten til alle større byer i USA, Europa og Asien.
Få en RDP-server
