Remote Desktop Protocol forbliver et topfocus, fordi eksponeret port 3389, svage adgangskoder og højlydt logintelemetri gør det nemt for bots og amatørangribere. Hvis du spørger, hvordan du forhindrer RDP-brute force-angreb, er det korte svar at reducere eksponering, øge autentificeringsstyrken og overvåge loggene omhyggeligt. Skjul port 3389 bag en VPN eller RD Gateway, håndhæv MFA ved hvert adgangspunkt, aktivér Network Level Authentication, indstil kontolåsningspolitikker mellem 5 og 10 forsøg med 15-30 minutters varighed, og overvåg Event ID 4625-stigninger konstant. Angribere scanner, gætter og pivoterer hurtigere hvert år, så din handlingsplan har brug for konkrete kontroller, ikke ønsketænkning.
TL;DR: Hurtig beskyttelsesoversigt
- Skjul port 3389 bag VPN eller RD Gateway for at eliminere offentlig eksponering
- Kræv multi-faktor-godkendelse for al RDP-adgang
- Aktivér Network Level Authentication (NLA) til forhåndsgodkendelse før session
- Indstil kontolås: 5-10 ugyldige forsøg, 15-30 minutters varighed, 15 minutters nulstilling
- Overvåg Windows Event ID'er 4625 (mislykket) og 4624 (vellykket) konstant
- Brug IP-godkendelsesliste og geo-blokering til at begrænse kildadgang
- Vedligehold stærk adgangskodepolitik med minimum 14 tegn
Hvorfor RDP Brute Force-angreb lykkes
Åben RDP er attraktiv fordi den kan findes af masseafgravninger på få minutter, den kører ofte med lokale admin-rettigheder, og en svag adgangskode kan føre til ransomware. Port 3389 ligger eksponeret på det offentlige internet som en plakat, der annoncerer adgang, og automatiserede værktøjer behøver ikke ekspertise for at hamre på loginskærme. Adgangskodeforsøg er eskaleret dramatisk, med Microsoft rapporterer en 74 % stigning fra 2021 til 2022 alene. Derfor starter enhver guide om forebyggelse af brute force-angreb altid med ikke at eksponere 3389 på det offentlige internet, derefter tilføje lag som MFA og låsepolitikker før nogen når loginskærmen.
Nylige kampagner fra netværk som FDN3 i midten af 2025 viste, hvor hurtigt storskala-adgangskodespraying kan målrette SSL VPN og RDP-enheder på tværs af tusindvis af systemer. Angrebene topper under bestemte vinduer, når sikkerhedsteams er mindst parate, og mønsteret gentages fordi grundlaget forbliver ødelagt. Pludselige stigninger i mislykkede loginattempts, gentagne forsøg på tværs af mange brugernavne og IP'er, der hopper mellem lande, er tegnene, men når du først bemærker dem uden ordentlig overvågning, er skaden ofte allerede startet. Indsatserne er høje: Verizons 2025 Data Breach Investigations Report fandt ransomware i 44 % af alle brud, hvor RDP forbliver et foretrukket indgangspunkt for disse angreb.
Moderne endpoint-registrering kan stykke session-niveau RDP-data sammen, så respondenter opdager spray-and-pray-mønstre hurtigere. Men forebyggelse slår registrering hver gang, og derfor fokuserer næste afsnit på kontroller, der stopper angreb, før de bliver hændelser.
Sådan forebygges RDP Brute Force-angreb: Kernevernmetoder
De hurtigste gevinster kommer fra at reducere netværkseksponering, styrke login-barriers og indbygget Windows-politik. At mestre forebyggelse af RDP brute force-angreb betyder at implementere RDP brute force-beskyttelse, der kombinerer alle disse lag.
Luk døren først: Fjern offentlig port 3389
Skjul RDP bag en VPN eller implementer Remote Desktop Gateway på port 443 med TLS-kryptering. En kort godkendelsesliste for kendte IP'er plus en gateway slår rå port forwarding hver gang. Dette træk reducerer støj og sænker adgangskodegisningstilsynet dramatisk. Konfigurér din perimeterfirewall til at blokere direkte adgang til port 3389 fra internettet, derefter dirigér al legitim trafik gennem den sikrede gateway. Angribere kan ikke brute force, hvad de ikke kan nå.
Aktivér multi-faktor-godkendelse for RDP
Push-spam-resistent MFA, som app-prompter med nummerafstemt eller hardwarenøgler, blokerer de fleste adgangskode-kun-indtrængninger. Tilføj MFA på gateway-niveau eller via en RDP-provider med tæt katalogintegration. Ifølge Microsofts forskning har over 99 % af kompromitterede konti ikke MFA aktiveret, hvilket fortæller dig alt om, hvorfor denne kontrol betyder noget. Implementér den gennem RD Gateway ved hjælp af Network Policy Server-integration med Azure AD, eller brug tredjeparts-løsninger, der understøtter TOTP og hardwaretokens.
Kræv Network Level Authentication (NLA)
NLA tvinger godkendelse, før et fuldt skrivebord indlæses, hvilket skærer ressourcetab fra mislykkede sessioner og reducerer angrebsflade. Par NLA med TLS til krypteret legitimationsoverførsel. Dette flytter verifikation til meget begyndelsen af forbindelsesprocessen ved hjælp af Credential Security Support Provider (CredSSP). Ifølge fagfællebedømt forskning kan NLA reducere RDP-latens med 48 % under aktive angreb ved at forhindre ugodkendte sessioner i at forbruge serverressourcer. Aktivér det gennem Systemegenskaber, Fjernskrivebord-fanen ved at vælge "Tillad kun forbindelser fra computere, der kører Network Level Authentication."
Anvend kontolåspolitikker
Indstil fornuftige tærskler og låsningstidsperioder, så bots ikke kan gætte uendelig. Dette er klassiske RDP angreb med brute force-forebyggelse, og de virker stadig når de konfigureres korrekt. Konfigurer gennem Local Security Policy (secpol.msc) under Account Policies med disse parametre: en tærskel på 5-10 ugyldige forsøg, en låsningstid på 15-30 minutter og en nulstilling af tæller efter 15 minutter. Disse værdier stammer fra konsensus på tværs af flere sikkerhedsbasisliner fra 2025, herunder Windows sikkerhedsanbefalinger og branchestandarder. Balancer sikkerhed mod belastningen på support, fordi hver låst konto genererer en supportanmodning.
Brug tilladte lister og geo-indhegning
Begræns hvem der overhovedet kan banke på døren. Landeblokkeringer, ASN-blokkeringer og korte statiske tilladte lister reducerer trafikken til næsten nul i mange små kontoropsætninger. Konfigurer disse regler på firewallniveauet, bloker hele geografiske regioner du aldrig handler med, og begræns adgangen til bestemte IP-områder for fjernarbejdere. Nogle miljøer går længere ved at implementere tidsbaserede adgangskontroller, som kun tillader RDP i arbejdstiden.
Styrkede adgangskoder og rotation
Brug lange adgangsfraser, unikke hemmeligheder pr. administrator og en adgangskodehåndtering. Dette er grundlæggende RDP brute force-forebyggelse, men alligevel starter for mange brud her. Indstil minimumlængde for adgangskode til 14 tegn med kompleksitetskrav håndhævet gennem Group Policy. Jo længere adgangskoden er, desto sværere bliver det for automatiserede værktøjer at knække den gennem brute force-metoder. Undgå genbrug af adgangskoder på tværs af forskellige administratorkonti, fordi en kompromitteret legitimationsoplysning kan sprede sig på tværs af hele din infrastruktur.
Opdater Windows og RDP stack prompte
Patch kendte RDP fejl og udrulning af opdateringer på tværs af servere og klienter. Gamle sårbarheder dukker stadig op i vildmarken, og angribere målretter usikrede systemer først, fordi de er nemmere. Implementer en regelmæssig patchplan ved hjælp af Windows Update, WSUS eller Intune-basisliner for at sikre, at din RDP infrastruktur forbliver aktuel mod kendte udnyttelser.
Indsaml og alert på mislykkede login-forsøg
Videresend Windows sikkerhedslogger til en SIEM, overvåg Event ID'er 4625 og 4624, og alert på unormale mængder, kildegeografier og servicekontoramkammer. At lære hvordan man forhindrer brute force-angreb indebærer altid at holde øje med logfiler, fordi reaktiv registrering begrænser skaden når forebyggelseskontroller fejler. Konfigurer advarsler for mere end 10 mislykkede forsøg fra en enkelt IP inden for en time, og overvåg Type 10 (remote interaktiv) og Type 3 (netværk) login-mønstre, der indikerer RDP aktivitet.
Hver af disse reducerer risiko på egen hånd. Sammen danner de RDP brute force-angrebsforebyggelsesmetoder, som holder sig under reel pres.
| Metode | Implementeringskompleksitet | Hvor skal jeg konfigurere | Primær fordel |
| VPN/RD Gateway | Medium | Firewall eller RD Gateway (port 443) | Eliminerer offentlig port 3389 eksponering |
| Multi-faktor-godkendelse | Medium | Gateway, identitetsudbyder eller RDP add-on | Forhindrer adgangskodekun login-forsøg |
| Godkendelse på netværksniveau | Lav | System Properties → Remote → NLA-afkrydsning | Godkendelse før sessionoprettelse |
| Kontolåsningspolitik | Lav | secpol.msc → Account Policies → Account Lockout | Begrænser uendelig adgangskodetrykning |
| Hændelseslog-overvågning | Medium | SIEM/EDR eller Windows Event Viewer | Tidlig detektering af angrebsmønstre |
| IP tilladet liste/geo-indhegning | Lav | Firewallregler eller IPS/Geo-politikker | Begrænser adgang fra tildelingen til forbindelseskilde |
| Stærk adgangskodepolitik | Lav | Domæne-GPO eller lokal sikkerhedspolitik | Øger vanskeligheden ved brute force-angreb |
| Regelmæssig rettelser | Lav | Windows Opdater, WSUS eller Intune | Lukker kendte RDP-sårbarheder |
Sådan registreres aktive RDP brute force-angreb
Før du implementerer kontroller, skal du holde øje med det grundlæggende. Overvåg begivenhed-ID 4625 i Windows-sikkerhedsloggen for mislykkede logon-forsøg, da stigninger indikerer aktive angreb. Når du ser titals eller hundreder af 4625-begivenheder fra samme IP-adresse inden for få minutter, observerer du et brute force-angreb i realtid. Moderne opdagelse søger efter Type 3-logons (netværksgodkendelse via NLA) efterfulgt af Type 10-logons (interaktiv fjernbetjening), da autentiseringsflowet ændrede sig med indfasningen af Network Level Authentication.
Vær opmærksom på mønstre af mislykkede login-forsøg på tværs af flere brugernavne fra enkelt IP-adresser, hvilket signalerer adgangskodespredning i stedet for målrettede angreb. Geografiske uoverensstemmelser betyder også noget. Hvis dine brugere arbejder i Nordamerika, men du ser login-forsøg fra Østeuropa eller Asien, er det en advarsel, der kræver øjeblikkelig undersøgelse. Nogle angribere bruger boligproxyer til at skjule deres sande placering, men volumen- og timingmønstre afslørar stadig deres tilstedeværelse.
Videresend disse begivenheder til et centraliseret logningsystem eller SIEM, som kan korrelere aktivitet på tværs af flere servere. Angiv advarselstærskler baseret på dit miljøs normale godkendelsesmønstre, da hvad der ser normalt ud for en stor virksomhed, kan være mistænkt for en lille virksomhed. Målet er at lære, hvordan du stopper brute force-angreb og deres mønstre, før de lykkes, ikke bare at dokumentere dem efter skaden opstår.
Sådan stoppes et RDP brute force-angreb, der er i gang
Hvis overvågning udløser en advarsel for gentagne mislykkede logons eller legitimationsspredninger, arbejde gennem trinene i orden. Først indeholder du kilden ved at blokere IP-adressen eller området ved perimeterfirewall. Hvis volumen er høj, skal du anvende midlertidige hastighedsbegrænsninger for at bremse angrebet, mens du undersøger. Vent ikke på, at automatiserede værktøjer skal indhente, når du kan se angrebet i realtid.
Anden, stabilisere identitet ved at udløbe det målrettede kontos adgangskode og kontrollere for genbrug på andre tjenester. Deaktiver kontoen, hvis kompromittering er mistænkt, da forebyggelse af adgang er bedre end oprydning efter et brud. Gennemse nylige vellykkede logins for den pågældende konto for at afgøre, om angriberen allerede var kommet ind, før du bemærkede det.
Tredje, bekræft adgangsstier ved at bekræfte, at RD Gateway eller VPN er påkrævet for adgang, og fjern enhver uretmæssig portfremstilling, som geneksponerer 3389 til internettet. Nogle angreb lykkes, fordi nogen åbnede en midlertidig firewall-regel for måneder siden og glemte at lukke den. Fjerde, jagt efter bivirkninger ved at gennemse RDP-sessionslogs, nye lokale administratorer, serviceinstallationer og planlagte opgaver. EDR-telemetri hjælper med at fange persistensbevægelser, som angribere planter under korte adgangsvindue.
Til sidst skal du finjustere detektioner ved at tilføje regler for mislykkede-logon-storme på privilegerede konti og udløse ticketing til opfølgning, så lektioner bliver til standarder. Disse handlinger holder hændelser korte og viser præcist, hvordan man forhindrer brute force-angreb i at forårsage skade, når detektionsbeskeder udløses.
Avancerede RDP brute force-beskyttelsesstrategier
Et par ekstra trin betaler sig, især for internetvendte workloads og administratorer på farten. Angiv pr. IP-tærskelværdier på RD Gateway eller firewall, og finjuster IPS-signaturer, der matcher RDP-fejl-handshake-oversvømmelser. Dette forhindrer bots i at hamre dig med maskinehastighed og giver SOC-advarsler mere kontekst til sortering. Hastighedsbegrænsning ved netværkskanten forhindrer individuelle angribere i at forbruge alle dine godkendelsesressourcer. Store ransomware-grupper, herunder Black Basta og RansomHub, har vedtaget RDP brute-forcing som en primær indledende adgangsteknik.
Moderne EDR tilføjer sessionmetadata, som hjælper med at skelne adminarbejde fra iscenesat angreb og understøtter jagt på tværs af relaterede værter. Den sammenhæng forkorter dvæletiden, når angribere bevæger sig sidelæns gennem dit miljø. Forskellen mellem at fange et indbrud inden for timer i forhold til dage kommer ofte ned til at have den rigtige telemetri på de rigtige steder.
Sluk for unødvendig drev-, udklipsholder- og printeromdirigering på høj-risiko-værter. Deaktivering af bekvemmelighedsfunktioner øger friktionen for indtrengere, der forsøger at eksfiltrer data eller flytte værktøjer ind i dit miljø. Paring med mindste-privilegie-principper og lokal administrator-adskillelse, så kompromittering af en konto ikke giver alt bort. Stopning af brute-force-forsøg er lettere, når lateral bevægelse bremses til en kravl.
Portobfuskation ved at ændre standarden 3389 stopper ikke bestemte scanninger, men det trimmer støj fra bots, som kun rammer standardporte. Hvis du ændrer det, skal du stadig parre med VPN, allowlists og MFA, fordi uklarhed alene fejler mod målrettede angreb. På friske Windows-servere bekræfter du Remote Desktop-indstillinger, NLA og firewall-regler fra en forhøjet terminal ved hjælp af PowerShell eller CMD. Opgaver som aktivering af RDP via kommandolinje forbliver rene og reproducerbare, når de scripteres og gennemses, binder disse trin til din ændringsproces, så drift registreres tidligt.
RDP-hygiejne er en del af en bredere fjernadgangshistorie. Hvis du administrerer systemer over browsere eller tredjepartsapps, skal du også revidere dem.Chrome Remote Desktop sikkerhedsrisiko, for eksempel, kan generere lige så meget logstøj som eksponeret 3389. Good hygiejne på tværs af værktøjer holder RDP brute force-beskyttelse stærk hele vejen.
Konklusion
Nu har du et klart, lagdelt svar på "hvordan forhindrer man RDP brute force-angreb?" Hold eksponeringen lav med en VPN eller gateway, øg beskyttelsen med MFA, NLA og låsepolitikker, og overvåg godkendelseslogge tæt. Disse trin udgør praktisk forebyggelse af brute force-angreb, der virker i rigtige miljøer under faktisk pres, ikke kun i dokumentation.
Hvis du har brug for et rent miljø til at teste disse kontrolmidler eller et produktionsfundament med ordentlig sikkerhed, kan du køb RDP fra udbydere, der tilbyder hurtig forbindelse, NVMe lagring til hurtig I/O, og ordentlig overvågningsinfrastruktur. Vælg datacentre, der matcher dit teams placering, så latensspillet holder sig lavt, og sikr dig, at udbyderen understøtter de sikkerhedskontroller, du har brug for.
Har du brug for et fjernsskrivebord?
Pålidelige, højtydende RDP-servere med 99,95% oppetid. Tag dit skrivebord med dig til alle større byer i USA, Europa og Asien.
Få en RDP-server
