Protokol Desktop Jarak Jauh tetap menjadi target utama karena port 3389 yang terbuka, kata sandi yang lemah, dan telemetri login yang berisik membuat hidup lebih mudah bagi bot dan aktor berketerampilan rendah. Jika Anda bertanya bagaimana cara mencegah serangan brute force RDP, jawaban singkatnya adalah mengurangi paparan, meningkatkan kekuatan autentikasi, dan mengawasi log seperti elang. Sembunyikan port 3389 di belakang VPN atau RD Gateway, terapkan MFA di setiap titik akses, aktifkan Otentikasi Tingkat Jaringan, tetapkan kebijakan penguncian akun antara 5 dan 10 upaya dengan durasi 15-30 menit, dan pantau lonjakan ID Peristiwa 4625 secara terus-menerus. Penyerang memindai, menebak, dan melakukan pivot lebih cepat setiap tahunnya, sehingga pedoman Anda memerlukan kontrol yang konkret, bukan angan-angan.
TL;DR: Daftar Periksa Perlindungan Cepat
- Sembunyikan port 3389 di belakang VPN atau RD Gateway untuk menghilangkan paparan publik
- Memerlukan autentikasi multifaktor untuk semua titik akses RDP
- Aktifkan Otentikasi Tingkat Jaringan (NLA) untuk verifikasi pra-sesi
- Setel penguncian akun: 5-10 upaya tidak valid, durasi 15-30 menit, reset 15 menit
- Pantau ID Peristiwa Windows 4625 (gagal) dan 4624 (berhasil) terus-menerus
- Gunakan daftar IP yang diizinkan dan pemblokiran geografis untuk membatasi akses sumber
- Pertahankan kebijakan kata sandi yang kuat dengan panjang minimum 14+ karakter
Mengapa Serangan Brute Force RDP Berhasil
Open RDP menarik karena dapat ditemukan melalui pemindaian massal dalam hitungan menit, sering kali dijalankan dengan hak admin lokal, dan satu kata sandi yang lemah dapat menyebabkan ransomware. Port 3389 terekspos di internet publik seperti akses iklan papan reklame, dan alat otomatis tidak memerlukan keahlian untuk memahami layar login. Serangan kata sandi telah meningkat secara dramatis Microsoft melaporkan peningkatan sebesar 74%. dari tahun 2021 hingga 2022 saja. Itu sebabnya panduan apa pun tentang pencegahan serangan brute force selalu dimulai dengan tidak mengekspos 3389 di internet publik, lalu menambahkan lapisan seperti MFA dan aturan penguncian sebelum siapa pun mencapai layar masuk.
Kampanye terbaru dari jaringan seperti FDN3 pada pertengahan tahun 2025 menunjukkan betapa cepatnya penyemprotan kata sandi skala besar dapat menargetkan perangkat SSL VPN dan RDP di ribuan sistem. Serangan mencapai puncaknya pada periode waktu tertentu ketika tim keamanan paling tidak siap, dan pola ini berulang karena fundamentalnya tetap rusak. Lonjakan kegagalan login yang tiba-tiba, upaya berulang kali pada banyak nama pengguna, dan IP berpindah-pindah negara adalah tanda-tandanya, namun saat Anda menyadarinya tanpa pemantauan yang tepat, kerusakan sering kali sudah dimulai. Taruhannya tinggi: Laporan Investigasi Pelanggaran Data Verizon tahun 2025 menemukan ransomware terjadi pada 44% dari seluruh pelanggaran, dan RDP tetap menjadi titik masuk pilihan untuk serangan ini.
Deteksi titik akhir modern dapat menyatukan data RDP tingkat sesi, sehingga responden dapat mengenali pola semprotan dan doa lebih cepat. Namun pencegahan selalu mengalahkan deteksi, itulah sebabnya bagian selanjutnya berfokus pada pengendalian yang menghentikan serangan sebelum menjadi insiden.
Cara Mencegah Serangan Brute Force RDP: Metode Perlindungan Inti
Keuntungan tercepat berasal dari pengurangan paparan jaringan, gerbang masuk yang lebih kuat, dan kebijakan bawaan Windows. Menguasai cara mencegah serangan brute force RDP berarti menerapkan perlindungan brute force RDP yang menggabungkan semua lapisan ini.
Tutup Pintu yang Terbuka Terlebih Dahulu: Hapus Publik 3389
Sembunyikan RDP di belakang VPN atau terapkan Remote Desktop Gateway pada port 443 dengan enkripsi TLS. Daftar singkat yang diizinkan untuk IP yang dikenal ditambah gateway mengalahkan penerusan port mentah setiap saat. Langkah ini mengurangi kebisingan dan menurunkan volume tebakan kata sandi secara dramatis. Konfigurasikan firewall perimeter Anda untuk memblokir akses langsung ke port 3389 dari internet, lalu rutekan semua lalu lintas yang sah melalui gateway aman. Para penyerang tidak dapat memaksakan apa yang tidak dapat mereka jangkau.
Aktifkan Otentikasi Multi-Faktor untuk RDP
MFA yang tahan push-spam, seperti perintah aplikasi dengan pencocokan nomor atau kunci perangkat keras, memblokir sebagian besar intrusi yang hanya menggunakan kata sandi. Tambahkan MFA di tingkat gateway atau melalui penyedia RDP dengan integrasi direktori yang erat. Menurut penelitian Microsoft, lebih dari 99% akun yang disusupi tidak mengaktifkan MFA, yang memberi tahu Anda segalanya tentang mengapa kontrol ini penting. Terapkan melalui RD Gateway menggunakan integrasi Server Kebijakan Jaringan dengan Azure Active Directory, atau gunakan solusi pihak ketiga yang mendukung TOTP dan token perangkat keras.
Memerlukan Otentikasi Tingkat Jaringan (NLA)
NLA memaksa autentikasi sebelum desktop penuh dimuat, sehingga mengurangi pengurasan sumber daya dari sesi yang gagal dan mengurangi permukaan serangan. Pasangkan NLA dengan TLS untuk transmisi kredensial terenkripsi. Ini menggeser verifikasi ke awal proses koneksi menggunakan Penyedia Dukungan Keamanan Kredensial (CredSSP). Menurut penelitian yang ditinjau oleh rekan sejawat, NLA dapat mengurangi latensi RDP sebesar 48% selama serangan aktif dengan mencegah sesi yang tidak diautentikasi menghabiskan sumber daya server. Aktifkan melalui System Properties, tab Remote, dengan memilih “Izinkan koneksi hanya dari komputer yang menjalankan Otentikasi Tingkat Jaringan.”
Terapkan Kebijakan Penguncian Akun
Tetapkan ambang batas yang masuk akal dan jendela penguncian sehingga bot tidak dapat menebak selamanya. Ini adalah metode pencegahan serangan brute force RDP klasik, dan masih berfungsi jika dikonfigurasi dengan benar. Konfigurasikan melalui Kebijakan Keamanan Lokal (secpol.msc) di bawah Kebijakan Akun dengan parameter berikut: ambang batas 5-10 upaya tidak valid, durasi penguncian 15-30 menit, dan penghitung penyetelan ulang setelah 15 menit. Nilai-nilai ini berasal dari konsensus di berbagai landasan keamanan tahun 2025, termasuk rekomendasi Keamanan Windows dan kerangka kerja industri. Seimbangkan keamanan dengan beban layanan bantuan, karena setiap akun yang terkunci menghasilkan tiket dukungan.
Gunakan Daftar yang Diizinkan dan Geo-Fencing
Batasi siapa yang boleh mengetuk pintu. Blok negara, blok ASN, dan daftar izin statis pendek mengurangi lalu lintas hingga hampir nol di banyak pengaturan kantor kecil. Konfigurasikan aturan ini di tingkat firewall, memblokir seluruh wilayah geografis yang tidak pernah Anda ajak berbisnis dan membatasi akses ke rentang IP tertentu untuk pekerja jarak jauh. Beberapa lingkungan mengambil langkah lebih jauh dengan menerapkan kontrol akses berbasis waktu yang hanya mengizinkan RDP selama jam kerja.
Perkuat Kata Sandi dan Rotasi
Gunakan frasa sandi yang panjang, rahasia unik per admin, dan pengelola kata sandi. Ini adalah perlindungan brute force RDP dasar, namun terlalu banyak pelanggaran yang masih dimulai di sini. Tetapkan panjang kata sandi minimum menjadi 14 karakter dengan persyaratan kompleksitas yang diberlakukan melalui Kebijakan Grup. Semakin panjang kata sandinya, semakin sulit bagi alat otomatis untuk memecahkan metode brute force. Hindari penggunaan ulang kata sandi di akun administratif yang berbeda, karena satu kredensial yang disusupi dapat menyebar ke seluruh infrastruktur Anda.
Perbarui Windows dan RDP Stack Segera
Tambal kelemahan RDP yang diketahui dan luncurkan pembaruan ke seluruh server dan klien. Kerentanan lama masih muncul secara alami, dan penyerang menargetkan sistem yang belum ditambal terlebih dahulu karena lebih mudah. Terapkan jadwal patching rutin menggunakan dasar Pembaruan Windows, WSUS, atau Intune untuk memastikan infrastruktur RDP Anda tetap terkini terhadap eksploitasi yang diketahui.
Kumpulkan dan Peringatan tentang Login yang Gagal
Meneruskan log Keamanan Windows ke SIEM, melihat ID Peristiwa 4625 dan 4624, dan memperingatkan volume abnormal, geografi sumber, dan hit akun layanan. Mempelajari cara mencegah serangan brute force selalu mencakup pengawasan terhadap log, karena deteksi reaktif membatasi kerusakan ketika kontrol pencegahan gagal. Konfigurasikan peringatan untuk lebih dari 10 upaya gagal dari satu IP dalam waktu satu jam, dan pantau pola masuk Tipe 10 (interaktif jarak jauh) dan Tipe 3 (jaringan) yang menunjukkan aktivitas RDP.
Masing-masing cara ini mengurangi risikonya sendiri. Bersama-sama mereka membentuk metode pencegahan serangan brute force RDP yang bertahan di bawah tekanan nyata.
| Metode | Kompleksitas Implementasi | Tempat Mengonfigurasi | Manfaat Utama |
| VPN/Gerbang RD | Sedang | Firewall atau Gerbang RD (port 443) | Menghilangkan paparan port publik 3389 |
| Otentikasi Multi-Faktor | Sedang | Gateway, penyedia identitas, atau add-on RDP | Menghentikan upaya login hanya dengan kata sandi |
| Otentikasi Tingkat Jaringan | Rendah | Properti Sistem → Jarak Jauh → kotak centang NLA | Otentikasi sebelum pembuatan sesi |
| Kebijakan Penguncian Akun | Rendah | secpol.msc → Account Policies → Account Lockout | Membatasi tebakan kata sandi tanpa batas |
| Pemantauan Log Peristiwa | Sedang | SIEM/EDR atau Peraga Peristiwa Windows | Deteksi pola serangan dini |
| Daftar IP yang Diizinkan/Pagar Geo | Rendah | Aturan firewall atau kebijakan IPS/Geo | Membatasi akses sumber koneksi |
| Kebijakan Kata Sandi yang Kuat | Rendah | GPO domain atau Kebijakan Keamanan Lokal | Meningkatkan kesulitan kekerasan |
| Penambalan Reguler | Rendah | Pembaruan Windows, WSUS, atau Intune | Menutup kerentanan RDP yang diketahui |
Cara Mendeteksi Serangan Brute Force RDP Aktif
Sebelum mengontrol, perhatikan dasar-dasarnya. Pantau ID Peristiwa 4625 di log Keamanan Windows untuk mengetahui upaya masuk yang gagal, karena lonjakan menunjukkan serangan aktif. Saat Anda melihat lusinan atau ratusan 4625 peristiwa dari IP sumber yang sama dalam hitungan menit, Anda sedang menyaksikan upaya brute force secara real time. Deteksi modern mencari logon Tipe 3 (otentikasi jaringan melalui NLA) diikuti oleh logon Tipe 10 (interaktif jarak jauh), karena alur otentikasi berubah dengan adopsi Otentikasi Tingkat Jaringan.
Perhatikan pola login yang gagal di beberapa nama pengguna dari satu IP, yang menandakan penyemprotan kata sandi, bukan serangan yang ditargetkan. Inkonsistensi geografis juga penting. Jika pengguna Anda bekerja di Amerika Utara tetapi Anda melihat upaya login dari Eropa Timur atau Asia, ini adalah tanda bahaya yang perlu segera diselidiki. Beberapa penyerang menggunakan proxy perumahan untuk menyembunyikan lokasi sebenarnya, namun pola volume dan waktu masih mengungkap keberadaan mereka.
Meneruskan kejadian ini ke sistem pencatatan terpusat atau SIEM yang dapat menghubungkan aktivitas di beberapa server. Tetapkan ambang peringatan berdasarkan pola autentikasi normal di lingkungan Anda, karena apa yang tampak normal bagi perusahaan besar mungkin mencurigakan bagi bisnis kecil. Tujuannya adalah mempelajari cara menghentikan serangan brute force dan polanya sebelum berhasil, bukan hanya mendokumentasikannya setelah kerusakan terjadi.
Cara Menghentikan Serangan Brute Force RDP yang Sedang Berlangsung
Jika pemantauan memunculkan peringatan kegagalan masuk berulang kali atau penyemprotan kredensial, lakukan langkah-langkah secara berurutan. Pertama, berisi sumbernya dengan memblokir IP atau jangkauan di perimeter firewall. Jika volumenya tinggi, terapkan batas kecepatan sementara untuk memperlambat serangan saat Anda menyelidikinya. Jangan menunggu alat otomatis untuk mengejar ketinggalan ketika Anda dapat melihat serangan terjadi secara real-time.
Kedua, stabilkan identitas dengan mengakhiri masa berlaku kata sandi akun target dan memeriksa penggunaan kembali di layanan lain. Nonaktifkan akun jika diduga ada penyusupan, karena mencegah akses sama dengan membersihkan akun setelah pelanggaran. Tinjau login terbaru yang berhasil untuk akun tersebut untuk menentukan apakah penyerang sudah masuk sebelum Anda menyadarinya.
Ketiga, validasi jalur akses dengan mengonfirmasi bahwa RD Gateway atau VPN diperlukan untuk akses, dan menghapus penerusan port jahat yang mengekspos kembali 3389 ke internet. Beberapa serangan berhasil karena seseorang membuka aturan firewall sementara beberapa bulan yang lalu dan lupa menutupnya. Keempat, mencari efek samping dengan meninjau log sesi RDP, admin lokal baru, pemasangan layanan, dan tugas terjadwal. Telemetri EDR membantu menangkap gerakan persistensi yang dilakukan penyerang selama jendela akses singkat.
Terakhir, sesuaikan deteksi dengan menambahkan aturan untuk badai logon yang gagal pada akun yang memiliki hak istimewa, dan picu tiket untuk tindak lanjut sehingga pelajaran menjadi default. Tindakan ini mempersingkat insiden dan menunjukkan dengan tepat bagaimana mencegah serangan brute force menyebabkan kerusakan setelah deteksi memperingatkan adanya kebakaran.
Strategi Perlindungan Brute Force RDP Tingkat Lanjut
Beberapa langkah tambahan akan membuahkan hasil, terutama untuk beban kerja yang berhubungan dengan internet dan admin yang sedang bepergian. Tetapkan ambang batas per IP pada RD Gateway atau firewall Anda, dan sesuaikan tanda tangan IPS yang cocok dengan banjir jabat tangan yang gagal dari RDP. Hal ini mencegah bot menyerang Anda pada kecepatan mesin dan memberikan peringatan SOC lebih banyak konteks untuk triase. Pembatasan tingkat di tepi jaringan mencegah penyerang individu menghabiskan semua sumber daya autentikasi Anda. Kelompok ransomware besar, termasuk Black Basta dan RansomHub, telah mengadopsi brute force RDP sebagai teknik akses awal utama.
EDR modern menambahkan metadata sesi yang membantu membedakan pekerjaan admin dari serangan bertahap, sehingga mendukung perburuan di seluruh host terkait. Konteks tersebut mempersingkat waktu tunggu ketika penyerang bergerak ke samping di lingkungan Anda. Perbedaan antara menangkap intrusi dalam hitungan jam versus hari sering kali terletak pada penempatan telemetri yang tepat di tempat yang tepat.
Matikan pengalihan drive, clipboard, dan printer yang tidak perlu pada host berisiko tinggi. Menonaktifkan fitur kenyamanan akan menimbulkan gesekan bagi penyusup yang mencoba mengambil data atau memindahkan alat ke lingkungan Anda. Sandingkan dengan prinsip hak istimewa paling rendah dan pemisahan admin lokal sehingga mengorbankan satu akun tidak berarti menyerahkan segalanya. Menghentikan upaya kekerasan lebih mudah ketika gerakan lateral melambat hingga merangkak.
Kebingungan port dengan mengubah 3389 default tidak menghentikan pemindaian yang ditentukan, tetapi mengurangi kebisingan dari bot yang hanya mengenai port default. Jika Anda mengubahnya, tetap pasangkan dengan VPN, daftar yang diizinkan, dan MFA karena ketidakjelasan saja tidak dapat melawan serangan yang ditargetkan. Di server Windows baru, konfirmasikan pengaturan Desktop Jarak Jauh, NLA, dan aturan firewall dari terminal yang ditinggikan menggunakan PowerShell atau CMD. Tugas seperti mengaktifkan RDP melalui baris perintah tetap bersih dan dapat direproduksi saat ditulis dan ditinjau, mengaitkan langkah-langkah ini dengan proses perubahan Anda sehingga penyimpangan dapat diketahui lebih awal.
Kebersihan RDP adalah bagian dari kisah akses jarak jauh yang lebih luas. Jika Anda mengelola sistem melalui browser atau aplikasi pihak ketiga, audit juga—Risiko keamanan Chrome Desktop Jarak Jauh, misalnya, dapat menghasilkan kebisingan log yang sama banyaknya dengan paparan 3389. Kebersihan yang baik di seluruh alat menjaga perlindungan brute force RDP tetap kuat di seluruh perangkat.
Kesimpulan
Sekarang Anda memiliki jawaban yang jelas dan berlapis untuk “bagaimana mencegah serangan brute force RDP?” Pertahankan eksposur tetap rendah dengan VPN atau gateway, tingkatkan standar MFA, NLA, dan kebijakan penguncian, dan perhatikan log autentikasi dengan cermat. Langkah-langkah ini membentuk pencegahan serangan brute force praktis yang bekerja di lingkungan nyata di bawah tekanan aktual, tidak hanya dalam dokumentasi.
Jika Anda memerlukan lingkungan yang bersih untuk menguji kontrol ini atau pijakan produksi dengan keamanan yang tepat, Anda bisa membeli RDP dari penyedia yang mencakup konektivitas cepat, penyimpanan NVMe untuk I/O cepat, dan infrastruktur pemantauan yang tepat. Pilih pusat data yang sesuai dengan lokasi tim Anda sehingga latensi tetap rendah, dan pastikan penyedia mendukung kontrol keamanan yang Anda perlukan.
Butuh Desktop Jarak Jauh?
Server RDP yang andal dan berkinerja tinggi dengan waktu aktif 99,95. Bawa desktop Anda saat bepergian ke semua kota besar di AS, Eropa, dan Asia.
Dapatkan Server RDP
