Remote Desktop Protocol menjadi target utama karena port 3389 yang terbuka, kata sandi lemah, dan log login yang berisik memudahkan kerja bot dan pelaku serangan pemula. Jika Anda ingin tahu cara mencegah serangan brute force RDP, jawabannya adalah: kurangi eksposur, perkuat autentikasi, dan pantau log secara ketat. Sembunyikan port 3389 di balik VPN atau RD Gateway, terapkan MFA di setiap titik akses, aktifkan Network Level Authentication, atur kebijakan lockout akun antara 5 hingga 10 percobaan dengan durasi 15-30 menit, dan pantau lonjakan Event ID 4625 secara konsisten. Penyerang semakin cepat dalam memindai, menebak, dan berpindah target setiap tahunnya, jadi strategi perlindungan Anda harus berupa kontrol nyata, bukan sekadar harapan.
TL;DR: Daftar Periksa Perlindungan Cepat
- Sembunyikan port 3389 di balik VPN atau RD Gateway untuk menghilangkan eksposur publik
- Wajibkan autentikasi multi-faktor untuk semua titik akses RDP
- Aktifkan Network Level Authentication (NLA) untuk verifikasi sebelum sesi dimulai
- Atur lockout akun: 5-10 percobaan gagal, durasi 15-30 menit, reset setelah 15 menit
- Pantau Event ID Windows 4625 (gagal) dan 4624 (berhasil) secara konsisten
- Gunakan IP allowlisting dan geo-blocking untuk membatasi sumber akses
- Terapkan kebijakan kata sandi yang kuat dengan panjang minimum 14 karakter
Mengapa Serangan Brute Force RDP Bisa Berhasil
Open RDP menjadi sasaran empuk karena mudah ditemukan lewat pemindaian massal dalam hitungan menit, sering berjalan dengan hak admin lokal, dan satu kata sandi yang lemah saja bisa berujung pada ransomware. Port 3389 yang terbuka ke internet publik ibarat papan iklan yang mengundang penyusup, dan alat otomatis tidak butuh keahlian khusus untuk membombardir halaman login. Serangan berbasis kata sandi meningkat drastis, dengan Microsoft melaporkan peningkatan sebesar 74% dari tahun 2021 hingga 2022 saja. Itulah mengapa setiap panduan pencegahan serangan brute force selalu dimulai dengan tidak mengekspos port 3389 ke internet publik, lalu menambahkan lapisan keamanan seperti MFA dan aturan lockout sebelum siapa pun bisa mencapai layar login.
Kampanye serangan dari jaringan seperti FDN3 pada pertengahan 2025 menunjukkan seberapa cepat password spraying skala besar dapat menyasar perangkat SSL VPN dan RDP di ribuan sistem sekaligus. Serangan ini memuncak pada jendela waktu tertentu saat tim keamanan paling tidak siap, dan pola ini terus berulang karena celah mendasarnya tidak pernah diperbaiki. Lonjakan tiba-tiba pada percobaan login yang gagal, upaya berulang di banyak username, serta IP yang berpindah-pindah negara adalah tanda-tanda yang paling jelas - namun tanpa pemantauan yang tepat, saat Anda menyadarinya, kerusakan biasanya sudah terjadi. Taruhannya sangat tinggi: Laporan Investigasi Pelanggaran Data 2025 dari Verizon menemukan ransomware hadir dalam 44% dari seluruh pelanggaran data, dengan RDP tetap menjadi titik masuk yang paling sering dieksploitasi dalam serangan-serangan tersebut.
Deteksi endpoint modern mampu menghubungkan data RDP di tingkat sesi, sehingga tim respons bisa mengenali pola serangan acak lebih cepat. Tapi pencegahan selalu lebih baik daripada deteksi, itulah mengapa bagian berikutnya membahas kontrol yang menghentikan serangan sebelum berkembang menjadi insiden.
Cara Mencegah Serangan Brute Force RDP: Metode Perlindungan Utama
Peningkatan paling signifikan datang dari pembatasan eksposur jaringan, autentikasi yang lebih ketat, dan kebijakan Windows bawaan. Menguasai cara mencegah serangan brute force RDP berarti menerapkan perlindungan brute force RDP yang menggabungkan semua lapisan ini.
Tutup Pintu yang Terbuka Dulu: Hapus Akses Publik ke Port 3389
Sembunyikan RDP di balik VPN, atau deploy Remote Desktop Gateway di port 443 dengan enkripsi TLS. Kombinasi allowlist IP tepercaya dan gateway jauh lebih aman dibanding membuka port langsung ke internet. Langkah ini memangkas traffic berbahaya dan menekan serangan brute-force secara signifikan. Konfigurasikan firewall perimeter untuk memblokir akses langsung ke port 3389 dari internet, lalu arahkan semua traffic yang sah melalui gateway yang sudah diamankan. Jika port tidak bisa dijangkau, serangan brute-force tidak akan bisa dimulai.
Aktifkan Autentikasi Multi-Faktor untuk RDP
MFA yang tahan terhadap spam notifikasi, seperti konfirmasi angka pada aplikasi atau kunci hardware, memblokir sebagian besar serangan yang hanya mengandalkan kata sandi. Terapkan MFA di level gateway atau melalui penyedia RDP dengan integrasi direktori yang ketat. Menurut riset Microsoft, lebih dari 99% akun yang dibobol tidak mengaktifkan MFA - angka itu cukup menjelaskan mengapa kontrol ini penting. Terapkan melalui RD Gateway menggunakan integrasi Network Policy Server dengan Azure AD, atau gunakan solusi pihak ketiga yang mendukung TOTP dan token hardware.
Wajibkan Network Level Authentication (NLA)
NLA memaksa autentikasi sebelum desktop penuh dimuat, mengurangi pemborosan sumber daya dari sesi yang gagal dan mengurangi permukaan serangan. Pasangkan NLA dengan TLS untuk transmisi kredensial terenkripsi. Ini menggeser verifikasi ke awal proses koneksi menggunakan Credential Security Support Provider (CredSSP). Menurut penelitian yang ditinjau sejawat, NLA dapat mengurangi latensi RDP sebesar 48% selama serangan aktif dengan mencegah sesi yang tidak terauthentikasi mengonsumsi sumber daya server. Aktifkan melalui System Properties, tab Remote, dengan memilih "Allow connections only from computers running Network Level Authentication."
Terapkan Kebijakan Penguncian Akun
Tetapkan batas percobaan dan durasi penguncian yang wajar agar bot tidak bisa menebak kata sandi tanpa henti. Ini adalah metode klasik pencegahan serangan brute force RDP, dan tetap efektif jika dikonfigurasi dengan benar. Konfigurasikan melalui Local Security Policy (secpol.msc) di bawah Account Policies dengan parameter berikut: batas 5–10 percobaan gagal, durasi penguncian 15–30 menit, dan reset penghitung setelah 15 menit. Nilai-nilai ini berasal dari konsensus berbagai baseline keamanan 2025, termasuk rekomendasi keamanan Windows dan berbagai framework industri. Pertimbangkan keseimbangan antara keamanan dan beban tim dukungan, karena setiap akun yang terkunci berpotensi menghasilkan tiket bantuan.
Gunakan Allowlist dan Geo-Fencing
Batasi siapa saja yang bisa mengakses server sejak awal. Pemblokiran berdasarkan negara, ASN, dan daftar putih IP statis yang singkat dapat menekan traffic hingga hampir nol di banyak setup kantor kecil. Konfigurasikan aturan ini di level firewall: blokir seluruh kawasan geografis yang tidak pernah menjadi mitra bisnis Anda, dan batasi akses hanya ke rentang IP tertentu untuk karyawan yang bekerja jarak jauh. Beberapa lingkungan bahkan menerapkan kontrol akses berbasis waktu yang hanya mengizinkan RDP selama jam kerja.
Perkuat Kata Sandi dan Rotasinya
Gunakan frasa sandi yang panjang, rahasia unik untuk setiap admin, dan password manager. Ini adalah perlindungan dasar RDP terhadap serangan brute force, namun terlalu banyak pelanggaran keamanan yang masih bermula dari sini. Tetapkan panjang kata sandi minimum 14 karakter dengan persyaratan kompleksitas yang diberlakukan melalui Group Policy. Semakin panjang kata sandi, semakin sulit bagi alat otomatis untuk membobolnya melalui metode brute force. Hindari penggunaan ulang kata sandi di berbagai akun administratif, karena satu kredensial yang bocor dapat berdampak ke seluruh infrastruktur Anda.
Segera Perbarui Stack Windows dan RDP
Perbaiki celah keamanan RDP yang sudah diketahui dan terapkan pembaruan ke seluruh server dan klien. Kerentanan lama masih sering dieksploitasi di dunia nyata, dan penyerang lebih dulu membidik sistem yang belum ditambal karena lebih mudah dibobol. Terapkan jadwal patching rutin menggunakan Windows Update, WSUS, atau baseline Intune agar infrastruktur RDP Anda tetap terlindungi dari eksploit yang sudah dikenal.
Kumpulkan dan Beri Peringatan untuk Login yang Gagal
Teruskan log Security Windows ke SIEM, pantau Event ID 4625 dan 4624, dan buat peringatan untuk volume yang tidak wajar, lokasi geografis sumber, serta akses dari akun layanan. Memahami cara mencegah serangan brute force selalu mencakup pemantauan log, karena deteksi reaktif membatasi kerusakan ketika kontrol preventif gagal. Konfigurasikan peringatan untuk lebih dari 10 percobaan gagal dari satu IP dalam satu jam, dan pantau pola logon Type 10 (remote interactive) dan Type 3 (network) yang mengindikasikan aktivitas RDP.
Masing-masing langkah ini mengurangi risiko secara mandiri. Bersama-sama, keduanya membentuk metode pencegahan serangan brute force RDP yang tahan terhadap tekanan nyata.
| Metode | Kompleksitas Implementasi | Di Mana Mengonfigurasi | Manfaat Utama |
| VPN/RD Gateway | Sedang | Firewall atau RD Gateway (port 443) | Menghilangkan eksposur port 3389 ke publik |
| Autentikasi Multi-Faktor | Sedang | Gateway, penyedia identitas, atau add-on RDP | Mencegah percobaan login hanya dengan kata sandi |
| Autentikasi Tingkat Jaringan | Rendah | System Properties → Remote → centang NLA | Autentikasi sebelum sesi dibuat |
| Kebijakan Kunci Akun | Rendah | secpol.msc → Account Policies → Account Lockout | Membatasi percobaan menebak kata sandi tanpa batas |
| Pemantauan Log Event | Sedang | SIEM/EDR atau Windows Event Viewer | Deteksi dini pola serangan |
| Daftar Putih IP/Geo-Fence | Rendah | Aturan firewall atau kebijakan IPS/Geo | Membatasi akses berdasarkan sumber koneksi |
| Kebijakan Kata Sandi Kuat | Rendah | GPO domain atau Local Security Policy | Meningkatkan kesulitan serangan brute force |
| Penambalan Rutin | Rendah | Windows Update, WSUS, atau Intune | Menutup kerentanan RDP yang sudah diketahui |
Cara Mendeteksi Serangan Brute Force RDP yang Sedang Aktif
Sebelum mengatur kontrol, perhatikan hal-hal mendasar terlebih dahulu. Pantau Event ID 4625 di log Keamanan Windows untuk percobaan masuk yang gagal, karena lonjakan angka mengindikasikan serangan yang sedang berlangsung. Jika Anda melihat puluhan atau ratusan event 4625 dari IP sumber yang sama dalam hitungan menit, Anda sedang menyaksikan percobaan brute force secara langsung. Deteksi modern memantau logon Tipe 3 (autentikasi jaringan via NLA) yang diikuti logon Tipe 10 (remote interactive), karena alur autentikasi berubah setelah Network Level Authentication diadopsi.
Perhatikan pola login gagal pada banyak username dari satu IP yang sama — ini adalah tanda password spraying, bukan serangan yang ditargetkan. Ketidaksesuaian geografis juga penting. Jika pengguna Anda bekerja di Amerika Utara tetapi Anda melihat percobaan login dari Eropa Timur atau Asia, itu adalah tanda bahaya yang harus segera diselidiki. Sebagian penyerang menggunakan residential proxy untuk menyembunyikan lokasi asli mereka, tetapi pola volume dan waktu tetap mengungkap keberadaan mereka.
Teruskan event-event ini ke sistem logging terpusat atau SIEM yang dapat mengkorelasikan aktivitas dari beberapa server sekaligus. Tetapkan ambang batas notifikasi berdasarkan pola autentikasi normal di lingkungan Anda, karena apa yang tampak normal untuk perusahaan besar bisa jadi mencurigakan untuk bisnis kecil. Tujuannya adalah memahami cara menghentikan serangan brute force dan polanya sebelum berhasil, bukan hanya mendokumentasikannya setelah kerusakan terjadi.
Cara Menghentikan Serangan Brute Force RDP yang Sedang Berlangsung
Jika monitoring memicu notifikasi untuk logon gagal berulang atau credential spray, ikuti langkah-langkah berikut secara berurutan. Pertama, isolasi sumber dengan memblokir IP atau rentang IP tersebut di firewall perimeter. Jika volumenya tinggi, terapkan rate limit sementara untuk memperlambat serangan sembari Anda menyelidiki. Jangan menunggu alat otomatis bereaksi ketika Anda sudah bisa melihat serangan berlangsung secara langsung.
Kedua, amankan identitas dengan mengakhiri masa berlaku kata sandi akun yang ditargetkan dan periksa apakah kata sandi yang sama digunakan di layanan lain. Nonaktifkan akun jika dicurigai telah disusupi, karena mencegah akses jauh lebih baik daripada membersihkan setelah pelanggaran terjadi. Tinjau login berhasil terbaru pada akun tersebut untuk memastikan apakah penyerang sudah masuk sebelum Anda menyadarinya.
Ketiga, validasi jalur akses dengan memastikan RD Gateway atau VPN diwajibkan untuk akses, dan hapus port-forwarding yang tidak sah yang membuka kembali 3389 ke internet. Sebagian serangan berhasil karena seseorang membuka aturan firewall sementara berbulan-bulan lalu dan lupa menutupnya. Keempat, cari efek samping dengan meninjau log sesi RDP, admin lokal baru, instalasi layanan, dan scheduled task. Telemetri EDR membantu menangkap langkah persistensi yang ditanam penyerang selama jendela akses singkat.
Terakhir, perbaiki deteksi dengan menambahkan aturan untuk lonjakan logon gagal pada akun-akun privileged, dan buat tiket tindak lanjut agar pelajaran dari insiden ini menjadi standar baru. Langkah-langkah ini mempersingkat durasi insiden dan membuktikan secara konkret bagaimana mencegah serangan brute force menimbulkan kerusakan begitu notifikasi deteksi muncul.
Strategi Perlindungan Brute Force RDP Tingkat Lanjut
Beberapa langkah tambahan sangat sepadan, terutama untuk workload yang menghadap internet dan admin yang bekerja dari berbagai lokasi. Tetapkan ambang batas per-IP pada RD Gateway atau firewall Anda, dan sesuaikan signature IPS yang mencocokkan flood handshake gagal RDP. Ini mencegah bot menyerang dengan kecepatan mesin dan memberi notifikasi SOC lebih banyak konteks untuk triase. Rate limiting di edge jaringan mencegah penyerang individual menghabiskan semua sumber daya autentikasi Anda. Kelompok ransomware besar, termasuk Black Basta dan RansomHub, telah mengadopsi brute-forcing RDP sebagai teknik akses awal utama.
EDR modern menambahkan metadata sesi yang membantu membedakan pekerjaan admin dari serangan terencana, mendukung hunting di seluruh host yang terkait. Konteks ini mempersingkat dwell time ketika penyerang bergerak secara lateral melalui lingkungan Anda. Perbedaan antara mendeteksi intrusi dalam hitungan jam versus hari sering kali bergantung pada ketersediaan telemetri yang tepat di tempat yang tepat.
Matikan pengalihan drive, clipboard, dan printer yang tidak diperlukan pada host berisiko tinggi. Menonaktifkan fitur-fitur kenyamanan ini meningkatkan hambatan bagi penyusup yang mencoba mengekstrak data atau memindahkan alat ke dalam lingkungan Anda. Padukan dengan prinsip least-privilege dan pemisahan admin lokal agar satu akun yang disusupi tidak langsung memberikan akses ke segalanya. Menghentikan percobaan brute force jauh lebih mudah ketika pergerakan lateral melambat drastis.
Mengubah port default 3389 tidak menghentikan pemindaian yang terencana, tetapi mengurangi kebisingan dari bot yang hanya menyerang port default. Jika Anda mengubahnya, tetap padukan dengan VPN, allowlist, dan MFA karena penyembunyian saja tidak cukup menghadapi serangan yang ditargetkan. Pada server Windows baru, konfirmasi pengaturan Remote Desktop, NLA, dan aturan firewall dari terminal dengan hak akses tinggi menggunakan PowerShell atau CMD. Tugas seperti mengaktifkan RDP via command line tetap rapi dan dapat diulang jika di-script dan ditinjau, sehingga langkah-langkah ini terikat ke proses perubahan Anda agar penyimpangan terdeteksi sejak dini.
Kebersihan RDP adalah bagian dari gambaran akses jarak jauh yang lebih luas. Jika Anda mengelola sistem melalui browser atau aplikasi pihak ketiga, audit juga alat-alat tersebut —Risiko keamanan Chrome Remote Desktop, misalnya, dapat menghasilkan kebisingan log sebanyak 3389 yang terekspos. Kebersihan Good di seluruh alat menjaga perlindungan brute force RDP tetap kuat secara menyeluruh.
Kesimpulan
Kini Anda memiliki jawaban yang jelas dan berlapis untuk pertanyaan "bagaimana mencegah serangan brute force RDP?" Jaga eksposur tetap rendah dengan VPN atau gateway, tingkatkan pertahanan dengan MFA, NLA, dan kebijakan lockout, serta pantau log autentikasi dengan cermat. Langkah-langkah ini membentuk pencegahan serangan brute force yang benar-benar bekerja di lingkungan nyata di bawah tekanan aktual, bukan hanya di atas kertas.
Jika Anda membutuhkan lingkungan bersih untuk menguji kontrol-kontrol ini atau fondasi produksi dengan keamanan yang memadai, Anda bisa beli RDP dari penyedia yang menyertakan konektivitas cepat, penyimpanan NVMe untuk I/O yang cepat, dan infrastruktur monitoring yang proper. Pilih data center yang sesuai dengan lokasi tim Anda agar latensi tetap rendah, dan pastikan penyedia mendukung kontrol keamanan yang Anda butuhkan.
Butuh Remote Desktop?
Server RDP andal berkinerja tinggi dengan uptime 99,95. Bawa desktop kamu ke mana saja ke kota-kota besar di AS, Eropa, dan Asia.
Dapatkan Server RDP
