Il protocollo Remote Desktop rimane un obiettivo primario perché la porta 3389 esposta, le password deboli e la telemetria di accesso rumorosa rendono la vita facile ai bot e agli attori poco qualificati. Se ti stai chiedendo come prevenire gli attacchi di forza bruta RDP, la risposta breve è ridurre l’esposizione, aumentare la forza di autenticazione e osservare i registri come un falco. Nascondi la porta 3389 dietro una VPN o un gateway Desktop remoto, applica l'MFA a ogni punto di accesso, abilita l'autenticazione a livello di rete, imposta criteri di blocco dell'account tra 5 e 10 tentativi con durate di 15-30 minuti e monitora costantemente i picchi dell'ID evento 4625. Gli aggressori scansionano, indovinano e ruotano più velocemente ogni anno, quindi il tuo playbook ha bisogno di controlli concreti, non di illusioni.
TL;DR: elenco di controllo rapido della protezione
- Nascondi la porta 3389 dietro VPN o RD Gateway per eliminare l'esposizione pubblica
- Richiedi l'autenticazione a più fattori per tutti i punti di accesso RDP
- Abilita l'autenticazione a livello di rete (NLA) per la verifica pre-sessione
- Imposta il blocco dell'account: 5-10 tentativi non validi, durata 15-30 minuti, ripristino 15 minuti
- Monitora costantemente gli ID evento Windows 4625 (non riuscito) e 4624 (riuscito).
- Utilizza la lista consentita degli IP e il blocco geografico per limitare l'accesso alla fonte
- Mantieni una politica di password complessa con una lunghezza minima di 14+ caratteri
Perché gli attacchi di forza bruta RDP hanno successo
Open RDP è interessante perché può essere trovato tramite scansioni di massa in pochi minuti, spesso funziona con diritti di amministratore locale e una password debole può portare al ransomware. La porta 3389 è esposta sull’Internet pubblica come un accesso pubblicitario su cartelloni pubblicitari e gli strumenti automatizzati non hanno bisogno di competenze per martellare le schermate di accesso. Gli attacchi alle password sono aumentati notevolmente, con Microsoft segnala un aumento del 74%. solo dal 2021 al 2022. Ecco perché qualsiasi guida sulla prevenzione degli attacchi di forza bruta inizia sempre con la non esposizione di 3389 sull'Internet pubblica, quindi con l'aggiunta di livelli come MFA e regole di blocco prima che qualcuno raggiunga la schermata di accesso.
Le recenti campagne di reti come FDN3 a metà del 2025 hanno mostrato con quanta rapidità lo spraying di password su larga scala può colpire dispositivi SSL VPN e RDP su migliaia di sistemi. Gli attacchi raggiungono il picco durante periodi specifici in cui i team di sicurezza sono meno preparati e lo schema si ripete perché i fondamentali rimangono intatti. Picchi improvvisi di accessi non riusciti, tentativi ripetuti con molti nomi utente e IP che cambiano da paese a paese sono i segnali rivelatori, ma quando li noti senza un adeguato monitoraggio, spesso il danno è già iniziato. La posta in gioco è alta: Rapporto 2025 sulle indagini sulla violazione dei dati di Verizon hanno riscontrato che il ransomware era presente nel 44% di tutte le violazioni, e RDP rimane un punto di ingresso preferito per questi attacchi.
Il moderno rilevamento degli endpoint può unire insieme i dati RDP a livello di sessione, in modo che i soccorritori individuino prima i modelli spray-and-pray. Ma la prevenzione batte sempre il rilevamento, motivo per cui la sezione successiva si concentra sui controlli che bloccano gli attacchi prima che diventino incidenti.
Come prevenire gli attacchi di forza bruta RDP: metodi di protezione fondamentali
I guadagni più rapidi derivano dalla riduzione dell’esposizione alla rete, da cancelli di accesso più forti e da policy Windows integrate. Padroneggiare come prevenire gli attacchi di forza bruta RDP significa implementare una protezione di forza bruta RDP che combini tutti questi livelli.
Chiudi prima la porta aperta: rimuovi il pubblico 3389
Nascondi RDP dietro una VPN o distribuisci Remote Desktop Gateway sulla porta 443 con crittografia TLS. Una breve lista consentita per IP conosciuti più un gateway batte ogni volta il port forwarding non elaborato. Questa mossa riduce drasticamente il rumore e riduce drasticamente il volume di tentativi di password. Configura il tuo firewall perimetrale per bloccare l'accesso diretto alla porta 3389 da Internet, quindi instrada tutto il traffico legittimo attraverso il gateway protetto. Gli aggressori non possono usare la forza bruta su ciò che non possono raggiungere.
Attiva l'autenticazione a più fattori per RDP
L'MFA resistente al push-spam, come i prompt delle app con la corrispondenza dei numeri o le chiavi hardware, blocca la maggior parte delle intrusioni basate solo sulla password. Aggiungi MFA a livello di gateway o tramite un provider RDP con stretta integrazione di directory. Secondo la ricerca di Microsoft, oltre il 99% degli account compromessi non ha l’MFA abilitato, il che dice tutto sul perché questo controllo è importante. Distribuiscilo tramite RD Gateway utilizzando l'integrazione del server dei criteri di rete con Azure AD oppure usa soluzioni di terze parti che supportano TOTP e token hardware.
Richiedi autenticazione a livello di rete (NLA)
NLA impone l'autenticazione prima del caricamento completo del desktop, riducendo il consumo di risorse da sessioni non riuscite e riducendo la superficie di attacco. Associa NLA a TLS per la trasmissione delle credenziali crittografate. Ciò sposta la verifica all'inizio del processo di connessione utilizzando Credential Security Support Provider (CredSSP). Secondo una ricerca sottoposta a revisione paritaria, NLA può ridurre la latenza RDP del 48% durante gli attacchi attivi impedendo che le sessioni non autenticate consumino le risorse del server. Abilitalo tramite Proprietà del sistema, scheda Remoto, selezionando "Consenti connessioni solo da computer che eseguono l'autenticazione a livello di rete".
Applicare le politiche di blocco dell'account
Imposta soglie e finestre di blocco sensibili in modo che i bot non possano indovinare per sempre. Questi sono i classici metodi di prevenzione degli attacchi di forza bruta RDP e funzionano ancora se configurati correttamente. Configura tramite Criteri di sicurezza locali (secpol.msc) in Criteri account con questi parametri: una soglia di 5-10 tentativi non validi, una durata di blocco di 15-30 minuti e un contatore di reimpostazione dopo 15 minuti. Questi valori derivano dal consenso tra più linee di base di sicurezza per il 2025, comprese le raccomandazioni sulla sicurezza di Windows e i framework di settore. Bilancia la sicurezza con il carico dell'help desk, perché ogni account bloccato genera un ticket di supporto.
Utilizza le liste consentite e il geo-fencing
Limita anche chi può bussare alla porta. I blocchi nazionali, i blocchi ASN e le brevi liste consentite statiche riducono il traffico quasi a zero in molte configurazioni di piccoli uffici. Configura queste regole a livello di firewall, bloccando intere regioni geografiche con cui non fai mai affari e limitando l'accesso a intervalli IP specifici per i lavoratori remoti. Alcuni ambienti vanno oltre implementando controlli di accesso basati sul tempo che consentono l'RDP solo durante l'orario lavorativo.
Rafforzare le password e la rotazione
Utilizza passphrase lunghe, segreti univoci per amministratore e un gestore di password. Questa è la protezione di base dalla forza bruta del RDP, ma troppe violazioni iniziano ancora qui. Imposta la lunghezza minima della password su 14 caratteri con requisiti di complessità applicati tramite Criteri di gruppo. Più lunga è la password, più difficile diventa per gli strumenti automatizzati violare i metodi di forza bruta. Evita il riutilizzo della password tra diversi account amministrativi, perché una credenziale compromessa può estendersi a catena sull'intera infrastruttura.
Aggiorna tempestivamente lo stack Windows e RDP
Corregge i difetti RDP noti e distribuisce gli aggiornamenti su server e client. Le vecchie vulnerabilità continuano a manifestarsi in natura e gli aggressori prendono di mira prima i sistemi privi di patch perché sono più facili. Implementa una pianificazione regolare dell'applicazione delle patch utilizzando le linee di base di Windows Update, WSUS o Intune per garantire che la tua infrastruttura RDP rimanga aggiornata rispetto agli exploit noti.
Raccogli e avvisa sugli accessi non riusciti
Inoltra i registri di sicurezza di Windows a un SIEM, controlla gli ID evento 4625 e 4624 e avvisa in caso di volumi anomali, aree geografiche di origine e riscontri degli account di servizio. Imparare a prevenire gli attacchi di forza bruta implica sempre tenere d'occhio i log, perché il rilevamento reattivo limita i danni quando i controlli preventivi falliscono. Configura avvisi per più di 10 tentativi falliti da un singolo IP entro un'ora e monitora i modelli di accesso di tipo 10 (interattivo remoto) e di tipo 3 (rete) che indicano l'attività RDP.
Ognuno di questi riduce il rischio da solo. Insieme formano metodi di prevenzione degli attacchi di forza bruta del RDP che resistono a pressioni reali.
| Metodo | Complessità di implementazione | Dove configurare | Beneficio primario |
| Gateway VPN/RD | Medio | Firewall o Gateway Desktop remoto (porta 443) | Elimina l'esposizione alla porta pubblica 3389 |
| Autenticazione a più fattori | Medio | Gateway, provider di identità o componente aggiuntivo RDP | Interrompe i tentativi di accesso basati solo sulla password |
| Autenticazione a livello di rete | Basso | Proprietà del sistema → Remoto → Casella di controllo NLA | Autenticazione prima della creazione della sessione |
| Politica di blocco dell'account | Basso | secpol.msc → Account Policies → Account Lockout | Limita la possibilità di indovinare infinite password |
| Monitoraggio del registro eventi | Medio | SIEM/EDR o Visualizzatore eventi di Windows | Rilevamento precoce del modello di attacco |
| Lista consentita IP/recinzione geografica | Basso | Regole del firewall o policy IPS/Geografiche | Limita l'accesso all'origine della connessione |
| Politica forte sulle password | Basso | Oggetto Criteri di gruppo del dominio o policy di sicurezza locale | Aumenta la difficoltà della forza bruta |
| Patch regolari | Basso | Windows Update, WSUS o Intune | Chiude le vulnerabilità RDP note |
Come rilevare attacchi di forza bruta RDP attivi
Prima dei controlli, tieni d'occhio le basi. Monitorare l'ID evento 4625 nel registro di sicurezza di Windows per tentativi di accesso non riusciti, poiché i picchi indicano attacchi attivi. Quando vedi dozzine o centinaia di eventi 4625 dallo stesso IP di origine in pochi minuti, stai osservando un tentativo di forza bruta in tempo reale. Il rilevamento moderno cerca gli accessi di tipo 3 (autenticazione di rete tramite NLA) seguiti dagli accessi di tipo 10 (interattivo remoto), poiché il flusso di autenticazione è cambiato con l'adozione dell'autenticazione a livello di rete.
Presta attenzione ai modelli di accesso non riusciti tra più nomi utente da singoli IP, che segnalano lo spraying della password anziché attacchi mirati. Anche le incoerenze geografiche contano. Se i tuoi utenti lavorano in Nord America ma vedi tentativi di accesso dall’Europa dell’Est o dall’Asia, è un segnale di allarme che vale la pena indagare immediatamente. Alcuni aggressori utilizzano proxy residenziali per nascondere la loro vera posizione, ma i modelli di volume e tempistica rivelano comunque la loro presenza.
Inoltra questi eventi a un sistema di registrazione centralizzato o SIEM in grado di correlare l'attività su più server. Imposta soglie di avviso in base ai normali modelli di autenticazione del tuo ambiente, perché ciò che sembra normale per una grande azienda potrebbe essere sospetto per una piccola impresa. L’obiettivo è imparare come fermare gli attacchi di forza bruta e i loro schemi prima che abbiano successo, non solo documentarli dopo che si è verificato il danno.
Come fermare un attacco di forza bruta RDP in corso
Se il monitoraggio genera un avviso per ripetuti accessi non riusciti o spray di credenziali, eseguire i passaggi in ordine. Innanzitutto, contenere l'origine bloccando l'IP o l'intervallo sul firewall perimetrale. Se il volume è elevato, applica limiti di velocità temporanei per rallentare l'attacco mentre investighi. Non aspettare che gli strumenti automatizzati si mettano al passo quando puoi vedere l’attacco avvenire in tempo reale.
In secondo luogo, stabilizzare l’identità facendo scadere la password dell’account preso di mira e verificandone il riutilizzo su altri servizi. Disattiva l'account se si sospetta una compromissione, perché impedire l'accesso è meglio della pulizia dopo una violazione. Esamina gli accessi recenti riusciti per quell'account per determinare se l'aggressore è già entrato prima che tu te ne accorgessi.
In terzo luogo, convalidare i percorsi di accesso confermando che per l'accesso è necessario RD Gateway o VPN e rimuovere qualsiasi port forwarding non autorizzato che riespone 3389 a Internet. Alcuni attacchi riescono perché qualcuno mesi fa ha aperto una regola temporanea del firewall e si è dimenticato di chiuderla. In quarto luogo, cercare gli effetti collaterali esaminando i registri delle sessioni RDP, i nuovi amministratori locali, le installazioni dei servizi e le attività pianificate. La telemetria EDR aiuta a rilevare le mosse di persistenza che gli aggressori immettono durante brevi finestre di accesso.
Infine, ottimizza i rilevamenti aggiungendo regole per le tempeste di accesso non riuscito sugli account privilegiati e attiva l'emissione di ticket per il follow-up in modo che le lezioni diventino predefinite. Queste azioni riducono gli incidenti e dimostrano esattamente come impedire che gli attacchi di forza bruta causino danni una volta attivati gli avvisi di rilevamento.
Strategie avanzate di protezione dalla forza bruta RDP
Alcuni passaggi aggiuntivi ripagano, soprattutto per i carichi di lavoro connessi a Internet e gli amministratori in movimento. Imposta soglie per IP sul gateway Desktop remoto o sul firewall e ottimizza le firme IPS che corrispondono ai flussi di handshake non riusciti RDP. Ciò impedisce ai robot di martellarti alla velocità della macchina e fornisce agli avvisi SOC più contesto per il triage. La limitazione della velocità ai margini della rete impedisce ai singoli aggressori di consumare tutte le risorse di autenticazione. I principali gruppi di ransomware, tra cui Black Basta e RansomHub, hanno adottato la forzatura bruta RDP come tecnica di accesso iniziale primaria.
L'EDR moderno aggiunge metadati di sessione che aiutano a distinguere il lavoro di amministrazione dagli attacchi graduali, supportando la caccia tra host correlati. Questo contesto riduce il tempo di permanenza quando gli aggressori si muovono lateralmente nel tuo ambiente. La differenza tra l’individuazione di un’intrusione in poche ore rispetto a giorni dipende spesso dall’avere la telemetria giusta nei posti giusti.
Disattiva il reindirizzamento di unità, appunti e stampanti non necessari sugli host ad alto rischio. La disabilitazione delle funzionalità utili aumenta l'attrito per gli intrusi che tentano di esfiltrare dati o spostare strumenti nel tuo ambiente. Abbinalo ai principi del privilegio minimo e alla separazione degli amministratori locali, in modo che compromettere un account non trasferisca tutto. Fermare i tentativi di forza bruta è più facile quando il movimento laterale rallenta fino a gattonare.
L'offuscamento delle porte modificando il valore predefinito 3389 non interrompe determinate scansioni, ma riduce il rumore dei bot che colpiscono solo le porte predefinite. Se lo modifichi, abbinalo comunque a VPN, liste consentite e MFA perché l'oscurità da sola fallisce contro gli attacchi mirati. Sui nuovi server Windows, conferma le impostazioni del desktop remoto, l'NLA e le regole del firewall da un terminale con privilegi elevati utilizzando PowerShell o CMD. Attività come l'attivazione di RDP tramite riga di comando rimangono pulite e riproducibili quando vengono scritte e riviste, collegando questi passaggi al processo di modifica in modo che le deviazioni vengano rilevate tempestivamente.
L’igiene del PSR è parte di una più ampia storia di accesso remoto. Se gestisci i sistemi tramite browser o app di terze parti, controlla anche quelli:Rischio per la sicurezza di Chrome Remote Desktop, ad esempio, può generare tanto rumore di registro quanto 3389 esposto. Una buona igiene tra gli strumenti mantiene forte la protezione dalla forza bruta RDP su tutta la linea.
Conclusione
Ora hai una risposta chiara e stratificata alla domanda “come prevenire gli attacchi di forza bruta RDP?” Mantieni bassa l'esposizione con una VPN o un gateway, alza il livello con MFA, NLA e policy di blocco e osserva attentamente i log di autenticazione. Questi passaggi costituiscono una prevenzione pratica degli attacchi di forza bruta che funziona in ambienti reali sotto pressione effettiva, non solo nella documentazione.
Se hai bisogno di un ambiente pulito per testare questi controlli o di un punto d'appoggio per la produzione con un'adeguata sicurezza, puoi farlo acquistare RDP da fornitori che includono connettività veloce, storage NVMe per I/O rapidi e un'infrastruttura di monitoraggio adeguata. Scegli data center che corrispondano alla posizione del tuo team in modo che la latenza rimanga bassa e assicurati che il provider supporti i controlli di sicurezza di cui hai bisogno.
Hai bisogno di un desktop remoto?
Server RDP affidabili e ad alte prestazioni con tempo di attività 99,95. Porta il tuo desktop sempre con te in tutte le principali città degli Stati Uniti, dell'Europa e dell'Asia.
Ottieni un server RDP
