Protokół Remote Desktop pozostaje głównym celem, ponieważ odsłonięty port 3389, słabe hasła i zakłócona telemetria logowania ułatwiają życie botom i aktorom o niskich umiejętnościach. Jeśli pytasz, jak zapobiegać atakom siłowym RDP, krótka odpowiedź brzmi: zmniejszyć narażenie, zwiększyć siłę uwierzytelniania i obserwować logi jak jastrząb. Ukryj port 3389 za VPN lub bramą RD, wymuszaj MFA w każdym punkcie dostępu, włącz uwierzytelnianie na poziomie sieci, ustaw zasady blokowania kont na 5–10 prób w czasie od 15 do 30 minut i stale monitoruj skoki identyfikatora zdarzenia 4625. Atakujący skanują, zgadują i zmieniają się szybciej każdego roku, więc Twój podręcznik wymaga konkretnych kontroli, a nie myślenia życzeniowego.
TL; DR: Szybka lista kontrolna ochrony
- Ukryj port 3389 za VPN lub RD Gateway, aby wyeliminować ekspozycję publiczną
- Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich punktów dostępu RDP
- Włącz uwierzytelnianie na poziomie sieci (NLA) w celu weryfikacji przed sesją
- Ustaw blokadę konta: 5-10 nieudanych prób, czas trwania 15-30 minut, reset 15 minut
- Stale monitoruj identyfikatory zdarzeń systemu Windows 4625 (niepowodzenie) i 4624 (powodzenie)
- Użyj listy dozwolonych adresów IP i blokowania geograficznego, aby ograniczyć dostęp do źródła
- Utrzymuj silną politykę haseł o minimalnej długości 14 lub więcej znaków
Dlaczego ataki Brute Force RDP kończą się sukcesem
Otwarty RDP jest atrakcyjny, ponieważ można go znaleźć podczas masowego skanowania w ciągu kilku minut, często działa z uprawnieniami lokalnego administratora, a jedno słabe hasło może prowadzić do oprogramowania ransomware. Port 3389 jest widoczny w publicznym Internecie jak dostęp do reklam na billboardach, a zautomatyzowane narzędzia nie wymagają specjalistycznej wiedzy, aby wbijać się w ekrany logowania. Liczba ataków związanych z hasłami wzrosła dramatycznie, m.in Microsoft raportuje wzrost o 74%. Tylko w latach 2021–2022. Dlatego też każdy przewodnik dotyczący zapobiegania atakom typu brute force zawsze zaczyna się od nieujawniania 3389 w publicznym Internecie, a następnie dodaje warstwy takie jak MFA i reguły blokowania, zanim ktokolwiek dotrze do ekranu logowania.
Niedawne kampanie prowadzone w połowie 2025 r. w sieciach takich jak FDN3 pokazały, jak szybko rozpylanie haseł na dużą skalę może atakować urządzenia SSL VPN i RDP w tysiącach systemów. Ataki osiągają szczyt w określonych okresach czasu, kiedy zespoły ds. bezpieczeństwa są najmniej przygotowane, a schemat się powtarza, ponieważ podstawy pozostają złamane. Nagłe wzrosty liczby nieudanych logowań, powtarzające się próby użycia wielu nazw użytkowników i zmieniające się adresy IP to charakterystyczne znaki, ale zanim je zauważysz bez odpowiedniego monitorowania, szkody często już się zaczynają. Stawka jest wysoka: Raport firmy Verizon z dochodzeń w sprawie naruszeń danych za rok 2025 stwierdził, że oprogramowanie ransomware jest obecne w 44% wszystkich naruszeń, przy czym preferowanym punktem wejścia dla tych ataków pozostaje RDP.
Nowoczesne wykrywanie punktów końcowych może łączyć dane RDP na poziomie sesji, dzięki czemu ratownicy szybciej dostrzegają wzorce „spryskaj i módl się”. Jednak zapobieganie za każdym razem przewyższa wykrywanie, dlatego w następnej sekcji skupiono się na kontrolach, które powstrzymują ataki, zanim staną się incydentami.
Jak zapobiegać atakom brutalnej siły RDP: podstawowe metody ochrony
Najszybsze zyski wynikają z ograniczenia ekspozycji sieci, silniejszych bramek logowania i wbudowanych zasad systemu Windows. Opanowanie sposobów zapobiegania atakom typu brute-force RDP oznacza wdrożenie ochrony typu brute-force RDP, która łączy wszystkie te warstwy.
Najpierw zamknij otwarte drzwi: usuń publiczny 3389
Ukryj RDP za VPN lub wdróż bramę pulpitu zdalnego na porcie 443 z szyfrowaniem TLS. Krótka lista dozwolonych znanych adresów IP plus brama za każdym razem przewyższa surowe przekierowanie portów. To posunięcie ogranicza hałas i radykalnie zmniejsza liczbę odgadnięć haseł. Skonfiguruj zaporę sieciową tak, aby blokowała bezpośredni dostęp z Internetu do portu 3389, a następnie kieruj cały prawidłowy ruch przez zabezpieczoną bramę. Napastnicy nie mogą brutalnie wykorzystać tego, czego nie mogą dosięgnąć.
Włącz uwierzytelnianie wieloskładnikowe dla protokołu RDP
MFA odporne na spam typu push, takie jak monity aplikacji z dopasowaniem numerów lub klucze sprzętowe, blokują większość włamań opartych wyłącznie na hasłach. Dodaj usługę MFA na poziomie bramy lub za pośrednictwem dostawcy RDP ze ścisłą integracją katalogów. Według badań Microsoftu ponad 99% zaatakowanych kont nie ma włączonej usługi MFA, co mówi wszystko o tym, dlaczego ta kontrola jest tak istotna. Wdróż go za pośrednictwem bramy usług pulpitu zdalnego, korzystając z integracji serwera zasad sieciowych z usługą Azure AD lub skorzystaj z rozwiązań innych firm obsługujących TOTP i tokeny sprzętowe.
Wymagaj uwierzytelniania na poziomie sieci (NLA)
NLA wymusza uwierzytelnianie przed załadowaniem pełnego pulpitu, ograniczając zużycie zasobów w przypadku nieudanych sesji i zmniejszając powierzchnię ataku. Połącz NLA z TLS, aby uzyskać szyfrowaną transmisję danych uwierzytelniających. Spowoduje to przeniesienie weryfikacji na sam początek procesu połączenia przy użyciu dostawcy obsługi zabezpieczeń poświadczeń (CredSSP). Według recenzowanych badań NLA może zmniejszyć opóźnienia RDP o 48% podczas aktywnych ataków, uniemożliwiając nieuwierzytelnionym sesjom zużywanie zasobów serwera. Włącz tę opcję we Właściwościach systemu, na karcie Zdalne, wybierając opcję „Zezwalaj na połączenia tylko z komputerów z uruchomionym uwierzytelnianiem na poziomie sieci”.
Zastosuj zasady blokady konta
Ustaw rozsądne progi i okna blokowania, aby boty nie mogły zgadywać w nieskończoność. Są to klasyczne metody zapobiegania atakom typu brute-force protokołu RDP, które nadal działają, jeśli są poprawnie skonfigurowane. Skonfiguruj za pomocą zasad zabezpieczeń lokalnych (secpol.msc) w obszarze Zasady konta z następującymi parametrami: próg 5–10 nieudanych prób, czas trwania blokady 15–30 minut i licznik resetowania po 15 minutach. Wartości te wynikają z konsensusu wielu założeń bezpieczeństwa na rok 2025, w tym zaleceń dotyczących zabezpieczeń systemu Windows i ram branżowych. Zrównoważ bezpieczeństwo z obciążeniem działu pomocy technicznej, ponieważ każde zablokowane konto generuje zgłoszenie do pomocy technicznej.
Korzystaj z list dozwolonych i geo-fencingu
Ogranicz, kto może nawet zapukać do drzwi. Blokady krajowe, blokady ASN i krótkie statyczne listy dozwolonych redukują ruch do prawie zera w wielu konfiguracjach małych biur. Skonfiguruj te reguły na poziomie zapory sieciowej, blokując całe regiony geograficzne, z którymi nigdy nie prowadzisz interesów, i ograniczając dostęp pracowników zdalnych do określonych zakresów adresów IP. Niektóre środowiska idą dalej, wdrażając kontrolę dostępu opartą na czasie, która zezwala na protokół RDP tylko w godzinach pracy.
Utwardzanie haseł i rotacja
Używaj długich haseł, unikalnych sekretów dla każdego administratora i menedżera haseł. Jest to podstawowa ochrona metodą brute-force RDP, jednak zbyt wiele naruszeń wciąż ma swój początek w tym miejscu. Ustaw minimalną długość hasła na 14 znaków, a wymagania dotyczące złożoności są wymuszane przez zasady grupy. Im dłuższe hasło, tym trudniej jest zautomatyzowanym narzędziom złamać je metodami brutalnej siły. Unikaj ponownego używania haseł na różnych kontach administracyjnych, ponieważ jedno złamane dane uwierzytelniające mogą kaskadowo rozprzestrzeniać się po całej infrastrukturze.
Natychmiast zaktualizuj system Windows i stos RDP
Naprawiaj znane wady protokołu RDP i udostępniaj aktualizacje na serwerach i klientach. Stare luki w zabezpieczeniach wciąż pojawiają się na wolności, a atakujący atakują w pierwszej kolejności niezałatane systemy, ponieważ jest to łatwiejsze. Wdrażaj regularny harmonogram stosowania poprawek, korzystając z wersji bazowych Windows Update, WSUS lub Intune, aby mieć pewność, że Twoja infrastruktura RDP jest aktualna pod kątem znanych exploitów.
Zbieraj i ostrzegaj o nieudanych logowaniach
Przesyłaj dzienniki zabezpieczeń systemu Windows do SIEM, obserwuj zdarzenia o identyfikatorach 4625 i 4624 i ostrzegaj o nieprawidłowych woluminach, lokalizacjach źródłowych i trafieniach na kontach usług. Nauka zapobiegania atakom metodą brute force zawsze obejmuje śledzenie dzienników, ponieważ wykrywanie reaktywne ogranicza szkody w przypadku niepowodzenia kontroli zapobiegawczych. Skonfiguruj alerty w przypadku więcej niż 10 nieudanych prób z jednego adresu IP w ciągu godziny i monitoruj wzorce logowania typu 10 (zdalnie interaktywne) i typu 3 (sieć), które wskazują aktywność RDP.
Każdy z nich sam w sobie zmniejsza ryzyko. Razem tworzą metody zapobiegania atakom brute-force RDP, które sprawdzają się pod prawdziwą presją.
| Metoda | Złożoność wdrożenia | Gdzie skonfigurować | Podstawowa korzyść |
| Brama VPN/RD | Średni | Zapora sieciowa lub brama usług pulpitu zdalnego (port 443) | Eliminuje ekspozycję na port publiczny 3389 |
| Uwierzytelnianie wieloskładnikowe | Średni | Brama, dostawca tożsamości lub dodatek RDP | Zatrzymuje próby logowania przy użyciu samego hasła |
| Uwierzytelnianie na poziomie sieci | Niski | Właściwości systemu → Zdalne → Pole wyboru NLA | Uwierzytelnianie przed utworzeniem sesji |
| Polityka blokady konta | Niski | secpol.msc → Account Policies → Account Lockout | Ogranicza nieskończone zgadywanie haseł |
| Monitorowanie dziennika zdarzeń | Średni | SIEM/EDR lub Podgląd zdarzeń Windows | Wczesne wykrywanie wzorców ataków |
| Lista dozwolonych adresów IP/Geo-fence | Niski | Reguły zapory sieciowej lub zasady IPS/Geo | Ogranicza dostęp do źródła połączenia |
| Polityka silnych haseł | Niski | Obiekt GPO domeny lub zasady zabezpieczeń lokalnych | Zwiększa trudność brutalnej siły |
| Regularne łatanie | Niski | Windows Update, WSUS lub Intune | Zamyka znane luki w zabezpieczeniach protokołu RDP |
Jak wykryć aktywne ataki Brute Force RDP
Przed sterowaniem zwróć uwagę na podstawy. Monitoruj zdarzenie o identyfikatorze 4625 w dzienniku zabezpieczeń systemu Windows pod kątem nieudanych prób logowania, ponieważ skoki wskazują na aktywne ataki. Kiedy w ciągu kilku minut zobaczysz dziesiątki lub setki 4625 zdarzeń z tego samego źródłowego adresu IP, oznacza to, że obserwujesz próbę użycia siły w czasie rzeczywistym. Nowoczesne wykrywanie szuka logowania typu 3 (uwierzytelnianie sieciowe za pośrednictwem NLA), a następnie logowań typu 10 (zdalnie interaktywne), ponieważ przepływ uwierzytelniania zmienił się wraz z przyjęciem uwierzytelniania na poziomie sieci.
Zwróć uwagę na nieudane wzorce logowania dla wielu nazw użytkowników z jednego adresu IP, co sygnalizuje raczej rozpylanie haseł niż ataki ukierunkowane. Niespójności geograficzne również mają znaczenie. Jeśli Twoi użytkownicy pracują w Ameryce Północnej, ale widzisz próby logowania z Europy Wschodniej lub Azji, jest to sygnał ostrzegawczy, który warto natychmiast sprawdzić. Niektórzy napastnicy wykorzystują domowe serwery proxy, aby ukryć swoją prawdziwą lokalizację, ale wzorce głośności i czasu nadal ujawniają ich obecność.
Przekazuj te zdarzenia do scentralizowanego systemu rejestrowania lub SIEM, który może korelować aktywność na wielu serwerach. Ustaw progi alertów na podstawie normalnych wzorców uwierzytelniania w swoim środowisku, ponieważ to, co wygląda normalnie w dużym przedsiębiorstwie, może być podejrzane w małej firmie. Celem jest nauczenie się, jak powstrzymywać ataki brutalnej siły i ich wzorce, zanim zakończą się sukcesem, a nie tylko dokumentowanie ich po wystąpieniu szkód.
Jak zatrzymać trwający atak Brute Force RDP
Jeśli monitorowanie generuje alert w przypadku powtarzających się nieudanych logowań lub rozpylania danych uwierzytelniających, wykonaj kroki w podanej kolejności. Najpierw zabezpiecz źródło, blokując adres IP lub zasięg na zaporze obwodowej. Jeśli głośność jest wysoka, zastosuj tymczasowe limity szybkości, aby spowolnić atak na czas dochodzenia. Nie czekaj, aż zautomatyzowane narzędzia nadrobią zaległości, gdy będziesz mógł zobaczyć atak w czasie rzeczywistym.
Po drugie, ustabilizuj tożsamość, wygasając hasło do konta docelowego i sprawdzając, czy można go ponownie wykorzystać w innych usługach. Wyłącz konto, jeśli podejrzewasz, że doszło do naruszenia, ponieważ uniemożliwienie dostępu jest ważniejsze od oczyszczenia po włamaniu. Przejrzyj ostatnie udane logowania na to konto, aby ustalić, czy osoba atakująca dostała się już na to konto, zanim zauważyłeś.
Po trzecie, zweryfikuj ścieżki dostępu, potwierdzając, że do uzyskania dostępu wymagana jest brama usług pulpitu zdalnego lub VPN, i usuń wszelkie nielegalne przekierowania portów, które ponownie udostępniają 3389 dostęp do Internetu. Niektóre ataki kończą się sukcesem, ponieważ ktoś kilka miesięcy temu otworzył tymczasową regułę zapory sieciowej i zapomniał ją zamknąć. Po czwarte, wyszukuj skutki uboczne, przeglądając dzienniki sesji RDP, nowych lokalnych administratorów, instalacje usług i zaplanowane zadania. Telemetria EDR pomaga wychwycić ruchy utrwalające, które atakujący planują podczas krótkich okien dostępu.
Na koniec dostosuj wykrywanie, dodając reguły dotyczące burz nieudanego logowania na kontach uprzywilejowanych i uruchamiaj wysyłanie zgłoszeń w celu dalszych działań, aby lekcje stały się domyślne. Dzięki tym działaniom incydenty są krótkie i dokładnie pokazują, jak zapobiegać uszkodzeniom spowodowanym atakami brutalnymi po uruchomieniu alertów wykrywania.
Zaawansowane strategie ochrony RDP przed brutalną siłą
Kilka dodatkowych kroków się opłaca, szczególnie w przypadku obciążeń internetowych i administratorów w podróży. Ustaw progi dla poszczególnych adresów IP w bramie usług pulpitu zdalnego lub zaporze sieciowej i dostosuj sygnatury IPS, które odpowiadają zalewom wywołanym nieudanym uzgadnianiem protokołu RDP. Dzięki temu boty nie będą uderzać Cię z prędkością maszyny, a alerty SOC będą miały większy kontekst dla segregacji. Ograniczanie szybkości na brzegu sieci uniemożliwia indywidualnym atakującym wykorzystanie wszystkich zasobów uwierzytelniania. Główne grupy oprogramowania ransomware, w tym Black Basta i RansomHub, przyjęły brutalne wymuszanie protokołu RDP jako podstawową technikę dostępu początkowego.
Nowoczesny EDR dodaje metadane sesji, które pomagają odróżnić pracę administratora od ataków etapowych, wspierając polowanie na powiązanych hostach. Kontekst ten skraca czas przebywania, gdy atakujący poruszają się w poprzek Twojego środowiska. Różnica między wyłapaniem włamania w godzinach a w dniach często sprowadza się do posiadania odpowiednich danych telemetrycznych we właściwych miejscach.
Wyłącz niepotrzebne dyski, schowek i przekierowywanie drukarek na hostach wysokiego ryzyka. Wyłączenie funkcji zwiększających wygodę powoduje problemy dla intruzów próbujących wydobyć dane lub przenieść narzędzia do Twojego środowiska. W połączeniu z zasadami najniższych uprawnień i separacją administratorów lokalnych, aby naruszenie jednego konta nie spowodowało przekazania wszystkiego. Zatrzymanie prób użycia siły jest łatwiejsze, gdy ruch boczny zwalnia do pełzania.
Zaciemnianie portów poprzez zmianę domyślnego 3389 nie zatrzymuje określonych skanów, ale ogranicza hałas powodowany przez boty, które uderzają tylko w domyślne porty. Jeśli to zmienisz, nadal sparuj z VPN, listami dozwolonych i usługą MFA, ponieważ samo zaciemnienie nie jest w stanie sprostać atakom ukierunkowanym. Na nowych serwerach Windows potwierdź ustawienia Pulpitu zdalnego, NLA i reguły zapory z poziomu terminala z podwyższonym poziomem uprawnień, używając programu PowerShell lub CMD. Zadania takie jak włączanie protokołu RDP za pomocą wiersza poleceń pozostają czyste i powtarzalne po napisaniu i przejrzeniu skryptu, wiążąc te kroki z procesem zmian, aby wcześnie wykryć dryf.
Higiena protokołu RDP jest częścią szerszej historii zdalnego dostępu. Jeśli zarządzasz systemami za pośrednictwem przeglądarek lub aplikacji innych firm, przeprowadź audyt ich również—Zagrożenie bezpieczeństwa Pulpitu zdalnego Chromena przykład może generować tyle samo szumu kłód, co odsłonięty 3389. Dobra higiena wszystkich narzędzi zapewnia skuteczną ochronę przed brutalną siłą RDP we wszystkich przypadkach.
Wniosek
Teraz masz jasną, wielowarstwową odpowiedź na pytanie „jak zapobiegać atakom brute-force RDP?” Utrzymuj niski poziom ekspozycji dzięki sieci VPN lub bramie, podnieś poprzeczkę dzięki zasadom MFA, NLA i blokad oraz uważnie obserwuj dzienniki uwierzytelniania. Te kroki tworzą praktyczne zapobieganie atakom siłowym, które działa w rzeczywistych środowiskach pod rzeczywistą presją, a nie tylko w dokumentacji.
Jeśli potrzebujesz czystego środowiska do przetestowania tych kontroli lub punktu produkcyjnego z odpowiednimi zabezpieczeniami, możesz to zrobić kup RDP od dostawców oferujących szybką łączność, pamięć masową NVMe zapewniającą szybkie operacje we/wy oraz odpowiednią infrastrukturę monitorowania. Wybierz centra danych odpowiadające lokalizacji Twojego zespołu, aby opóźnienia pozostały niskie, i upewnij się, że dostawca obsługuje potrzebne mechanizmy bezpieczeństwa.
Potrzebujesz pulpitu zdalnego?
Niezawodne, wydajne serwery RDP z czasem pracy 99,95. Zabierz swój komputer w podróż do wszystkich głównych miast w USA, Europie i Azji.
Zdobądź serwer RDP
