Remote Desktop Protocol остаётся одной из главных целей для атак: открытый порт 3389, слабые пароли и шумная телеметрия входов делают его лёгкой добычей для ботов и начинающих злоумышленников. Если вы ищете способы защиты RDP от брутфорс-атак, краткий ответ такой: сократите поверхность атаки, усильте аутентификацию и следите за логами без отрыва. Скройте порт 3389 за VPN или RD Gateway, обяжите использовать MFA на каждой точке доступа, включите Network Level Authentication, настройте блокировку учётной записи после 5-10 неверных попыток с паузой 15-30 минут и постоянно отслеживайте всплески Event ID 4625. Злоумышленники сканируют, подбирают пароли и перемещаются по сети всё быстрее, поэтому ваш план защиты должен опираться на конкретные меры, а не на надежду.
Кратко: чеклист быстрой защиты
- Скройте порт 3389 за VPN или RD Gateway, чтобы убрать публичный доступ
- Требуйте многофакторную аутентификацию на всех точках доступа RDP
- Включите Network Level Authentication (NLA) для проверки до начала сессии
- Настройте блокировку учётной записи: 5-10 неверных попыток, блокировка на 15-30 минут, сброс счётчика через 15 минут
- Постоянно отслеживайте Event ID 4625 (неудачный вход) и 4624 (успешный вход) в Windows
- Используйте белые списки IP-адресов и геоблокировку для ограничения источников доступа
- Соблюдайте строгую парольную политику: минимум 14 символов
Почему брутфорс-атаки на RDP успешны
Открытый RDP привлекателен для атакующих по нескольким причинам: его обнаруживают массовые сканеры за считанные минуты, он нередко работает с правами локального администратора, а один слабый пароль может привести к заражению шифровальщиком. Порт 3389, открытый в публичный интернет, — как рекламный щит с приглашением войти, и автоматизированные инструменты не требуют никакой квалификации, чтобы методично перебирать пароли. Число атак на пароли резко возросло: Microsoft зафиксировала рост на 74% только с 2021 по 2022 год. Именно поэтому любое руководство по защите от брутфорса всегда начинается с одного правила: не выставляйте порт 3389 в публичный интернет. Затем добавляйте уровни защиты — MFA и политики блокировки — ещё до того, как пользователь увидит экран входа.
Кампании таких группировок, как FDN3 в середине 2025 года, наглядно показали, насколько быстро масштабный перебор паролей способен охватить тысячи устройств SSL, VPN и RDP одновременно. Атаки усиливаются в определённые периоды, когда команды безопасности наименее готовы к реагированию, и этот сценарий повторяется снова и снова — потому что базовые проблемы остаются нерешёнными. Внезапные всплески неудачных попыток входа, повторяющиеся обращения к множеству учётных записей, IP-адреса из разных стран — всё это явные признаки атаки. Но если вы замечаете их без настроенного мониторинга, ущерб, как правило, уже нанесён. Ставки высоки: Отчёт Verizon об утечках данных за 2025 год (Data Breach Investigations Report) зафиксировал присутствие шифровальщиков в 44% всех инцидентов, причём RDP по-прежнему остаётся одним из основных векторов входа.
Современные системы обнаружения угроз на конечных точках умеют сопоставлять данные RDP на уровне сессий, что позволяет аналитикам быстрее выявлять атаки типа «spray-and-pray». Но предотвращение всегда лучше обнаружения — именно поэтому следующий раздел посвящён мерам, которые останавливают атаки до того, как они становятся инцидентами.
Как защитить RDP от брутфорса: основные методы
Наибольший эффект даёт сочетание трёх подходов: ограничение сетевой доступности, усиление процедуры входа и встроенные политики Windows. Эффективная защита RDP от брутфорса строится на совокупности всех этих уровней.
Первый шаг — закрыть открытую дверь: убрать публичный доступ к порту 3389
Скройте RDP за VPN или разверните Remote Desktop Gateway на порту 443 с шифрованием TLS. Короткий список разрешённых IP-адресов в сочетании со шлюзом надёжнее прямого проброса портов в любом случае. Это резко снизит шум и объём атак с перебором паролей. Настройте межсетевой экран периметра так, чтобы он блокировал прямые подключения к порту 3389 из интернета, а весь легитимный трафик маршрутизировал через защищённый шлюз. Нельзя взломать то, до чего нельзя добраться.
Включите многофакторную аутентификацию для RDP
MFA, устойчивый к push-спаму, — например, подтверждение через приложение с числовым кодом или аппаратные ключи — блокирует большинство атак, основанных на компрометации пароля. Подключите MFA на уровне шлюза или через провайдера RDP с плотной интеграцией с каталогом. По данным исследований Microsoft, более 99% скомпрометированных учётных записей не имели включённого MFA — это само по себе говорит о ценности данной меры. Разверните его через RD Gateway с интеграцией Network Policy Server и Azure AD или используйте сторонние решения с поддержкой TOTP и аппаратных токенов.
Включите проверку подлинности на уровне сети (NLA)
NLA требует аутентификации до загрузки полного рабочего стола, что снижает нагрузку от неудачных сессий и сужает поверхность атаки. Используйте NLA совместно с TLS для зашифрованной передачи учётных данных. Это переносит проверку на самое начало процесса подключения с помощью поставщика поддержки безопасности учётных данных (CredSSP). Согласно рецензируемым исследованиям, NLA может снизить задержку RDP на 48% во время активных атак, не допуская потребления серверных ресурсов неаутентифицированными сессиями. Активируйте его через «Свойства системы» — вкладка «Удалённый доступ» — выбрав параметр «Разрешить подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети».
Настройте политики блокировки учётных записей
Задайте разумные пороги и временные окна блокировки, чтобы боты не могли перебирать пароли бесконечно. Это классические методы защиты RDP от брутфорса, и при правильной настройке они по-прежнему работают. Настройте через «Локальная политика безопасности» (secpol.msc) в разделе «Политики учётных записей» со следующими параметрами: порог блокировки — 5–10 неверных попыток, длительность блокировки — 15–30 минут, сброс счётчика — через 15 минут. Эти значения основаны на консенсусе нескольких базовых конфигураций безопасности 2025 года, включая рекомендации Windows Security и отраслевые фреймворки. Найдите баланс между безопасностью и нагрузкой на службу поддержки: каждая заблокированная учётная запись порождает обращение.
Используйте списки разрешённых адресов и геофильтрацию
Ограничьте круг тех, кто вообще может постучаться в дверь. Блокировка по странам, по номерам автономных систем (ASN) и короткие статические списки разрешённых адресов сводят трафик практически к нулю во многих небольших офисных окружениях. Настройте эти правила на уровне межсетевого экрана: заблокируйте целые географические регионы, с которыми вы никогда не работаете, и ограничьте доступ конкретными диапазонами IP для удалённых сотрудников. В ряде окружений идут дальше и вводят временны́е ограничения доступа, разрешая подключения RDP только в рабочее время.
Усильте парольную политику
Используйте длинные парольные фразы, уникальные секреты для каждой административной учётной записи и менеджер паролей. Это азы защиты RDP от брутфорса, однако слишком многие инциденты по-прежнему начинаются именно здесь. Установите минимальную длину пароля в 14 символов с требованиями сложности, закреплёнными через групповую политику. Чем длиннее пароль, тем труднее его подобрать автоматизированными инструментами. Не допускайте повторного использования паролей в разных административных учётных записях: одна скомпрометированная запись способна создать цепочку проблем по всей инфраструктуре.
Своевременно обновляйте Windows и компоненты RDP
Закрывайте известные уязвимости RDP и своевременно применяйте обновления на серверах и клиентах. Старые уязвимости встречаются в реальных атаках до сих пор, и злоумышленники в первую очередь нацеливаются на непропатченные системы — с ними проще. Внедрите регулярное расписание обновлений через Windows Update, WSUS или базовые конфигурации Intune, чтобы инфраструктура RDP была защищена от известных эксплойтов.
Собирайте данные о неудачных входах и настройте оповещения
Перенаправляйте журналы безопасности Windows в SIEM, отслеживайте Event ID 4625 и 4624 и настройте оповещения об аномальных объёмах попыток, подозрительных географических источниках и обращениях к сервисным учётным записям. Грамотная защита от брутфорса всегда включает контроль журналов: реактивное обнаружение ограничивает ущерб, когда превентивные меры не сработали. Настройте оповещения при более чем 10 неудачных попытках с одного IP в течение часа и отслеживайте паттерны входов типа 10 (удалённый интерактивный) и типа 3 (сетевой), характерные для активности RDP.
Каждый из этих методов снижает риск сам по себе. Вместе они образуют RDP методы защиты от брутфорс-атак, которые выдерживают реальную нагрузку.
| Метод | Сложность внедрения | Где настроить | Основное преимущество |
| VPN/RD Gateway | Средний | Firewall или RD Gateway (порт 443) | Устраняет открытый доступ к порту 3389 |
| Многофакторная аутентификация | Средний | Gateway, провайдер идентификации или RDP дополнение | Блокирует попытки входа только по паролю |
| Аутентификация на уровне сети | Низкий | Свойства системы → Удалённый доступ → флажок NLA | Аутентификация до создания сессии |
| Политика блокировки учётных записей | Низкий | secpol.msc → Account Policies → Account Lockout | Ограничивает бесконечный перебор паролей |
| Мониторинг журнала событий | Средний | SIEM/EDR или Windows Event Viewer | Раннее обнаружение паттернов атак |
| Список разрешённых IP/геофенсинг | Низкий | Правила Firewall или политики IPS/Geo | Ограничивает источники подключений |
| Политика надёжных паролей | Низкий | Групповая политика домена или локальная политика безопасности | Усложняет перебор паролей |
| Регулярное обновление патчей | Низкий | Обновление Windows через WSUS или Intune | Устраняет известные уязвимости RDP |
Как обнаружить активные атаки перебором на RDP
Прежде чем настраивать средства защиты, следите за основными показателями. Отслеживайте Event ID 4625 в журнале безопасности Windows — он фиксирует неудачные попытки входа, а всплески событий указывают на активную атаку. Если вы видите десятки или сотни событий 4625 с одного IP-адреса за несколько минут, вы наблюдаете атаку перебором в реальном времени. Современные методы обнаружения учитывают последовательность: сначала логон Type 3 (сетевая аутентификация через NLA), затем Type 10 (удалённый интерактивный), — поскольку с внедрением Network Level Authentication поток аутентификации изменился.
Обращайте внимание на паттерны неудачных попыток входа под разными именами пользователей с одного IP — это признак распыления паролей, а не целенаправленной атаки. Географические несоответствия тоже важны. Если ваши пользователи работают в Северной Америке, а попытки входа поступают из Восточной Европы или Азии — это повод для немедленного расследования. Некоторые злоумышленники используют резидентные прокси, чтобы скрыть своё местоположение, но паттерны по объёму и времени всё равно выдают их присутствие.
Направляйте эти события в централизованную систему логирования или SIEM, которая сможет коррелировать активность сразу по нескольким серверам. Настройте пороги оповещений, ориентируясь на нормальные паттерны аутентификации в вашей среде: то, что выглядит обычным для крупной компании, может быть подозрительным для малого бизнеса. Цель — понять, как остановить атаки перебором, и распознать их паттерны до того, как они принесут результат, а не просто фиксировать ущерб после.
Как остановить атаку перебором на RDP в процессе
Если мониторинг сработал на повторяющиеся неудачные входы или распыление учётных данных, действуйте по порядку. Сначала изолируйте источник: заблокируйте IP-адрес или диапазон на периметральном межсетевом экране. При высоком объёме трафика введите временные ограничения скорости, чтобы замедлить атаку на время расследования. Не ждите, пока автоматические инструменты среагируют, если вы уже видите атаку в реальном времени.
Второй шаг — стабилизируйте учётную запись: принудительно смените пароль скомпрометированного аккаунта и проверьте, не используется ли он на других сервисах. Если есть подозрение на компрометацию, отключите учётную запись — предотвратить доступ проще, чем разбирать последствия взлома. Проверьте последние успешные входы в этот аккаунт: возможно, злоумышленник уже получил доступ до того, как вы это заметили.
Третий шаг — проверьте пути доступа: убедитесь, что для подключения требуется RD Gateway или VPN, и удалите лишние правила проброса портов, которые снова открывают 3389 в интернет. Некоторые атаки удаются потому, что кто-то создал временное правило в межсетевом экране несколько месяцев назад и забыл его закрыть. Четвёртый шаг — проверьте побочные эффекты: просмотрите журналы сессий RDP, новых локальных администраторов, установленные службы и запланированные задачи. Телеметрия EDR помогает обнаружить механизмы закрепления, которые злоумышленники оставляют в системе во время кратковременного доступа.
Наконец, настройте правила обнаружения: добавьте алерты на шквал неудачных входов под привилегированными аккаунтами и настройте автоматическое создание задач для разбора инцидентов, чтобы уроки становились стандартами. Эти действия сокращают время реакции и наглядно показывают, как не дать атакам перебором нанести ущерб после срабатывания алертов.
Продвинутые стратегии защиты RDP от перебора
Несколько дополнительных мер существенно повышают защиту — особенно для рабочих нагрузок с выходом в интернет и администраторов на удалёнке. Установите пороги по IP на RD Gateway или межсетевом экране и настройте сигнатуры IPS для обнаружения флудов с ошибками рукопожатия RDP. Это не даст ботам работать на машинных скоростях и добавит контекст алертам SOC для приоритизации. Ограничение скорости на периметре сети предотвращает исчерпание ресурсов аутентификации отдельными злоумышленниками. Крупные группировки вымогателей, в том числе Black Basta и RansomHub, взяли перебор через RDP на вооружение как основной способ первоначального доступа.
Современный EDR добавляет метаданные сессий, которые помогают отличить работу администратора от подготовленной атаки, — это упрощает поиск угроз на связанных хостах. Такой контекст сокращает время присутствия злоумышленника в среде при его горизонтальном перемещении. Разница между обнаружением вторжения за часы или за дни часто определяется тем, есть ли нужная телеметрия в нужных местах.
Отключите перенаправление дисков, буфера обмена и принтеров на хостах с повышенным риском. Отказ от удобных функций создаёт дополнительные препятствия для злоумышленников, пытающихся вывести данные или занести инструменты в вашу среду. Сочетайте это с принципом минимальных привилегий и разделением локальных административных аккаунтов, чтобы компрометация одной учётной записи не открывала доступ ко всему. Остановить атаки перебором проще, когда горизонтальное перемещение максимально затруднено.
Смена стандартного порта 3389 не остановит целенаправленное сканирование, но снизит шум от ботов, которые обращаются только к портам по умолчанию. Если вы меняете порт, всё равно сочетайте это с VPN, списками разрешённых адресов и MFA — одна только обфускация не защитит от целенаправленных атак. На свежих серверах Windows проверяйте настройки Remote Desktop, NLA и правила межсетевого экрана из привилегированного терминала с помощью PowerShell или CMD. Задачи вроде включения RDP через командную строку остаются понятными и воспроизводимыми, если они оформлены в виде скрипта и включены в процесс управления изменениями — это позволяет вовремя замечать отклонения.
Гигиена RDP — часть более широкой темы удалённого доступа. Если вы управляете системами через браузеры или сторонние приложения, проверяйте и их —риски безопасности Chrome Remote Desktop— например, могут генерировать не меньше лог-шума, чем открытый порт 3389. Соблюдение Good-гигиены во всех инструментах обеспечивает надёжную защиту RDP от перебора на всех уровнях.
Заключение
Теперь у вас есть чёткий, многоуровневый ответ на вопрос «как предотвратить атаки перебором на RDP?». Сократите поверхность атаки с помощью VPN или шлюза, повысьте планку с MFA, NLA и политиками блокировки, и внимательно следите за журналами аутентификации. Эти меры составляют практическую защиту от атак перебором, которая работает в реальных условиях под реальной нагрузкой — не только на бумаге.
Если вам нужна чистая среда для тестирования этих мер или производственная площадка с нормальной безопасностью, вы можете купите RDP у провайдеров с быстрым соединением, NVMe-хранилищем для быстрого I/O и полноценной инфраструктурой мониторинга. Выбирайте дата-центры, которые находятся ближе к вашей команде, чтобы минимизировать задержки, и убедитесь, что провайдер поддерживает необходимые вам средства защиты.
Нужен удалённый рабочий стол?
Надёжные высокопроизводительные RDP серверы с аптаймом 99,95%. Работайте со своим рабочим столом из любого крупного города США, Европы и Азии.
Арендовать RDP сервер
