Протокол удаленного рабочего стола остается главной целью, поскольку открытый порт 3389, слабые пароли и шумная телеметрия при входе в систему облегчают жизнь ботам и злоумышленникам с низким уровнем квалификации. Если вы спрашиваете, как предотвратить атаки грубой силы RDP, краткий ответ — уменьшить воздействие, повысить надежность аутентификации и внимательно следить за журналами. Спрячьте порт 3389 за VPN или шлюзом удаленных рабочих столов, включите MFA на каждой точке доступа, включите проверку подлинности на уровне сети, установите политики блокировки учетной записи от 5 до 10 попыток с продолжительностью 15–30 минут и постоянно отслеживайте всплески событий с идентификатором 4625. Злоумышленники с каждым годом сканируют, угадывают и меняют все быстрее, поэтому ваш сценарий требует конкретных мер контроля, а не принятия желаемого за действительное.
TL;DR: Контрольный список быстрой защиты
- Скройте порт 3389 за VPN или шлюзом RD, чтобы исключить публичное раскрытие.
- Требовать многофакторную аутентификацию для всех точек доступа RDP
- Включите аутентификацию на уровне сети (NLA) для проверки перед сеансом.
- Установить блокировку учетной записи: 5–10 недействительных попыток, продолжительность 15–30 минут, сброс 15 минут.
- Постоянно отслеживайте идентификаторы событий Windows 4625 (сбой) и 4624 (успешный).
- Используйте белый список IP-адресов и географическую блокировку, чтобы ограничить доступ к источнику.
- Поддерживайте политику надежных паролей с минимальной длиной 14+ символов.
Почему брутфорс-атаки по RDP успешны
Открытый RDP привлекателен тем, что его можно найти при массовом сканировании за считанные минуты, он часто запускается с правами локального администратора, а один слабый пароль может привести к атаке программ-вымогателей. Порт 3389 доступен в общедоступном Интернете, как рекламный щит, и автоматизированным инструментам не нужны специальные знания для работы с экранами входа в систему. Атаки на пароли резко возросли, Microsoft сообщает о росте на 74% только с 2021 по 2022 год. Вот почему любое руководство по предотвращению атак методом перебора всегда начинается с того, чтобы не раскрывать 3389 в общедоступном Интернете, а затем добавляют такие уровни, как MFA и правила блокировки, прежде чем кто-либо достигнет экрана входа в систему.
Недавние кампании в таких сетях, как FDN3, в середине 2025 года показали, насколько быстро масштабное распыление паролей может быть нацелено на устройства SSL VPN и RDP в тысячах систем. Пик атак приходится на определенные периоды времени, когда службы безопасности наименее подготовлены, и ситуация повторяется, поскольку основные принципы остаются нарушенными. Внезапные всплески неудачных входов в систему, повторные попытки для многих имен пользователей и IP-адреса, перемещающиеся по странам, являются контрольными признаками, но к тому времени, когда вы замечаете их без надлежащего мониторинга, ущерб часто уже начинается. Ставки высоки: Отчет Verizon о расследовании утечек данных за 2025 год обнаружили, что программы-вымогатели присутствуют в 44% всех нарушений, при этом RDP остается предпочтительной точкой входа для этих атак.
Современное обнаружение конечных точек может объединять данные RDP на уровне сеанса, поэтому службы реагирования быстрее выявляют закономерности распыления и молитвы. Но предотвращение всегда важнее обнаружения, поэтому следующий раздел посвящен средствам контроля, которые останавливают атаки до того, как они станут инцидентами.
Как предотвратить брутфорс-атаки RDP: основные методы защиты
Самый быстрый выигрыш достигается за счет сокращения воздействия на сеть, более надежных входов в систему и встроенных политик Windows. Овладение тем, как предотвращать атаки грубой силы RDP, означает внедрение защиты от грубой силы RDP, которая сочетает в себе все эти уровни.
Сначала закройте открытую дверь: удалите публику 3389
Спрячьте RDP за VPN или разверните шлюз удаленных рабочих столов на порту 443 с шифрованием TLS. Короткий список разрешенных для известных IP-адресов плюс шлюз каждый раз превосходит необработанную переадресацию портов. Этот шаг снижает шум и значительно снижает объем подбора пароля. Настройте брандмауэр периметра так, чтобы заблокировать прямой доступ к порту 3389 из Интернета, а затем направьте весь законный трафик через защищенный шлюз. Злоумышленники не могут перебрать то, чего не могут достичь.
Включите многофакторную аутентификацию для RDP
Устойчивый к push-спаму MFA, например, запросы приложений с сопоставлением номеров или аппаратными ключами, блокирует большинство вторжений только с паролем. Добавьте MFA на уровне шлюза или через поставщика RDP с тесной интеграцией каталогов. Согласно исследованию Microsoft, более 99% скомпрометированных учетных записей не имеют включенного MFA, что говорит вам все о том, почему этот контроль важен. Разверните его через шлюз RD, используя интеграцию сервера политики сети с Azure AD, или используйте сторонние решения, поддерживающие TOTP и аппаратные токены.
Требовать аутентификацию на уровне сети (NLA)
NLA принудительно выполняет аутентификацию до полной загрузки рабочего стола, сокращая утечку ресурсов из-за неудачных сеансов и уменьшая поверхность атаки. Соедините NLA с TLS для зашифрованной передачи учетных данных. Это переносит проверку в самое начало процесса подключения с использованием поставщика поддержки безопасности учетных данных (CredSSP). Согласно рецензируемым исследованиям, NLA может снизить задержку RDP на 48 % во время активных атак, предотвращая потребление ресурсов сервера неаутентифицированными сеансами. Включите его через «Свойства системы» на вкладке «Удаленный», выбрав «Разрешить подключения только с компьютеров, на которых используется проверка подлинности на уровне сети».
Применить политику блокировки учетной записи
Установите разумные пороговые значения и окна блокировки, чтобы боты не могли гадать вечно. Это классические методы предотвращения атак методом перебора RDP, и они по-прежнему работают при правильной настройке. Настройте с помощью локальной политики безопасности (secpol.msc) в разделе «Политики учетных записей» следующие параметры: пороговое значение в 5–10 недействительных попыток, продолжительность блокировки 15–30 минут и счетчик сброса через 15 минут. Эти значения основаны на консенсусе по нескольким базовым показателям безопасности до 2025 года, включая рекомендации по безопасности Windows и отраслевые концепции. Сбалансируйте безопасность и нагрузку на службу поддержки, поскольку каждая заблокированная учетная запись генерирует заявку в службу поддержки.
Используйте белые списки и гео-фехтование
Ограничьте тех, кто может даже постучать в дверь. Блокировка стран, блокировка ASN и короткие статические белые списки сокращают трафик практически до нуля во многих небольших офисах. Настройте эти правила на уровне брандмауэра, блокируя целые географические регионы, с которыми вы никогда не ведете дела, и ограничивая доступ к определенным диапазонам IP-адресов для удаленных сотрудников. Некоторые среды идут дальше, реализуя контроль доступа на основе времени, который разрешает RDP только в рабочее время.
Усиление паролей и ротация
Используйте длинные парольные фразы, уникальные секреты для каждого администратора и менеджер паролей. Это базовая защита от грубой силы RDP, однако здесь все еще начинается слишком много нарушений. Установите минимальную длину пароля в 14 символов, а требования к сложности будут соблюдаться с помощью групповой политики. Чем длиннее пароль, тем сложнее автоматическим инструментам взломать его методом грубой силы. Избегайте повторного использования паролей в разных учетных записях администратора, поскольку один скомпрометированный учетные данные может распространиться на всю вашу инфраструктуру.
Своевременно обновляйте стек Windows и RDP
Исправляйте известные недостатки RDP и обновляйте обновления на серверах и клиентах. Старые уязвимости все еще встречаются, и злоумышленники в первую очередь нацеливаются на неисправленные системы, потому что они проще. Внедрите регулярный график исправлений, используя базовые показатели Центра обновления Windows, WSUS или Intune, чтобы обеспечить актуальность вашей инфраструктуры RDP против известных эксплойтов.
Сбор и оповещение о неудачных входах в систему
Пересылайте журналы безопасности Windows в SIEM, отслеживайте идентификаторы событий 4625 и 4624 и предупреждайте об аномальных томах, географических источниках и обращениях к учетным записям служб. Изучение того, как предотвратить атаки грубой силы, всегда включает в себя наблюдение за журналами, поскольку реактивное обнаружение ограничивает ущерб, когда превентивные средства контроля не работают. Настройте оповещения о более чем 10 неудачных попытках с одного IP-адреса в течение часа и отслеживайте шаблоны входа типа 10 (удаленный интерактивный) и типа 3 (сетевой), которые указывают на активность RDP.
Каждый из этих факторов снижает риск сам по себе. Вместе они образуют методы предотвращения атак грубой силы RDP, которые выдерживают реальные нагрузки.
| Метод | Сложность реализации | Где настроить | Основная выгода |
| VPN/RD-шлюз | Середина | Межсетевой экран или шлюз удаленных рабочих столов (порт 443) | Устраняет воздействие публичного порта 3389. |
| Многофакторная аутентификация | Середина | Шлюз, поставщик удостоверений или надстройка RDP | Останавливает попытки входа в систему только с паролем |
| Аутентификация на уровне сети | Низкий | Свойства системы → Удаленный доступ → флажок NLA | Аутентификация перед созданием сеанса |
| Политика блокировки учетной записи | Низкий | secpol.msc → Account Policies → Account Lockout | Ограничивает бесконечный подбор пароля |
| Мониторинг журнала событий | Середина | SIEM/EDR или средство просмотра событий Windows | Раннее обнаружение шаблонов атак |
| Белый список IP-адресов/гео-зона | Низкий | Правила брандмауэра или политики IPS/Geo | Ограничивает доступ к источнику подключения |
| Надежная политика паролей | Низкий | Объект групповой политики домена или локальная политика безопасности | Увеличивает сложность грубой силы |
| Регулярное исправление | Низкий | Центр обновления Windows, WSUS или Intune | Закрывает известные уязвимости RDP. |
Как обнаружить активные атаки грубой силы RDP
Прежде чем управлять, обратите внимание на основы. Отслеживайте событие с кодом 4625 в журнале безопасности Windows на предмет неудачных попыток входа в систему, поскольку пики указывают на активные атаки. Когда вы видите десятки или сотни событий 4625 с одного и того же IP-адреса источника в течение нескольких минут, вы наблюдаете попытку перебора в реальном времени. Современное обнаружение ищет входы типа 3 (сетевая аутентификация через NLA), а затем входы типа 10 (удаленный интерактивный), поскольку поток аутентификации изменился с внедрением аутентификации на уровне сети.
Обратите внимание на шаблоны неудачных входов в систему для нескольких имен пользователей с одного IP-адреса, которые сигнализируют о распылении паролей, а не о целенаправленных атаках. Географические несоответствия также имеют значение. Если ваши пользователи работают в Северной Америке, но вы видите попытки входа в систему из Восточной Европы или Азии, это тревожный сигнал, который стоит немедленно изучить. Некоторые злоумышленники используют резидентные прокси-серверы, чтобы скрыть свое истинное местоположение, но объем и временные характеристики все равно выявляют их присутствие.
Пересылайте эти события в централизованную систему журналирования или SIEM, которая может сопоставлять активность на нескольких серверах. Установите пороговые значения оповещений на основе обычных шаблонов аутентификации вашей среды, поскольку то, что выглядит нормально для крупного предприятия, может быть подозрительным для малого бизнеса. Цель состоит в том, чтобы научиться предотвращать атаки грубой силы и их схемы до того, как они добьются успеха, а не просто документировать их после нанесения ущерба.
Как остановить атаку грубой силы RDP
Если мониторинг выдает предупреждение о повторных неудачных входах в систему или распылении учетных данных, выполните действия по порядку. Во-первых, сдержите источник, заблокировав IP-адрес или диапазон на брандмауэре по периметру. Если объем велик, примените временные ограничения скорости, чтобы замедлить атаку на время расследования. Не ждите, пока автоматизированные инструменты сработают, когда вы сможете увидеть происходящую атаку в режиме реального времени.
Во-вторых, стабилизируйте личность, истекая срок действия пароля целевой учетной записи и проверяя возможность повторного использования в других службах. Отключите учетную запись, если есть подозрение на взлом, поскольку предотвращение доступа важнее очистки после взлома. Просмотрите недавние успешные входы в систему для этой учетной записи, чтобы определить, проник ли злоумышленник до того, как вы это заметили.
В-третьих, проверьте пути доступа, подтвердив, что для доступа требуется шлюз RD или VPN, и удалите любую несанкционированную переадресацию портов, которая повторно открывает доступ к 3389 Интернету. Некоторые атаки успешны, потому что кто-то несколько месяцев назад открыл временное правило брандмауэра и забыл его закрыть. В-четвертых, выявляйте побочные эффекты, просматривая журналы сеансов RDP, информацию о новых локальных администраторах, установках служб и запланированных задачах. Телеметрия EDR помогает обнаружить действия, предпринимаемые злоумышленниками во время коротких периодов доступа.
Наконец, настройте обнаружение, добавив правила для штормов неудачных входов в систему для привилегированных учетных записей, и инициируйте создание заявок для последующих действий, чтобы уроки стали стандартными. Эти действия сокращают количество инцидентов и демонстрируют, как именно предотвратить причинение ущерба атаками грубой силы после обнаружения пожара.
Передовые стратегии защиты от грубой силы RDP
Несколько дополнительных шагов окупятся, особенно для рабочих нагрузок, связанных с Интернетом, и для мобильных администраторов. Установите пороговые значения для каждого IP-адреса на шлюзе RD или брандмауэре и настройте сигнатуры IPS, которые соответствуют лавинным потокам неудачных подтверждений RDP. Это не позволяет ботам нагружать вас машинной скоростью и дает оповещениям SOC больше контекста для сортировки. Ограничение скорости на границе сети не позволяет отдельным злоумышленникам использовать все ваши ресурсы аутентификации. Крупные группы программ-вымогателей, в том числе Black Basta и RansomHub, использовали брутфорс RDP в качестве основного метода первоначального доступа.
Modern EDR добавляет метаданные сеанса, которые помогают отличать работу администратора от инсценированных атак, поддерживая поиск по связанным хостам. Этот контекст сокращает время пребывания, когда злоумышленники перемещаются по вашей среде. Разница между обнаружением вторжения в часах и днях часто сводится к наличию нужных телеметрических данных в нужных местах.
Отключите ненужное перенаправление дисков, буфера обмена и принтеров на хостах с высоким уровнем риска. Отключение удобных функций создает трудности для злоумышленников, пытающихся украсть данные или переместить инструменты в вашу среду. В сочетании с принципами наименьших привилегий и разделением локальных администраторов, чтобы компрометация одной учетной записи не передавала все. Остановить попытки грубой силы легче, когда боковое движение замедляется до минимума.
Запутывание порта путем изменения значения по умолчанию 3389 не останавливает определенное сканирование, но отсекает шум от ботов, которые обращаются только к портам по умолчанию. Если вы его измените, по-прежнему используйте VPN, списки разрешенных и MFA, потому что одна лишь неясность не поможет защититься от целенаправленных атак. На новых серверах Windows подтвердите настройки удаленного рабочего стола, NLA и правила брандмауэра с терминала с повышенными правами с помощью PowerShell или CMD. Такие задачи, как включение RDP через командную строку, остаются чистыми и воспроизводимыми при написании сценария и проверке, привязывая эти шаги к процессу изменений, чтобы выявлять отклонения на ранней стадии.
Гигиена RDP — это часть более широкой истории удаленного доступа. Если вы управляете системами через браузеры или сторонние приложения, проведите их аудит тоже.Угроза безопасности удаленного рабочего стола Chrome, например, может генерировать столько же шума журналов, сколько и 3389. Хорошая гигиена инструментов обеспечивает надежную защиту от перебора RDP по всем направлениям.
Заключение
Теперь у вас есть четкий и многоуровневый ответ на вопрос: «Как предотвратить атаки грубой силы RDP?» Сохраняйте уровень риска с помощью VPN или шлюза, поднимите планку с помощью политик MFA, NLA и блокировки и внимательно отслеживайте журналы аутентификации. Эти шаги формируют практическую защиту от атак методом перебора, которая работает в реальных средах под реальным давлением, а не только в документации.
Если вам нужна чистая среда для тестирования этих элементов управления или производственная площадка с надлежащей безопасностью, вы можете купить РДП от поставщиков, которые включают в себя быстрое подключение, хранилище NVMe для быстрого ввода-вывода и соответствующую инфраструктуру мониторинга. Выбирайте центры обработки данных, соответствующие местоположению вашей команды, чтобы задержка оставалась низкой, и убедитесь, что поставщик поддерживает необходимые вам средства контроля безопасности.
Нужен удаленный рабочий стол?
Надежные, высокопроизводительные RDP-серверы с временем безотказной работы 99,95. Возьмите свой рабочий стол с собой в поездку во все крупные города США, Европы и Азии.
Получить RDP-сервер
