Протокол віддаленого робочого столу залишається головною ціллю, оскільки відкритий порт 3389, слабкі паролі та шумна телеметрія для входу полегшують життя роботам і малокваліфікованим акторам. Якщо ви запитуєте, як запобігти атакам грубої сили RDP, короткою відповіддю буде зменшити ризик, підвищити рівень автентифікації та стежити за журналами, як яструб. Приховайте порт 3389 за шлюзом VPN або RD, примусово застосуйте MFA на кожній точці доступу, увімкніть автентифікацію на рівні мережі, установіть політику блокування облікового запису від 5 до 10 спроб із тривалістю 15–30 хвилин і постійно відстежуйте сплески ідентифікатора події 4625. Зловмисники з кожним роком швидше сканують, вгадують і повертаються, тож вашій книзі потрібен конкретний контроль, а не видавання бажаного за дійсне.
TL; DR: контрольний список швидкого захисту
- Приховайте порт 3389 за VPN або RD Gateway, щоб усунути публічний доступ
- Вимагати багатофакторну автентифікацію для всіх точок доступу RDP
- Увімкніть автентифікацію на рівні мережі (NLA) для перевірки перед сеансом
- Встановити блокування облікового запису: 5-10 недійсних спроб, тривалість 15-30 хвилин, скидання 15 хвилин
- Постійно відстежуйте ідентифікатори подій Windows 4625 (не вдалося) і 4624 (успішно)
- Використовуйте білий список IP-адрес і геоблокування, щоб обмежити доступ до джерела
- Дотримуйтеся політики надійних паролів із мінімальною довжиною 14+ символів
Чому атаки RDP Brute Force є успішними
Відкритий RDP привабливий, оскільки його можна знайти за допомогою масового сканування за лічені хвилини, він часто працює з правами локального адміністратора, а один слабкий пароль може призвести до програм-вимагачів. Порт 3389 відкритий у загальнодоступному Інтернеті, як рекламний рекламний щит, і автоматизованим інструментам не потрібен досвід, щоб впоратися з екранами входу. Атаки на паролі різко зросли, з Microsoft повідомляє про зростання на 74%. лише з 2021 по 2022 рік. Ось чому будь-який посібник із запобігання атак грубою силою завжди починається з того, щоб не розкривати 3389 у загальнодоступному Інтернеті, а потім додавати рівні, як-от MFA та правила блокування, перш ніж хтось досягне екрана входу.
Нещодавні кампанії таких мереж, як FDN3 у середині 2025 року, показали, як швидко широкомасштабне розпилення паролів може націлитися на пристрої SSL VPN і RDP у тисячах систем. Атаки досягають піку під час певних вікон, коли групи безпеки найменше підготовлені, і шаблон повторюється, оскільки фундаментальні принципи залишаються порушеними. Раптові сплески невдалих входів, повторювані спроби з використанням багатьох імен користувачів і зміна IP-адрес країни є яскравими ознаками, але до того часу, коли ви помітите їх без належного моніторингу, збитки часто починаються. Ставки високі: Звіт Verizon про розслідування витоку даних за 2025 рік виявили наявність програм-вимагачів у 44% усіх зламів, при цьому RDP залишається кращою точкою входу для цих атак.
Сучасне виявлення кінцевих точок може об’єднувати дані RDP на рівні сеансу, щоб служби реагування швидше помічали шаблони «спрей і моління». Але запобігання щоразу перевершує виявлення, тому наступний розділ зосереджується на елементах керування, які зупиняють атаки до того, як вони стануть інцидентами.
Як запобігти атакам RDP Brute Force: основні методи захисту
Найшвидший прибуток досягається завдяки зменшенню доступу до мережі, надійнішим шлюзам входу та вбудованим політикам Windows. Оволодіння тим, як запобігти атакам грубої сили RDP, означає реалізацію захисту RDP brute force, який поєднує всі ці рівні.
Спочатку закрийте двері: видаліть Public 3389
Приховайте RDP за VPN або розгорніть Remote Desktop Gateway на порту 443 із шифруванням TLS. Короткий білий список для відомих IP-адрес плюс шлюз щоразу перевершує необроблене переадресування портів. Цей крок зменшує шум і різко знижує гучність підбору пароля. Налаштуйте брандмауер периметра, щоб блокувати прямий доступ до порту 3389 з Інтернету, а потім направляйте весь законний трафік через захищений шлюз. Зловмисники не можуть грубо змусити те, чого вони не можуть досягти.
Увімкніть багатофакторну автентифікацію для RDP
MFA, стійкий до спаму, як і підказки додатків із відповідністю номерів або апаратними ключами, блокує більшість вторгнень лише за допомогою пароля. Додайте MFA на рівні шлюзу або через постачальника RDP із тісною інтеграцією каталогу. Згідно з дослідженнями Microsoft, у понад 99% зламаних облікових записів MFA не ввімкнено, що говорить вам усе про важливість цього контролю. Розгорніть його через RD Gateway за допомогою інтеграції сервера мережевої політики з Azure AD або скористайтеся рішеннями сторонніх розробників, які підтримують TOTP і апаратні маркери.
Вимагати автентифікації на рівні мережі (NLA)
NLA примусово виконує автентифікацію перед повним завантаженням робочого столу, зменшуючи споживання ресурсів через невдалі сеанси та зменшуючи площу атаки. З’єднайте NLA з TLS для зашифрованої передачі облікових даних. Це зміщує перевірку на самий початок процесу з’єднання за допомогою постачальника підтримки захисту облікових даних (CredSSP). Згідно з рецензованими дослідженнями, NLA може зменшити затримку RDP на 48% під час активних атак, запобігаючи споживанню ресурсів сервера неавтентифікованими сесіями. Увімкніть його через «Властивості системи», вкладка «Віддалений», вибравши «Дозволити підключення лише з комп’ютерів, на яких запущено автентифікацію на рівні мережі».
Застосуйте політику блокування облікового запису
Встановіть розумні пороги та вікна блокування, щоб боти не могли вгадувати вічно. Це класичні методи запобігання атакам грубої сили RDP, і вони все ще працюють, якщо їх правильно налаштовано. Налаштуйте за допомогою локальної політики безпеки (secpol.msc) у розділі «Політики облікових записів» із такими параметрами: порогове значення 5–10 недійсних спроб, тривалість блокування 15–30 хвилин і скидання лічильника через 15 хвилин. Ці значення отримані на основі консенсусу в багатьох базових рівнях безпеки 2025 року, включаючи рекомендації безпеки Windows і галузеві рамки. Збалансуйте безпеку з навантаженням служби підтримки, оскільки кожен заблокований обліковий запис генерує заявку в службу підтримки.
Використовуйте списки білих і геоогорожі
Обмежте, хто може навіть стукати в двері. Блоки країн, блоки ASN і короткі статичні списки дозволених скорочують трафік майже до нуля в багатьох невеликих офісах. Налаштуйте ці правила на рівні брандмауера, блокуючи цілі географічні регіони, з якими ви ніколи не співпрацюєте, і обмежуючи доступ до певних діапазонів IP для віддалених працівників. У деяких середовищах це відбувається далі, реалізуючи засоби керування доступом на основі часу, які дозволяють RDP лише в робочі години.
Зміцнення паролів і ротація
Використовуйте довгі парольні фрази, унікальні секрети для кожного адміністратора та менеджер паролів. Це базовий захист RDP методом грубої обробки, але надто багато порушень усе ще починаються саме тут. Встановіть мінімальну довжину пароля до 14 символів із вимогами до складності, які застосовуються через групову політику. Чим довший пароль, тим важче автоматизованим інструментам зламати методом грубої сили. Уникайте повторного використання пароля для різних адміністративних облікових записів, оскільки одні зламані облікові дані можуть розповсюджуватися на всю вашу інфраструктуру.
Оперативно оновіть стек Windows і RDP
Виправте відомі недоліки RDP і розгорніть оновлення на серверах і клієнтах. Старі вразливості все ще з’являються в природі, і зловмисники спершу націлюються на невиправлені системи, оскільки вони простіші. Впроваджуйте регулярний графік виправлення за допомогою Windows Update, WSUS або базових параметрів Intune, щоб забезпечити актуальність інфраструктури RDP проти відомих експлойтів.
Збір і сповіщення про невдалі входи
Пересилайте журнали безпеки Windows до SIEM, спостерігайте за ідентифікаторами подій 4625 і 4624 і сповіщайте про нестандартні обсяги, географічне розташування джерел і звернення до облікового запису служби. Навчання запобіганню атакам грубої сили завжди передбачає стеження за журналами, оскільки реактивне виявлення обмежує збитки, коли запобіжні заходи не спрацьовують. Налаштуйте сповіщення про понад 10 невдалих спроб з однієї IP-адреси протягом години та відстежуйте шаблони входу типу 10 (віддалений інтерактивний доступ) і типу 3 (мережа), які вказують на активність RDP.
Кожен із них сам по собі зменшує ризик. Разом вони утворюють методи запобігання атакам грубої сили RDP, які витримують реальний тиск.
| метод | Складність реалізації | Де налаштувати | Основна вигода |
| Шлюз VPN/RD | Середній | Брандмауер або RD Gateway (порт 443) | Усуває відкритий порт 3389 |
| Багатофакторна автентифікація | Середній | Шлюз, постачальник ідентифікаційної інформації або надбудова RDP | Зупиняє спроби входу лише за паролем |
| Автентифікація на рівні мережі | Низький | Властивості системи → Віддалений → NLA | Автентифікація перед створенням сесії |
| Політика блокування облікового запису | Низький | secpol.msc → Account Policies → Account Lockout | Обмежує нескінченне вгадування пароля |
| Моніторинг журналу подій | Середній | SIEM/EDR або засіб перегляду подій Windows | Раннє виявлення шаблону атаки |
| Список дозволених IP/Геозона | Низький | Правила брандмауера або політики IPS/Geo | Обмежує доступ до джерела підключення |
| Політика надійних паролів | Низький | GPO домену або локальна політика безпеки | Збільшує складність грубої сили |
| Регулярне латання | Низький | Windows Update, WSUS або Intune | Закриває відомі вразливості RDP |
Як виявити активні атаки RDP Brute Force
Перед контролем слідкуйте за основами. Слідкуйте за ідентифікатором події 4625 у журналі безпеки Windows на наявність невдалих спроб входу, оскільки стрибки вказують на активні атаки. Коли ви бачите десятки чи сотні подій 4625 з однієї IP-адреси джерела протягом кількох хвилин, ви спостерігаєте за спробою грубої сили в реальному часі. Сучасне виявлення шукає входи типу 3 (мережева автентифікація через NLA), а потім входи типу 10 (віддалена інтерактивність), оскільки процес автентифікації змінився із впровадженням автентифікації на рівні мережі.
Зверніть увагу на шаблони невдалого входу для кількох імен користувачів з однієї IP-адреси, що свідчить про розпилювання пароля, а не про цілеспрямовані атаки. Географічні невідповідності також мають значення. Якщо ваші користувачі працюють у Північній Америці, але ви бачите спроби входу зі Східної Європи чи Азії, це червоний прапорець, який варто негайно дослідити. Деякі зловмисники використовують домашні проксі-сервери, щоб приховати своє справжнє місцезнаходження, але шаблони гучності та часу все одно виявляють їхню присутність.
Пересилайте ці події до централізованої системи реєстрації або SIEM, яка може корелювати дії на кількох серверах. Установіть порогові значення сповіщень на основі звичайних шаблонів автентифікації вашого середовища, тому що те, що виглядає нормальним для великого підприємства, може бути підозрілим для малого бізнесу. Мета полягає в тому, щоб навчитися зупиняти атаки грубої сили та їх шаблони до того, як вони досягнуть успіху, а не просто документувати їх після того, як завдано збитків.
Як зупинити поточну атаку RDP Brute Force
Якщо моніторинг запускає сповіщення про повторні невдалі входи або розпилення облікових даних, виконайте кроки по порядку. По-перше, стримайте джерело, заблокувавши IP-адресу або діапазон на брандмауері периметра. Якщо гучність велика, застосуйте тимчасові обмеження швидкості, щоб сповільнити атаку, поки ви розслідуєте. Не чекайте, поки автоматичні інструменти надолужать згаяне, коли ви зможете побачити атаку в реальному часі.
По-друге, стабілізуйте ідентифікацію, скасувавши термін дії пароля цільового облікового запису та перевіривши його на повторне використання в інших службах. Вимкніть обліковий запис, якщо є підозра на компрометацію, оскільки заборона доступу перевершує очищення після порушення. Перегляньте останні успішні входи до цього облікового запису, щоб визначити, чи зловмисник уже проник до того, як ви це помітили.
По-третє, перевірте шляхи доступу, підтвердивши, що для доступу потрібний шлюз RD або VPN, і видаліть будь-яке фальшиве перенаправлення портів, яке повторно відкриває 3389 для Інтернету. Деякі атаки вдаються, тому що хтось відкрив тимчасове правило брандмауера кілька місяців тому та забув його закрити. По-четверте, шукайте побічні ефекти, переглядаючи журнали сеансів RDP, нових локальних адміністраторів, встановлення служб і заплановані завдання. Телеметрія EDR допомагає вловлювати стійкі рухи, які зловмисники встановлюють під час коротких вікон доступу.
Нарешті, налаштуйте виявлення, додавши правила для штормів невдалого входу в привілейовані облікові записи, і запустіть запити для подальших дій, щоб уроки стали стандартними. Ці дії зберігають інциденти короткими та демонструють, як запобігти атакам грубої сили, щоб вони завдали шкоди, коли виявлення сповіщає про пожежу.
Розширені стратегії захисту RDP Brute Force
Кілька додаткових кроків окупаються, особливо для роботи в Інтернеті та адміністраторів у дорозі. Встановіть порогові значення для кожної IP-адреси на вашому RD Gateway або брандмауері та налаштуйте підписи IPS, які відповідають потокам невдалих рукостискань RDP. Це запобігає ботам від удару на швидкості машини та надає оповіщенням SOC більше контексту для сортування. Обмеження швидкості на межі мережі запобігає окремим зловмисникам від використання всіх ваших ресурсів автентифікації. Основні групи програм-вимагачів, зокрема Black Basta та RansomHub, прийняли підбір RDP як основну техніку початкового доступу.
Сучасний EDR додає метадані сеансу, які допомагають відрізнити роботу адміністратора від інсценованих атак, підтримуючи пошук між пов’язаними хостами. Цей контекст скорочує час перебування, коли зловмисники пересуваються убік у вашому середовищі. Різниця між фіксацією вторгнення за години та дні часто зводиться до наявності правильної телеметрії в потрібних місцях.
Вимкніть непотрібне переспрямування диска, буфера обміну та принтера на хостах із високим ризиком. Вимкнення зручних функцій створює проблеми для зловмисників, які намагаються викрасти дані або перемістити інструменти у ваше середовище. Поєднайте принципи найменших привілеїв і розділення локальних адміністраторів, щоб компрометація одного облікового запису не передала все. Зупинити спроби грубої сили легше, коли бічний рух сповільнюється до повзання.
Обфускація портів шляхом зміни типового стандарту 3389 не зупиняє певні сканування, але усуває шум від роботів, які потрапляють лише на стандартні порти. Якщо ви зміните його, все одно підключайтеся до VPN, білих списків і MFA, оскільки сама по собі невідомість не зможе протистояти цілеспрямованим атакам. На нових серверах Windows перевірте параметри віддаленого робочого стола, NLA та правила брандмауера з терміналу з підвищеними правами за допомогою PowerShell або CMD. Завдання, як-от увімкнення RDP через командний рядок, залишаються чистими та відтворюваними під час написання сценарію та перегляду, прив’язуючи ці кроки до вашого процесу змін, щоб дрейф було виявлено рано.
Гігієна RDP є частиною ширшої історії віддаленого доступу. Якщо ви керуєте системами через веб-переглядачі чи програми сторонніх розробників, перевірте їх також.Загроза безпеці Chrome Remote Desktop, наприклад, може генерувати стільки ж шуму журналу, скільки піддано 3389. Хороша гігієна всіх інструментів забезпечує надійний захист від грубої сили RDP по всьому світу.
Висновок
Тепер у вас є чітка, багатошарова відповідь на питання «як запобігти атакам грубої сили RDP?» Знизьте ризики за допомогою VPN або шлюзу, підніміть планку за допомогою MFA, NLA та політик блокування та уважно стежте за журналами автентифікації. Ці кроки формують практичне запобігання атакам грубої сили, яке працює в реальному середовищі під фактичним тиском, а не лише в документації.
Якщо вам потрібне чисте середовище для перевірки цих елементів керування або виробнича база з належним захистом, ви можете купити RDP від постачальників, які включають швидке підключення, сховище NVMe для швидкого введення-виведення та належну інфраструктуру моніторингу. Виберіть центри обробки даних, які відповідають розташуванню вашої команди, щоб затримка залишалася низькою, і переконайтеся, що постачальник підтримує необхідні засоби безпеки.
Потрібен віддалений робочий стіл?
Надійні, високопродуктивні RDP-сервери з часом безвідмовної роботи 99,95. Беріть свій робочий стіл у дорогу до всіх великих міст США, Європи та Азії.
Отримайте сервер RDP
