Giao thức máy tính từ xa vẫn là mục tiêu hàng đầu vì cổng 3389 bị lộ, mật khẩu yếu và khả năng đo từ xa đăng nhập ồn ào khiến cuộc sống của các bot và diễn viên có kỹ năng thấp trở nên dễ dàng. Nếu bạn hỏi cách ngăn chặn các cuộc tấn công vũ phu RDP, câu trả lời ngắn gọn là giảm mức độ hiển thị, nâng cao cường độ xác thực và xem nhật ký như một con diều hâu. Ẩn cổng 3389 đằng sau VPN hoặc Cổng RD, thực thi MFA ở mọi điểm truy cập, bật Xác thực cấp mạng, đặt chính sách khóa tài khoản trong khoảng từ 5 đến 10 lần thử với thời lượng 15-30 phút và liên tục theo dõi mức tăng đột biến của ID sự kiện 4625. Những kẻ tấn công quét, đoán và xoay vòng nhanh hơn mỗi năm, vì vậy chiến lược của bạn cần có các biện pháp kiểm soát cụ thể chứ không phải mơ mộng.
TL;DR: Danh sách kiểm tra bảo vệ nhanh
- Ẩn cổng 3389 đằng sau VPN hoặc RD Gateway để tránh bị lộ ra ngoài
- Yêu cầu xác thực đa yếu tố cho tất cả các điểm truy cập RDP
- Bật Xác thực cấp mạng (NLA) để xác minh trước phiên
- Đặt khóa tài khoản: 5-10 lần thử không hợp lệ, thời lượng 15-30 phút, đặt lại 15 phút
- Theo dõi liên tục ID sự kiện Windows 4625 (thất bại) và 4624 (thành công)
- Sử dụng danh sách IP cho phép và chặn địa lý để hạn chế quyền truy cập nguồn
- Duy trì chính sách mật khẩu mạnh với độ dài tối thiểu 14 ký tự
Tại sao các cuộc tấn công Brute Force của RDP lại thành công
RDP mở rất hấp dẫn vì nó có thể được tìm thấy bằng cách quét hàng loạt trong vài phút, nó thường chạy với quyền quản trị cục bộ và một mật khẩu yếu có thể dẫn đến ransomware. Cổng 3389 được hiển thị trên Internet công cộng giống như quyền truy cập vào quảng cáo trên bảng quảng cáo và các công cụ tự động không cần chuyên môn để xử lý màn hình đăng nhập. Các cuộc tấn công mật khẩu đã leo thang đáng kể, với Microsoft báo cáo mức tăng 74% riêng từ năm 2021 đến năm 2022. Đó là lý do tại sao mọi hướng dẫn về ngăn chặn cuộc tấn công vũ phu luôn bắt đầu bằng việc không để lộ 3389 trên Internet công cộng, sau đó thêm các lớp như MFA và quy tắc khóa trước khi bất kỳ ai truy cập vào màn hình đăng nhập.
Các chiến dịch gần đây từ các mạng như FDN3 vào giữa năm 2025 đã cho thấy việc rải mật khẩu quy mô lớn có thể nhắm mục tiêu các thiết bị SSL VPN và RDP trên hàng nghìn hệ thống nhanh đến mức nào. Các cuộc tấn công đạt đỉnh điểm trong các khoảng thời gian cụ thể khi các nhóm bảo mật ít được chuẩn bị nhất và mô hình này lặp lại do các nguyên tắc cơ bản vẫn bị hỏng. Số lần đăng nhập không thành công tăng đột biến, số lần thử lặp lại nhiều tên người dùng và IP chuyển đổi quốc gia là những dấu hiệu nhận biết, nhưng vào thời điểm bạn nhận thấy chúng mà không có sự giám sát thích hợp thì thiệt hại thường đã bắt đầu. Tiền đặt cược rất cao: Báo cáo điều tra vi phạm dữ liệu năm 2025 của Verizon đã tìm thấy ransomware hiện diện trong 44% tổng số vụ vi phạm, trong đó RDP vẫn là điểm truy cập ưa thích cho các cuộc tấn công này.
Tính năng phát hiện điểm cuối hiện đại có thể kết hợp dữ liệu RDP cấp phiên với nhau, do đó, người phản hồi sẽ phát hiện các kiểu phun và cầu nguyện sớm hơn. Tuy nhiên, biện pháp phòng ngừa luôn bị phát hiện, đó là lý do tại sao phần tiếp theo tập trung vào các biện pháp kiểm soát nhằm ngăn chặn các cuộc tấn công trước khi chúng trở thành sự cố.
Cách ngăn chặn các cuộc tấn công Brute Force RDP: Các phương pháp bảo vệ cốt lõi
Lợi ích nhanh nhất đến từ việc cắt giảm hiển thị mạng, cổng đăng nhập mạnh hơn và các chính sách Windows tích hợp. Nắm vững cách ngăn chặn các cuộc tấn công bạo lực RDP có nghĩa là triển khai tính năng bảo vệ bạo lực RDP kết hợp tất cả các lớp này.
Đóng cửa mở trước: Xóa Public 3389
Ẩn RDP đằng sau VPN hoặc triển khai Remote Desktop Gateway trên cổng 443 bằng mã hóa TLS. Một danh sách cho phép ngắn dành cho các IP đã biết cộng với một cổng sẽ đánh bại việc chuyển tiếp cổng thô mỗi lần. Động thái này giúp giảm tiếng ồn và giảm đáng kể khối lượng đoán mật khẩu. Định cấu hình tường lửa chu vi của bạn để chặn truy cập trực tiếp vào cổng 3389 từ internet, sau đó định tuyến tất cả lưu lượng truy cập hợp pháp qua cổng bảo mật. Những kẻ tấn công không thể cưỡng bức những gì chúng không thể tiếp cận.
Bật xác thực đa yếu tố cho RDP
MFA chống spam đẩy, giống như lời nhắc ứng dụng có khớp số hoặc khóa phần cứng, chặn hầu hết các hành vi xâm nhập chỉ bằng mật khẩu. Thêm MFA ở cấp cổng hoặc thông qua nhà cung cấp RDP với khả năng tích hợp thư mục chặt chẽ. Theo nghiên cứu của Microsoft, hơn 99% tài khoản bị xâm nhập không kích hoạt MFA, điều này cho bạn biết mọi thứ về lý do tại sao việc kiểm soát này lại quan trọng. Triển khai nó thông qua RD Gateway bằng cách sử dụng tích hợp Máy chủ chính sách mạng với Azure AD hoặc sử dụng các giải pháp của bên thứ ba hỗ trợ TOTP và mã thông báo phần cứng.
Yêu cầu xác thực cấp mạng (NLA)
NLA buộc xác thực trước khi tải toàn bộ máy tính để bàn, giảm tiêu hao tài nguyên từ các phiên không thành công và giảm bề mặt tấn công. Ghép nối NLA với TLS để truyền thông tin xác thực được mã hóa. Điều này sẽ chuyển quá trình xác minh sang giai đoạn đầu của quá trình kết nối bằng cách sử dụng Nhà cung cấp hỗ trợ bảo mật thông tin xác thực (CredSSP). Theo nghiên cứu được đánh giá ngang hàng, NLA có thể giảm 48% độ trễ RDP trong các cuộc tấn công đang hoạt động bằng cách ngăn chặn các phiên không được xác thực tiêu thụ tài nguyên máy chủ. Kích hoạt nó thông qua Thuộc tính hệ thống, tab Từ xa, bằng cách chọn “Chỉ cho phép kết nối từ các máy tính chạy Xác thực cấp mạng”.
Áp dụng chính sách khóa tài khoản
Đặt ngưỡng hợp lý và cửa sổ khóa để bot không thể đoán mãi được. Đây là các phương pháp ngăn chặn tấn công vũ phu RDP cổ điển và chúng vẫn hoạt động khi được định cấu hình chính xác. Định cấu hình thông qua Chính sách bảo mật cục bộ (secpol.msc) trong Chính sách tài khoản với các tham số sau: ngưỡng 5-10 lần thử không hợp lệ, thời gian khóa là 15-30 phút và bộ đếm đặt lại sau 15 phút. Những giá trị này đến từ sự đồng thuận trên nhiều cơ sở bảo mật năm 2025, bao gồm các khuyến nghị về Bảo mật Windows và khuôn khổ ngành. Cân bằng bảo mật với tải của bộ phận trợ giúp vì mọi tài khoản bị khóa đều tạo ra một phiếu hỗ trợ.
Sử dụng Danh sách cho phép và Hàng rào địa lý
Giới hạn người thậm chí có thể gõ cửa. Chặn quốc gia, chặn ASN và danh sách cho phép tĩnh ngắn giúp giảm lưu lượng truy cập xuống gần như bằng 0 trong nhiều cơ sở văn phòng nhỏ. Định cấu hình các quy tắc này ở cấp tường lửa, chặn toàn bộ khu vực địa lý mà bạn không bao giờ giao dịch và hạn chế quyền truy cập vào các dải IP cụ thể đối với nhân viên ở xa. Một số môi trường còn thực hiện điều này hơn nữa bằng cách triển khai các biện pháp kiểm soát truy cập dựa trên thời gian chỉ cho phép RDP trong giờ làm việc.
Làm cứng mật khẩu và xoay vòng
Sử dụng cụm mật khẩu dài, bí mật duy nhất cho mỗi quản trị viên và trình quản lý mật khẩu. Đây là biện pháp bảo vệ cơ bản của RDP, tuy nhiên có quá nhiều vi phạm vẫn bắt đầu từ đây. Đặt độ dài mật khẩu tối thiểu thành 14 ký tự với các yêu cầu phức tạp được thực thi thông qua Chính sách nhóm. Mật khẩu càng dài thì các công cụ tự động càng khó bẻ khóa bằng các phương pháp vũ phu. Tránh sử dụng lại mật khẩu trên các tài khoản quản trị khác nhau vì một thông tin xác thực bị xâm phạm có thể lan truyền khắp toàn bộ cơ sở hạ tầng của bạn.
Cập nhật kịp thời Windows và RDP Stack
Vá các lỗi RDP đã biết và tung ra các bản cập nhật trên các máy chủ và máy khách. Các lỗ hổng cũ vẫn xuất hiện tràn lan và những kẻ tấn công nhắm mục tiêu vào các hệ thống chưa được vá trước tiên vì chúng dễ dàng hơn. Triển khai lịch vá lỗi thường xuyên bằng cách sử dụng các đường cơ sở của Windows Update, WSUS hoặc Intune để đảm bảo cơ sở hạ tầng RDP của bạn luôn cập nhật trước các hoạt động khai thác đã biết.
Thu thập và cảnh báo về các lần đăng nhập thất bại
Chuyển tiếp nhật ký Bảo mật Windows tới SIEM, xem ID sự kiện 4625 và 4624, đồng thời cảnh báo về khối lượng bất thường, khu vực địa lý nguồn và các lần truy cập tài khoản dịch vụ. Học cách ngăn chặn các cuộc tấn công vũ phu luôn bao gồm việc theo dõi nhật ký vì việc phát hiện phản ứng sẽ hạn chế thiệt hại khi các biện pháp kiểm soát phòng ngừa không thành công. Định cấu hình cảnh báo cho hơn 10 lần thử không thành công từ một IP trong vòng một giờ và theo dõi các mẫu đăng nhập Loại 10 (tương tác từ xa) và Loại 3 (mạng) cho biết hoạt động RDP.
Mỗi điều này đều làm giảm rủi ro. Họ cùng nhau hình thành các phương pháp ngăn chặn cuộc tấn công vũ phu RDP có thể chịu được áp lực thực sự.
| Phương pháp | Độ phức tạp triển khai | Cấu hình ở đâu | Lợi ích chính |
| Cổng VPN/RD | Trung bình | Tường lửa hoặc Cổng RD (cổng 443) | Loại bỏ tiếp xúc với cổng công cộng 3389 |
| Xác thực đa yếu tố | Trung bình | Cổng, nhà cung cấp danh tính hoặc tiện ích bổ sung RDP | Dừng các nỗ lực đăng nhập chỉ bằng mật khẩu |
| Xác thực cấp mạng | Thấp | Hộp kiểm Thuộc tính hệ thống → Từ xa → NLA | Xác thực trước khi tạo phiên |
| Chính sách khóa tài khoản | Thấp | secpol.msc → Account Policies → Account Lockout | Giới hạn việc đoán mật khẩu vô hạn |
| Giám sát nhật ký sự kiện | Trung bình | SIEM/EDR hoặc Trình xem sự kiện Windows | Phát hiện mẫu tấn công sớm |
| Danh sách cho phép IP/Hàng rào địa lý | Thấp | Quy tắc tường lửa hoặc chính sách IPS/Geo | Hạn chế quyền truy cập nguồn kết nối |
| Chính sách mật khẩu mạnh | Thấp | GPO miền hoặc Chính sách bảo mật cục bộ | Tăng độ khó vũ phu |
| Vá thường xuyên | Thấp | Windows Update, WSUS hoặc Intune | Đóng các lỗ hổng RDP đã biết |
Cách phát hiện các cuộc tấn công Brute Force RDP đang hoạt động
Trước khi kiểm soát, hãy chú ý đến những điều cơ bản. Giám sát ID sự kiện 4625 trong nhật ký Bảo mật Windows để phát hiện các lần đăng nhập không thành công vì các mức tăng đột biến cho thấy các cuộc tấn công đang diễn ra. Khi bạn thấy hàng chục hoặc hàng trăm sự kiện 4625 từ cùng một IP nguồn trong vòng vài phút, bạn đang xem một nỗ lực bạo lực trong thời gian thực. Tính năng phát hiện hiện đại tìm kiếm đăng nhập Loại 3 (xác thực mạng qua NLA), sau đó là đăng nhập Loại 10 (tương tác từ xa), do luồng xác thực đã thay đổi khi áp dụng Xác thực Cấp Mạng.
Hãy chú ý đến các kiểu đăng nhập không thành công trên nhiều tên người dùng từ các IP đơn lẻ, điều này báo hiệu việc phun mật khẩu thay vì các cuộc tấn công có chủ đích. Sự không nhất quán về mặt địa lý cũng quan trọng. Nếu người dùng của bạn làm việc ở Bắc Mỹ nhưng bạn thấy các nỗ lực đăng nhập từ Đông Âu hoặc Châu Á thì đó là dấu hiệu đáng báo động cần điều tra ngay lập tức. Một số kẻ tấn công sử dụng proxy dân cư để che giấu vị trí thực sự của chúng, nhưng khối lượng và mô hình thời gian vẫn tiết lộ sự hiện diện của chúng.
Chuyển tiếp các sự kiện này tới hệ thống ghi nhật ký tập trung hoặc SIEM có thể tương quan với hoạt động trên nhiều máy chủ. Đặt ngưỡng cảnh báo dựa trên các mẫu xác thực thông thường trong môi trường của bạn, vì những gì có vẻ bình thường đối với doanh nghiệp lớn có thể gây nghi ngờ đối với doanh nghiệp nhỏ. Mục tiêu là học cách ngăn chặn các cuộc tấn công vũ phu và mô hình của chúng trước khi chúng thành công, chứ không chỉ ghi lại chúng sau khi thiệt hại xảy ra.
Cách ngăn chặn cuộc tấn công vũ phu RDP đang diễn ra
Nếu quá trình giám sát đưa ra cảnh báo về các lần đăng nhập không thành công hoặc lần gửi thông tin xác thực lặp đi lặp lại, hãy thực hiện các bước theo thứ tự. Đầu tiên, chứa nguồn bằng cách chặn IP hoặc phạm vi ở tường lửa chu vi. Nếu âm lượng cao, hãy áp dụng giới hạn tốc độ tạm thời để làm chậm cuộc tấn công trong khi bạn điều tra. Đừng đợi các công cụ tự động bắt kịp khi bạn có thể thấy cuộc tấn công diễn ra trong thời gian thực.
Thứ hai, ổn định danh tính bằng cách hết hạn mật khẩu của tài khoản mục tiêu và kiểm tra khả năng sử dụng lại trên các dịch vụ khác. Vô hiệu hóa tài khoản nếu nghi ngờ có sự xâm phạm vì việc ngăn chặn quyền truy cập sẽ giúp dọn dẹp sau khi vi phạm. Xem lại các lần đăng nhập thành công gần đây của tài khoản đó để xác định xem kẻ tấn công đã xâm nhập trước khi bạn nhận ra hay chưa.
Thứ ba, xác thực các đường dẫn truy cập bằng cách xác nhận rằng cần có RD Gateway hoặc VPN để truy cập và xóa mọi hoạt động chuyển tiếp cổng giả mạo khiến 3389 lộ ra internet. Một số cuộc tấn công thành công vì ai đó đã mở quy tắc tường lửa tạm thời từ nhiều tháng trước và quên đóng nó. Thứ tư, tìm kiếm các tác dụng phụ bằng cách xem lại nhật ký phiên RDP, quản trị viên cục bộ mới, lượt cài đặt dịch vụ và các tác vụ đã lên lịch. Phép đo từ xa EDR giúp nắm bắt các động thái dai dẳng mà kẻ tấn công thực hiện trong các khoảng thời gian truy cập ngắn.
Cuối cùng, điều chỉnh việc phát hiện bằng cách thêm các quy tắc cho các cơn bão đăng nhập không thành công trên các tài khoản đặc quyền và kích hoạt việc bán vé để theo dõi để các bài học trở thành mặc định. Những hành động này giúp rút ngắn thời gian xảy ra sự cố và thể hiện chính xác cách ngăn chặn các cuộc tấn công bạo lực gây ra thiệt hại sau khi cảnh báo phát hiện kích hoạt.
Chiến lược bảo vệ lực lượng vũ phu RDP nâng cao
Một vài bước bổ sung sẽ mang lại hiệu quả, đặc biệt đối với khối lượng công việc sử dụng Internet và quản trị viên khi đang di chuyển. Đặt ngưỡng cho mỗi IP trên Cổng RD hoặc tường lửa của bạn và điều chỉnh chữ ký IPS phù hợp với lũ bắt tay không thành công RDP. Điều này giúp các bot không tấn công bạn ở tốc độ máy và cung cấp cho cảnh báo SOC nhiều bối cảnh hơn để phân loại. Giới hạn tốc độ ở biên mạng sẽ ngăn chặn những kẻ tấn công cá nhân tiêu thụ tất cả tài nguyên xác thực của bạn. Các nhóm ransomware lớn, bao gồm Black Basta và RansomHub, đã áp dụng RDP brute-force như một kỹ thuật truy cập ban đầu chính.
EDR hiện đại bổ sung siêu dữ liệu phiên giúp phân biệt công việc của quản trị viên với các cuộc tấn công theo giai đoạn, hỗ trợ tìm kiếm trên các máy chủ có liên quan. Bối cảnh đó rút ngắn thời gian dừng khi kẻ tấn công di chuyển ngang qua môi trường của bạn. Sự khác biệt giữa việc phát hiện hành vi xâm nhập theo giờ so với theo ngày thường nằm ở việc có thiết bị đo từ xa phù hợp ở đúng nơi.
Tắt tính năng chuyển hướng ổ đĩa, khay nhớ tạm và máy in không cần thiết trên các máy chủ có nguy cơ cao. Việc tắt các tính năng tiện lợi sẽ gây trở ngại cho những kẻ xâm nhập đang cố gắng lấy cắp dữ liệu hoặc di chuyển các công cụ vào môi trường của bạn. Kết hợp với các nguyên tắc ít đặc quyền nhất và sự tách biệt của quản trị viên cục bộ để việc xâm phạm một tài khoản không làm mất đi mọi thứ. Việc ngăn chặn các nỗ lực bạo lực sẽ dễ dàng hơn khi chuyển động bên chậm lại như bò.
Việc làm xáo trộn cổng bằng cách thay đổi 3389 mặc định không dừng các lần quét được xác định nhưng nó giúp giảm tiếng ồn từ các bot chỉ truy cập các cổng mặc định. Nếu bạn thay đổi nó, vẫn ghép nối với VPN, danh sách cho phép và MFA vì chỉ riêng tính năng che khuất sẽ không thể chống lại các cuộc tấn công có chủ đích. Trên các máy chủ Windows mới, hãy xác nhận cài đặt Remote Desktop, NLA và các quy tắc tường lửa từ thiết bị đầu cuối nâng cao bằng PowerShell hoặc CMD. Các tác vụ như kích hoạt RDP thông qua dòng lệnh luôn rõ ràng và có thể lặp lại khi được viết kịch bản và xem xét, gắn các bước này vào quy trình thay đổi của bạn để phát hiện sớm tình trạng trôi dạt.
Vệ sinh RDP là một phần của câu chuyện truy cập từ xa rộng hơn. Nếu bạn quản lý hệ thống qua trình duyệt hoặc ứng dụng của bên thứ ba, hãy kiểm tra cả những hệ thống đó—Rủi ro bảo mật của Chrome Remote Desktop, chẳng hạn, có thể tạo ra nhiều tiếng ồn khi ghi nhật ký như 3389. Việc vệ sinh tốt các công cụ giúp cho khả năng bảo vệ chống bạo lực của RDP trở nên mạnh mẽ trên mọi phương diện.
Phần kết luận
Bây giờ bạn đã có câu trả lời rõ ràng, nhiều lớp cho “làm thế nào để ngăn chặn các cuộc tấn công vũ phu RDP?” Giữ mức độ tiếp xúc ở mức thấp với VPN hoặc cổng, nâng cao tiêu chuẩn với các chính sách MFA, NLA và khóa, đồng thời theo dõi chặt chẽ nhật ký xác thực. Các bước này hình thành nên biện pháp ngăn chặn tấn công bạo lực thực tế, hoạt động trong môi trường thực dưới áp lực thực tế chứ không chỉ trong tài liệu.
Nếu bạn cần một môi trường sạch sẽ để kiểm tra các biện pháp kiểm soát này hoặc chỗ đứng sản xuất có mức độ bảo mật phù hợp, bạn có thể mua RDP từ các nhà cung cấp có khả năng kết nối nhanh, bộ lưu trữ NVMe để I/O nhanh và cơ sở hạ tầng giám sát phù hợp. Chọn các trung tâm dữ liệu phù hợp với vị trí nhóm của bạn để độ trễ luôn ở mức thấp và đảm bảo nhà cung cấp hỗ trợ các biện pháp kiểm soát bảo mật mà bạn cần.
Cần một máy tính để bàn từ xa?
Máy chủ RDP đáng tin cậy, hiệu suất cao với thời gian hoạt động 99,95. Mang theo máy tính để bàn của bạn khi di chuyển đến tất cả các thành phố lớn ở Hoa Kỳ, Châu Âu và Châu Á.
Nhận máy chủ RDP
