远程桌面协议仍然是首要目标,因为暴露的端口 3389、弱密码和嘈杂的登录遥测使机器人和低技能参与者的生活变得轻松。如果您问如何防止 RDP 暴力攻击,简短的答案是减少暴露、提高身份验证强度并像鹰一样监视日志。将端口 3389 隐藏在 VPN 或 RD 网关后面,在每个接入点强制执行 MFA,启用网络级身份验证,将帐户锁定策略设置为 5 到 10 次尝试(持续时间 15 到 30 分钟),并持续监控事件 ID 4625 峰值。攻击者扫描、猜测和转向的速度逐年加快,因此您的策略需要具体的控制,而不是一厢情愿的想法。
TL;DR:快速保护清单
- 将端口 3389 隐藏在 VPN 或 RD 网关后面以消除公开暴露
- 要求所有 RDP 接入点进行多重身份验证
- 启用网络级身份验证 (NLA) 以进行会话前验证
- 设置帐户锁定:5-10次无效尝试,持续时间15-30分钟,15分钟重置
- 持续监控 Windows 事件 ID 4625(失败)和 4624(成功)
- 使用 IP 白名单和地理封锁来限制源访问
- 维护强大的密码策略,最小长度超过 14 个字符
为什么 RDP 暴力攻击会成功
开放 RDP 很有吸引力,因为它可以在几分钟内通过大规模扫描找到它,它通常以本地管理员权限运行,而且一个弱密码可能会导致勒索软件。端口 3389 暴露在公共互联网上,就像广告牌广告访问一样,自动化工具不需要专业知识来敲击登录屏幕。密码攻击急剧升级, 微软报告增长 74% 仅从2021年到2022年。这就是为什么任何关于暴力攻击预防的指南总是从不在公共互联网上暴露 3389 开始,然后在任何人到达登录屏幕之前添加 MFA 和锁定规则等层。
2025 年中期 FDN3 等网络发起的最新活动表明,大规模密码喷射可以快速针对数千个系统中的 SSL VPN 和 RDP 设备。攻击在安全团队准备最不充分的特定窗口期间达到顶峰,并且由于基本原理仍然被破坏,这种模式会重复出现。登录失败的突然激增、重复尝试多个用户名以及跨国家/地区的 IP 都是明显的迹象,但当您在没有适当监控的情况下注意到它们时,损害通常已经开始。风险很高: Verizon 的 2025 年数据泄露调查报告 发现 44% 的违规行为中存在勒索软件,而 RDP 仍然是这些攻击的首选入口点。
现代端点检测可以将会话级 RDP 数据拼接在一起,以便响应人员更快地发现喷雾和祈祷模式。但预防每次都胜过检测,这就是为什么下一节重点关注在攻击成为事件之前阻止攻击的控制措施。
如何防范RDP暴力攻击:核心防护方法
最快的收益来自网络暴露的减少、更强大的登录门和内置的 Windows 策略。掌握如何防止 RDP 暴力攻击意味着实施结合所有这些层的 RDP 暴力保护。
先把敞开的门关上:删除公共3389
将 RDP 隐藏在 VPN 后面或使用 TLS 加密在端口 443 上部署远程桌面网关。已知 IP 的简短允许列表加上网关每次都会击败原始端口转发。此举大大减少了噪音并降低了密码猜测量。配置外围防火墙以阻止从 Internet 对端口 3389 的直接访问,然后通过安全网关路由所有合法流量。攻击者无法暴力破解他们无法达到的目标。
为 RDP 打开多重身份验证
防推送垃圾邮件的 MFA(例如带有数字匹配或硬件密钥的应用程序提示)可阻止大多数仅使用密码的入侵。在网关级别或通过具有紧密目录集成的 RDP 提供商添加 MFA。根据 Microsoft 的研究,超过 99% 的受感染帐户没有启用 MFA,这告诉您有关此控制为何如此重要的一切。使用网络策略服务器与 Azure AD 集成通过 RD 网关进行部署,或使用支持 TOTP 和硬件令牌的第三方解决方案。
需要网络级身份验证 (NLA)
NLA 在完整桌面加载之前强制进行身份验证,从而减少失败会话造成的资源消耗并减少攻击面。将 NLA 与 TLS 配对以进行加密凭证传输。这会将验证转移到使用凭据安全支持提供程序 (CredSSP) 的连接过程的一开始。根据同行评审的研究,NLA 通过防止未经身份验证的会话消耗服务器资源,可以将主动攻击期间的 RDP 延迟减少 48%。通过“系统属性”的“远程”选项卡,选择“仅允许来自运行网络级身份验证的计算机的连接”来启用它。
应用帐户锁定政策
设置合理的阈值和锁定窗口,这样机器人就无法永远猜测。这些是经典的 RDP 暴力攻击预防方法,在正确配置的情况下它们仍然有效。通过帐户策略下的本地安全策略 (secpol.msc) 使用以下参数进行配置:5-10 次无效尝试的阈值、15-30 分钟的锁定持续时间以及 15 分钟后重置计数器。这些价值观来自多个 2025 年安全基线的共识,包括 Windows 安全建议和行业框架。平衡安全性与帮助台负载,因为每个锁定的帐户都会生成一张支持票证。
使用允许列表和地理围栏
限制谁可以敲门。在许多小型办公室设置中,国家/地区区块、ASN 区块和简短的静态允许列表将流量减少到几乎为零。在防火墙级别配置这些规则,阻止您从未与之开展业务的整个地理区域,并限制远程工作人员对特定 IP 范围的访问。某些环境通过实施基于时间的访问控制来进一步实现这一点,仅在工作时间内允许 RDP。
强化密码和轮换
使用长密码、每个管理员独有的秘密以及密码管理器。这是基本的 RDP 暴力保护,但太多的违规行为仍然从这里开始。将最小密码长度设置为 14 个字符,并通过组策略强制执行复杂性要求。密码越长,自动化工具就越难通过暴力方法破解。避免在不同的管理帐户之间重复使用密码,因为一个泄露的凭据可能会级联到整个基础设施。
及时更新 Windows 和 RDP 堆栈
修补已知的 RDP 缺陷并跨服务器和客户端滚动更新。旧的漏洞仍然在野外出现,攻击者首先瞄准未打补丁的系统,因为它们更容易。使用 Windows Update、WSUS 或 Intune 基线实施定期修补计划,以确保您的 RDP 基础设施保持最新状态,抵御已知漏洞。
收集失败登录并发出警报
将 Windows 安全日志转发到 SIEM,观察事件 ID 4625 和 4624,并对异常卷、源地理位置和服务帐户点击发出警报。学习如何防止暴力攻击始终包括密切关注日志,因为反应式检测可以在预防性控制失败时限制损害。配置一小时内单个 IP 超过 10 次失败尝试的警报,并监控指示 RDP 活动的类型 10(远程交互)和类型 3(网络)登录模式。
其中每一项都可以单独降低风险。它们共同构成了在实际压力下仍然有效的 RDP 暴力攻击预防方法。
| 方法 | 实施复杂性 | 在哪里配置 | 主要好处 |
| VPN/RD 网关 | 中等的 | 防火墙或 RD 网关(端口 443) | 消除公共端口 3389 暴露 |
| 多重身份验证 | 中等的 | 网关、身份提供商或 RDP 附加组件 | 停止仅使用密码登录尝试 |
| 网络级身份验证 | 低的 | 系统属性 → 远程 → NLA 复选框 | 会话创建前的身份验证 |
| 账户锁定政策 | 低的 | secpol.msc → Account Policies → Account Lockout | 限制无限密码猜测 |
| 事件日志监控 | 中等的 | SIEM/EDR 或 Windows 事件查看器 | 早期攻击模式检测 |
| IP 许可名单/地理围栏 | 低的 | 防火墙规则或 IPS/Geo 策略 | 限制连接源访问 |
| 强密码政策 | 低的 | 域 GPO 或本地安全策略 | 增加暴力破解难度 |
| 定期修补 | 低的 | Windows 更新、WSUS 或 Intune | 修复已知的 RDP 漏洞 |
如何检测主动 RDP 暴力攻击
在进行控制之前,请关注基础知识。监视 Windows 安全日志中的事件 ID 4625 是否有失败的登录尝试,因为峰值表明存在活动攻击。当您在几分钟内看到来自同一源 IP 的数十或数百个 4625 事件时,您正在实时观看暴力破解尝试。现代检测会查找类型 3 登录(通过 NLA 进行网络身份验证),然后查找类型 10 登录(远程交互),因为身份验证流程随着网络级身份验证的采用而发生变化。
请注意来自单个 IP 的多个用户名的失败登录模式,这表明密码喷洒而不是有针对性的攻击。地理上的不一致也很重要。如果您的用户在北美工作,但您看到来自东欧或亚洲的登录尝试,则这是一个值得立即调查的危险信号。一些攻击者使用住宅代理来隐藏他们的真实位置,但数量和时间模式仍然暴露他们的存在。
将这些事件转发到可以关联多个服务器之间的活动的集中式日志记录系统或 SIEM。根据环境的正常身份验证模式设置警报阈值,因为对于大型企业来说看似正常的操作对于小型企业来说可能是可疑的。目标是学习如何在暴力攻击成功之前阻止其模式,而不仅仅是在损坏发生后记录它们。
如何阻止正在进行的 RDP 暴力攻击
如果监控针对重复登录失败或凭据喷射发出警报,请按顺序执行步骤。首先,通过在外围防火墙处阻止 IP 或范围来遏制源。如果流量很大,请在调查时应用临时速率限制以减缓攻击。当您可以实时看到攻击发生时,不要等待自动化工具赶上来。
其次,通过使目标帐户的密码过期并检查是否在其他服务上重复使用来稳定身份。如果怀疑存在泄露,请禁用该帐户,因为阻止访问胜过在泄露后进行清理。查看该帐户最近的成功登录,以确定攻击者是否在您注意到之前就已经登录。
第三,通过确认访问需要 RD 网关或 VPN 来验证访问路径,并删除任何将 3389 重新暴露到互联网的恶意端口转发。有些攻击之所以成功,是因为有人在几个月前打开了临时防火墙规则,但忘记将其关闭。第四,通过查看 RDP 会话日志、新的本地管理员、服务安装和计划任务来寻找副作用。 EDR 遥测有助于捕获攻击者在短暂访问窗口期间植入的持久性移动。
最后,通过在特权帐户上添加登录失败风暴的规则来调整检测,并触发后续通知,使课程成为默认课程。这些行动可以缩短事件发生时间,并准确演示如何在检测到火灾警报后防止暴力攻击造成损害。
高级 RDP 暴力保护策略
一些额外的步骤会带来回报,特别是对于面向互联网的工作负载和忙碌的管理员。在 RD 网关或防火墙上设置每个 IP 阈值,并调整与 RDP 握手失败泛洪匹配的 IPS 签名。这可以防止机器人以机器速度攻击您,并为 SOC 警报提供更多分类背景。网络边缘的速率限制可防止个别攻击者消耗您的所有身份验证资源。主要勒索软件组织(包括 Black Basta 和 RansomHub)已采用 RDP 暴力破解作为主要的初始访问技术。
现代 EDR 添加了会话元数据,有助于区分管理工作和分阶段攻击,支持跨相关主机进行搜索。当攻击者在您的环境中横向移动时,该上下文会缩短停留时间。在数小时内捕获入侵与在数天内捕获入侵之间的差异通常取决于在正确的位置拥有正确的遥测技术。
关闭高风险主机上不必要的驱动器、剪贴板和打印机重定向。禁用便利功能会给试图窃取数据或将工具转移到您的环境中的入侵者带来阻力。与最低权限原则和本地管理员分离相结合,因此危及一个帐户并不会交出一切。当横向运动减慢到爬行速度时,阻止暴力尝试会更容易。
通过更改默认 3389 进行端口混淆不会停止已确定的扫描,但它可以消除仅命中默认端口的机器人的噪音。如果您更改它,仍然与 VPN、白名单和 MFA 配对,因为仅靠模糊性无法抵御有针对性的攻击。在新的 Windows 服务器上,使用 PowerShell 或 CMD 从提升的终端确认远程桌面设置、NLA 和防火墙规则。通过命令行启用 RDP 等任务在编写脚本和进行审查时保持干净且可重复,将这些步骤与您的变更流程联系起来,以便及早发现偏差。
RDP 卫生是更广泛的远程访问故事的一部分。如果您通过浏览器或第三方应用程序管理系统,也请审核它们 -Chrome远程桌面安全风险例如,可以生成与暴露的 3389 一样多的日志噪声。工具之间良好的卫生状况可以使 RDP 强力保护全面强大。
结论
现在,您对“如何防止 RDP 暴力攻击?”有了一个清晰、分层的答案。通过 VPN 或网关保持较低的暴露程度,通过 MFA、NLA 和锁定策略提高标准,并密切关注身份验证日志。这些步骤形成了实用的暴力攻击预防方法,可以在实际压力下的真实环境中发挥作用,而不仅仅是在文档中。
如果您需要一个干净的环境来测试这些控制或具有适当安全性的生产立足点,您可以 购买 RDP 来自提供商,包括快速连接、用于快速 I/O 的 NVMe 存储以及适当的监控基础设施。选择与您的团队位置相匹配的数据中心,以保持较低的延迟,并确保提供商支持您所需的安全控制。
需要远程桌面吗?
可靠、高性能的 RDP 服务器,正常运行时间为 99.95。随身携带您的桌面前往美国、欧洲和亚洲的所有主要城市。
获取 RDP 服务器
