из серии - не используйте простые пароли ...
Прямой проброс порта RDP в интернет подход, который подходит только для «Home Edition». В корпоративной среде он недопустим. Да, это не 100%-ная гарантия взлома, но один из самых массовых и проверенных векторов атак.
Многие серверы с открытым портом 3389 работают годами и не взламываются просто потому, что хакеры выбирают более «мягкие» цели. Но если атака всё же произойдёт, последствия могут быть катастрофическими: утечка данных, заражение шифровальщиком, использование сервера для атак на другие системы или даже полная потеря контроля над инфраструктурой.
Стоит ли рисковать ради удобства? Давайте посмотрим объективно:
Вероятность атаки — высокая. Автоматические сканеры находят открытые RDP-серверы за минуты.
Импакт — критический. По сути, вы предоставляете злоумышленнику первичный доступ к критически важным активам.
Сложность защиты — низкая. Базовое решение уровня VPN + MFA реализуется быстро и недорого.
Простое правило: если что-то можно не публиковать в интернете — лучше так и сделать.
Почему хакеры ищут открытые RDP-порты
Remote Desktop Protocol проприетарный протокол Microsoft для удалённого управления Windows-серверами и рабочими станциями. Открытый порт 3389 делает сервер мгновенно видимым для сканеров, работающих 24/7.
Добропорядочному администратору лень настраивать защиту. А хакерам — не лень. Их автоматизированные инструменты сканируют миллионы IP-адресов, выискивая открытые порты. Сервисы вроде Shodan или Censys индексируют ваш сервер за секунды и делают его доступным любому желающему.
Сменили порт? Сканеры всё равно найдут RDP по сигнатуре протокола.
Закрыли порт? Ваш IP может ещё долго оставаться в базах данных злоумышленников.
Как происходит взлом RDP
Подбор паролей и credential stuffing
Хакеры используют автоматические инструменты для подбора стандартных логинов (Administrator, admin, user, SRV-DB\ivanov) и паролей из баз утечек (почта, соцсети, форумы). Без блокировки после нескольких неудачных попыток бот перебирает тысячи комбинаций в минуту. P.S. отказ от "По умолчанию" - переименовывайте стандартные учетные записи.
Даже сложный пароль не спасает, если он уже скомпрометирован. В атаках credential stuffing хакеры просто пробуют украденные пары логин/пароль и при совпадении заходят с первой попытки, минуя любые механизмы блокировки.
А что потом? Как быстро вы обнаружите чужую сессию? Через час? День? Неделю?
Уязвимости в самом протоколе RDP
Иногда для взлома не нужны ни логин, ни пароль. Уязвимости позволяют выполнить произвольный код на сервере одним сетевым пакетом. Если система не обновлена злоумышленник получает полный контроль мгновенно.
Новые уязвимости появляются регулярно. Гарантировать своевременное обновление всего парка — большая ответственность. Например, можно ввести KPI: закрытие критических уязвимостей в течение 7 дней. Это и есть патч-менеджмент не опция, а обязанность.
Почему смена порта не защищает
Смена порта с 3389 на, скажем, 33990 не мера безопасности, а чаще всего способ организовать несколько сервисов на одном IP. Сканеры проверяют все порты и легко распознают RDP по сигнатуре.
Такой подход лишь немного снижает «шум» от примитивных ботов, но не останавливает целенаправленную атаку.
А что часто публикуют таким образом?
— Серверы баз данных,
— Системы видеонаблюдения,
— RDP для «админов из дома».
Всё это даёт первичный доступ к инфраструктуре или содержит коммерческую тайну. Как говорится: «Большая сила большая ответственность». Или: «Удобство не должно быть выше безопасности».
Как безопасно использовать RDP: решение уровня «Enterprise»
Не публикуйте RDP напрямую в интернет
Вместо «Home Edition» используйте:
VPN (WireGuard, OpenVPN, IPsec) доступ через защищённый туннель.
Remote Desktop Gateway (RD Gateway) официальное решение Microsoft, инкапсулирующее RDP в HTTPS (порт 443).
В идеале jump-сервер или прокси, через который идёт весь доступ. Прямой проброс всегда последнее средство.
Включите Network Level Authentication (NLA)
NLA требует аутентификации до начала графической сессии. Это защищает от DoS-атак и блокирует устаревшие клиенты, включая многие инструменты брутфорса.
Настройте блокировку после неудачных попыток
В «Локальной политике безопасности» (secpol.msc) или через групповые политики задайте:
Блокировку учётной записи после 3–5 неудачных попыток.
Время блокировки минимум 15 минут. В это время злоумышленник будет подбирать пароли к другим учетным записям.
Это замедлит, а в большинстве случаев полностью остановит автоматический перебор.
Ограничьте доступ по IP-адресам
Разрешите подключения только с доверенных IP (офис, статический IP провайдера). Это делает сервер невидимым для подавляющего большинства ботов. Да, это не идеально - но лучше, чем ничего, и уж точно надёжнее, чем открытый порт всему интернету.
Используйте двухфакторную аутентификацию (MFA)
Хакер не войдёт без второго фактора кода из приложения, push-уведомления или аппаратного ключа.
Доступны как коммерческие решения (КриптоПро MFA, Рутокен MFA), так и open-source варианты для небольших компаний. Если функция MFA поддерживается включайте её. Это недорого, просто и эффективно.
Регулярно обновляйте Windows
Устанавливайте обновления безопасности сразу после их выпуска. Настройте автоматическую установку через Центр обновления Windows или WSUS. Это часть базового харденинга и патч-менеджмента.
Что делать, если RDP уже открыт в интернете
Если вы используете RDP в режиме «Home Edition»:
Немедленно закройте порт 3389 в брандмауэре или на маршрутизаторе.
Проверьте журналы Windows:
Событие 4624 — успешные входы,
Событие 4625 — неудачные попытки.Особенно подозрительно: 100 неудачных попыток за 30 секунд → одна успешная.
Смените пароли всех учётных записей с доступом к RDP — считайте их заведомо скомпрометированными.
Установите все обновления.
Настройте безопасный VPN доступ (например, WireGuard на Linux) или RD Gateway с MFA.
В интернете полно подробных гайдов. Да, за час вы настроите только базовое решение — но это уже начало пути к безопасности.
Удобство редко стоит потенциальных последствий от взлома.
Прямой проброс RDP — это не «немного рискованно», а осознанный выбор в пользу уязвимости. Спасибо!
——
Вы про эксплоиты забыли и смысл "не публиковать вообще ни чего с сервера на прямую" включая информацию что сервера у вас на Windows.
Вы рассматриваете атаки только за один шаг, а бывает и сложнее.
0
