из серии - не используйте простые пароли ...
Прямой проброс порта RDP в интернет подход, который подходит только для «Home Edition». В корпоративной среде он недопустим. Да, это не 100%-ная гарантия взлома, но один из самых массовых и проверенных векторов атак.
Многие серверы с открытым портом 3389 работают годами и не взламываются просто потому, что хакеры выбирают более «мягкие» цели. Но если атака всё же произойдёт, последствия могут быть катастрофическими: утечка данных, заражение шифровальщиком, использование сервера для атак на другие системы или даже полная потеря контроля над инфраструктурой.
Стоит ли рисковать ради удобства? Давайте посмотрим объективно:
Вероятность атаки — высокая. Автоматические сканеры находят открытые RDP-серверы за минуты.
Импакт — критический. По сути, вы предоставляете злоумышленнику первичный доступ к критически важным активам.
Сложность защиты — низкая. Базовое решение уровня VPN + MFA реализуется быстро и недорого.
Простое правило: если что-то можно не публиковать в интернете — лучше так и сделать.
Почему хакеры ищут открытые RDP-порты
Remote Desktop Protocol проприетарный протокол Microsoft для удалённого управления Windows-серверами и рабочими станциями. Открытый порт 3389 делает сервер мгновенно видимым для сканеров, работающих 24/7.
Добропорядочному администратору лень настраивать защиту. А хакерам — не лень. Их автоматизированные инструменты сканируют миллионы IP-адресов, выискивая открытые порты. Сервисы вроде Shodan или Censys индексируют ваш сервер за секунды и делают его доступным любому желающему.
Сменили порт? Сканеры всё равно найдут RDP по сигнатуре протокола.
Закрыли порт? Ваш IP может ещё долго оставаться в базах данных злоумышленников.
Как происходит взлом RDP
Подбор паролей и credential stuffing
Хакеры используют автоматические инструменты для подбора стандартных логинов (Administrator, admin, user, SRV-DB\ivanov) и паролей из баз утечек (почта, соцсети, форумы). Без блокировки после нескольких неудачных попыток бот перебирает тысячи комбинаций в минуту. P.S. отказ от "По умолчанию" - переименовывайте стандартные учетные записи.
Даже сложный пароль не спасает, если он уже скомпрометирован. В атаках credential stuffing хакеры просто пробуют украденные пары логин/пароль и при совпадении заходят с первой попытки, минуя любые механизмы блокировки.
А что потом? Как быстро вы обнаружите чужую сессию? Через час? День? Неделю?
Уязвимости в самом протоколе RDP
Иногда для взлома не нужны ни логин, ни пароль. Уязвимости позволяют выполнить произвольный код на сервере одним сетевым пакетом. Если система не обновлена злоумышленник получает полный контроль мгновенно.
Новые уязвимости появляются регулярно. Гарантировать своевременное обновление всего парка — большая ответственность. Например, можно ввести KPI: закрытие критических уязвимостей в течение 7 дней. Это и есть патч-менеджмент не опция, а обязанность.
Почему смена порта не защищает
Смена порта с 3389 на, скажем, 33990 не мера безопасности, а чаще всего способ организовать несколько сервисов на одном IP. Сканеры проверяют все порты и легко распознают RDP по сигнатуре.
Такой подход лишь немного снижает «шум» от примитивных ботов, но не останавливает целенаправленную атаку.
А что часто публикуют таким образом?
— Серверы баз данных,
— Системы видеонаблюдения,
— RDP для «админов из дома».
Всё это даёт первичный доступ к инфраструктуре или содержит коммерческую тайну. Как говорится: «Большая сила большая ответственность». Или: «Удобство не должно быть выше безопасности».
Как безопасно использовать RDP: решение уровня «Enterprise»
Не публикуйте RDP напрямую в интернет
Вместо «Home Edition» используйте:
VPN (WireGuard, OpenVPN, IPsec) доступ через защищённый туннель.
Remote Desktop Gateway (RD Gateway) официальное решение Microsoft, инкапсулирующее RDP в HTTPS (порт 443).
В идеале jump-сервер или прокси, через который идёт весь доступ. Прямой проброс всегда последнее средство.
Включите Network Level Authentication (NLA)
NLA требует аутентификации до начала графической сессии. Это защищает от DoS-атак и блокирует устаревшие клиенты, включая многие инструменты брутфорса.
Настройте блокировку после неудачных попыток
В «Локальной политике безопасности» (secpol.msc) или через групповые политики задайте:
Блокировку учётной записи после 3–5 неудачных попыток.
Время блокировки минимум 15 минут. В это время злоумышленник будет подбирать пароли к другим учетным записям.
Это замедлит, а в большинстве случаев полностью остановит автоматический перебор.
Ограничьте доступ по IP-адресам
Разрешите подключения только с доверенных IP (офис, статический IP провайдера). Это делает сервер невидимым для подавляющего большинства ботов. Да, это не идеально - но лучше, чем ничего, и уж точно надёжнее, чем открытый порт всему интернету.
Используйте двухфакторную аутентификацию (MFA)
Хакер не войдёт без второго фактора кода из приложения, push-уведомления или аппаратного ключа.
Доступны как коммерческие решения (КриптоПро MFA, Рутокен MFA), так и open-source варианты для небольших компаний. Если функция MFA поддерживается включайте её. Это недорого, просто и эффективно.
Регулярно обновляйте Windows
Устанавливайте обновления безопасности сразу после их выпуска. Настройте автоматическую установку через Центр обновления Windows или WSUS. Это часть базового харденинга и патч-менеджмента.
Что делать, если RDP уже открыт в интернете
Если вы используете RDP в режиме «Home Edition»:
Немедленно закройте порт 3389 в брандмауэре или на маршрутизаторе.
-
Проверьте журналы Windows:
Событие 4624 — успешные входы,
Событие 4625 — неудачные попытки.Особенно подозрительно: 100 неудачных попыток за 30 секунд → одна успешная.
Смените пароли всех учётных записей с доступом к RDP — считайте их заведомо скомпрометированными.
Установите все обновления.
Настройте безопасный VPN доступ (например, WireGuard на Linux) или RD Gateway с MFA.
В интернете полно подробных гайдов. Да, за час вы настроите только базовое решение — но это уже начало пути к безопасности.
Удобство редко стоит потенциальных последствий от взлома.
Прямой проброс RDP — это не «немного рискованно», а осознанный выбор в пользу уязвимости. Спасибо!
Комментарии (23)
ED-209
09.10.2025 18:22Бытует мнение, что широко любимая парольная защита "три неверных попытки, 5 минут блокировка" - заведомо порочна. Правильный путь: условно 20-30 попыток и блокировка аккаунта сразу на сутки (или до выяснения разбирательств).
Т.к. в первом случае постоянно будет "белый шум". Трудно отсеять человеческий фактор от действительных попыток брутфорса. Во втором же случае, очевидно, человек столько раз не будет пытаться упрямо вводить пароль и, в случае явного алерта, превентивно-заведомо повод напрячься.
ED-209
09.10.2025 18:22Ну и, кстати, неизвестно, что еще хуже: торчащий RDP во внешке или голый, выставленный наружу Exchange (а, чаще всего, так и бывает). В последнем случае векторов атаки вообще тьма, начиная от всем известных уязвимостей и заканчивая банальной account lockout attack для пущего веселья. Exchange, наверное, даже на первое место поставил бы, в плане любимой кормушки для злоумышленников.
PereslavlFoto
09.10.2025 18:22Голый — то есть не два порта, а все порты?
ED-209
09.10.2025 18:22Под голым имею ввиду Exchange, перед которым нет дополнительной защиты в виде того же условного настроенного гейта FortiWeb/FortiGate Firewall к примеру. Также есть другие разновидности ПО, аналоги Fail2Ban для той же OWA.
Голый Exchange выставленный наружу, по сути, считайте что публикуете каталог LDAP active directory во внешку. Можно найти в интернете публичный адрес эйчара m.ivanova@company.com и потом из вне устроить атаку по маске со словарем и залочится половина учеток в компании.
Промежуточные firewall гейты такого сделать не дадут, спрячут exchange за собой. Сначала валидация и авторизация на них (со своими правилами, со своими настройками, вплоть до 2FA), дальше сквозной прозрачный пропуск до Exchange.
falcon4fun
09.10.2025 18:22Как же знакомо :) Мало того, что балансера нету даже и MX с CASом придется руками менять при падении одного из серверов, рестарте или тех обслуживании с учетом ожидания ТТЛа, так еще и долбятся в IMAP/SMTP/ActiveSync/EWS все кому не лень. Про антиспам в целом умолчу.
И из-за кривого решение потом начинают ныть на тему блокировки аккаунтов. В итоге вводятся токеты и серти��икаты на АктивСинк и получаем еще большую залупу. Браво. Аплодирую решениям.
PereslavlFoto
09.10.2025 18:22А как надо делать, если у вас в компании есть 1 сервер, где работает почтовая служба и все остальные службы?
В принципе, можно из своей зарплаты купить и второй, однако никто не хочет. Хорошо уже, что сотрудники согласились купить маршрутизатор со встроенным брандмауэром.
falcon4fun
09.10.2025 18:22Виртуализацию уже забанили или как?
Если фирма не может купить второй сервер, когда его цена пара штук евро, может следует сменить компанию и не кушать кактус, но не оправдывать фирму?
Рабочее место дороже стоит как бэ. С доком, лаптопом и парой мониторов.
Можно еще тогда поработать бесплатно, за спасибо, после работы ответить на все звонки, даже если за дежурство никто не платит. Периодически отвешивать поклоны, потому что хозяин приносит покушать. Всегда столько вопросов к людям, у которых какие-то проблемы с крепкостью того, что находится между их затылком и полупопиями. Видимо, я как то неправильно карьеру себе строю.
PereslavlFoto
09.10.2025 18:22Окей, сменили компанию. А что делать той прежней компании-то? Ей учредитель не заложил в бюджет расходы на второй сервер. Рабочие места там оборудованы пятнадцать лет назад. Для особых задач есть один лаптоп, и его выдают если кому-то из сотрудников нужно поработать в другой локации.
falcon4fun
09.10.2025 18:22Я не пойму: у вас Стокгольмский Синдром или вы троллите?
У меня нет таких проблем. В текущий момент я просто ухожу из компании, хлопнув дверью, потому что банально достало отсутствие изменений в лучшую сторону в компании и все ИТ проекты двигаются только мной. Дальше вопрос "что там в старой компании" меня перестает касаться, акциями ее я не владею. Серверные и шкафы во всех ДЦ могут хоть сгореть.
PereslavlFoto
09.10.2025 18:22Тут, на Хабре, принято на многие вопросы отвечать одинаково:
— Доплатите за это и это и это, купите такое и такое.
Получается заливка деньгами. Но что же делать, когда денег не хватает? Вы объяснили, что если нельзя залить деньгами, значит, вообще никакого решения нет.
Дальше вы объяснили, что надо хлопнуть дверью. Да, многие люди уже хлопнули дверью и уехали в областной центр и другие миллионные города. Но проблемы они с собою не увезли, проблемы остались.
когда его цена пара штук евро
2 000 евро * 95 рублей курс = 190 000 рублей
190 тр в сумме / 25 тр зарплаты на человека = 7,6 человекПара штук евро составляет чистую зарплату семи сотрудников на полную ставку. Это очень много.
ED-209
09.10.2025 18:22Тут надо соотносить возраст и социальное положение вопрошающего с аудиторией Хабра. Большинство Хабра-участников ветки люди взрослые, относительно состоявшиеся, семейные и с детьми. На зарплату условные $1000 в мес. даже не пошевелятся, не посмотрят ($1000?? А, это типичные еженедельные траты на данный момент).
Автору коммента, если только на старте развития, как ни крути, нужно двигать дальше. Эникейство -> Сисадминство -> компания уровня Corporate -> компания уровня Enterprise.
Что там Компания X с десятком компов останется без ИТ поддержки (о, ужас, это конец! (слова гендира)), нужно перебороть. Лайфхак: выруливает тотали релокация, как минимум, в другой город. Это как минимум. А в случае глобал релокации через полгода вообще забываете кто что и кому обещали, и что до этого чинили.
falcon4fun
09.10.2025 18:22Дополню. Забыли ещё что:
Никто не вспомнит никогда, что вы там помогали гендиру/исполнительному/<вставить любую должность, чью попу нужно прикрыть> в трудную минуту, когда у него кошка/собака умерла/дом сгорел/метеорит упал/<вставить любую причину>
Поднимали серверную при крит дауне в 2 ночи в выходной/отпуск/болезнь несколько дней подряд
Большинству людей крайне лень строить карьеру и они живут в зоне комфорта. (Но крайне любят тыкать в твою сторону пальцами с завистью в голосе. Блджад, тебе то что мешает? Вперед, приходи домой и работай, фирма не сильно против заплатить, если это влияет на стабильность инфры)
Не имеет инициативности и живут на уровне: есть тикет - работаю, нет тикета - не работаю.
Для карьеры нужно приходить домой и вкалывать, нет, не так. Въе**вать еще часов 5-8-10 после работы. Обычно мало спать или отсыпатсья на выходных и опять идти тыркать дорогую энтерпрайз песочницу. И инвестировать тонны своего личного времени (всё) в скиллы. С учетом еще того, что рядом будет человек, который вечером/на выходных/ночью захочет внимания, пообщаться, а не чтобы ты пересобирал бизнес-критикал кластер, и который параллельно будет нет-да-нет кушать мозг.
Работа это не "мы здесь все семья". Это торгово-рыночные отношения. Соотв "если мне не поднимают ЗП и я сделал много проектов за посл год, я иду к другим, где платят лучше и ценят"
Смена места работы дает прибавку к ЗП от 25 до 100% и выше, в зависимости от набора скиллов.
При серьезном прицеле на карьеру если начиная с эникея-аля-L1/L2, ЗП в первые 5 лет не растёт со скоростью 25-50% в год (в зависимости от инфляции), считаю что нужно менять понимание в карьере, либо дальше пускать корни. Т.к. личный опыт показывает, что с официальным энтерпрайз опытом в 2-3-5 лет можно иметь скиллы больше и лучше тех, кто сидит на попе по 10-15-20 лет. (ЗП тоже).
Внизапно бывают случаи, когда ты приходишь в компанию на роль админа, а после 3х месяцев испытательного тебе дают еще больше денег и ты становишься лид админом, т.к. крайне быстро доказываешь, что ты не дурак. (За 3 месяца очень много всего можно сделать, даже в рид-онли, указав на проблемы и как их можно исправить). При этом сам ты ничего не просишь от слова совсем. (:
Ты работаешь только для себя. Лучшая работа - инвестирование в увольнение, чтобы уйти с багажем хороших работ/проектов. Я вот например могу похвастаться, что за 3 года работы в посл конторе лишь 1 раз обронил что-то по своей вине. И то всего на полчаса (ARP конфликт внутри стораджа создал при переделке архитектуры главной кластера БД, когда наживую переделывал всё, включая комутацию с direct-connect до серваков на подключение через свитч. Конфигом порта стораджа попал на уже существующий сервер, который подключен к нему, поспешил чутка. MSSQL в WSFC встал раком от этого на одной ноде и не хотел передавать роль и ребутиться, пока не дернул через IPMI. В целом лучи поноса WSFC передаю. Hyper-V кластера кто юзает, мои искренние соболезнования, вы точно знаете, какое это говно. Если нет, среди моих комментов годик-полтора назад был развернутый - почему)
Ну и в догонку: идём в r/sysadmin. В поиске пишем rant. Сортируем за всё время. ��олучаем кучу крайне познавательных историй о том, как НЕ надо делать. Миллион слезливых историй "да я для фирмы последнюю бязевую рубашку рвал". На кой хер фирме твоя рваная бязевая рубашка - вопрос открытый.
Крч, как обычно. Когда комменты на хабре лучше статьи (статья говно, будем честны) :D
Abyss777
09.10.2025 18:22А что делать той прежней компании-то?
Не пользоваться Exchange? Вы же нашли деньги на покупку его? Или спиратили?
Поставьте postfix/dovecot , ааа тогда же нужно будет платить квалифицированным линукс-администраторам.
Нету денег - продавайтесь, переходите на яндекс-почту или маилру. Там вы будете товаром и платить ничего не надо.
В мире IT ничего не бывает купил-и-пользуюсь-вечно, всё нужно поддерживать и обновлять, железо и ПО. Если вы это не учли в своей бизнес-модели, то вы хреновый бизнесмен и просто закрывайте контору.
ED-209
09.10.2025 18:22Чисто очень поверхностно, в двух словах, описал работу промежуточных защищенных гейтов перед Exchange. На самом деле функционал гораздо обширнее, очень много всего можно настроить. Из такого, что еще обыденные базовые вещи: есть гео-фильтрация по IP, можно ограничить коннекты к почтовым ящикам, например, чисто рунетом - все остальное в бан по умолчанию. Также подгружаются автоматом онлайн секьюрити сигнатуры всяких мутных IP-адресов. Типа если с IP-диапазона Сингапур ломятся, тоже сразу улетает в null не доходя до Exchange. Соответственно, есть те же самые whitelist, белые списки, можно только отсюда и только конкретно этому пользователю и как угодно настраивается, авторизация.
Меня, к слову, в свое время, поразил момент, когда через ActiveSync можно было стереть, полностью отформатировать телефон юзера, пользователя :) Если через дефолтное нативное почтовое приложение настроено было. Такие вот были крутые root-права у ActiveSync ))
https://learn.microsoft.com/ru-ru/exchange/clients/exchange-activesync/remote-wipe
falcon4fun
09.10.2025 18:22Ответ точно мне? :)
�� в курсе возможностей Форти, т.к. работал и с Софосом (и UTM, и SFOS/XG) и с ПалоАльто и Форти тыркал, но мало. :) А динамик листы и на микроте можно запилить легко, но они не такие качественные, как нативные фортовские.
А я в свое время зае**лся вычищать тысячи мертвых АктивСинк устройств из АД, которому 15 лет. Учитывая еще что скорость удаления крайне медленная (не помню причину). Но заняло полдня точно. Потом то понятно, написал скрипт и забыл.
ED-209
09.10.2025 18:22Ну я про "Как же знакомо :)"
А где Вы столкнулись с Palo Alto? Работ��я в РФ компаниях вот вообще не попадал на него ни разу. Первый раз поработал с ним работая за рубежом и сразу воткнулся, что он криво обрабатывает Multi-account log on, когда юзер с перемещаемым профилем прыгает между компами. Palo Alto люто дико штормить начинает, известное старое issue и непонятно победили ли до сих пор.
Про вычищать, у меня сейчас одна контора, где юзер аккаунты в AD блочили, а мертвые exchange почтовые ящики до сих пор висят аж с 2019-х годов )) чистил вот по сотни гигабайт буквально на днях
falcon4fun
09.10.2025 18:22Европа. Балтика. Он с коня стоит. 30к евро за PA VM-300 2 штуки (Актив/Пассив кластер) на 3 года (вроде 3, точно не помню). Насколько я знаю, Форти куда дешевле за те же параметры, лимиты пропускной способности и функционал.
О. Добро пожаловать в мой мир с User-ID пупой-лупой. Я тоже долго искал, почему у меня интернет пропадал при логине по рдп в другой домен или с другой учеткой, пока на агентах не добавил админские аккаунты в игнор-лист. Сетевики же для вида сидят тут, в носу ковыряются. Не победили.
Там еще до этого было через WMI (или что там было? Ну не PS) настроен (агентлесс), так там ДЦ грузило на 20-30% ЦПУ. У меня глаз дергался с скоростью процента ЦПУ в секунду.
В целом, если еще и сидармоты его настраивают: получаем даун по переезду на пассив ноду, через пару минут даун (если нода наконец ребутнулась) по переезду на актив ноду (преемпшн или на нормальном языке фэилбэк). Пробивал лицо рукой себе.
В дефолте еще и блокирует все PE файлы. А когда сетевики мудаки (а у меня именно такие же: не могут требование для серта под ссл интерсепт предоставить..), цирк с конями происходит на wsuse, интюне, офисе, всех мс сервисах и т п
Про эксчендж: тут тоже кто-то решил, что клевая идея не удалять учетки и коллекционирование заниматься. А еще по 15 лет хранить PST архив (никто же сказал, сколько надо). ДБ эксча в 5 ТБ (на каждую ДАГ ноду соотв)
В догонку про ПА. В нем не хватает порой фич, вроде WAF того же. Софос этим радовал, там и балансер пилится под эксч. И антиспам заодно. И CAS, и MX крч. И еще и mail queue держит, если оба сервера упали.
anonymous