RDP 暴力破解攻击 — 为什么将 RDP 暴露在互联网上很危险

如果你曾经因为“更简单”而在路由器上打开端口 3389 —— 或者因为有人要求你快速启用远程桌面 —— 当那台服务器或桌面开始莫名记录数十次登录失败时，你大概会感到不安。这个问题是真实存在的：凭证被盗、勒索软件，以及漫长的事件响应周期。本指南解释了为什么面向公网的 RDP 会吸引暴力破解攻击，更重要的是，说明你应当使用的实用替代方案和缓解措施。

为什么将 RDP 暴露到互联网是高风险的

Remote Desktop Protocol（RDP）使用方便：Microsoft 在 Windows 中自带它，客户端在其他系统中也常常内置，许多管理员依赖它进行临时故障排查。这种普及性也使其成为有吸引力的目标。该协议通常默认监听 TCP 端口 3389，这使得攻击者可以通过 Masscan 或 ZMap 等大规模扫描工具轻易发现。一旦被发现，自动化程序会反复尝试用户名和密码直到成功。

当 RDP 可直接从互联网访问时，有两个相关问题：

• 凭证攻击 — 暴力破解与凭证填充：攻击者会并行针对成千上万的 IP 尝试常见密码、泄露的密码列表和字典。
• 漏洞/零日风险：配置错误或未打补丁的 Windows 主机可能存在与 RDP 相关的漏洞（例如，CVE-2019-0708 “BlueKeep” 影响了较旧的 Windows RDP 实现）。如果 RDP 被暴露，除了凭证滥用外，还可能发生基于漏洞的入侵。

简单说：公网中的 RDP 服务器就是一个信号源。脚本和僵尸网络把它视为触手可及的目标，许多入侵都以相同的横向步骤开始 —— 成功登录、权限提升，然后是勒索或数据窃取。

攻击者如何进行 RDP 暴力破解（高层次）

攻击者通常分三个阶段：

1. 发现 —— 扫描 IP 范围以查找在端口 3389 上响应的 RDP 服务（扫描工具速度快且通用）。
2. 认证尝试 —— 自动化客户端尝试用户名和密码。它们使用字典、泄露的凭证列表和凭证填充策略。通常使用像 Hydra、Ncrack 或自定义的 RDP 暴力破解框架；攻击者通过代理和 VPN 分散负载以规避基于 IP 的限速。
3. 认证后行动 —— 一旦会话建立，攻击者要么手动检查主机，要么运行自动脚本来植入勒索软件、创建持久性或窃取凭证以横向转移到其他系统。

网络级别身份验证（NLA）提高了防护门槛，因为它要求在建立完整 RDP 会话之前进行凭证验证，但这并非万无一失：NLA 仍依赖账户凭证，如果账户弱、重复使用或在其他地方已被攻破，NLA 也可能被绕过。

你正在被针对的迹象 —— 现在应查看的项

早期检测很重要。以下是表明 RDP 暴力破解正针对你的具体信号：

• 短时间内大量登录失败事件。在 Windows 上，查看安全事件 ID 4625（登录失败）和重复出现的 4624（登录成功）条目，注意是否来自异常源 IP。
• 异常的账户锁定或奇怪的登录时间戳（例如在工作时间之外从国外 IP 段的登录）。
• 防火墙日志显示来自多个不同 IP 对端口 3389 的大量 TCP 连接尝试。
• 成功登录后出现新的本地管理员账户、意外安装的服务或未知进程。

现在可以运行的快速检测（PowerShell）：

Test-NetConnection -ComputerName YOUR_HOSTNAME_OR_IP -Port 3389

使用事件查看器检查最近的登录失败，或在自动化检测时使用 PowerShell/Get-WinEvent 导出事件。如果发现激增，假定攻击者正在扫描并立即采取行动。

如果发现暴力破解活动的即时遏制步骤

如果你发现正在进行的暴力破解尝试或怀疑主机已被攻破，应优先遏制风险而非便利：

1. 在边界防火墙处阻断流量。尽快在边缘丢弃到 TCP/3389 的入站连接。
2. 在排查期间禁用受影响主机上的 RDP：系统 > 远程设置 > 取消选中“允许远程连接”（Windows）——或停止 Remote Desktop Services 服务以做短期应急遏制。
3. 重置受影响账户及任何共享密码的账户凭证。优先使用较长的口令短语并为每个账户使用唯一密码。
4. 启用账户锁定策略：例如，连续 5 次失败后锁定账户 15 分钟。这是合理的纵深防御措施，可减慢自动化攻击速度且不会造成过多的工单。
5. 检查主机是否存在持久化痕迹：计划任务、新的自动启动项、可疑服务及已知的勒索软件指标。如发现入侵迹象，隔离主机并按照事件响应流程处理。

这些是初步处置操作——不能解决根本原因。遏制后，应进入修复阶段：打补丁、凭证轮换和事后监控。

比直接暴露 RDP 更安全的替代方案（可行选项、优缺点）

如果你的目标是安全的远程管理或远程办公，比打开端口 3389 有更好的方法。选择与你的规模和威胁模型相匹配的方案。

1）VPN（站点到站点或客户端）——对小/中型团队最简单

优点：RDP 仅通过加密隧道可达。你可以通过 VPN ACL 限制访问并集中认证。WireGuard 和 OpenVPN 是常见选择；OpenVPN 成熟，WireGuard 更简单且更快。

缺点：VPN 会增加管理开销，需要安全的客户端配置及证书/密钥管理。如果 VPN 凭证薄弱，仍存在攻击面，因此应将 VPN 与 MFA 和监控结合使用。

2）RDP 网关 / RD Web 访问

使用 Microsoft 的 RD Gateway 将 RDP 会话通过 TLS（通常是端口 443）进行代理并集中认证。RD Gateway 支持更好的策略控制，并可在混合环境中与 Azure AD 集成以实现 MFA。

优点：为 RDP 设计，能很好地与 Windows 认证和条件访问集成。

缺点：增加需要管理和打补丁的基础设施；错误配置仍可能导致暴露。对于许多团队而言，VPN 更简单。

3）跳板主机或堡垒主机（受管访问）

部署一台加固的堡垒/跳板主机，管理员先连接到它再跳转到内部主机。在堡垒上强制使用 MFA 并记录会话；只有堡垒需要公共 IP。

优点：集中访问与审计。比许多面向外部的端点更易于监控和锁定。云提供商提供托管堡垒服务（Azure Bastion、AWS Systems Manager Session Manager），可以完全消除入站端口。

4）远程访问软件（中继/自托管）—— TeamViewer/AnyDesk/RustDesk/Tenvo

商业远程访问工具使用 NAT 穿透和中继服务器，因此你无需在防火墙上打开 3389。对于非技术用户，这通常是获得安全远程支持的最快方式。但这代表不同的信任模型：你需要信任厂商或中继基础设施。

公平比较：TeamViewer 和 AnyDesk 在终端用户支持与会话管理方面非常完善。它们是专有且云端托管的，这对许多用例来说是可接受的。如果你需要避免第三方中继或希望完全控制，RustDesk 或 Tenvo 等自托管选项是强有力的选择 —— 它们允许你避免端口转发，同时保持对基础设施的控制。有关自托管选项，请参见 Tenvo 的下载页面 /download；如果需要托管中继或商业支持，请参见 /pricing。

如果你想详细了解避免端口转发的方法，我们关于如何设置无需端口转发的远程访问的指南很有用：/remote-desktop-without-port-forwarding。有关更广泛的远程桌面安全建议，请参见 /remote-desktop-security。

实用加固清单 —— 下一步要做的事（逐步）

以下是一份可应用于桌面和服务器的实用优先级清单，混合了即时变更与中期改进。

1. 关闭暴露：在边界防火墙阻断 TCP/3389，或使用 IP 白名单，仅允许受信任的 IP 段连接。
2. 如果必须保持 RDP 可达，则尽可能启用网络级别身份验证（NLA）并为网关配置 SSL/TLS。
3. 执行强口令策略并使用账户锁定阈值（建议：连续 5 次失败后锁定，时长 15 分钟 —— 根据你的环境调整）。
4. 为远程访问启用 MFA。对于加入域的机器，集成 Azure AD 条件访问，或在网关前使用第三方 MFA（Duo、Okta）。
5. 及时为系统打补丁。保持 Windows 更新 —— 早期与 RDP 相关的 CVE 曾是严重且被广泛利用。
6. 使用集中式日志与告警。监控安全事件 ID 4624/4625 和防火墙日志；为高登录失败率或新的 IP 访问 RDP 创建告警。
7. 将管理工作通过跳板/堡垒主机进行，并限制谁可以直接 RDP 到生产系统。
8. 当无法运行 VPN 时，优先使用可避免端口转发的远程访问工具。如果自托管，保持中继或服务器打好补丁并置于强认证之后。
9. 考虑针对 Windows 的自动锁定和入侵防护工具，例如 RdpGuard，或使用终端保护套件中的本地解决方案。
10. 使用 Microsoft LAPS 或特权访问管理（PAM）解决方案管理本地管理员密码，以避免共享的本地凭证。

你应该选择哪个选项 —— 快速指导

根据环境规模、安全姿态和管理能力来选择：

• 小型团队 / 单一管理员：使用知名的远程访问应用（中继或自托管）或客户端 VPN。基于中继的工具对非技术用户最友好；如果你想要控制权，使用像 Tenvo 这样的自托管选项并部署自己的中继。
• 中型组织：站点到站点 VPN 或 客户端 VPN + MFA，结合用于管理任务的堡垒。
• 大型企业：RD Gateway 或云托管的堡垒解决方案，结合条件访问和针对特权账户的 PAM。

坦白一句：如果你需要为非技术的家庭成员提供最简单的体验，像 TeamViewer 或 AnyDesk 这样的商业工具比配置 VPN 更省事。它们有权衡 —— 便利性与控制权 —— 是否可接受取决于你的威胁模型和合规需求。

总结与立即的下一步

RDP 暴力破解是可预测且可防范的。最重要的规则：不要将 RDP 直接暴露到互联网，除非你有充分的理由和补偿性控制（MFA、限制源 IP、RD Gateway 或 VPN、严格监控）。如果某台 RDP 服务器已可被互联网访问，现在就阻断它并遵循上述加固清单。

如果你想在保持对基础设施控制的同时实用地避免端口转发，可以考虑自托管的远程访问解决方案。Tenvo 提供自托管的连接器和中继选项 —— 请查看 /download 以试用，若需要托管中继方案请见 /pricing。如果你正在制定安全的远程访问方案，我们的相关指南也可能有帮助：/remote-desktop-without-port-forwarding 和 /remote-desktop-security。

不要等到看到 4625 激增才采取行动。堵住漏洞，选择适合你规模的替代方案（VPN、RD Gateway、堡垒，或受控的远程访问应用），并加入 MFA 和监控。如果你需要在选择和配置适合你环境的方案上获得帮助，请在 /download 下载 Tenvo，试用一种避免直接暴露 RDP 的自托管方法。