BruteFence installieren: RDP-Schutz in 5 Minuten einrichten

Wenn du das kostenlose RDP-Audit ausgeführt hast und die Zahlen schlimm aussahen — hunderte oder tausende fehlgeschlagener Anmeldeversuche pro Tag —, zeigt diese Anleitung den nächsten Schritt. BruteFence ist in unter 5 Minuten installiert, benötigt keine Cloud-Verbindung und blockiert Angreifer automatisch, sobald der eingestellte Schwellenwert überschritten wird.

Dies ist eine Schritt-für-Schritt-Anleitung: Download, Installation, Konfiguration des Blocking-Schwellenwerts, Whitelist für die eigene IP und Überprüfung des Schutzes. Keine Konfigurationsdateien, kein Kommandozeilen-Setup, keine Cloud-Registrierung.

Was brauchst du vor der BruteFence-Installation?

Die Anforderungen sind minimal. Prüfe vor der Installation:

| Anforderung | Minimum | |---|---| | Betriebssystem | Windows Server 2016, 2019, 2022, 2025 — oder Windows 10/11 Pro | | RAM | 2 GB | | Freier Festplattenplatz | 100 MB | | Berechtigungen | Lokaler Administrator | | .NET-Laufzeit | .NET 8.0 (wird vom Installer automatisch installiert, falls nicht vorhanden) |

Das deckt alle Windows Server-Editionen ab, die seit 2016 veröffentlicht wurden — und damit die große Mehrheit der heute in Produktion befindlichen Installationen. Wenn du Windows Server 2012 R2 oder älter verwendest, wird BruteFence nicht unterstützt — die Windows Server Sicherheits-Checkliste 2026 enthält Härtungsoptionen für Legacy-Systeme.

Wie lädst du den BruteFence-Installer herunter und führst ihn aus?

1. Gehe zu brutefence.com und starte die kostenlose 7-Tage-Testversion. Du erhältst per E-Mail einen Download-Link für die Installer-.exe. Die Datei ist EV-codesigniert — Windows SmartScreen blockiert sie nicht.

2. Klicke mit der rechten Maustaste auf den Installer und wähle „Als Administrator ausführen". Administratorrechte sind erforderlich, weil BruteFence Windows-Firewall-Regeln schreibt und das Security-Ereignisprotokoll liest. Ohne erhöhte Rechte schlägt die Installation fehl.

3. Folge dem Setup-Assistenten. Der Standard-Installationspfad ist C:\Program Files\BruteFence. Die Standardeinstellungen funktionieren für die überwiegende Mehrheit der Installationen — du musst in diesem Schritt nichts ändern. Falls .NET 8.0 auf dem Rechner nicht vorhanden ist, installiert der Assistent es automatisch vor der Fortsetzung. Das ist der einzige Schritt, der auf einer frischen Windows-Installation einige Minuten länger dauern kann.

4. BruteFence startet nach Abschluss der Installation automatisch. Das Dashboard öffnet sich. Der Dienst läuft bereits und überwacht Windows Security-Ereignisprotokoll Event ID 4625 auf fehlgeschlagene Remote-Desktop-Anmeldeversuche.

Der gesamte Vorgang — vom Download bis zur ersten blockierten IP — dauert auf einem Rechner mit bereits installiertem .NET 8.0 typischerweise unter 5 Minuten.

Wie konfigurierst du den Blocking-Schwellenwert für deine Umgebung?

Der Schwellenwert ist die Anzahl fehlgeschlagener Anmeldeversuche von einer einzelnen IP, bevor BruteFence eine Block-Regel zur Windows-Firewall hinzufügt. Die richtige Einstellung ist wichtig: Zu niedrig, und ein legitimer Benutzer, der sein Passwort einmal falsch eingegeben hat, wird ausgesperrt; zu hoch, und ein langsamer Spray-Angriff schlüpft durch.

Empfohlene Schwellenwerte nach Umgebung:

| Umgebung | Empfohlener Schwellenwert | |---|---| | Einzelbenutzer-Server (nur du meldest dich an) | 2–3 Versuche | | Kleines Team (5–10 Benutzer) | 5 Versuche | | Mehrbenutzer Remote Desktop Services (RDS) | 10+ Versuche |

Der Standardwert nach der Installation ist 2 fehlgeschlagene Versuche — geeignet für Einzelbenutzer-Server, aber es lohnt sich, ihn zu erhöhen, wenn mehrere Benutzer zu unterschiedlichen Zeiten per RDP verbinden. Ein Benutzer, der morgens um 6 Uhr vor dem Kaffee sein Passwort vertippt, würde bei Schwellenwert 2 ausgesperrt; bei Schwellenwert 5 gibt es mehr Spielraum für Fehler ohne Support-Anruf.

Blockierungsdauer-Optionen sind 1 Stunde, 24 Stunden oder dauerhaft. Für die meisten Umgebungen ist 24 Stunden die richtige Balance: lang genug, um eine automatisierte Angriffskampagne zu unterbrechen, kurz genug, dass eine versehentlich blockierte legitime IP nicht unbegrenzt gesperrt bleibt. Dauerhaft ist angemessen für bekannte Scanner-Ranges und dedizierte Angreifer, die du in der Top-10-IP-Liste identifiziert hast.

Die Whitelist zuerst einrichten — das ist entscheidend

Bevor du die Schwellenwert-Einstellungen speicherst, füge deine eigene IP-Adresse oder den Büro-CIDR-Bereich zur IP-Whitelist hinzu. Dieser eine Schritt verhindert das häufigste Supportszenario: Ein Admin vertippt das Passwort zweimal und sperrt sich selbst aus. Die Whitelist unterstützt sowohl einzelne Adressen (z.B. 203.0.113.10) als auch CIDR-Bereiche (z.B. 10.0.0.0/24). Wenn du dich von mehreren Standorten aus verbindest, füge alle jetzt hinzu.

Wie überprüfst du, dass BruteFence funktioniert?

Drei Stellen zum Prüfen:

1. Das BruteFence-Dashboard. Der Hauptbildschirm zeigt blockierte IPs in Echtzeit. Auf einem Server, der seit mehr als einigen Stunden mit dem Internet verbunden ist, solltest du innerhalb von Minuten nach der Installation Einträge sehen. BruteFence erkennt Angriffsmuster und reagiert innerhalb von 100–500 Millisekunden nach Überschreitung des Schwellenwerts.

2. Windows-Firewall-Regeln. Öffne die Windows Defender Firewall mit erweiterter Sicherheit und suche in der Liste der eingehenden Regeln nach Regeln mit dem Präfix BruteFence-Block-. Für jede von BruteFence blockierte IP wird eine solche Regel über das NetSecurity-PowerShell-Modul erstellt, und die Regeln bleiben nach einem Dienstneustart erhalten.

3. Die Protokolldateien. BruteFence schreibt detaillierte Aktivitätsprotokolle nach C:\ProgramData\BruteFence\Logs\. Jeder Eintrag enthält die Quell-IP, den Ereignis-Zeitstempel, die Anzahl der Versuche und die ergriffene Maßnahme. Wenn du bestätigen möchtest, dass eine bestimmte IP blockiert wurde, oder verstehen willst, warum eine bestimmte Adresse nicht blockiert wird, sind die Protokolle die maßgebliche Quelle.

Eine schnelle Überprüfung für einen frisch installierten Server: Führe den BruteFence Checker 30 Minuten nach der Installation erneut aus. Du siehst dieselbe Gesamtanzahl an Angriffen wie zuvor (der Checker liest historische Event-ID-4625-Einträge), aber die Top-Quell-IPs sollten jetzt im Dashboard den Status „Blockiert" haben.

Was solltest du nach den ersten 24 Stunden anpassen?

Nach dem ersten Tag überprüfe das Protokoll der blockierten IPs auf Fehlalarme:

• Versehentlich blockierte legitime Benutzer. Wenn ein Mitarbeiter oder Remote-Nutzer in der Blockliste erscheint, füge seine IP zur Whitelist hinzu und entferne die Firewall-Regel über das Dashboard. Du musst die Windows Defender-Firewall nicht direkt anfassen — das Dashboard erledigt das.
• Schwellenwert-Kalibrierung. Wenn IPs, die zu deinem eigenen Benutzerkreis gehören (Büros, VPN-Exit-Nodes), regelmäßig blockiert werden, erhöhe den Schwellenwert um 2–3 Versuche.
• Automatische Updates. BruteFence führt täglich Versions-Checks über HTTPS durch, mit SHA256-Hash-Überprüfung vor jeder Update-Anwendung. Das ist standardmäßig aktiviert. Wenn der Server keinen ausgehenden Internetzugang hat, schlägt der Auto-Update-Check lautlos fehl — BruteFence schützt normal weiter, benachrichtigt aber nicht über neue Versionen.
• Sprache. Die Oberfläche ist auf Englisch, Ungarisch und Deutsch verfügbar. Die Sprache kann in den Einstellungen ohne Dienstneustart geändert werden.

Kannst du BruteFence auf mehreren Servern gleichzeitig installieren?

Ja. BruteFence unterstützt stille, unbeaufsichtigte Installation über Inno Setup-Kommandozeilenparameter. Die Standardsyntax:

BruteFence-Setup.exe /VERYSILENT /DIR="C:\Program Files\BruteFence"

Dies führt den vollständigen Installer ohne jede UI-Aufforderung mit dem angegebenen Installationspfad aus. Du kannst das in ein PowerShell-Skript, ein PDQ Deploy-Paket, eine Datto-RMM-Komponente oder ein NinjaRMM-Skript einbetten und es mit einem einzigen Job auf eine ganze Flotte von Maschinen verteilen.

Die Lizenzierung ist hardwaregebunden: Eine Lizenz aktiviert sich auf einer Maschine. Für MSPs, die mehrere Kundenserver verwalten, benötigt jede Maschine ihre eigene Lizenz. Bei Bedarf an Mengenlizenzen wende dich an Infotipp Rendszerház Kft.

Der vollständige Kategorie-Überblick darüber, wie RDP-Brute-Force-Schutz-Tools tatsächlich funktionieren erklärt den Erkennungs- und Blockierungsmechanismus ausführlicher, wenn du verstehen möchtest, was im Hintergrund passiert.

Häufig gestellte Fragen

Funktioniert BruteFence ohne Internetverbindung?

Ja. Der Kernschutz — Überwachung von Event ID 4625, Erkennung von Angriffsmustern, Schreiben von Firewall-Regeln — läuft vollständig lokal. BruteFence verwendet das native NetSecurity-PowerShell-Modul, keinen externen Dienst. Die einzige Funktion, die ausgehende Internetverbindung benötigt, ist die tägliche Auto-Update-Prüfung, und die schlägt lautlos fehl, wenn sie nicht verfügbar ist.

Wie viel CPU und RAM verbraucht BruteFence?

Im Ruhezustand (ohne aktiven Angriff) verbraucht BruteFence weniger als 1% CPU und ungefähr 30–50 MB RAM. Während einer aktiven Angriffswelle — wenn es eine hohe Menge an Event-ID-4625-Einträgen verarbeitet und schnell Firewall-Regeln schreibt — steigt die CPU-Nutzung vorübergehend auf 5–10% an, fällt dann wieder auf nahe null zurück, sobald die angreifende IP blockiert ist. Auf moderner Serverhardware ist das kein nennenswertes Ressourcenproblem.

Was passiert genau, wenn eine IP blockiert wird?

BruteFence fügt eine eingehende Windows-Firewall-Regel namens BruteFence-Block-<IP> hinzu, die den gesamten Datenverkehr von dieser Quelladresse abblockt. Die Regel gilt systemweit, nicht nur für RDP-Port 3389. Die Blockierung dauert für die konfigurierte Dauer (1 Stunde, 24 Stunden oder dauerhaft), danach entfernt BruteFence die Firewall-Regel automatisch.

Wie entsperre ich eine legitime IP, die versehentlich blockiert wurde?

Öffne das BruteFence-Dashboard, suche die IP in der Blockliste und klicke auf „Entsperren". BruteFence entfernt die Firewall-Regel sofort. Du musst die Windows Defender-Firewall nicht direkt anfassen. Nach der Entsperrung füge die IP zur Whitelist hinzu, damit sie künftig nicht mehr blockiert wird.

Gibt es eine kostenlose Testversion?

Ja. BruteFence bietet eine kostenlose 7-Tage-Testversion — ohne Kreditkarte. Die Testversion ist das vollständige Produkt ohne Funktionseinschränkungen. Du kannst die Testversion auf brutefence.com/de starten und jederzeit vor Ablauf der 7 Tage ohne Kosten kündigen.

Funktioniert BruteFence auf Windows 10 und 11?

Ja. BruteFence unterstützt Windows 10 Pro und Windows 11 Pro zusätzlich zu den Server-Editionen (2016, 2019, 2022, 2025). Installationsprozess und Konfiguration sind identisch. Der häufigste Nicht-Server-Anwendungsfall ist ein kleines Unternehmen, das Windows 10/11 Pro mit aktiviertem Remote Desktop statt einer vollständigen Server-Edition verwendet.

Mehr zu dem, was BruteFence überwacht, und wie der Blockierungsmechanismus funktioniert, findest du in der ausführlichen Erklärung zu Event ID 4625. Wenn du dich in einer Situation befindest, in der kein VPN verfügbar ist und RDP zugänglich bleiben muss, behandelt der Leitfaden zur RDP-Sicherheit ohne VPN die mehrstufige Verteidigung für solche Umgebungen.

Wenn Sie sehen möchten, was auf Ihrem Server passiert, testen Sie BruteFence 7 Tage kostenlos.