Biztonságos-e az RDP-t kitenni az internetre? Amit tudnia kell

Nem. Az RDP közvetlen internetelérése nem biztonságos. Amikor a Sophos felállított egy RDP honeypotot, az első brute force kísérlet körülbelül egy perc alatt megérkezett. A következő 15 nap során több mint 2 millió sikertelen bejelentkezési kísérletet rögzítettek, 999 egyedi IP-címről, 137 500 különböző felhasználónévvel.

Pontosan ez történik minden alkalommal, amikor a 3389-es port elérhető lesz egy publikus IP-címen. Ha ezt a cikket olvassa, valószínűleg már sejti, hogy a válasz „nem" — és arra kíváncsi, mit tehet ellene.

Mi történik valójában, ha a 3389-es port nyitva van?

Amint az RDP port elérhető az internetről, az automatizált szkennerek megtalálják. Nem órák, nem napok alatt. Percek alatt.

A Sophos honeypot adatai egyértelmű képet festenek. Csak az „administrator" felhasználónevet 866 862 alkalommal próbálták ki 15 nap alatt. A támadók hatalmas hitelesítő listákat használtak, éjjel-nappal pörögve a gyakori felhasználónevek és kiszivárgott jelszavak között.

A port megváltoztatása sem old meg semmit. Ugyanez a honeypot kimutatta, hogy a nem szabványos portra költöztetett RDP-t a szkennerek csak rövid késéssel, de megtalálták.

A méretek ijesztőek. A Shodan vizsgálatok rendszeresen több millió internetre kitett RDP szervert mutatnak — a 2020-as távmunka-hullám idején ez a szám meghaladta a 4,5 milliót. 2025 októberében a GreyNoise dokumentált egy koordinált botnetet, amely több mint 100 000 IP-címmel, több mint 100 országból célozta az amerikai RDP szolgáltatásokat. Néhány napon belül a botnet megközelítőleg 300 000 IP-re nőtt.

Ez nem elméleti kockázat. A Sophos 2025 Active Adversary Report szerint az RDP a Sophos által vizsgált felügyelt detektálási és incidenskezelési esetek 84%-ában szerepelt — leginkább a hálózaton belüli oldalirányú mozgásra használták, miután a támadók megszerezték a kezdeti hozzáférést. Továbbra is a leggyakrabban kihasznált legitim eszköz a valós betörések során.

Miért teszik ki mégis sokan?

Mert szükségük van a távoli elérésre, és az RDP már ott van.

Az RDP minden Windows Server és Pro asztali gépen elérhető. Nem kell érte külön fizetni. Nincs licenc, nincs hardver, nincs telepítendő kliens. Egy kisvállalkozás számára, ahol öt dolgozónak kell elérnie az irodai szervert otthonról, az RDP kézenfekvő megoldás.

Ezek közül sok beállítás a COVID-időszak gyors átállása alatt született. Egy port forward a routeren, és a csapat máris tudott otthonról dolgozni. Az „átmeneti" megoldás véglegessé vált.

Másoknál valós korlátok állnak fenn. Régi üzleti alkalmazások, amelyek nem költöztethetők felhőbe. Nincs IT-s, aki VPN-t állítana be és tartana karban. Managed service providerek, akiknek gyors hozzáférés kell tucatnyi ügyfélkörnyezethez. Költségvetési korlátok, amelyek az enterprise megoldásokat lehetetlenné teszik.

Ez nem butaság. Praktikus válasz valós üzleti igényekre. De komoly kockázattal jár — és ezt a kockázatot kezelni kell.

Mit mond a CISA és a Microsoft?

Mindkettő egyértelmű: ne tegye ki az RDP-t közvetlenül az internetre.

A CISA javaslata szerint blokkolja a 3389-es TCP portot a vállalati tűzfalon, és az RDP-t kizárólag VPN-en keresztül érje el, többfaktoros hitelesítéssel vagy zero-trust átjáróval. Emellett fiókzárolási szabályokat és az összes RDP munkamenet naplózását javasolják.

A Microsoft útmutatója a Remote Desktop Gateway (RD Gateway) SSL-lel való használatát ajánlja a közvetlen RDP kitétel helyett. Szintén javasolják a Network Level Authentication (NLA), az MFA és a korlátozott rendszergazdai mód használatát helpdesk helyzetekben.

A hivatalos álláspont egyértelmű. De ha ma nem tudja követni, akkor is vannak lehetőségei a kockázat jelentős csökkentésére.

Teendők, ha mégis ki kell tenni az RDP-t

Ha az RDP eltávolítása az internetről jelenleg nem megoldható, rétegezze az alábbi védelmi intézkedéseket. Egyetlen lépés önmagában nem elég, de együtt érdemi különbséget jelentenek.

1. Kapcsolja be a Network Level Authentication-t (NLA)

Az NLA megköveteli a hitelesítést, mielőtt a teljes távoli asztali munkamenet elindul. Ez blokkolja azokat az automatizált eszközöket, amelyek közvetlenül a bejelentkezési képernyőre próbálnak eljutni. Beépített Windows beállítás, engedélyezése nem kerül semmibe.

2. Használjon erős jelszavakat és állítson be fiókzárolást

A Sophos honeypot adatai szerint az „administrator" fiókot 866 000 alkalommal célozták. Sok Windows Server verzión a fiókzárolási szabály alapértelmezetten nincs beállítva — tehát a támadó korlátlanul próbálkozhat. Állítson be zárolási küszöböt (például 5 sikertelen próbálkozás után 30 perces zárolás). Ez egy beépített funkció, amelyet sok rendszergazda soha nem kapcsol be.

3. Nevezze át vagy tiltsa le az alapértelmezett Administrator fiókot

Ha minden automatizált szkript először az „administrator"-t próbálja, ne legyen ilyen nevű fiók. Nevezze át valami nem nyilvánvalóra, vagy tiltsa le teljesen és használjon másik admin fiókot.

4. Változtassa meg az alapértelmezett portot

Az RDP áthelyezése a 3389-es portról nem állítja meg az elszánt támadót, de megszünteti az automatizált szkennelési forgalom nagy részét. Gondoljon rá úgy, mint zajcsökkentésre, nem valódi biztonságra. Öt perc beállítani, és a naplók sokkal csendesebbek lesznek tőle.

5. Korlátozza az elérést IP-cím alapján

Ha tudja, mely IP-címeknek kell RDP elérés — az iroda, az otthon, az MSP —, a tűzfalon engedélyezze csak azokat. Nincs ok arra, hogy az egész internet elérje a távoli asztali szolgáltatást.

6. Adjon hozzá automatikus brute force védelmet

Az olyan eszközök, amelyek figyelik a sikertelen bejelentkezési kísérleteket és automatikusan blokkolják a támadó IP-címeket, áthidalják a támadás kezdete és a reagálás közötti rést. A BruteFence ilyen megoldás — figyeli az ismétlődő sikertelen RDP bejelentkezéseket és valós időben blokkolja a forrás IP-t. Körülbelül öt perc alatt telepíthető, és teljes egészében a szerveren fut, felhőfüggőség nélkül. A dokumentációban részletesen olvashat a működéséről. Nem helyettesíti a lista többi pontját, de praktikus védelmi réteget ad, ha nem tudja elkerülni az RDP kitételét.

7. Tartsa naprakészen a rendszert

A BlueKeep (CVE-2019-0708) megmutatta, hogy az RDP sérülékenységek bármilyen hitelesítés nélkül lehetővé tehetik a távoli kódfuttatást. Újabb RDP-hez kapcsolódó sérülékenységek rendszeresen felmerülnek. A frissítés nem opcionális.

8. Figyelje a naplókat

A sikertelen RDP bejelentkezési kísérletek a Windows eseménynaplóban rögzülnek. Ha nem figyeli őket, nem fogja tudni, hogy támadás alatt áll, amíg valami el nem romlik. Állítson be riasztásokat a szokatlan mintákra — kiugró számú sikertelen bejelentkezés, munkaidőn kívüli hozzáférési kísérletek vagy váratlan helyekről érkező bejelentkezések.

A támadások működéséről bővebben olvashat a Mi az az RDP brute force támadás? című cikkünkben.

Jobb alternatívák, amelyeket érdemes megfontolni

Ha van akár egy kis kerete vagy némi technikai rugalmassága, az alábbi megoldásokkal teljesen eltávolíthatja az RDP-t a közvetlen internetes kitettségből.

VPN + RDP a tűzfal mögött. A klasszikus megközelítés. Az RDP soha nem érintkezik a nyilvános internettel — a felhasználók először VPN-hez csatlakoznak. Igényel némi beállítást és karbantartást, de ez a leginkább bevált megoldás. A WireGuard és az OpenVPN megbízható, ingyenes választás, ha a költség szempont.

Remote Desktop Gateway (RD Gateway). Egy Windows Server szerepkör, amely HTTPS-en keresztül tunnelezi az RDP forgalmat. Ha már fut Windows Server a környezetben, ez beépített funkció. SSL titkosítást ad hozzá, és lehetővé teszi annak szabályozását, hogy ki és mikor csatlakozhat.

Tailscale vagy Cloudflare Tunnel. Modern alternatívák, amelyek különösen praktikusak kisvállalkozások számára. A Tailscale minimális konfigurációval hoz létre privát mesh hálózatot (az ingyenes szint legfeljebb 3 felhasználóra szól, személyes használatra). A Cloudflare Tunnel lehetővé teszi szolgáltatások elérhetővé tételét a Cloudflare hálózatán keresztül, bejövő portok megnyitása nélkül (az ingyenes szint legfeljebb 50 felhasználót támogat).

Bármelyik jelentős előrelépés a közvetlen RDP kitettséghez képest. Ha be tud vezetni egyet, tegye meg.

Összegzés

Az RDP internetre történő kitétele nem biztonságos. Az adatok egyértelműek, a hivatalos útmutatók egybehangzóak, a támadások pedig állandóak és automatizáltak.

De milliónyi vállalkozás teszi, mert szüksége van a távoli elérésre, és az alternatívák elérhetetlennek tűnnek. Ha ez az Ön helyzete, a fenti védelmi lépések nem tökéletesek — de összehasonlíthatatlanul jobbak, mint a 3389-es portot alapértelmezett beállításokkal nyitva hagyni.

Ha tudja, helyezze az RDP-t VPN vagy gateway mögé. Ha ma nem tudja megtenni, rétegezze a védelmet és készítsen tervet a megvalósításra. És bármelyik esetben is, tudja, mi történik a szerverén. A BruteFence 7 napos ingyenes próbaverziója pontosan megmutatja, milyen gyakran próbálják az RDP szolgáltatását — a számok általában önmagukért beszélnek.