Hogyan ellenőrizd, hogy támadják-e az RDP szervered (ingyenes)

A legtöbb Windows rendszergazda fogalma sincs arról, hogy éppen most hányan próbálnak betörni a szerverére RDP-n keresztül. A választ a Windows Eseménynapló tartja — csak senki nem nyitogatja reggelente kávé mellett. Futtass le egy ingyenes, nyílt forráskódú eszközt, amely kb. 30 másodperc alatt kiolvassa ugyanazt a Security Event Log-ot, és egy tiszta riportot ad: összes támadás, egyedi IP-k, top 10 forrás, napi bontás.

Ha csúnya a szám, az alábbi szekciók megmutatják, mit csinálj ezután. A diagnosztika ingyenes — először nézd meg a számokat, utána dönts.

Miért nem tudod eleve, hogy támadnak?

Mert kézzel ellenőrizni fárasztó. Minden sikertelen RDP bejelentkezés egy Windows Event ID 4625 bejegyzést generál a Security logban, és egy internet felé kitett szerveren ez a szám gyorsan nő. Jeffrey Appel kutató egy Microsoft Sentinel honeypot futtatásán 209 335 sikertelen bejelentkezést mért 7 nap alatt — napi nagyjából 30 000-et. Egy Sophos RDP honeypot több mint 2 000 000 sikertelen bejelentkezést regisztrált 15 nap alatt, 999 egyedi IP-ről (Sophos — Exposed RDP is dangerous). Ez a modern internet háttérzaja.

Ha nem nézed rendszeresen a logot, egyszerűen nem tudod, hogy napi 5 vagy 30 000 kísérlet érkezik. És az Event ID 4625 tömegesen nehezen olvasható — az Eseménynapló nem összesít, nem számol IP-k szerint, és nem rajzol napi trendvonalat. Egyesével kapod a bejegyzéseket, és ezért változik át a "mi az RDP brute force támadás?" kérdés arra, hogy "fogalmam sincs, nálam mennyire rossz".

Mi az a BruteFence Checker?

A BruteFence Checker egy ingyenes, nyílt forráskódú audit eszköz, amely kiolvassa a helyi Windows Security Event Log-ot, szűri az elmúlt 30 nap RDP-vel kapcsolatos Event ID 4625 bejegyzéseit, és ember számára olvasható összefoglalót ad.

Tulajdonságai:

• Ingyenes személyes és kereskedelmi használatra
• Portable — egyetlen EXE, nincs telepítés, nincs registry módosítás
• Csak olvasás — semmilyen rendszerbeállítást, tűzfal szabályt vagy logot nem módosít
• Nyílt forráskódú — a teljes kód elérhető a GitHub-on
• EV code-signed a Certum CA által — minimális SmartScreen-súrlódás
• Offline — 0 bájt telemetria távozik a gépről

Teljes átláthatóság: a Checker-t ugyanaz a csapat fejleszti, amely a BruteFence-t (Infotipp Rendszerház Kft., 2002 óta). Azért adtuk ki ingyenes diagnosztikai eszközként, mert a legtöbb rendszergazda, akivel beszélünk, soha nem látta a saját 4625-ös számait. A Checker nem trial, nem korlátozott, és nem buta változat — tényleg ingyenes kereskedelmi használatra is.

Hogyan futtasd a BruteFence Checker-t 3 lépésben?

Szükséged lesz Windows 10 vagy Windows Server 2016 (vagy újabb) rendszerre, rendszergazdai jogosultságra és kb. 30 másodpercre.

1. Töltsd le a legfrissebb verziót a github.com/bohemtucsok/brutefence-checker/releases oldalról. Egyetlen aláírt .exe fájlt kapsz.
2. Futtasd rendszergazdaként. Jobb klikk az EXE-re → "Futtatás rendszergazdaként". A jogosultság azért kell, mert a Windows Security Event Log olvasása privilegizált művelet; nélküle az eszköz nem látja a 4625-ös eseményeket.
3. Várj kb. 30 másodpercet. A Checker végigmegy a Security logon az elmúlt 30 napra, kiszűri a távoli asztalos sikertelen bejelentkezéseket, és kiírja a riportot. Nagy forgalmú szervereken a log lehet, hogy nem tart el 30 napig, mert a Windows méret szerint forgatja (alapértelmezett 20 MB), nem idő szerint.

Ennyi az egész folyamat. Nincs konfigurációs fájl, nincs ügynök, nincs szolgáltatás.

Mit jelent az eredmény?

A riport négy mezőből áll, mindegyik más kérdésre válaszol.

• Total failed login attempts — a távoli asztalos sikertelen bejelentkezésként megjelölt Event ID 4625 bejegyzések nyers száma az elmúlt 30 napra. Ez a bruttó támadási volumen.
• Unique attacker IPs — hány különböző forrás címről érkezett próbálkozás. Magas összérték alacsony egyedi IP-vel egy vagy két kitartó támadót jelent; magas összérték magas egyedi IP-vel azt, hogy egy botnet célkeresztjében vagy.
• Top 10 source IPs — a legaktívabb egyéni támadók, próbálkozások száma szerint rendezve. Hasznos a tűzfalas blokkoláshoz és a threat intelligence listák ellenőrzéséhez.
• Daily breakdown — napi bontás az elmúlt 30 napra. Itt veszed észre a hirtelen ugrást (új kampány kapott el) vagy a lassú emelkedést (valaki türelmesen próbálkozik).

Hogyan értelmezd az eredményt?

Ez egy durva útmutató. Nem tudományos küszöb, de ezt látjuk éles ügyfélkörnyezetekben.

| Támadás / nap | Mit jelent | |---|---| | 0 – 10 | Normál internet zaj. Nem probléma. | | 10 – 100 | Gyanús. Valaki célzottan a te IP-det próbálgatja. | | 100 – 1 000 | Aktív automatizált támadás. Lockout vagy rate-limit kell. | | 1 000 – 30 000 | A szerver tartós támadás alatt. Azonnali beavatkozás. | | 30 000+ | Honeypot-szint. Ez az Appel- és Sophos-tartomány — kitartó támadók. |

Ha a napi számod a legalsó sorban van, nem vagy paranoid. Célpont vagy.

Mit tegyél, ha sok támadást látsz?

Két szint: ingyenes fixek, amelyeket ma bekapcsolhatsz, és automatizált védelem, ha az ingyenes fixek nem elegendők.

Rövid távú ingyenes fixek

Ezek mind beépített Windows funkciók. Semmibe nem kerülnek.

1. Kapcsold be az Account Lockout Policy-t. A Windows Server 2016 és 2019 alapból 0-ra állítja a küszöböt — vagyis a lockout ki van kapcsolva. A Server 2022 újabb buildjein és a Server 2025-ön az alapértelmezés 10 próbálkozás, de sok korábbi telepítésen még a régi 0-s beállítás él. Állítsd Group Policy-ben 5–10 sikertelen próbálkozásra. Lásd a Microsoft Account Lockout Policy dokumentációját.
2. Kötelező NLA (Network Level Authentication). Az NLA azt követeli, hogy a hitelesítés az RDP munkamenet létrehozása előtt megtörténjen, ami sok hitelesítés előtti próbaeszközt kizár.
3. Nevezd át az alapértelmezett Administrator fiókot. A botok névre nyomulnak Administrator-ra. Átnevezés után a támadónak a felhasználónevet és a jelszót is ki kell találnia.
4. Korlátozd az RDP-t a Windows Firewall-ban egy ismert iroda IP-tartományra, ha lehet. A CISA Stop Ransomware útmutatója ezt alap kontrollként sorolja fel.

A teljes lista a Windows Server Biztonsági Checklist 2026 cikkben van.

Hosszú távú: automatizált védelem

Az ingyenes fixek segítenek, de egy lockout policy, amely hajnali 3-kor kizárja a valódi admin fiókot egy hétvégén, nem minden környezetben üzemképes. Az automatizált védelem — olyan szoftver, amely valós időben figyeli a 4625-ös eseményeket és hozzáadja a támadó IP-t a Windows Firewall blokk listájához — kiveszi az embert a hurokból.

A teljes kategóriát a Hogyan működik az RDP Brute Force védelem 2026-ban cikkben tárgyaljuk. Ha a Checker aktív támadást mutat és az ingyenes fixek nem elegendők, a BruteFence 7 napos ingyenes próbája kb. 5 perces beállítással automatikus blokkolást ad. Ez csak egy lehetőség a sok közül — a Checker célja az, hogy a számot biztosan ismerd.

Gyakori kérdések

Biztonságos a BruteFence Checker futtatása?

Igen. Az eszköz csak olvasás — nem módosít fájlokat, registry kulcsokat, tűzfal szabályokat vagy logokat. EV code-signed Certum CA által, és a teljes forráskód elérhető a GitHub-on, ha futtatás előtt átnéznéd.

Miért csak 30 napra néz vissza?

A 30 nap egy ésszerű audit-ablak. A Windows a Security logot méret szerint forgatja (alapértelmezett 20 MB), nem idő szerint, így egy terhelt szerveren a régebbi eseményeket az új forgalom gyakran már felülírta. Ha növeled a max log méretet az Eseménynaplóban, a Checker a következő futtatáskor hosszabb időszakot olvas.

Küld bárhova adatot?

Nem. A Checker teljesen lokálisan fut. Nem telefonál haza, nem tölt fel logokat, nem tartalmaz telemetria SDK-t. Air-gapped szerveren pontosan ugyanúgy működik.

Milyen gyakran futtassam?

Havonta egyszer jó kiindulópont egy csendes szerveren. Futtasd azonnal, ha lassú RDP bejelentkezéseket, random fiókzárolásokat vagy megmagyarázhatatlan LSASS CPU csúcsot látsz — ezek klasszikus jelei egy aktív brute force hullámnak. Részletek az Event ID 4625 cikkben.

Milyen a licenc?

Ingyenes személyes és kereskedelmi használatra. Kliensgépeken, éles szervereken és harmadik félnek kezelt gépeken is futtathatod. A licenc a repository-ban van.

A Checker egyetlen okból létezik: hogy amikor egy rendszergazda felteszi a kérdést "támadnak-e?", a válasz egy konkrét szám legyen, ne egy vállrándítás. Utána — lockout, tűzfal, BruteFence próba vagy semmi — sokkal könnyebb eldönteni, miután láttad a saját szervered valós számait.

Ha kíváncsi rá, mi történik a szerverén, próbálja ki a BruteFence-t 7 napig ingyen.