Mi az az RDP brute force támadás? Közérthető útmutató

Ebben a pillanatban, valahol az interneten egy automatizált szkript éppen egy Windows szerverbe próbál belépni. Semmi személyes nincs benne. A szkript nem tudja, ki Ön és mivel foglalkozik a cége. Egyszerűen megtalálta a szervert, mert a 3389-es port nyitva volt — és most jelszavak ezreit próbálgatja óránként, hátha valamelyik bejön.

Ezt hívják RDP brute force támadásnak, és ez az egyik leggyakoribb módja annak, hogy egy vállalkozás rendszerébe illetéktelenek jussanak be. Ha Ön Windows szervert üzemeltet bekapcsolt távoli asztallal, ez a cikk Önnek szól.

Mi az az RDP?

Az RDP (Remote Desktop Protocol) a Windows beépített távoli asztal funkciója. Lehetővé teszi, hogy egy számítógépet távolról irányítsunk — otthonról, egy kávézóból vagy akár egy másik országból. Milliónyi vállalkozás használja nap mint nap szerverek kezelésére, fájlok elérésére és alkalmazások távoli futtatására.

A gond az, hogy a támadók is pontosan ugyanezt használják.

Hogyan működik egy RDP brute force támadás?

Az alapelv egyszerű. A támadó egy automatizált eszközt irányít a szerver távoli asztal bejelentkezési képernyőjére, és elkezd felhasználónév-jelszó kombinációkat próbálgatni. Képzelje el úgy, mintha valaki a bejárati ajtó előtt állna tízezer kulccsal a kezében, és módszeresen végigpróbálná mindegyiket.

A modern brute force eszközök percenként több ezer kombinációt képesek kipróbálni. A jelszavakat gyakran használt jelszólistákból, kiszivárgott adatbázisokból és kiszámítható mintákból — mint az Admin2026! vagy a Cegnev123 — veszik. Nem ül senki a billentyűzet előtt: az egész folyamat robotpilótán megy, gyakran feltört gépek globális hálózatáról.

Ha egy jelszó egyezik, a támadó bent van — pontosan ugyanazzal a hozzáféréssel, mint egy jogos felhasználó.

Miért olyan népszerű célpont az RDP?

A távoli asztal kényelmi funkció, nem arra tervezték, hogy a nyílt interneten legyen elérhető. Néhány dolog különösen vonzó célponttá teszi:

Mindenhol ott van. Több millió RDP szerver érhető el közvetlenül az internetről — a Shodan vizsgálatok rendszeresen milliós nagyságrendű kitettséget mutatnak. Mindegyik egy potenciális ajtó, amin érdemes próbálkozni.

A portszám közismert. Az RDP alapértelmezetten a 3389-es porton figyel. A támadóknak nem kell találgatniuk — végigpásztázzák az egész internetet erre a portra, és automatikusan összeállítják a célpontlistát.

A legtöbb szerver verzión nincs beépített korlátozás. Sok Windows Server telepítésen nincs alapértelmezett fiókzárolási házirend — a támadó korlátlanul próbálkozhat, hacsak Ön manuálisan nem állított be küszöbértéket. (Az újabb verziók, mint a Windows 11 és a Server 2022 már tartalmaznak alapértelmezett zárolást, de sok éles szerver még nélküle fut.)

Az ellopott hozzáférések olcsók. A CrowdStrike jelentése szerint az ellopott hozzáféréseket kínáló hirdetések — ahol bűnözők lopott bejelentkezési adatokat árulnak — évi 50%-kal nőttek 2024-ben. Az RDP hozzáférések a legkeresettebb áruk közé tartoznak. A támadók tömegesen vásárolnak működő belépési adatokat, így a brute force csak egyetlen eleme egy nagyobb hozzáférési gazdaságnak.

Milyen károkat okoz ez a valóságban?

Ez nem elméleti kockázat. A friss biztonsági jelentések számai egyértelmű képet festenek.

Az RDP a leggyakrabban kihasznált legális eszköz a kibertámadásokban. A Sophos azt találta, hogy az RDP a menedzselt észlelési és incidenskezelési esetek 84%-ában szerepelt 2024-ben. A 2026-os jelentésükben is az RDP maradt az egyetlen leggyakrabban kihasznált legális eszköz a betörések során.

A zsarolóvírus-csoportok kifejezetten az RDP-t veszik célba. Az Akira zsarolóvírus-csoport — 2024 egyik legaktívabb szereplője — több belépési módszert is alkalmaz, köztük az RDP brute force-ot, különösen kis- és középvállalkozások ellen. A CISA külön figyelmeztetést adott ki az Akira taktikáiról.

A kisvállalkozásokat sújtja leginkább. A kis- és középvállalkozások aránytalanul nagy mértékben válnak zsarolóvírus-támadások célpontjává. A Sophos 2025-ös jelentése szerint a kevesebb erőforrással és kisebb IT csapattal rendelkező szervezetek vannak a legnagyobb kockázatnak kitéve — és a helyreállítási költségek egy kisvállalkozás számára pusztítóak lehetnek, még a leállás és az adatvesztés figyelembevétele előtt.

A támadók akkor dolgoznak, amikor Ön alszik. A Sophos 2025-ös jelentése szerint a zsarolóvírus-telepítések 83%-a 2024-ben munkaidőn kívül történt. A 2026-os frissítésük szerint ez az arány 88%-ra emelkedett. Mire hétfő reggel beér az irodába, a kár már megtörténhetett.

Három tévhit, ami bajba sodorja a cégeket

„Erős jelszavaink vannak, nem kell aggódnunk"

Az erős jelszavak fontosak, de önmagukban nem elegendők. A Verizon 2025-ös adatszivárgási jelentése szerint a kompromittált hitelesítő adatok az összes betörés 22%-ában szerepeltek mint első belépési módszer. Még megdöbbentőbb: a zsarolóvírus-áldozatok 54%-ánál megtalálták a hitelesítő adataikat infostealer kártevők naplóiban. Ezek olyan jelszavak, amelyeket más adatszivárgásokból loptak el, vagy kártevők rögzítettek — semmilyen jelszó-komplexitás nem véd meg egy már kiszivárgott jelszót.

Erről bővebben írtunk a miért nem elég az erős jelszó posztunkban.

„Kisvállalkozásokat senki nem vesz célba"

Épp az ellenkezője igaz. A korlátozott IT erőforrásokkal rendelkező kisebb szervezetek rendszeresen a zsarolóvírus-támadások elsődleges célpontjai. A kisvállalkozások pont azért vonzó célpontok, mert jellemzően kevesebb biztonsági rétegük van, kisebb az IT csapatuk, és kevésbé monitorozzák a rendszereiket.

„Észrevennénk, ha valaki támadna minket"

Valószínűleg nem — legalábbis nem elég gyorsan. A Sophos 2025-ös jelentése szerint az első hozzáféréstől az Active Directory kompromittálásáig eltelt idő mediánja 11 óra volt — a 2026-os frissítés szerint ez mindössze 3,4 órára csökkent. Mivel a zsarolóvírusok túlnyomó többségét munkaidőn kívül telepítik, a legtöbb támadás péntek este indul és hétfő reggel már kész is. A sikertelen bejelentkezési kísérletek ott sorakoznak a Windows eseménynaplójában, de kevés szervezet figyeli ezeket aktívan.

Mit tehet ellene?

A jó hír: az RDP védelme nem igényel hatalmas költségvetést vagy dedikált biztonsági csapatot. Az alábbi lépések valódi különbséget jelentenek.

Változtassa meg az alapértelmezett RDP portot. Az RDP áthelyezése a 3389-es portról nem állít meg egy elszánt támadót, de kiszűri az automatizált keresések nagy részét. Öt perc alatt elvégezhető, és érezhetően csökkenti a zajt.

Kapcsolja be a hálózati szintű hitelesítést (NLA). Az NLA megköveteli, hogy a felhasználó azonosítsa magát, mielőtt teljes távoli asztali munkamenet jönne létre. Ez blokkolja azokat a brute force eszközöket, amelyek közvetlenül a bejelentkezési képernyőt próbálják elérni.

Korlátozza, ki csatlakozhat. A tűzfallal szűkítse az RDP hozzáférést meghatározott IP-címekre. Ha csak az irodából és otthonról kell elérni a szervert, nincs ok arra, hogy az egész internet lássa a 3389-es portot.

Állítson be fiókzárolási házirendet. A Windows alapértelmezetten nem zárol fiókokat ismételt sikertelen bejelentkezés után. Állítson be küszöbértéket — például zárolás 30 percre 5 sikertelen kísérlet után. Ez beépített Windows funkció, amelyet sok rendszergazda soha nem kapcsol be.

Használjon VPN-t a távoli eléréshez. Ha az RDP-t VPN mögé helyezi, az erős védelmi réteget jelent. Az RDP portnak egyáltalán nem kell látszania a nyilvános interneten.

Vezessen be automatikus brute force észlelést. Azok az eszközök, amelyek figyelik a bejelentkezési kísérleteket és automatikusan blokkolják a támadó IP-címeket, áthidalják a szakadékot a sikertelen bejelentkezés és a válaszlépés között. A BruteFence egy ilyen megoldás — figyeli az ismétlődő sikertelen RDP bejelentkezéseket, és valós időben blokkolja a forrás IP-címet. Nagyjából öt perc alatt telepíthető, és teljes egészében a szerveren fut, felhőkapcsolat nélkül. Nem ez az egyetlen eszköz ebben a kategóriában, de érdemes kipróbálni, ha valami könnyűsúlyú megoldást keres, ami a meglévő rendszere mellett működik. Részletesebb leírást a dokumentációban talál.

Egyetlen intézkedés sem nyújt önmagában száz százalékos védelmet. A legerősebb védelem ezeknek a lépéseknek a kombinációja.

Ellenőrizze a szerverét öt perc alatt

Ha a Windows szervere elérhető az internetről bekapcsolt távoli asztallal, valószínűleg már most is próbálkozik valaki jelszavakkal ellene. Ez nem riogatás — egyszerűen így működik egy internetre néző szerver üzemeltetése 2026-ban.

A fenti lépések egyszerűek, és a legtöbb percek alatt elvégezhető, nem órák alatt. Válasszon egyet, és kezdje azzal. Ha kíváncsi rá, hogy mi történik éppen a szerverén, a BruteFence ingyenes 7 napos próbaverziót kínál — ha mást nem, a bejelentkezési kísérletek naplójából pontosan látni fogja, milyen gyakran próbálkoznak a szerverén.