RDP brute force védelem 2026: hogyan működnek az eszközök

Ha Windows szervereket üzemeltetsz bekapcsolt Távoli asztallal, tudod, hogy a támadások sosem állnak le. Ami évről évre változik, az a védelem alakja: az eszközök, amelyek tényleg működnek, a kombinációk, amelyek kibírják a terhelést, és a kompromisszumok, amelyeket egy megközelítés választásával elfogadsz.

Ez a cikk végigmegy az RDP brute force védelem teljes kategóriatérképén 2026-ban. Hat védelmi kategóriáról lesz szó, arról, miben különböznek, és hogy melyik melyik környezetben van a helyén. Nincs vendor összehasonlítás, nincs csodamegoldás, csak egy őszinte leltár arról, mit tehet ma egy Windows rendszergazda.

Mi az az RDP brute force támadás?

Az RDP brute force támadás egy automatizált próbálkozás arra, hogy a támadó kitalálja a Windows felhasználónév és jelszó párost a Remote Desktop Protocolon keresztül (alapból a 3389-es porton). Botnetek óránként több ezer belépési kísérletet zúdítanak az elérhető végpontokra, abban bízva, hogy valahol egy gyenge vagy újrahasznált jelszóra találnak. Részletesebb magyarázat: mi az az RDP brute force támadás.

A számok nem elméletiek. Egy Sophos honeypot mérés 15 nap alatt több mint 2 millió RDP belépési kísérletet rögzített 999 egyedi IP címről egyetlen elérhető szerveren. Egy másik Microsoft Sentinel honeypot projekt 7 nap alatt 209 335 sikertelen belépést dokumentált, körülbelül napi 30 000-et egyetlen tesztgépen. Minden internetre kitett RDP végpont folyamatosan ilyen forgalmat lát.

Hogyan állítják meg valójában a modern védelmek az RDP támadásokat?

A 2026-os hatékony védelem három réteg mentén szerveződik: detektálás, megelőzés, válasz. A detektálás annyit jelent, hogy a sikertelen belépéseket valós időben látod, általában Windows Event ID 4625 eseményeken keresztül. A megelőzés a támadási felület csökkentése, még mielőtt a forgalom elérné a belépő képernyőt: tűzfalak, VPN, MFA. A válasz az, amikor egy jelzésre cselekszel: IP-t bannolsz, fiókot zárolsz, riasztást küldesz az adminnak.

A legtöbb valós beállítás legalább két réteget kombinál. Egyetlen eszköz szinte soha nem fedi le mindhármat jól, és ha bármelyik kategóriát önmagában elég védelemnek tekinted, ott lesznek a lyukak.

Milyen kategóriákba sorolhatók az RDP védelmi eszközök?

Hat kategória lefedi a 2026-os gyakorlati védelmek szinte mindegyikét. Mindegyik egy konkrét problémát old meg, és mindegyiknek megvannak a korlátai.

1. Event log monitoring és IP blokkolás

Ezek az eszközök a Windows Security logot figyelik sikertelen belépésekre (Event ID 4625), és egy küszöb átlépése után automatikusan Windows Firewall blokkszabályt hoznak létre a támadó IP-re. Példák: BruteFence, RdpGuard, IPBan, Windows-natív fail2ban portok.

Mikor illik: hosting szolgáltatók, MSP-k, kis cégek, ahol nem lehet kényszeríteni VPN klienst a végfelhasználókra; legacy környezetek, ahol MFA nem praktikus; minden szerver, ahol az RDP-nek elérhetőnek kell maradnia a nyílt internetről.

Korlátok: ez a kategória kialakításánál fogva reaktív. A próbálkozások megindulása után blokkol, nem előtte. Nem rejti el az RDP portot a scannerek elől, és nem véd az egyetlen helyes találatos credential stuffing ellen.

A BruteFence, a cikk mögött álló termék, ebbe a kategóriába tartozik. Helyben fut, nyugalomban kb. 1% CPU-t és 50 MB alatti RAM-ot használ, és kb. 5 perc alatt települ. Egyike a kategória lehetőségeinek: válaszd azt, amelyik a te környezetedhez passzol.

2. Honeypot és csalétek portok

A honeypot megközelítés hamis, RDP-nek kinéző szolgáltatásokat nyit nem használt portokon (3390, 3391 stb.). Bármilyen csatlakozás ezekre a portokra definíció szerint ellenséges, és azonnali ban következik. Ez nagyon erős jelzést ad közel nulla téves pozitívval, mert legitim felhasználók soha nem érintik ezeket a portokat.

Mikor illik: kiegészítő rétegként IP blokkolás mellé, különösen olyan hostoknál, amelyeket intenzíven szkennelnek. Korai figyelmeztetésként működik, mielőtt a támadó elérné a valódi RDP portot.

Korlátok: a honeypot önmagában nem véd, csak jelzi a támadót. Ez második vonal, nem első.

3. Hálózati szintű megelőzés: VPN, Tailscale, RD Gateway, Cloudflare Tunnel

Ez a kategória teljesen leveszi az RDP-t a publikus internetről. A felhasználók VPN-en (OpenVPN, WireGuard, Tailscale), Microsoft RD Gateway-en, vagy nulla-ingress tunelen (pl. Cloudflare Tunnel) csatlakoznak. Az RDP port tűzfalazva van a külvilágtól, és csak az autentikált csatornán keresztül érhető el.

Mikor illik: belső vállalati környezet teljes kontrollal a felhasználói eszközök felett, zero-trust hálózatokat építő cégek, és minden olyan helyzet, ahol VPN kliens kötelezhető. Ez szinte mindig a legerősebb védelem, ha kivitelezhető: az elérhetetlen port ellen nincs támadás.

Korlátok: nem mindig kivitelezhető. Egy hosting szolgáltató nem tudja rákényszeríteni az ügyfelekre, hogy VPN-t telepítsenek a saját VPS-ükhöz. Egy vegyes ügyfélkörű MSP-nek szinte mindig lesz 1-2 ügyfele, ahol a VPN bevezetés legacy szoftveren, külsős munkatársakon vagy support eszközökön akad el. Ezekben az esetekben a fenti reaktív kategóriák továbbra is fontosak.

Arról, mikor védhető és mikor nem az RDP internetre kitevése, részletesebben írtunk itt: biztonságos-e az RDP-t kitenni az internetre.

4. Többfaktoros autentikáció (MFA)

Az MFA megfogja a credential-alapú támadásokat, függetlenül attól, hogy a jelszó hogyan került a támadó kezébe. Opciók: Duo Security (10 felhasználóig ingyen), Microsoft Authenticator Entra ID-val, Windows Hello for Business, és TOTP alapú megoldások, amelyek az RDP belépési folyamatba ékelődnek.

Mikor illik: minden környezetben, ahol lehetséges. Az MFA 2026-ban a legfontosabb egyetlen kontroll credential kompromittálás ellen. A Sophos 2025 Active Adversary Report azt találta, hogy az esetek 41%-ában a kompromittált hitelesítő adat volt a root cause, és az esetek 56%-ában a támadók egyszerűen bejelentkeztek valós hitelesítő adatokkal ahelyett, hogy bármit is kihasználtak volna.

Korlátok: használati súrlódás a végfelhasználóknál, legacy alkalmazások, amelyek megkerülik az interaktív belépés folyamatát, és offline szcenáriók, ahol a tokenek nem érik el az MFA szolgáltatást. Arról, hogy miért számít a jelszó erőssége az MFA mellett is, lásd mennyi ideig tart feltörni egy gyenge RDP jelszót.

5. Account lockout policy

A Windowsban van beépített account lockout funkció, amely Group Policy-n keresztül állítható. Beállítasz egy küszöböt (például 5 sikertelen próbálkozás), lockout időtartamot és reset számlálót. Ingyenes, minden Windows Server kiadás támogatja, és alapból ki van kapcsolva: egy friss Windows Server telepítés 0 próbálkozásra van állítva, ami gyakorlatilag azt jelenti, hogy nincs lockout.

Mikor illik: minden Windows környezetben, alapvető rétegként. Nincs indok nem bekapcsolni.

Korlátok: self-lockout kockázat legitim felhasználóknak, akik elírják a jelszavukat, és DoS kockázat, ha egy támadó szándékosan zárolja az admin fiókokat. Párosítsd riasztással, hogy lásd a mintázatokat, ne csak hallgatólagosan elviseld a lockoutokat.

6. IP allowlisting és geo-blocking

A Windows Firewall korlátozhatja az RDP hozzáférést adott forrás IP-kre vagy tartományokra, és geo-blocking eszközökkel ország szerint szűrhetsz. Ha minden adminod egyetlen irodai IP-ről csatlakozik, a legegyszerűbb és legerősebb védelem ezt az egy IP-t engedni.

Mikor illik: statikus iroda környezet, szerverek, amelyekhez csak egy ismert jump hostról kell elérés, és minden olyan setup, ahol a legitim forráscímek listája rövid és kiszámítható.

Korlátok: rugalmatlan mobil adminoknak, elromlik, ha a home ISP rotálja az IP-ket, és a geo-blocking trivíálisan megkerülhető olcsó VPS-ekkel az engedélyezett országokban. Rétegként hasznos, egyedüli védelemként nem.

Melyik védelem való melyik környezetbe?

Nincs egyetlen legjobb kategória. Egy ésszerű első választás a tipikus környezetekhez így néz ki:

| Környezet | Legjobb választás | Miért | |---|---|---| | Hosting szolgáltató, ügyfél VPS-ek | Event log monitoring + IP blokkolás | Nem kényszeríthető VPN az ügyfelekre | | Belső vállalati RDP | MFA + VPN vagy RD Gateway | Teljes eszközkontroll, a legerősebb védelem | | MSP vegyes ügyfélkörrel | Event log monitoring + lockout + riasztás | Sokféle setup közt is működik | | Legacy rendszerek (MFA nem támogatott) | Honeypot + lockout + IP allowlist | Mélységi védelem a bejelentkezés érintése nélkül | | Zero-trust környezet | Tailscale vagy Cloudflare Tunnel | Teljesen eltünteti a támadási felületet | | Kisvállalkozás, 1-3 szerver | Event log monitoring + lockout + erős jelszó | Olcsó, gyors, hatékony | | Enterprise, 50+ szerver | MFA + VPN + központi log aggregáció | Erőforrás-igényes, de robusztus |

A kontrollok teljes listájához, amelyet bármelyik választás mellé érdemes megcsinálni, lásd a Windows Server biztonsági checklist 2026 cikkünket.

Mi változott 2026-ra?

Néhány dolog eltolódott az elmúlt 12 hónapban, ami változtat azon, hogyan kell az RDP védelemre gondolnod.

A NIST Special Publication 800-63B Rev 4 véglegesítette az új jelszó iránymutatást: minimum 15 karakter, ha a jelszó az egyetlen autentikációs faktor (második faktor mellett 8 karakter), kötelező ellenőrzés ismert kiszivárgott jelszó listák ellen, és a periodikus kényszerű jelszóváltoztatás formális kivezetése. A régi 90 naponkénti jelszóváltás szabály hivatalosan halott. Ami most számít: hossz, egyediség, és kompromittálás-ellenőrzés olyan forrásokkal, mint a HaveIBeenPwned, amely már több mint 1,3 milliárd egyedi kiszivárgott jelszót indexel.

A Mandiant M-Trends 2026 jelentés, amely több mint 500 000 óra 2025-ös incident response munkára épül, két olyan eltolódást jelez, ami az RDP védőknek számít: a támadói timeline drasztikusan összezsugorodik (az initial access és a második támadócsoportnak való átadás közötti medián idő 2022-es 8+ órától 2025-re 22 másodpercre esett), és az edge eszközök kihasználása gyakran még patch előtt történik, hogy a támadó elérje a belső RDP hostokat. A detektálási ablakod rövidebb, mint korábban.

A Verizon 2025 Data Breach Investigations Report dokumentálta, hogy a sérülékenység kihasználás mint initial access vektor 34%-kal nőtt év per év, és a breach-ek 20%-a így kezdődött. A credential-alapú behatolások továbbra is a legnagyobb egyedi kategória, és részben emiatt a CISA Stop Ransomware iránymutatás továbbra is első vonalú aggodalomként kezeli a kitett RDP-t.

A Sophos 2025 State of Ransomware jelentés szerint a kihasznált sérülékenységek a támadások első számú technikai root cause-e, a támadások kb. 32%-ában, és a megtámadott szervezetek kb. 40%-a említette a biztonsági szakértelem hiányát hozzájáruló tényezőként. Egy másik Sophos szám: az általuk vizsgált incident response esetek 84%-a érintett valahogyan RDP-t, és a ransomware bevetések 83%-a normál munkaidőn kívül történt, pont abban az ablakban, amikor a válaszcsapat a legkisebb.

A Microsoft security baseline-ek külön követendő terület. A Microsoft Security Compliance Toolkit jelenleg a Windows Server 2025-öt fedi le, ez a legfrissebb szerver kiadás. 2019 vagy 2022 alatt a baseline hardening javarészt még releváns, de az új deployment-ekre a 2025-ös baseline lesz az irányadó.

Hogyan kombinálod a kategóriákat rétegzett védelembe?

A nincs csodamegoldás tanács azért klisé, mert igaz. A valódi deploymentek háromnál több kategóriát kombinálnak. Néhány példa:

Kisvállalkozás, 3 szerver: account lockout policy + event log monitoring IP blokkolással + erős, egyedi jelszavak breach list ellenőrzéssel. Teljes setup idő: kb. 30 perc. Teljes költség: közel nulla.

Hosting szolgáltató: event log monitoring és IP blokkolás + honeypot portok + geo-szűrés olyan országokra, ahonnan nincs legitim ügyfél + per-VPS account lockout. Nincs VPN kötelezettség az ügyfeleken, de négy független réteg, amelyeknek mindegyiknek buknia kell ahhoz, hogy a támadó sessiont kapjon.

Enterprise, 50+ szerver: MFA minden admin fiókra + VPN vagy RD Gateway minden külső eléréshez + account lockout mindenhol + központi log aggregáció SIEM-be, így az egyik host 4625-ös eseményei korrelálnak egy másik host kísérleteivel. Több eszközköltség, több munkaerő, de a kockázati profilhoz illeszkedik.

Az elv minden esetben ugyanaz: amikor egy réteg kiesik (egy tűzfal szabályt karbantartás közben törölnek, ellopnak egy MFA tokent, új admint vesznek fel VPN hozzáférés nélkül), a többi réteg megfogja.

Mi az 5 perces RDP védelmi quick start?

Ha konkrét lépéseket akarsz, amelyeket bármely Windows rendszergazda megtehet ma, új termék vásárlása nélkül:

1. Kapcsold be az Account Lockout Policy-t. Group Policy, Computer Configuration, Windows Settings, Security Settings, Account Policies, Account Lockout Policy. Küszöb: 5 próbálkozás, lockout időtartam: 15 perc. Kb. 5 perc munka.
2. Nyisd meg az Event Viewert és szűrj Event ID 4625-re. Ha napi több száz bejegyzést látsz, éppen most aktívan támadnak. 2 perc.
3. Telepíts event log monitoring eszközt az IP-k automatikus blokkolásához. A kategória bármelyik eszköze működik, válassz egyet. 5 perc.
4. Nevezd át a beépített Administrator fiókot. A támadók túlnyomó részben a szó szerinti Administrator felhasználót célzzák. Az átnevezés kiiktatja a leggyakoribb találgatást. 2 perc.
5. Ellenőrizd, hogy a Network Level Authentication (NLA) be van kapcsolva. System Properties, Remote, engedélyezd a csatlakozást csak NLA-t használó gépekről. Modern Windowson alapból bekapcsolva, de érdemes leellenőrizni. 1 perc.

A teljes hardening lépéssorhoz ezen a quick starton túl lásd a Windows Server biztonsági checklist 2026 cikket.

Szeretnél automatikus Event ID 4625 figyelést és IP blokkolást dobozból? A BruteFence 7 napos ingyenes próbát kínál. Kb. 5 perc alatt települ, nem kér bankkártyát. Ez egy opció az event log monitoring kategóriából; bármelyiket választod, párosítsd a fenti többi réteggel.