Windows Server 2025 – Hardening Systemu – RDP cz.4 - beitadmin.pl

Maksymalne ograniczenie powierzchni ataku przez usługę RDP – jednego z najczęstszych wektorów ataków (np. brute-force, ransomware, credential stuffing).

Wyłącz RDP, jeśli nie jest potrzebny

Najlepszy hardening to wyłączenie usługi:

Server Manager → Local Server → Remote Desktop → Disable
lub PowerShell:
- Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server’ -Name 'fDenyTSConnections’ -Value 1

Ogranicz, KTO może się łączyć

Dodaj tylko konkretne konta/grupy do Remote Desktop Users
Usuń niepotrzebnych użytkowników

net localgroup "Remote Desktop Users"

1	net localgroup "Remote Desktop Users"

Włącz Network Level Authentication (NLA)

Wymusza uwierzytelnienie przed otwarciem sesji RDP:

System Properties → Remote → zaznacz:

Allow connections only from computers running Network Level Authentication

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication -Value 1

1	Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication -Value 1

Używaj silnego uwierzytelniania – MFA

W środowisku AD: wdroż Windows Hello for Business, Azure MFA lub inny dostawca MFA
Na bramkach RDS – skonfiguruj MFA dla Remote Desktop Gateway

Ogranicz połączenia do konkretnych adresów IP

Zasady zapory (Windows Defender Firewall):
- Tylko biurowe IP lub VPN
- Blokuj Inbound na 3389 poza zaufanym zakresem

New-NetFirewallRule -DisplayName "RDP Allow from OfficeIP" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress x.x.x.x -Action Allow

1	New-NetFirewallRule -DisplayName "RDP Allow from OfficeIP" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress x.x.x.x -Action Allow

Zmień domyślny port RDP (opcjonalnie)

Zmniejsza skanowanie masowe (ale to nie jest ochrona sama w sobie):

Rejestr
- HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
- ustaw na niestandardowy port
Otwórz nowy port w zaporze sieciowej

Używaj VPN do RDP

Najlepsza praktyka: całkowicie zamknąć port 3389 na zewnątrz
Wymusić połączenie VPN przed sesją RDP

Włącz i konfiguruj Remote Desktop Gateway

Umożliwia dostęp przez HTTPS (port 443)
Obsługuje MFA
Kontrola dostępu na poziomie aplikacji

Ogranicz liczbę jednoczesnych sesji

GPO:
- Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Connections → Limit number of connections

Wymuszaj zasady haseł i blokady kont

Silne hasła
Blokada po nieudanych próbach logowania
- Computer Configuration → Windows Settings → Security Settings → Account Policies → Account Lockout Policy

Włącz logowanie i monitorowanie zdarzeń

Event Viewer → Microsoft-Windows-TerminalServices-* logs
Użyj SIEM lub Windows Defender for Identity
Aktywuj Advanced Auditing:
- Audit Logon Events
- Audit Account Logon Events
- Audit Logoff Events

Zainstaluj najnowsze aktualizacje

Windows Update (patchy dla RDP)
Regularny harmonogram aktualizacji

Skonfiguruj TLS i SChannel

Wymuś TLS 1.2/1.3 dla sesji RDP
Wyłącz stare protokoły (SSL 3.0, TLS 1.0)

Wdrażaj Conditional Access (Azure AD / Entra ID)

Blokuj logowanie spoza określonych warunków (np. lokalizacji, urządzeń)

Włącz Windows Defender Credential Guard (jeśli wspierane)

Chroni przed wykradaniem poświadczeń w sesji RDP

Konfiguruj czas bezczynności i rozłączanie

GPO:
- Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits

Rozważ Remote Desktop Web Access z Azure AD Application Proxy

Bez otwierania portów RDP publicznie
Uwierzytelnianie z Azure AD

Podsumowanie

Aby zabezpieczyć RDP na Windows Server 2025, włącz Network Level Authentication i ogranicz dostęp tylko dla wybranych użytkowników oraz adresów IP (np. przez VPN lub Remote Desktop Gateway z MFA). Utrzymuj system i protokoły w pełni zaktualizowane, wymuszaj silne hasła i blokady kont po nieudanych logowaniach. Monitoruj logi sesji RDP i ogranicz liczbę połączeń oraz czas bezczynności, by zmniejszyć powierzchnię ataku. Jeśli to możliwe, rozważ całkowite wyłączenie RDP lub przeniesienie dostępu za bramkę z dodatkowymi warstwami uwierzytelniania.

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).