Захист RDP: 5 ключових налаштувань (і кілька історій з життя)

15.09.25
4 хв.
19 перегляди
Copilot_20250915_100038.png

RDP (Remote Desktop Protocol) — штука зручна. Кілька кліків — і ти вже у своєму робочому середовищі, сидячи вдома з ноутбука або навіть з телефона у кав’ярні. Але є одне «але»: RDP — це ще й улюблена ціль для зловмисників. Хакери постійно сканують мережу в пошуках відкритих RDP-портів, брутять паролі, підбирають ключі. Якщо не подбати про безпеку, твій «віддалений робочий стіл» перетворюється на «відкриті двері для всіх».

Добра новина: є кілька простих, але дієвих налаштувань, які зроблять твою систему у рази стійкішою. Розберімося по пунктах.

  1. Паролі — не «123456»

Звучить банально, але більшість зламів починається саме тут. Паролі типу qwerty, admin чи password1 — це подарунок для ботів. Вони перевіряють такі варіанти в першу чергу.

Правило просте: мінімум 12 символів, поєднання літер, цифр і символів. А ще краще — використати менеджер паролів, щоб самому не ламати голову. Зручно створювати надійні комбінації допоможе генератор паролів

Кейс із життя: у 2023 році компанія в США втратила контроль над своїм сервером лише через те, що системний адмін залишив пароль Welcome2022. Хакери за дві години викачали базу клієнтів. І це була не якась маленька фірма, а сервіс на 200 тисяч користувачів.

  1. Двофакторна автентифікація (2FA)

Навіть якщо пароль вкрали чи вгадав бот — друга перевірка врятує ситуацію. Це може бути OTP-код із Google Authenticator, смс або push-нотифікація.

У Windows Server можна підключити додаткові рішення для 2FA, і це реально працює. Так, іноді незручно — але подумай: що краще, витратити 20 секунд на код чи втратити клієнтську базу і відновлювати репутацію роками?

  1. Міняй порт і обмежуй доступ

За замовчуванням RDP сидить на порту 3389. І саме цей порт «обстрілюють» тисячі ботів. Змінюєш порт — уже невеличка, але перешкода.

Ще краще — відкрити доступ лише для певних IP. Наприклад, заходити можна тільки з офісу чи через VPN. Так, це трохи мороки, але зате хакер із Бангладеш не «достукається» до твого сервера навіть теоретично.

Аналогія наступна, уявімо, що нам треба переїхати з першого поверху з відчиненим вікном на двадцятий із домофоном. Можна залізти в таке житло? Теоретично так. Але шансів — у рази менше.

  1. Використовуй шифрування і не забувай про оновлення

У RDP є функція Network Level Authentication (NLA). Вона додає автентифікацію ще до встановлення сесії. Якщо у вас NLA вимкнено — це як залишити двері відчиненими.

І друге — оновлення Windows. Багато вразливостей RDP уже закривалися через апдейти. Пропустив патч — відкрив двері хакерам.

Яскравий приклад — атака BlueKeep у 2019 році поширювалася саме через старі сервери Windows, де не стояли апдейти. Уразливість дозволяла повністю захопити машину без пароля. І знаєте що? Тисячі компаній просто не оновили системи.

  1. Логи і моніторинг — твій чорний ящик

Жодні паролі і 2FA не врятують, якщо ти не знаєш, що відбувається в системі. Перевіряйте:

  • хто заходив і з яких IP;

  • чи не було сотень невдалих спроб входу;

  • чи не з’явилися дивні сесії уночі, коли всі сплять.

Для цього є Windows Event Viewer, але краще підключити зовнішні сервіси моніторингу. Вони сповістять вас одразу, а не тоді, коли буде пізно.

Декілька поширених міфів про RDP

  1. «Мене не зламають, я маленький». Насправді боти не дивляться, хто ви. Вони просто сканують IP-адреси й атакують усе підряд.

  2. «VPN вистачить». VPN — це добре, але якщо пароль до RDP слабкий, він не врятує.

  3. «У нас айтішник все контролює». Ага. Поки він у відпустці, і на сервері немає патчів.

RDP у реальних діях

У 2021 році українську логістичну компанію «поклали» на тиждень. Причина — відкритий RDP без обмежень. Відновлювали роботу 10 днів.

Один фрілансер із Fiverr зізнавався, що його акаунти зламали після компрометації RDP-сервера, де він тримав проекти. Пароль був admin123. Клієнти пішли, профіль забанили.

Це все не страшилки — це щоденна практика.

Підсумовуємо

RDP — це не розкіш, а інструмент, без якого важко уявити роботу віддалено. Але якщо ви не подбали про базові налаштування — цей інструмент обернеться проти вас.

Сильний пароль, 2FA, нестандартний порт, IP-фільтрація, шифрування й оновлення, плюс моніторинг — це твій мінімальний чек-ліст.

А якщо ви використовуєте Windows VDS від Hyperhost, то вже отримуєте частину цього «пакету безпеки» за замовчуванням: дата-центри, відмовостійкі SSD, захищені канали. Решта залежить від вас. Бо у 2025-му «зламали через RDP» звучить не як новина, а як діагноз: «не налаштував елементарне».

yanchenko_natalia avatar
Natalia Yanchenko
Написані статті: 165
Blog editor with 10 years of experience. Areas of interest include modern technologies, targeting secrets, and SMM strategies. Experience in consulting and business promotion is reflected in relevant professional publications.
Переглянути біографію

ОСТАННІ СТАТТІ

Copilot_20250916_093306.png
17.09.25
4 хв.
25 перегляди

Фріланс заблокований у вашому регіоні? Пояснюємо, як зайти на фріланс!

Читати далі
Copilot_20250912_092328.png
12.09.25
6 хв.
23 перегляди

Віддалений робочий стіл Windows — простою мовою

Читати далі
Copilot_20250910_091925.png
10.09.25
4 хв.
19 перегляди

Віртуальний сервер замість комп’ютера: як це працює?

Читати далі
Surli icon
Скоротити зараз: