Die meisten Netzwerkadministratoren und selbst diejenigen, die sich mit grundlegender Serversicherheit auskennen, wissen, dass ein offener RDP-Port (Remote Desktop Protocol) im Internet, insbesondere mit einem schwachen Passwort, Angreifern quasi eine Einladung zum Zugriff ist. Es ist erstaunlich, wie oft dies übersehen wird – alle denken: „Ach, ist doch nur RDP“, aber ein Brute-Force-Angriff kann schnell zum Erfolg führen, wenn man nicht aufpasst. Dieser Leitfaden enthält einige wirklich hilfreiche Tipps, um solche Brute-Force-Angriffe auf Windows Servern zu blockieren. Wenn Sie es satt haben, stundenlang mit fehlgeschlagenen Anmeldeversuchen oder Hackerangriffen zu kämpfen, sind dies die Tricks, die tatsächlich funktionieren. Durch die Umsetzung einiger dieser Maßnahmen erschweren Sie automatisierten Botnetzen und Script-Kiddies, die Ihre Passwörter erraten wollen, das Leben erheblich. Die gute Nachricht: Diese Angriffe sind ziemlich vorhersehbar, sobald man weiß, worauf man achten muss und wie man die Verteidigung einrichtet.
Wie man Brute-Force-Angriffe auf Windows Servern behebt
Methode 1: Sichere Passwörter und Kontosperrungsrichtlinien verwenden
Beginnen Sie mit den Grundlagen: Verwenden Sie ein wirklich komplexes Passwort. Kombinieren Sie Großbuchstaben, Kleinbuchstaben, Zahlen und Symbole. Wenn Sie immer noch den Namen Ihres Haustiers oder „password123“ verwenden, sind Sie ein gefundenes Fressen für Hacker. Konfigurieren Sie außerdem Kontosperrungsrichtlinien, sodass das Konto nach einigen fehlgeschlagenen Anmeldeversuchen für eine gewisse Zeit gesperrt wird. Unter Windows Server finden Sie diese Einstellung unter „ Lokale Sicherheitsrichtlinie“ → „Kontorichtlinien“ → „Kontosperrungsrichtlinie“. Legen Sie dort beispielsweise die Dauer der Kontosperrung und den Schwellenwert für die Kontosperrung fest. Bei manchen Konfigurationen funktioniert dies beim ersten Mal nicht, aber nach einem Neustart oder einer kurzen Wartezeit greift die Sperre. Das ist zwar etwas umständlich, verhindert aber, dass automatisierte Angriffsskripte Ihren Server unaufhörlich attackieren.
Methode 2: Begrenzen Sie fehlgeschlagene Anmeldeversuche mit Windows Defender oder benutzerdefinierten Skripten
Eine weitere Möglichkeit besteht darin, die Anzahl fehlgeschlagener Anmeldeversuche zu begrenzen – so wird Brute-Force-Angriff unattraktiver. Unter Windows lässt sich dies in den Sicherheitseinstellungen konfigurieren oder mit Tools wie Winhance weiter einschränken. Die Idee ist, dass das System nach X fehlgeschlagenen Versuchen – beispielsweise 5 oder 10 – weitere Versuche von derselben IP-Adresse vorübergehend blockiert. Das ist wie eine temporäre, IP-basierte Blockade, die den Angreifer ausbremst und seine Angriffe schnell zum Erliegen bringt. Dies ist besonders hilfreich, wenn Sie wiederholt fehlgeschlagene Versuche von denselben IP-Adressen feststellen – ein deutliches Anzeichen dafür, dass Ihr System angegriffen wird.
Methode 3: Standardports ändern und Firewalls verwenden
Angreifer zielen natürlich auf Port 3389 (für RDP) ab, da dies der Standardport ist. Die Änderung auf einen ungewöhnlichen Port, beispielsweise 50022, erhöht die Verschleierung. Bearbeiten Sie dazu einfach die Registrierung oder verwenden Sie PowerShell-Befehle. Aktualisieren Sie anschließend Ihre Firewall-Regeln und stellen Sie sicher, dass nur Ihre eigenen oder vertrauenswürdige IP-Adressen auf den neuen Port zugreifen können. Dies bietet zwar keinen hundertprozentigen Schutz, ist aber ein guter Schritt, um unerwünschte Zugriffe und automatisierte Scans zu reduzieren. Sie können den RDP-Zugriff auch über die Windows-Firewall → Eingehende Regeln auf bestimmte IP-Bereiche beschränken.
Methode 4: CAPTCHA aktivieren oder Zwei-Faktor-Authentifizierung verwenden
Bei manchen Anmeldeinformationsspeichern oder benutzerdefinierten Weboberflächen kann die Hinzufügung von CAPTCHA Bots effektiv stoppen. Aktivieren Sie außerdem die Zwei-Faktor-Authentifizierung (2FA) – beispielsweise Google Authenticator oder Duo –, wenn Sie wichtige Daten verwalten. Selbst wenn jemand das Passwort per Brute-Force-Angriff knackt, ist er ohne den zweiten Faktor ausgesperrt. Große Unternehmen nutzen dies aus gutem Grund regelmäßig. Für SSH oder RDP lässt sich 2FA zwar auch mit Drittanbieter-Tools einrichten, dies ist jedoch etwas aufwendiger. Dennoch reduziert allein die Aktivierung von 2FA die Wirksamkeit von Brute-Force-Angriffen erheblich.
Methode 5: EvlWatcher oder ähnliche Tools installieren und konfigurieren
Hier ein praktischer Tipp: Installieren Sie ein Tool wie EvlWatcher. Es durchsucht Logdateien nach wiederholten fehlgeschlagenen Zugriffsversuchen von derselben IP-Adresse und blockiert diese IP-Adressen automatisch für einen festgelegten Zeitraum, üblicherweise etwa zwei Stunden. Das ist wie ein Türsteher, der Störenfriede hinauswirft. Bei manchen Konfigurationen sind ein paar Anpassungen nötig, aber es hilft enorm, die Angriffsfläche zu verringern. Vor allem, da die manuelle Überwachung wenig Spaß macht, wenn Ihr Server stark beansprucht wird.
Microsoft hatte zuvor die Richtlinie „Administratorkonto-Sperrung zulassen“ eingeführt, um Brute-Force-Angriffe speziell auf das Administratorkonto einzudämmen. Windows 11 verfügt nun über standardmäßige Kontosperrungsrichtlinien, die das lokale oder Domänenadministratorkonto nach X fehlgeschlagenen Anmeldeversuchen sperren. Dies hilft, den klassischen „Alle Passwörter ausprobieren“-Angriff auf Ihr Administratorkonto zu verhindern. Es ist eine wirksame zusätzliche Verteidigungsmaßnahme.
Wie erkennt man einen Brute-Force-Angriff?
Wenn die Protokolle Dutzende oder Hunderte fehlgeschlagene Anmeldeversuche von derselben IP-Adresse oder demselben IP-Adressbereich anzeigen, ist das ein Warnsignal. Unter Windows finden Sie die Ereignisanzeige unter „ Sicherheitsprotokolle “ mit der Ereignis-ID 4625 (fehlgeschlagene Anmeldung).Treten mehrere Fehler kurz hintereinander von einer IP-Adresse auf, ist es höchste Zeit zu handeln – Angreifer versuchen, Ihren Server per Brute-Force-Angriff zu kompromittieren. Sobald Sie dieses Muster erkennen, sollten Sie die entsprechenden IP-Adressen umgehend blockieren oder eine Sperrrichtlinie aktivieren.
Ist es wirklich möglich, alle Angriffe mit roher Gewalt zu stoppen?
Nein, aber man kann es einem wirklich schwer machen. Verwenden Sie dazu sichere Passwörter, sperren Sie Konten nach einigen Fehlversuchen, ändern Sie den Standardport und nutzen Sie die Zwei-Faktor-Authentifizierung. Auch die Einrichtung von Überwachungstools hilft, um schnell reagieren zu können. Aber ehrlich gesagt: Wenn jemand unbedingt rein will, findet er vielleicht trotzdem einen Weg. Ihr Ziel ist es, die Hürde so hoch zu legen, dass die meisten automatisierten Skripte aufgeben.
Hoffentlich helfen Ihnen diese Tipps, Ihren Server sauberer und weniger angreifbar zu halten. Manchmal fühlt es sich wie ein ständiger Kampf an, aber schon ein paar einfache Anpassungen können viel bewirken.
Zusammenfassung
- Verwenden Sie komplexe, sichere Passwörter.
- Kontosperrungen nach fehlgeschlagenen Anmeldeversuchen konfigurieren
- Ändern Sie den Standard-RDP-Port von 3389 auf einen schwer verständlichen Wert.
- Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
- Überprüfen Sie regelmäßig die Protokolle auf verdächtige Aktivitäten.
- Installieren Sie Tools wie EvlWatcher zur automatisierten IP-Blockierung.
Zusammenfassung
Die Einrichtung ist anfangs etwas mühsam, aber es lohnt sich. Sobald man weniger Brute-Force-Angriffe bemerkt oder sieht, wie Angreifer blockiert werden, ist das ein gutes Gefühl. Behalten Sie Ihre Protokolle im Auge, ziehen Sie die Sicherheitseinstellungen an und ignorieren Sie fehlgeschlagene Anmeldeversuche nicht – sie sind Warnsignale. Hoffentlich spart das jemandem ein paar Stunden und macht es Angreifern zumindest deutlich schwerer.