Bezpieczny dostęp RDP w firmie – jak chronić pulpit zdalny

Dlaczego RDP to jedna z największych luk w firmowej sieci?

Remote Desktop Protocol pozwala pracownikom łączyć się z komputerem lub serwerem firmy tak, jakby siedzieli przy nim osobiście. Brzmi wygodnie – i jest. Problem polega na tym, że jeśli port 3389 (domyślny port RDP) jest otwarty bezpośrednio na internet, staje się celem automatycznych skanerów hakerskich już w kilka minut od uruchomienia serwera.

Według danych Shodan i ESET, w każdej chwili publicznie dostępnych jest w Polsce kilkadziesiąt tysięcy usług RDP. Znaczna część z nich to serwery małych i średnich firm, które udostępniły pulpit zdalny pracownikom bez odpowiednich zabezpieczeń. Skutki bywają katastrofalne:

• Ataki brute force – boty testują miliony kombinacji haseł na dobę, próbując złamać dostęp metodą prób i błędów
• Ransomware przez RDP – przejęcie konta administratora to najkrótsza droga do zaszyfrowania wszystkich danych firmowych
• Kradzież danych – dostęp do pulpitu oznacza dostęp do wszystkich plików, systemów i aplikacji danego użytkownika
• Lateral movement – z jednego przejętego komputera atakujący mogą poruszać się po całej sieci firmowej i atakować kolejne zasoby

Dobra wiadomość: większości tych zagrożeń można uniknąć, stosując kilka sprawdzonych zasad opisanych w tym poradniku – bez specjalistycznej wiedzy i bez dużych nakładów finansowych.

Audyt RDP – sprawdź, co masz teraz otwarte

Zanim zaczniesz cokolwiek zmieniać, musisz wiedzieć, w jakim stanie jest twoja sieć. Audyt RDP warto przeprowadzić w trzech obszarach:

1. Sprawdź, które urządzenia mają włączone RDP. W środowisku Windows możesz to zrobić przez PowerShell (Get-ItemProperty 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections) lub przez Group Policy Management. Szukaj urządzeń, gdzie Remote Desktop jest aktywne – szczególnie tych, z których nikt nie korzysta na co dzień.
2. Sprawdź, co jest widoczne z internetu. Skorzystaj z darmowego narzędzia Shodan lub zapytaj dostawcę IT, czy port 3389 jest dostępny spoza sieci firmowej. Możesz też przetestować z zewnętrznej sieci poleceniem nmap -p 3389 [Twój_publiczny_IP] – jeśli port jest otwarty, zobaczysz status open.
3. Przejrzyj logi nieudanych logowań. W Podglądzie zdarzeń systemu Windows (Event Viewer) sprawdź zdarzenia o ID 4625 (nieudane logowanie) i 4624 (udane logowanie). Setki nieudanych prób z obcych adresów IP to pewny sygnał, że jesteś aktywnie skanowany.

Wyniki audytu pokażą skalę problemu i pomogą ustalić priorytety. W praktyce wiele firm MŚP odkrywa przy tej okazji, że ich serwer jest skanowany kilka tysięcy razy dziennie – i że nikt do tej pory o tym nie wiedział.

7 kroków do bezpiecznego RDP – podstawowe zabezpieczenia

Poniższe kroki możesz wdrożyć samodzielnie lub z pomocą administratora IT w ciągu jednego dnia roboczego. Każdy z nich znacząco podnosi poziom ochrony:

1. Wyłącz RDP tam, gdzie nie jest potrzebny. Najlepsza ochrona to wyłączona usługa. Na stacjach roboczych, które nie wymagają zdalnego dostępu, RDP powinno być dezaktywowane przez zasady grupy (Group Policy).
2. Włącz Network Level Authentication (NLA). NLA wymaga uwierzytelnienia jeszcze przed nawiązaniem sesji RDP, co blokuje wiele automatycznych exploitów. Znajdziesz tę opcję w: Właściwości systemu → Zdalny → Zezwalaj na połączenia tylko z uwierzytelnianiem NLA.
3. Ogranicz listę użytkowników RDP. Tylko wyznaczone konta powinny mieć prawo do logowania przez pulpit zdalny. Usuń domyślną grupę Remote Desktop Users i dodaj wyłącznie konkretnych, imiennie wskazanych pracowników.
4. Ustaw blokadę konta po nieudanych próbach. W zasadach bezpieczeństwa lokalnego (Local Security Policy) skonfiguruj blokadę konta po 5 nieudanych próbach przez 30 minut. Drastycznie utrudnia to ataki słownikowe i brute force.
5. Zmień domyślny port RDP. Zmiana portu z 3389 na inny (np. 54321) eliminuje z zasięgu automatyczne skanery szukające domyślnego portu. To nie jest samodzielne zabezpieczenie, ale skutecznie redukuje szum w logach. Pamiętaj o aktualizacji reguł firewalla po zmianie.
6. Ogranicz dostęp na firewallu do konkretnych adresów IP. Jeśli pracownicy łączą się z biura lub ze znanych lokalizacji, zablokuj RDP dla wszystkich adresów IP poza dopuszczonymi. Reguła whitelist na poziomie firewalla to jeden z najprostszych i najskuteczniejszych środków.
7. Wdrożenie MFA dla kont z dostępem RDP. Rozwiązania takie jak Duo Security, Microsoft Authenticator czy Azure AD MFA wymagają drugiego składnika przy każdym logowaniu przez pulpit zdalny – nawet jeśli hasło zostanie skradzione, atak nie powiedzie się bez dostępu do telefonu.

VPN i RD Gateway – ukryj RDP za bezpiecznym tunelem

Najskuteczniejszym rozwiązaniem jest całkowite ukrycie RDP za VPN lub bramą RD Gateway. W tym modelu port 3389 nie jest w ogóle dostępny z internetu – pracownik najpierw łączy się przez szyfrowany, uwierzytelniony tunel, a dopiero potem uzyskuje dostęp do pulpitu zdalnego. To fundamentalna różnica w porównaniu z bezpośrednim wystawieniem usługi na zewnątrz.

Dostępne opcje dla firm MŚP:

• VPN firmowy – klasyczne rozwiązanie. Pracownik łączy się przez VPN (OpenVPN, WireGuard, Cisco AnyConnect), a następnie używa RDP wewnątrz sieci firmowej. Prosto i skutecznie, ale wymaga utrzymania własnego serwera VPN i zarządzania certyfikatami.
• Remote Desktop Gateway (RD Gateway) – wbudowane narzędzie Windows Server, które opakowuje ruch RDP w protokół HTTPS na porcie 443. Nie trzeba pełnego klienta VPN – połączenie wygląda jak zwykłe odwołanie do strony internetowej. Można zintegrować z MFA. To rozwiązanie polecamy jako złoty środek dla MŚP – wbudowane w Windows Server, bez dodatkowych licencji, skutecznie chroniące przed atakami z zewnątrz.
• Azure Bastion – rozwiązanie chmurowe Microsoftu dla firm korzystających z Azure. Umożliwia dostęp do maszyn wirtualnych przez przeglądarkę internetową bez otwierania jakichkolwiek portów. Idealne, jeśli infrastruktura serwera jest w chmurze Azure.
• Zero Trust Network Access (ZTNA) – nowoczesne podejście zastępujące klasyczny VPN, w którym każde żądanie dostępu jest weryfikowane osobno, niezależnie od lokalizacji użytkownika. Rozwiązania jak Microsoft Entra Private Access czy Cloudflare Access obsługują dostęp RDP w modelu ZTNA – dla firm z rosnącymi wymaganiami compliance.

Monitorowanie prób dostępu do RDP – jak wykryć atak w porę

Nawet dobrze zabezpieczony RDP wymaga ciągłego monitorowania. Wczesne wykrycie nieautoryzowanych prób logowania pozwala reagować zanim dojdzie do faktycznego naruszenia bezpieczeństwa.

Kluczowe zdarzenia systemowe do monitorowania:

• ID 4625 – nieudane logowanie. Więcej niż 10 prób z jednego adresu IP w ciągu minuty to sygnał aktywnego ataku brute force wymagający natychmiastowej reakcji
• ID 4624 i 4648 – udane logowanie. Każde udane logowanie przez RDP poza standardowymi godzinami pracy lub z nieznanego adresu IP powinno być weryfikowane
• ID 1149 – inicjalizacja sesji RDP. Pozwala śledzić, kto i kiedy nawiązuje połączenie, bez konieczności przeszukiwania szczegółowych logów

Narzędzia do monitorowania RDP w firmie MŚP:

• Microsoft Defender for Business – wykrywa anomalie w logowaniach i może automatycznie blokować podejrzane adresy IP na podstawie analizy behawioralnej
• Azure Monitor / Microsoft Sentinel – dla firm z infrastrukturą w chmurze Microsoftu, umożliwia zaawansowane reguły alertów na zdarzenia RDP z automatycznym powiadamianiem
• Windows Admin Center – darmowe narzędzie Microsoftu do podstawowego monitorowania logów zdarzeń bez konieczności wdrażania pełnego SIEM

Absolutne minimum: alert e-mail lub SMS przy każdym przekroczeniu progu 10 nieudanych logowań RDP w ciągu 5 minut z dowolnego zewnętrznego adresu IP. Taki alert możesz skonfigurować w Task Scheduler lub za pomocą prostego skryptu PowerShell wysyłającego powiadomienia przez SendGrid lub Microsoft Graph.

Polityka dostępu RDP – co zapisać i jak egzekwować

Techniczne zabezpieczenia to jedno – równie ważna jest formalna polityka dostępu przez pulpit zdalny, która określa reguły dla pracowników i administratorów. Bez spisanych zasad nawet najlepsze narzędzia zostaną obejdzone przez nieświadome lub nieprzestrzegane procedury.

Co powinna zawierać polityka RDP w firmie MŚP:

• Wykaz autoryzowanych użytkowników – imiennie wskazane osoby z prawem do RDP, lista przeglądana i aktualizowana co kwartał lub po każdej zmianie kadrowej
• Zasada minimalnych uprawnień – dostęp wyłącznie do systemów niezbędnych do wykonywania obowiązków, bez uprawnień administratora lokalnego dla zwykłych użytkowników
• Obowiązek MFA – każde logowanie przez RDP wymaga drugiego składnika uwierzytelniania, bez wyjątków
• Automatyczne rozłączanie nieaktywnych sesji – sesje RDP zamykane automatycznie po 30–60 minutach braku aktywności, by zapobiec przejęciu niezablokowanej sesji
• Wymagania dla urządzeń pracowników – zakaz używania RDP z niezarządzanych prywatnych urządzeń lub obowiązek spełnienia przez nie minimalnych wymagań (EDR, aktualizacje, szyfrowanie dysku)
• Procedura przyznawania i odbierania dostępu – formalny wniosek, akceptacja przełożonego i automatyczne wyłączenie dostępu RDP przy zakończeniu współpracy z pracownikiem
• Retencja logów sesji – logi połączeń RDP przechowywane przez minimum 90 dni na potrzeby analizy incydentów i ewentualnych postępowań

Politykę RDP warto powiązać z ogólną polityką bezpieczeństwa IT firmy i przeglądać raz w roku lub bezpośrednio po każdym incydencie bezpieczeństwa związanym z dostępem zdalnym.