My progress in IT

 

Bron: Trans-ip

De RDP-poort beveiligen van je Windows Server

VPSBasis, Beveiliging, Windows Server

Wanneer je een VPS met Windows Server gebruikt, is de efficiëntste manier om daarop te werken door gebruik te maken van het Remote Desktop Protocol (RDP).

Omdat de meeste Windows Servers wereldwijd gebruik maken van Remote Desktop, is het een geliefd doelwit voor aanvallen door hackers / geautomatiseerde bots: Het is niet ongebruikelijk dat bots de RDP-poort van een Windows Server al binnen een paar minuten nadat een Windows Server voor het eerst online komt aanvallen.

Je kunt je Windows Server beschermen tegen dergelijke aanvallen door de Remote Desktop Poort te veranderen en/of de toegang tot de Remote Desktop Services te beperken tot specifieke IP-adressen (bijvoorbeeld van een VPN-verbinding). In deze handleiding leggen wij uit hoe je dit doet.

De Remote Desktop Poort veranderen

De meeste aanvallen die op RDP gericht zijn, worden door automatische bots uitgevoerd. Deze bots kijken of er een reactie komt op poort 3389 (de default RDP-poort) en gaan vervolgens over tot de daadwerkelijke aanval, bijvoorbeeld een bruteforce-aanval.

Door je RDP-poort te veranderen, kunnen dergelijke bots je server niet (makkelijk) meer vinden. Een dergelijke veiligheidsmaatregel staat bekend als 'security through obscurity'.

Stap 1
Verbind met je Windows Server via Remote Desktop of de VPS-console.

Stap 2
Klik op de Windows Start-knop, type 'regedit' en klik op 'Registry Editor' in de zoekresultaten.

windows search for regedit

 Stap 3
Geef bovenin de Registry Editor het adres 'Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' op, of klik in de mappenstructuur aan de linkerkant tot je in deze map uitkomt.

regedit enter rdp tcp folder

Stap 4
Scroll vervolgens naar onderen en dubbelklik op de REG_DWORD-key 'PortNumber'. Pas vervolgens 'Base' aan naar 'Decimal', verander het getal naar een ander (vrij) poortnummer en sluit daarna Regedit.

windows regedit change rdp port number

 Stap 5
Nu je de RDP-poort hebt aangepast, is het belangrijk ook de poort te openen in je firewall. Klik op de Windows Start-knop, type 'firewall' en klik op 'Windows Defender Firewall with Advanced Security' in de zoekresultaten.

windows search for firewall with advanced features

Stap 6
Klik links op 'Inbound Rules' en scroll naar onderen naar 'Remote Desktop'. Klik met de rechter muisknop een voor een op 'Remote Desktop - User Mode (TCP-In)' en 'Remote Desktop - User Mode (UDP-In)' en selecteer 'Disable Rule'.

 Stap 7
Klik met je rechtermuisknop vervolgens op 'Inbound rules' en kies voor 'New Rule'.

windows firewall inbound new rule

 Stap 8
Selecteer als rule type 'Port' en klik op 'Next'.

firewall new rule port type

Stap 9
Selecteer 'TCP' en voer onder 'Specific local ports' het poortnummer in die je in stap 4 hebt ingesteld.

windows firewall rdp protocol port

Stap 10
Selecteer 'Allow the connection' om verbindingen over de geselecteerde poort toe te staan en klik op 'Next'.

windows firewall allow rdp

 Stap 11
Optioneel kun je aanpassen op welk domein de regel van toepassing is. Doorgaans hoef je hier niets aan te passen, tenzij je een private network gebruikt en daar een private profile voor hebt aangemaakt, zie voor meer informatie Microsoft's documentatie.

windows firewall new rule domain

Stap 12
Geef de regel een naam, bijvoorbeeld 'RDP TCP' en klik op 'Finish'.

windows firewall rdp tcp name

Herhaal nu stap 7 t/m 12, maar selecteer dan bij stap 9 'UDP' en geef in stap 12 een andere naam, bijvoorbeeld 'RDP UDP'.

Maak je gebruik van de VPS-firewall in het TransIP-controlepaneel? Vergeet dan niet daar ook de gekozen poort in open te zetten.

Je RDP-poort is nu verandert en je firewall-configuratie is er op aangepast. Als je nu een Remote Desktop verbinding opzet met mstsc, gebruik je de nieuwe poort door :<poortnummer> achter je IP-adres te plaatsen, bijvoorbeeld: 123.123.123.123:12345

Wil je ook de toegang beperken tot specifieke IP's, ga dan hieronder verder met stap

RDP toegang beperken tot specifieke IP's

Een effectieve manier om je RDP-poort te beveiligen is door RDP-toegang te beperken tot specifieke IP's. Je zou bijvoorbeeld gebruik kunnen maken van VPN (Virtual Private Network) en enkel het IP-adres van je VPN-verbinding toestaan om te verbinden via RDP.

 Stap 1
Verbind met je Windows Server via Remote Desktop of de VPS-console.

 Stap 2
Klik op de Windows Start-knop, type 'firewall' en klik op 'Windows Defender Firewall with Advanced Security' in de zoekresultaten.

windows search for firewall with advanced features

Stap 3
Klik links op 'Inbound Rules' en scroll naar onderen naar 'Remote Desktop'. Dubbelklik vervolgens op de regel 'Remote Desktop - User Mode (TCP-In)'.

Heb je de RDP-poort aangepast? Dubbelklik dan op de naam van de firewall-regel die je in stap 11 hierboven hebt opgegeven.


windows firewall advanced rdp

 Stap 4
Selecteer het tabblad 'Scope', 'These IP addresses' en klik op 'Add'.

windows firewall rule scope

Stap 5
Geef het IP-adres op waar vandaan je RDP-verbindingen wil toestaan (dit mag een range zijn die je via een subnet definieert) en klik op 'Ok'.

windows firewall rule scope ips

 Stap 6
Klik tot slot op 'Apply' en 'Ok' om de wijzigingen door te voeren.

windows firewall advanced apply save rule

Herhaal stap 3 t/m 6 maar open deze keer in stap 3 de regel voor 'Remote Desktop - User Mode (UDP-In)'.

Daarmee zijn we aan het eind gekomen van deze handleiding voor het beveiligen van de RDP-service op een Windows Server.