Remote Desktop Protocol (RDP)
Het Remote Desktop Protocol (RDP) is een onderdeel binnen Microsoft Windows dat het mogelijk maakt om op afstand te verbinden met een Windows computer of server die fysiek op een andere plek staat. Letterlijk vertaald betekent het 'bureaublad op afstand'.
Systeembeheerders gebruiken RDP om beheer uit te voeren op Windows Servers. Ook voor thuiswerkers is RDP een gangbare methode om toegang te krijgen tot de werkcomputer op kantoor. Dit laatste gebeurt door bijvoorbeeld een thuiscomputer te verbinden met een Windows computer op kantoor. Er kan ook een zogenaamde “Remote Desktop Server” (ook wel bekend als "Terminal Server" of "Remote Desktop Session Host") worden ingericht waar meerdere medewerkers tegelijk mee kunnen verbinden. De ervaring blijft bij beide manieren hetzelfde voor de gebruiker; het bureaublad en alle applicaties zijn beschikbaar alsof je direct gebruik maakt van de computer die op afstand is.
Welke risico's kleven aan RDP?
De mogelijkheid die RDP biedt om op afstand toegang te krijgen tot een computer of server is erg handig maar tegelijkertijd ook erg interessant voor kwaadwillenden die een kans zien om op deze manier toegang te krijgen. Bekende kwetsbaarheden of foute configuraties maken dat dit protocol niet altijd bekend staat als veilig. Het wordt nogal eens misbruikt om in bedrijfsnetwerken binnen te dringen, gevoelige informatie te stelen of kwaadaardige software te installeren zoals ransomware. Onder andere het Britse National Cyber Security Centre (NCSC UK) stelt dat misbruik van RDP de meest voorkomende wijze is waarop ransomware binnen bedrijven wordt uitgerold.
Wanneer het Remote Desktop Protocol via het internet benaderbaar is, neemt de kans op misbruik aanzienlijk toe. Op het internet wordt continu gescand op dit protocol en lijsten met gevonden systemen zijn vaak publiekelijk inzichtelijk. De afgelopen jaren zien cyberonderzoekers een toename van systemen die via internet benaderbaar zijn via RDP. Een verklaring hiervoor is dat er door de coronacrisis meer vanuit huis wordt gewerkt. Daarnaast is de drempel voor veel organisaties laag om het te gebruiken omdat de meeste versies van Windows standaard ondersteuning voor RDP hebben en client software die nodig is om te verbinden standaard geïnstalleerd is. Er is slechts één vinkje nodig om RDP toegang aan te zetten. Daarnaast is er een vrij eenvoudige firewallinstelling nodig om een systemen benaderbaar te maken via het internet. Omdat het relatief gemakkelijk is, zijn kwaadwillenden er toe aangetrokken om dit protocol te gebruiken om bedrijfssystemen aan te vallen via beveiligingslekken of kwetsbaarheden. Ook kunnen ze proberen in te loggen met gestolen inloggegevens of door via “brute force” wachtwoorden te kraken.
Veilig gebruik van RDP
Ondanks de risico’s die eraan kleven, is RDP voor veel bedrijven een efficiënte oplossing om werken op afstand mogelijk te maken. Hieronder vind je een aantal maatregelen die deze risico’s beperken. Neem deze maatregelen zelf of bespreek met je IT-dienstverlener of maatregelen zoals deze al genomen zijn.
- Voorkom dat het Remote Desktop Protocol direct benaderbaar is via het internet. Zorg dat gebruikers eerst een VPN-verbinding maken naar het bedrijfsnetwerk en sta RDP-verbindingen alleen over deze VPN-verbinding toe.
- Mocht een VPN-oplossing niet haalbaar zijn richt dan een “Remote Desktop Gateway” in wat een onderdeel is van Microsoft Windows Server. RDP Client software verbindt dan over het internet eerst met deze “gateway” server via het HTTPS-protocol. Het RDP-verkeer is hierbinnen mogelijk maar niet zichtbaar voor de buitenwereld.
- Wanneer zowel een VPN als een Remote Desktop Gateway niet mogelijk zijn, beperk het toegestane verkeer in de firewall dan tot vertrouwde IP-adressen van bijvoorbeeld medewerkers thuis. Let daarbij op dat thuisverbindingen vaak een dynamisch IP-adres hebben.
- Houd je computers en servers up-to-date. Stel beveiligingsupdates voor systemen die via RDP benaderbaar zijn niet uit maar voer deze zo snel mogelijk door.
- Laat alleen RDP-verbindingen op een computer of server toe via Network Level Authenticatie (NLA). Dit is een extra vinkje wanneer je RDP toestaat en staat vaak standaard aan. Dit zorgt ervoor dat er authenticatie plaatsvindt voordat de RDP-verbinding opgezet wordt.
- Zorg dat alleen sterke en unieke wachtwoorden worden gebruikt en stel een limiet in na hoeveel foute inlogpogingen een gebruikersaccount wordt geblokkeerd. Denk hier bijvoorbeeld aan 10 keer zodat een “brute force” aanval niet mogelijk is.
- Maak waar mogelijk gebruik van tweefactorauthenticatie. Sta hier stil bij de gekozen inrichting. Configureer dit bijvoorbeeld op de VPN-verbinding en/of op de computer of server waarnaar je wilt verbinden via RDP.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.
Heeft u een DTC-notificatie ontvangen?
Dan is dat hoogstwaarschijnlijk omdat beveiligingsorganisatie Shadowserver geconstateerd heeft dat uw RDP-server benaderbaar is via het internet via TCP of UDP. Omdat dit indringers aantrekt, neemt het Digital Trust Center de moeite om u via een notificatie te waarschuwen. Roept dit vragen op? Laat het ons weten via het feedbackformulier.