> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/nl/handleidingen-voor-het-verhelpen-van-kwetsbaarheden/how-to-resolve-rdp-service-exposure-from-the-internet.md).

# Externe scan: blootstelling van de RDP-service verhelpen

{% hint style="info" %}
Dit is een praktische hardeninggids. Het doel is om de directe internetblootstelling van **TCP/3389**.
{% endhint %}

## Waarom RDP-blootstelling gevaarlijk is

RDP (Remote Desktop Protocol) is Microsofts protocol voor externe toegang. Het luistert meestal op **TCP-poort 3389** en is een waardevol toegangspunt voor aanvallers.

Een blootgestelde RDP-service wordt misbruikbaar wanneer:

* deze wordt getroffen door een openbare kwetsbaarheid (bijvoorbeeld BlueKeep), of
* inloggegevens zwak, hergebruikt of gelekt zijn.

In beide gevallen is dat meestal voldoende voor initiële toegang en laterale beweging. Stel RDP alleen bloot op interne netwerken, nooit rechtstreeks op internet.

## Aanbevolen oplossingen

De meeste blootgestelde RDP-services bestaan om een van twee redenen:

* **Beheer op afstand.** In afnemende volgorde van voorkeur: implementeer een Remote Desktop Gateway (RDG), implementeer een VPN, of harden de RDP-service.
* **Toegang tot documenten.** Geef de voorkeur aan Microsoft 365 en SharePoint-opslag in plaats van toegang via een extern bureaublad.

Minimale basis in alle gevallen:

* Blokkeer inkomend **TCP/3389** op de perimeterfirewall.
* Sta RDP alleen toe **vanaf** uw RD Gateway- of VPN-IP-bereik.

## Optie 1: Remote Desktop Gateway (voorkeur)

Een Remote Desktop Gateway (RDG) is een veiligere manier om interne RDP-servers te bereiken. Het fungeert als tussenlaag: alleen de gateway is blootgesteld, via **HTTPS (TLS)** op **TCP/443**. Plaats deze in een bestaande DMZ.

### Installeer de gatewayrol

Verbind met de Windows-server die de gateway zal hosten en open **Serverbeheer**.

{% stepper %}
{% step %}
Via het **Beheren** menu, open **Functies en onderdelen toevoegen**.

<figure><img src="/files/2f98219040d8bf43801b47e3f0acd353c8a8295b" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Klik op het eerste scherm van de wizard op **Volgende**.

<figure><img src="/files/d1ba95fd4e16158bcce7460e7b1e4e26b09203d8" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer **Installatie op basis van rollen of onderdelen**, daarna **Volgende**.

<figure><img src="/files/f68cb6f7cf3748e8ec1dd153cb204d205ea44721" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer de doelserver, daarna **Volgende**.

<figure><img src="/files/c2acb01f8908909171cfa4e159cbcf5f5aa095ff" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer **Remote Desktop Services**, daarna **Volgende**.

<figure><img src="/files/8db591a75dabda2a6b1bf4d90dbb4c33b69c1dd5" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Laat de standaard geselecteerde functies staan en ga verder.

<figure><img src="/files/ca36fd94214a0cf5096d343d9c2d3afbab08255e" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Sla het informatiedocument voor Remote Desktop Services over.

<figure><img src="/files/cc3e0166f028317eef201495da793b2463f87e2b" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer de **Remote Desktop Gateway** rolservice en accepteer de vereiste functies wanneer daarom wordt gevraagd.

<figure><img src="/files/63e0b24391c92c1bb34cd7e75d8ace68ca56ad7d" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Bevestig de selectie en ga verder.

<figure><img src="/files/b8689d79d49cbe8f2f5b438973fdd9c039b84f27" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
De wizard voegt de gerelateerde tabbladen automatisch toe. Klik **Volgende** door de informatieschermen Network Policy and Access Services en Web Server (IIS), waarbij u de standaard IIS-services behoudt.

<figure><img src="/files/c7c94f9c5d44fbcb806140c4bc7297030ea898ed" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/63308bb3dfed9bf41b1c9ca817b7d9a33354e2ec" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/fcbf32d40c22b1cdfd9dde8f1fd59183da208560" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/555e847947d6806c213088283df43b01fae75470" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Controleer de samenvatting en klik op **Installeren**. U kunt aanvinken **De doelserver automatisch opnieuw opstarten** indien nodig.

<figure><img src="/files/cb4a287bfef5510d62dbb23e45340aaced1b2683" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wacht tot de installatie is voltooid.

<figure><img src="/files/50704787a92b156251e2837698d01822fab1e597" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### De gateway configureren

{% stepper %}
{% step %}
in **Serverbeheer** > **Hulpprogramma's**, open het beheerprogramma voor Remote Desktop Gateway.

<figure><img src="/files/4a46da2f2f1e7060d5f8780f38111e92747c5fb5" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer de server aan de linkerkant en open vervolgens **Certificeereigenschappen weergeven of wijzigen**.

<figure><img src="/files/322389dc22dd4a0206dc9c9080efde8a80e6fafe" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Installeer een certificaat. Geef de voorkeur aan een certificaat van een erkende certificeringsinstantie: selecteer **Een certificaat importeren in de RD Gateway Certificates (Local Computer)/Personal-opslag**, daarna **Certificaat bladeren en importeren**.

<figure><img src="/files/030d8f60904585f4603b974209f007e9971e9950" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Als u in plaats daarvan een zelfondertekend certificaat gebruikt, selecteer **Een zelfondertekend certificaat maken** en klik op **Certificaat maken en importeren**.

<figure><img src="/files/63b5f80ab60f52a6c0bd0320a9bf084a4194be64" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Voer de volledige servernaam in als **Certificaatnaam**. Een zelfondertekend certificaat moet vervolgens van de server worden geëxporteerd en op elke machine worden geïmporteerd die de gateway zal gebruiken. Klik op **OK** om te voltooien.

<figure><img src="/files/0b642ba33bf926129fcbfd4212d25107b042e84f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Voeg toegangsregels toe. Open via de serverkeuzelijst **Beleid**, daarna **Nieuw machtigingsbeleid maken**.

<figure><img src="/files/f5360d08bd0136ae8ab23688ef45a61827c10b30" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Er zijn twee regels nodig: een verbindingsregel (RD CAP) en een resourceregel (RD RAP). Selecteer **Maak een RD CAP en een RD RAP (aanbevolen)**, daarna **Volgende**.

<figure><img src="/files/c97baacc59c0fe2077fc7ccc53c087fa66daa6d7" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geef de CAP-regel een naam, daarna **Volgende**.

<figure><img src="/files/0b4957016a4bd34bca5ede3b9cb22fb6ad5683d4" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer de gebruikersgroep(en) die de gateway mogen gebruiken, daarna **Volgende**.

<figure><img src="/files/5d95d794c6d6e051409e18ddcd92a3bcf2fe860f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Stel omleiding van apparaten in. Om de gateway te hardenen, selecteer **Schakel omleiding van apparaten uit voor de volgende typen clientapparaten** en kies de apparaten die u niet nodig hebt. Selecteer anders **Schakel omleiding van apparaten in voor alle clientapparaten**, daarna **Volgende**.

<figure><img src="/files/5a98dd61c878b1e929966fcf6063d39dbc4ceb1b" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Schakel time-outs voor sessieverbinding verbreken en sessieverval in om de gateway te hardenen, daarna **Volgende**.

<figure><img src="/files/6ace823290af6958724a64a51140b3b6a66200c0" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Controleer de CAP-samenvatting en daarna **Volgende** om de RAP-regel te configureren.

<figure><img src="/files/05c61dbaa8711ca907350010d0d3b6453e3c9c19" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer de lidmaatschapsgroep voor de RAP-regel, daarna **Volgende**. Alleen groepen met legitieme, geautoriseerde gebruikers mogen worden toegevoegd via **Groep toevoegen**.

<figure><img src="/files/0cee89e29c73102171703df118740d6d377fcd39" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Maak idealiter een speciale Active Directory-groep voor deze toegang om de legitimiteit ervan te garanderen.
{% endhint %}

<figure><img src="/files/e106f2c5a2db53a441549324e6c689708354338f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geef de interne resources op die via de gateway bereikbaar zijn.

{% hint style="info" %}
Maak een domeingroep met alle servers die via deze gateway bereikbaar zijn en selecteer deze met de optie **Selecteer een netwerkresourcegroep van Active Directory Domain Services** .
{% endhint %}

<figure><img src="/files/9cc46147e2fac079d3bd3453138c4d2677e83ead" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geef de toegestane poorten op: de standaard **3389**, of andere indien vereist. Daarna **Volgende**.

<figure><img src="/files/b47751fc93a3c004141591397b36823f4a62880e" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Controleer de RAP-samenvatting en bevestig. Een laatste venster bevestigt zowel de CAP- als de RAP-regels.

<figure><img src="/files/2ce12dc437bd0bd9bc9bbf45955d3981f80db566" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/b115191a16bc2ccc61722520c176c326dcedcd17" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Zorg ervoor dat de gatewayservice actief is. Zoek in **Serverbeheer** > **Remote Desktop Services** > **Servers** > **Services**, zoek **Remote Desktop Gateway**. Als deze is gestopt, klik er met de rechtermuisknop op en kies **Services starten**.

<figure><img src="/files/83d6f37805789419a0058ab787f412e7cc60d3ac" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Verkeer naar interne servers filteren

Interne servers mogen RDP alleen accepteren vanaf de gateway. Configureer de Windows Firewall op elke server.

{% stepper %}
{% step %}
Open de Windows Firewall, lijst **Inkomende regels**, en open de eigenschappen van **Remote Desktop - User Mode (TCP-In)**.

<figure><img src="/files/893e1a4047ce34f7322858494b6d5d7c1ce84cb5" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Ga naar het tabblad **Bereik** .

<figure><img src="/files/88c227de65e4bce853d9caa25179d1778047100f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Onder **Extern IP-adres**, sta alleen de toegestane bronnen toe: het IP-adres van de gateway, of `127.0.0.1` als de gateway op de doelserver zelf draait.

<figure><img src="/files/1c91cb8380b7f1fca77d5b0d9937ac403a805c71" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Verbinden via de gateway

{% stepper %}
{% step %}
Open **Verbinding met extern bureaublad**, ga naar het tabblad **Geavanceerd** , daarna **Instellingen**.

<figure><img src="/files/db1eb4a441fdb78dd65a8a900d70f902c49e8315" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Selecteer **Gebruik deze RD Gateway-serverinstellingen**, voer de gateway **FQDN**, vink aan **Gebruik mijn RD Gateway-inloggegevens voor de externe computer**, en klik op **OK**.

<figure><img src="/files/62739cce0158a08f9e47b9b9b7e1fe5dfe44839b" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Terug op het tabblad **Algemeen** , voer de naam of het IP-adres van de interne server en uw gebruikersnaam in, en daarna **Verbinden**.

<figure><img src="/files/2caeb5f3f3d3290e06506e4c584dc142ad59bd3e" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Bevestig de gatewaynaam en voer het wachtwoord van het account in.

<figure><img src="/files/16643ceaa7739fd4d4f44465bd3f0e0ef4e1553d" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

Als het gatewaycertificaat niet wordt vertrouwd door de client (gebruikelijk bij zelfondertekende of interne-CA-certificaten), verschijnt dit bericht:

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FSr92NPJRPx9JejH1f09f%2Fimage.png?alt=media&#x26;token=f76f5b59-96ab-4dba-b5ce-ae5aee1c5039" alt=""><figcaption></figcaption></figure>

## Optie 2: Het RDP-protocol hardenen (alleen tijdelijk)

{% hint style="warning" %}
Deze maatregelen zijn op zichzelf niet voldoende en mogen alleen tijdelijk worden gebruikt, terwijl u een gateway of VPN implementeert.
{% endhint %}

Minimale tijdelijke basislijn:

* Dwing **MFA** af voor externe toegang (bij voorkeur via een RD Gateway of VPN).
* Inschakelen **Netwerkniveau-authenticatie (NLA)** op doelservers.
* Beperk inkomend RDP tot een strikte **IP-allowlist** (idealiter alleen de gateway).

### Gebruikerstoegang beperken

Maak een speciale Active Directory-groep voor toegestane RDP-gebruikers en pas deze toe met de Group Policy Management Console ([GPMC](https://www.it-connect.fr/chapitres/la-console-gpmc-group-policy-management-console/)).

Typische aanpak:

* Voeg uw AD-groep toe aan de lokale **Remote Desktop Users** groep via GPO, of
* stel de gebruikersrechtinstelling in **Aanmelden via Remote Desktop Services toestaan**.

Voorbeeld met Beperkte groepen / lidmaatschap van lokale groepen:

<figure><img src="/files/522e550893561fcd013b5303cea77f570db0c352" alt=""><figcaption></figcaption></figure>

Voeg de toegestane gebruikers of groepen toe en klik vervolgens op **OK**.

<figure><img src="/files/5eeb84676343e949d305a34ff30f89fb4bea1ce9" alt=""><figcaption></figcaption></figure>

### Het gastaccount uitschakelen

Windows Server 2012 R2 wordt standaard geleverd met een ingeschakeld gastaccount. Schakel het uit om pogingen tot privilege-escalatie te voorkomen. Voer `compmgmt.msc` uit om Computerbeheer te openen en het account uit te schakelen.

### Accounts vergrendelen na mislukte aanmeldingen

Configureer een beleid voor accountvergrendeling (lokaal of, bij voorkeur, domein via de Group Policy Management Console):

* `Computerconfiguratie` > `Windows-instellingen` > `Beveiligingsinstellingen` > `Accountbeleid` > `Beleid voor accountvergrendeling`
* Stel **Drempel voor accountvergrendeling** in op **5** ongeldige aanmeldingen.
* Stel de vergrendelingsduur en de reset-teller in op **15 minuten** (typische basislijn).

{% hint style="info" %}
We raden aan het account te vergrendelen na 5 mislukte aanmeldpogingen.
{% endhint %}

### Dwing een sterk wachtwoordbeleid af

Sterke wachtwoorden verkleinen het risico op brute-force- en woordenboekaanvallen: gebruik hoofdletters en kleine letters, cijfers en speciale tekens. Voer `gpedit.msc` uit om de Editor voor lokaal groepsbeleid te openen, ga vervolgens naar `Computerconfiguratie` > `Windows-instellingen` > `Beveiligingsinstellingen` > `Accountbeleid` > `Wachtwoordbeleid`.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/nl/handleidingen-voor-het-verhelpen-van-kwetsbaarheden/how-to-resolve-rdp-service-exposure-from-the-internet.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
