GPO: Deny Loggen Op Via Remote Desktop Services

Laterale beweging via Remote Desktop Protocol vormt een van de meest voorkomende aanvalsvectoren in moderne IT-omgevingen. Het aanvalspatroon is verontrustend eenvoudig: een aanvaller compromitteert eerst een werkstation door middel van phishing, een kwetsbaarheid of een andere initial access-methode. Vervolgens wacht de aanvaller totdat een domeinbeheerder legitiem via RDP inlogt op dat gecompromitteerde werkstation voor administratieve taken. Op dat moment kan de aanvaller de referenties van de domeinbeheerder stelen door gebruik te maken van tools zoals Mimikatz of door een LSASS-dump uit te voeren. Zodra de aanvaller over deze referenties beschikt, is de volledige domeincompromittering een feit. De verdediging tegen deze aanval bestaat uit het voorkomen dat domeinbeheerders überhaupt kunnen inloggen op werkstations via RDP. In plaats daarvan moeten beheerders gebruikmaken van Privileged Access Workstations of jump servers, die specifiek zijn geconfigureerd en geïsoleerd voor beheertaken.

Implementatie

Deze beveiligingsmaatregel blokkeert Remote Desktop Protocol-aanmeldingen voor gastaccounts, lokale beheerdersaccounts op werkstations, en domeinbeheerders en enterprise-beheerders op werkstations. Het is belangrijk te benadrukken dat deze beperking alleen van toepassing is op werkstations en niet op servers, omdat beheerders legitieme toegang tot servers nodig hebben voor onderhoud en beheer. Voor beheerders die toegang nodig hebben tot werkstations, moet gebruik worden gemaakt van een Privileged Access Workstation of een jump server die specifiek is geconfigureerd voor beheertaken en die aanvullende beveiligingsmaatregelen bevat.

Vereisten

De implementatie van deze kritieke beveiligingsmaatregel vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. Voordat organisaties kunnen overgaan tot het blokkeren van Remote Desktop Protocol-toegang voor beheerders, moeten zij beschikken over de juiste infrastructuur, beleidskaders en operationele processen. Deze voorbereiding is niet alleen essentieel voor een succesvolle implementatie, maar ook voor het behoud van operationele continuïteit en het voorkomen van onbedoelde verstoringen in de dagelijkse werkzaamheden. De primaire technische vereiste betreft de aanwezigheid van een Active Directory-omgeving of de mogelijkheid om lokale Group Policy Objects te configureren. Active Directory vormt de voorkeursoplossing voor de meeste organisaties omdat dit centrale beheer mogelijk maakt en consistentie garandeert over alle werkstations binnen de organisatie. Door gebruik te maken van Active Directory kunnen beheerders een enkele Group Policy Object configureren die automatisch wordt toegepast op alle werkstations binnen een specifieke Organizational Unit. Deze gecentraliseerde aanpak vereenvoudigt niet alleen het beheer, maar zorgt er ook voor dat nieuwe werkstations automatisch de juiste configuratie ontvangen wanneer zij aan het domein worden toegevoegd. Bovendien biedt Active Directory geavanceerde mogelijkheden zoals WMI-filtering, waardoor organisaties kunnen specificeren dat bepaalde policies alleen worden toegepast op werkstations en niet op servers. Lokale Group Policy Objects zijn daarentegen alleen geschikt voor omgevingen zonder Active Directory of voor geïsoleerde systemen die niet deel uitmaken van een domein. Hoewel lokale GPO's functioneel zijn, vereisen zij handmatige configuratie op elk individueel systeem, wat tijdrovend is en foutgevoelig kan zijn. De tweede technische vereiste betreft het besturingssysteem waarop de maatregel wordt toegepast. Deze beveiligingsmaatregel is volledig ondersteund op Windows 10 en nieuwere versies, inclusief Windows 11 en alle moderne Windows Server-versies. Het is belangrijk te vermelden dat oudere versies van Windows mogelijk niet alle functionaliteiten ondersteunen die nodig zijn voor een volledige implementatie, hoewel de basisprincipes van User Rights Assignment al sinds Windows 2000 beschikbaar zijn. Voor organisaties die nog steeds oudere versies van Windows gebruiken, is het raadzaam om eerst een upgrade- of migratieplan te ontwikkelen voordat deze maatregel wordt geïmplementeerd. Moderne Windows-versies bieden niet alleen betere ondersteuning voor deze configuratie, maar bevatten ook aanvullende beveiligingsfuncties die de effectiviteit van de maatregel versterken. De derde en meest kritieke vereiste betreft de architectuur voor beheerderstoegang. Organisaties moeten beschikken over een volledig operationele Privileged Access Workstation of jump server-architectuur voordat deze maatregel kan worden geïmplementeerd. Zonder deze alternatieve toegangsmethode zouden beheerders volledig worden buitengesloten van werkstations, wat ernstige operationele problemen zou veroorzaken en mogelijk zou leiden tot het terugdraaien van de wijziging. Een Privileged Access Workstation is een speciaal geconfigureerd en gehardend systeem dat uitsluitend wordt gebruikt voor beheertaken. Deze systemen zijn geïsoleerd van de reguliere netwerkactiviteit en bevatten aanvullende beveiligingsmaatregelen zoals Enhanced Security Administrative Environment configuraties, beperkte internettoegang, en strikte applicatiecontrole. De isolatie van deze systemen voorkomt dat kwaadaardige software of aanvallers toegang krijgen tot beheerderreferenties, zelfs als het reguliere netwerk wordt gecompromitteerd. Jump servers daarentegen zijn centrale servers die fungeren als tussenstation voor beheerders die toegang nodig hebben tot andere systemen. Deze servers worden specifiek geconfigureerd voor beheertaken en bevatten vergelijkbare beveiligingsmaatregelen als Privileged Access Workstations. Beide benaderingen bieden een veilige manier voor beheerders om hun werk uit te voeren zonder directe RDP-toegang tot werkstations, wat de kans op credential theft aanzienlijk vermindert. Naast deze technische vereisten zijn er ook belangrijke organisatorische overwegingen die niet over het hoofd mogen worden gezien. De IT-afdeling moet een duidelijk en uitgebreid beleid hebben ontwikkeld dat beschrijft wanneer en hoe beheerders toegang krijgen tot werkstations via de alternatieve methoden. Dit beleid moet gedetailleerde procedures bevatten voor uitzonderingen, escalatieprocessen voor wanneer beheerders toegang nodig hebben maar deze niet kunnen verkrijgen via de normale kanalen, en methoden voor het monitoren en auditen van beheerderstoegang. Het beleid moet ook duidelijk maken wat de gevolgen zijn van het omzeilen van deze beveiligingsmaatregel en hoe organisaties omgaan met legitieme uitzonderingen. Bovendien moeten beheerders uitgebreid worden getraind in het gebruik van de nieuwe toegangsmethoden en moeten zij volledig begrijpen waarom deze beperkingen zijn ingesteld en wat de beveiligingsrisico's zijn wanneer deze niet worden nageleefd. Zonder deze organisatorische voorbereiding kan de implementatie leiden tot weerstand van beheerders, het ontwikkelen van workarounds die de beveiliging ondermijnen, of zelfs het volledig terugdraaien van de maatregel vanwege operationele problemen. Het is daarom essentieel dat organisaties voldoende tijd investeren in het ontwikkelen van beleid, het trainen van personeel, en het creëren van een cultuur waarin beveiligingsmaatregelen worden begrepen en gerespecteerd.

Implementatie

Gebruik PowerShell-script deny-logon-through-remote-desktop.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van deze beveiligingsmaatregel vereist een systematische en goed geplande aanpak die begint met uitgebreide voorbereiding en eindigt met volledige verificatie en documentatie. Het proces omvat niet alleen technische configuratie, maar ook organisatorische voorbereiding, communicatie met betrokkenen, en continue monitoring tijdens de implementatiefase. Een succesvolle implementatie voorkomt operationele verstoringen en zorgt ervoor dat de beveiligingsmaatregel daadwerkelijk de beoogde bescherming biedt tegen credential theft en laterale beweging door aanvallers. Voordat de technische implementatie kan beginnen, moet de organisatie ervoor zorgen dat alle beheerders volledige toegang hebben tot en getraind zijn in het gebruik van Privileged Access Workstations of jump servers. Deze voorbereiding is absoluut kritiek omdat beheerders zonder alternatieve toegangsmethode volledig worden buitengesloten van werkstations zodra de policy actief wordt. Het is daarom essentieel om eerst een inventarisatie uit te voeren van alle beheerders die regelmatig toegang nodig hebben tot werkstations, hun toegang tot de alternatieve systemen te verifiëren, en ervoor te zorgen dat zij voldoende zijn getraind in het gebruik van deze systemen. Bovendien moet de organisatie een duidelijk communicatieplan hebben ontwikkeld dat beheerders informeert over de komende wijziging, de redenen daarvoor uitlegt, en hen voorbereidt op het gebruik van de nieuwe toegangsmethoden. Zonder deze voorbereiding zou de implementatie ernstige operationele problemen veroorzaken en mogelijk leiden tot het terugdraaien van de wijziging, wat de beveiligingspositie van de organisatie zou verzwakken. De technische implementatie zelf verloopt via de Group Policy Management Console, die standaard beschikbaar is op Windows Server-systemen met de Group Policy Management-feature geïnstalleerd. De beheerder begint door te navigeren naar de Organizational Unit waar de werkstations zich bevinden, of door een nieuwe GPO specifiek voor deze configuratie te creëren. Het creëren van een dedicated GPO voor deze beveiligingsmaatregel heeft verschillende voordelen: het maakt het eenvoudiger om de policy te beheren, te monitoren, en indien nodig tijdelijk uit te schakelen zonder andere configuraties te beïnvloeden. Binnen de GPO-structuur volgt de beheerder een specifiek navigatiepad: Computer Configuration, gevolgd door Windows Settings, vervolgens Security Settings, daarna Local Policies, en ten slotte User Rights Assignment. In deze laatste sectie bevindt zich de policy-instelling genaamd 'Deny log on through Remote Desktop Services', die standaard leeg is en handmatig moet worden geconfigureerd. Bij het configureren van deze instelling moet de beheerder specifieke accounts en groepen toevoegen aan de lijst van accounts die worden geweigerd voor Remote Desktop Protocol-toegang. De belangrijkste accounts en groepen die moeten worden toegevoegd zijn gastaccounts, lokale beheerdersaccounts op werkstations, Enterprise Admins, en Domain Admins. Het is cruciaal om te begrijpen dat deze beperking alleen van toepassing moet zijn op werkstations en niet op servers, omdat servers vaak legitieme beheerderstoegang via RDP vereisen voor onderhoud, monitoring, probleemoplossing, en andere operationele taken. Daarom moet de GPO worden gekoppeld aan een Organizational Unit die specifiek werkstations bevat, of moet gebruik worden gemaakt van WMI-filtering om ervoor te zorgen dat de policy alleen wordt toegepast op werkstations. WMI-filtering is een geavanceerde techniek die gebruik maakt van Windows Management Instrumentation queries om te bepalen of een policy moet worden toegepast op basis van systeemeigenschappen zoals het besturingssysteem, de hardwareconfiguratie, of andere kenmerken. Na het configureren van de policy-instelling zelf, moet de GPO worden gekoppeld aan de juiste Organizational Unit. Tijdens deze stap is het belangrijk om te controleren of er geen andere GPO's zijn die dezelfde instelling wijzigen, omdat dit kan leiden tot conflicten of onbedoelde overschrijvingen. De beheerder moet ook de prioriteit van de GPO-link controleren, omdat GPO's die hoger in de lijst staan voorrang hebben wanneer meerdere GPO's dezelfde instelling wijzigen. Het is sterk aan te raden om eerst een testomgeving te gebruiken of een gefaseerde rollout uit te voeren met een beperkte groep werkstations voordat de maatregel wordt uitgerold naar alle werkstations in de organisatie. Deze gefaseerde aanpak stelt de organisatie in staat om eventuele problemen te identificeren en op te lossen voordat de maatregel wordt toegepast op een grotere schaal, wat het risico op operationele verstoringen aanzienlijk vermindert. Na de koppeling van de GPO aan de Organizational Unit duurt het enige tijd voordat de wijzigingen daadwerkelijk worden toegepast op de werkstations. Standaard worden Group Policy-instellingen elke 90 tot 120 minuten automatisch ververst op clientcomputers, maar dit kan worden versneld door het uitvoeren van de opdracht 'gpupdate /force' op de werkstations. Alternatief kan de computer opnieuw worden opgestart om de wijzigingen onmiddellijk toe te passen. Tijdens deze periode is het belangrijk om te monitoren of beheerders nog steeds hun werk kunnen uitvoeren via de alternatieve toegangsmethoden en om eventuele problemen snel te identificeren en op te lossen. Bovendien moet de organisatie een duidelijk communicatieplan hebben om beheerders te informeren over de wijziging, hen te trainen in het gebruik van de nieuwe toegangsmethoden, en hen te voorzien van contactinformatie voor ondersteuning wanneer zij problemen ondervinden. Deze communicatie is essentieel voor het verkrijgen van buy-in van beheerders en het voorkomen van weerstand tegen de nieuwe beveiligingsmaatregel.

Compliance

Deze beveiligingsmaatregel vormt een essentiële component in de naleving van verschillende belangrijke beveiligingsstandaarden en frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. De implementatie van deze maatregel helpt organisaties niet alleen om te voldoen aan specifieke compliance-vereisten, maar versterkt ook de algehele beveiligingspositie en draagt bij aan een defensieve beveiligingsarchitectuur die bestand is tegen moderne cyberdreigingen. Het begrijpen van de compliance-implicaties is daarom niet alleen belangrijk voor audit-doeleinden, maar ook voor het verkrijgen van managementsteun en het rechtvaardigen van de investering in deze beveiligingsmaatregel. De CIS Windows Benchmark Level 1, ontwikkeld door het Center for Internet Security, bevat specifieke en gedetailleerde aanbevelingen voor het beperken van Remote Desktop Protocol-toegang voor bevoorrechte accounts. Deze benchmark wordt wereldwijd erkend als een best practice voor Windows-beveiliging en wordt vaak gebruikt als basis voor security hardening in zowel publieke als private sector organisaties. De CIS Benchmarks worden regelmatig bijgewerkt om rekening te houden met nieuwe dreigingen en technologische ontwikkelingen, wat betekent dat organisaties die deze benchmarks volgen hun beveiligingsconfiguraties up-to-date houden. De implementatie van deze maatregel helpt organisaties om te voldoen aan de CIS-aanbevelingen en verbetert de algehele security posture door het risico op credential theft en laterale beweging aanzienlijk te verminderen. Voor organisaties die een CIS-certificering nastreven of die moeten voldoen aan contractuele vereisten die verwijzen naar CIS-standaarden, is deze maatregel niet alleen aanbevolen maar vaak verplicht. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid van bijzonder belang, omdat deze specifiek is ontwikkeld voor de Nederlandse publieke sector en rekening houdt met de unieke uitdagingen en vereisten waarmee overheidsorganisaties worden geconfronteerd. Binnen dit framework valt deze maatregel onder controle 09.02.03, die betrekking heeft op toegangsbeheer en het principe van least privilege. De BIO benadrukt het fundamentele belang van het beperken van beheerderstoegang en het voorkomen van onnodige privileges, omdat bevoorrechte accounts een van de meest aantrekkelijke doelen zijn voor cyberaanvallers. Door domeinbeheerders te blokkeren van RDP-toegang tot werkstations, wordt het principe van least privilege op een concrete en meetbare manier toegepast: beheerders krijgen alleen toegang waar dit strikt noodzakelijk is voor hun functie, en deze toegang wordt verkregen via speciaal geconfigureerde en beveiligde systemen in plaats van via reguliere werkstations die mogelijk zijn gecompromitteerd. Deze aanpak sluit naadloos aan bij de BIO-filosofie van risicogestuurd beveiligingsbeheer en het creëren van meerdere verdedigingslagen. De ISO 27001-standaard voor informatiebeveiligingsmanagement bevat controle A.9.2.3, die specifiek betrekking heeft op het beheer van bevoorrechte toegangsrechten. Deze controle vereist dat organisaties bevoorrechte toegangsrechten beperken en controleren, en dat zij een duidelijk proces hebben voor het toekennen, wijzigen en intrekken van deze rechten. De implementatie van deze maatregel helpt organisaties om te voldoen aan deze ISO 27001-vereiste door expliciet te definiëren wie toegang heeft tot systemen via Remote Desktop Protocol en door alternatieve, meer beveiligde toegangsmethoden te vereisen voor beheerders. Bovendien maakt deze maatregel het mogelijk om bevoorrechte toegang te monitoren en te auditen, wat een belangrijk onderdeel is van ISO 27001-compliance. Organisaties die gecertificeerd zijn volgens ISO 27001 of die deze certificering nastreven, moeten kunnen aantonen dat zij effectieve controles hebben geïmplementeerd voor het beheer van bevoorrechte toegang, en deze maatregel vormt een concrete en verifieerbare manier om aan deze vereiste te voldoen. Bovendien sluit deze maatregel naadloos aan bij het Zero Trust-principe, dat steeds belangrijker wordt in moderne cybersecurity-strategieën en dat wordt aanbevolen door zowel nationale als internationale beveiligingsautoriteiten. Zero Trust gaat uit van het fundamentele uitgangspunt dat geen enkele gebruiker of systeem automatisch vertrouwd moet worden, ongeacht de locatie binnen of buiten het netwerk, de historische reputatie, of de organisatorische rol. Dit principe erkent dat traditionele netwerkperimeters niet langer effectief zijn in een tijdperk waarin werknemers op afstand werken, clouddiensten worden gebruikt, en aanvallers geavanceerde technieken gebruiken om binnen netwerken te infiltreren. Door beheerders te dwingen gebruik te maken van speciaal geconfigureerde Privileged Access Workstations of jump servers, wordt het Zero Trust-principe op een concrete manier toegepast: zelfs bevoorrechte gebruikers moeten voldoen aan strikte verificatie- en toegangscontroles, en zij kunnen niet zomaar toegang krijgen tot systemen via reguliere werkstations. Deze aanpak vermindert het risico dat een gecompromitteerd werkstation wordt gebruikt om bevoorrechte referenties te stelen, wat een van de meest voorkomende aanvalsvectoren is in moderne cyberaanvallen. Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming draagt deze maatregel bij aan de technische en organisatorische maatregelen die vereist zijn onder artikel 32 van de AVG. Dit artikel vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging. Door het beperken van beheerderstoegang en het implementeren van alternatieve toegangsmethoden met aanvullende beveiliging, vermindert de organisatie het risico op ongeautoriseerde toegang tot persoonsgegevens die mogelijk zijn opgeslagen op werkstations of toegankelijk zijn via beheerderaccounts. Bovendien maakt deze maatregel het mogelijk om beheerderstoegang te monitoren en te auditen, wat belangrijk is voor het kunnen aantonen van compliance met de AVG en voor het kunnen reageren op verzoeken van betrokkenen over wie toegang heeft gehad tot hun persoonsgegevens. Ten slotte is deze maatregel relevant voor organisaties die werken volgens het NIST Cybersecurity Framework, dat wordt gebruikt door veel organisaties wereldwijd als een gestructureerde manier om cybersecurity-risico's te beheren. Binnen het Protect-functiegebied helpt deze maatregel bij het beperken van toegang tot systemen en het implementeren van identity management en access control, wat kerncomponenten zijn van een effectieve beveiligingsstrategie. Het draagt ook bij aan het Detect-functiegebied door het monitoren van beheerderstoegang mogelijk te maken en afwijkingen te identificeren, wat essentieel is voor het vroegtijdig detecteren van potentiële beveiligingsincidenten. Bovendien helpt deze maatregel bij het Respond-functiegebied door het risico op credential theft te verminderen, wat betekent dat organisaties minder vaak hoeven te reageren op incidenten waarbij bevoorrechte accounts zijn gecompromitteerd.

Monitoring

Gebruik PowerShell-script deny-logon-through-remote-desktop.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van deze beveiligingsmaatregel vormt een kritieke component van een succesvolle implementatie en is essentieel om te verzekeren dat de configuratie correct wordt toegepast, blijft functioneren zoals bedoeld, en daadwerkelijk de beoogde beveiligingsbescherming biedt. Monitoring moet een holistische benadering omvatten die zowel de technische configuratie als de daadwerkelijke gebruikspatronen analyseert, en die in staat is om zowel technische problemen als beveiligingsincidenten te detecteren. Zonder adequate monitoring kunnen organisaties niet verifiëren dat de maatregel effectief is, kunnen zij problemen niet tijdig identificeren en oplossen, en kunnen zij niet reageren op pogingen om de beveiligingsmaatregel te omzeilen of op daadwerkelijke beveiligingsincidenten. De technische monitoring begint met het regelmatig en systematisch controleren of de Group Policy Object correct is toegepast op alle werkstations binnen de organisatie. Dit kan worden gedaan door het uitvoeren van geautomatiseerde scripts die de lokale security policy controleren op elk werkstation, of door gebruik te maken van Group Policy Results- en Group Policy Modeling-tools die beschikbaar zijn in de Group Policy Management Console. Deze tools stellen beheerders in staat om te verifiëren welke policies daadwerkelijk worden toegepast op specifieke computers en gebruikers, en om te identificeren of er conflicten zijn tussen verschillende GPO's of of bepaalde policies niet worden toegepast zoals verwacht. Het is belangrijk om deze controle regelmatig uit te voeren, bijvoorbeeld maandelijks of kwartaals, om te verzekeren dat nieuwe werkstations ook correct zijn geconfigureerd wanneer zij aan het domein worden toegevoegd, en om te detecteren of bestaande configuraties niet onbedoeld zijn gewijzigd door andere beheerders, door software-updates, of door andere processen. Bovendien moet de monitoring ook controleren of de GPO zelf niet is gewijzigd, uitgeschakeld, of verwijderd, wat kan gebeuren door menselijke fouten of door kwaadaardige activiteit. Naast het controleren van de policy-configuratie zelf, is het cruciaal om te monitoren of er pogingen worden gedaan om via Remote Desktop Protocol in te loggen met accounts die zijn geblokkeerd door deze beveiligingsmaatregel. Windows Event Log bevat relevante gebeurtenissen in het Security-log die kunnen worden gebruikt om dergelijke pogingen te identificeren en te analyseren. Specifiek zijn gebeurtenis-ID 4625 en 4776 bijzonder relevant voor deze monitoring: gebeurtenis-ID 4625 registreert alle mislukte aanmeldpogingen, inclusief de reden voor het falen en de gebruikersnaam die werd gebruikt, terwijl gebeurtenis-ID 4776 specifiek mislukte Remote Desktop-aanmeldpogingen registreert en aanvullende details bevat over de bron van de verbindingspoging. Door deze gebeurtenissen te monitoren en te analyseren, kunnen beveiligingsteams identificeren of er pogingen worden gedaan om de beveiligingsmaatregel te omzeilen, of of er mogelijk kwaadaardige activiteit plaatsvindt waarbij aanvallers proberen toegang te krijgen tot werkstations met behulp van gestolen of geraden referenties. Het is belangrijk om te begrijpen dat het detecteren van dergelijke pogingen niet alleen een teken kan zijn van een werkende beveiligingsmaatregel, maar ook een waarschuwing kan zijn dat er een actieve aanval gaande is die verder onderzoek vereist. Voor een effectieve en schaalbare monitoringstrategie moet de organisatie gebruikmaken van een Security Information and Event Management-systeem of een vergelijkbare centrale logging-oplossing die in staat is om gebeurtenissen van alle werkstations te verzamelen, te normaliseren, te analyseren en te correleren. Dit stelt het beveiligingsteam in staat om een holistisch beeld te krijgen van de beveiligingssituatie in de organisatie en om patronen te identificeren die mogelijk niet zichtbaar zijn wanneer men alleen naar individuele systemen kijkt. Door gebruik te maken van SIEM-regels kunnen automatische waarschuwingen worden geconfigureerd wanneer er meerdere mislukte RDP-aanmeldpogingen worden gedetecteerd van dezelfde bron, wat kan wijzen op een brute force-aanval waarbij een aanvaller systematisch probeert verschillende wachtwoorden uit, of wanneer er mislukte aanmeldpogingen worden gedetecteerd met bevoorrechte accounts, wat kan wijzen op een poging tot credential theft of een gecompromitteerd account. Deze geautomatiseerde waarschuwingen stellen beveiligingsteams in staat om snel te reageren op potentiële beveiligingsincidenten voordat deze kunnen escaleren tot volledige compromittering van systemen of netwerken. Bovendien moet de monitoring ook uitgebreide aandacht besteden aan het gebruik van alternatieve toegangsmethoden, omdat dit een belangrijke indicator is van de effectiviteit van de beveiligingsmaatregel en van de naleving door beheerders. Het is belangrijk om te verifiëren dat beheerders daadwerkelijk gebruikmaken van Privileged Access Workstations of jump servers wanneer zij toegang nodig hebben tot werkstations, en niet proberen om de beveiligingsmaatregel te omzeilen door gebruik te maken van andere methoden of door tijdelijk de configuratie te wijzigen. Dit kan worden gemonitord door het analyseren van verbindingslogboeken van deze systemen, door het monitoren van netwerkverkeer tussen beheerdersystemen en werkstations, en door het vergelijken van deze gegevens met de RDP-blokkering logs om te verifiëren dat er geen directe RDP-verbindingen worden gemaakt. Als beheerders consistent gebruikmaken van de alternatieve methoden, is dit een positief teken dat de beveiligingsmaatregel effectief functioneert en dat beheerders de nieuwe werkwijzen hebben geaccepteerd. Als daarentegen wordt gedetecteerd dat beheerders proberen om de maatregel te omzeilen, kan dit wijzen op problemen met de alternatieve toegangsmethoden, op onvoldoende training, of op een gebrek aan begrip van de beveiligingsrisico's. Ten slotte moet de monitoring ook uitgebreide aandacht besteden aan eventuele uitzonderingen of tijdelijke wijzigingen in de configuratie, omdat deze uitzonderingen potentiële beveiligingslekken kunnen vormen als zij niet correct worden beheerd. Als er legitieme redenen zijn om tijdelijk RDP-toegang toe te staan voor een specifieke beheerder, bijvoorbeeld voor het oplossen van een kritiek probleem of voor het uitvoeren van onderhoudswerkzaamheden, moet dit worden gedocumenteerd in een change management-systeem, goedgekeurd door de juiste autoriteiten zoals de CISO of security manager, en na een bepaalde periode automatisch worden teruggedraaid. Monitoring moet deze uitzonderingen identificeren, waarschuwen wanneer zij langer actief blijven dan gepland, en ervoor zorgen dat alle uitzonderingen worden geregistreerd en geaudit. Bovendien moet de monitoring ook controleren of er onbevoegde wijzigingen zijn aangebracht aan de configuratie, wat kan wijzen op insider threats, gecompromitteerde beheerderaccounts, of andere beveiligingsproblemen die onmiddellijke aandacht vereisen.

Remediatie

Gebruik PowerShell-script deny-logon-through-remote-desktop.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring, audits, of andere verificatiemethoden aantonen dat de beveiligingsmaatregel niet correct is geïmplementeerd, niet meer actief is, of is gewijzigd zonder autorisatie, moet onmiddellijk worden overgegaan tot een gestructureerd en gedocumenteerd remediatieproces. Het remediatieproces is kritiek omdat niet-conforme configuraties de beveiligingsbescherming die de maatregel zou moeten bieden volledig kunnen ondermijnen, waardoor organisaties blootgesteld worden aan dezelfde risico's als wanneer de maatregel helemaal niet was geïmplementeerd. Een effectief remediatieproces moet niet alleen de technische configuratie herstellen, maar ook de onderliggende oorzaken identificeren en aanpakken om te voorkomen dat het probleem opnieuw optreedt. De eerste stap in het remediatieproces is het uitgebreid identificeren van alle werkstations waar de configuratie ontbreekt, incorrect is, of is gewijzigd zonder autorisatie. Dit kan worden gedaan door het uitvoeren van een geautomatiseerd inventarisatiescript dat alle werkstations in de organisatie systematisch controleert op de aanwezigheid en correctheid van de User Rights Assignment-configuratie. Het script moet niet alleen controleren of de 'Deny log on through Remote Desktop Services'-policy is geconfigureerd, maar ook verifiëren of de juiste accounts en groepen zijn toegevoegd aan de lijst van geblokkeerde accounts, en of er geen onbevoegde accounts zijn toegevoegd of verwijderd. Het script moet ook controleren of de configuratie consistent is over alle werkstations en of er geen lokale wijzigingen zijn aangebracht die de Group Policy-instelling overschrijven. De resultaten van deze inventarisatie moeten worden gedocumenteerd in een centraal systeem, zodat beheerders een duidelijk overzicht hebben van de omvang van het probleem en kunnen prioriteren welke werkstations het eerst moeten worden gerepareerd. Zodra de niet-conforme werkstations zijn geïdentificeerd, moet een grondige root cause analysis worden uitgevoerd om te bepalen wat de onderliggende oorzaak is van het probleem. Mogelijke oorzaken zijn onder meer: de Group Policy Object is niet gekoppeld aan de juiste Organizational Unit, de GPO is uitgeschakeld of verwijderd door een andere beheerder, er is een conflict met een andere GPO die de instelling overschrijft, de policy is handmatig gewijzigd op een lokaal systeem door een gebruiker of beheerder, er is een probleem met de Group Policy-replicatie waardoor de configuratie niet correct is doorgegeven aan alle domeincontrollers, of er is een technisch probleem met het werkstation zelf waardoor de Group Policy niet kan worden toegepast. Het identificeren van de onderliggende oorzaak is essentieel omdat dit bepaalt welke remediatieaanpak het meest effectief zal zijn en omdat dit helpt om te voorkomen dat het probleem opnieuw optreedt. Bovendien kan het identificeren van patronen in de oorzaken helpen om systematische problemen te identificeren, zoals onvoldoende training van beheerders, gebrekkige change management-processen, of technische problemen met de Active Directory-infrastructuur. Als de GPO niet is gekoppeld aan de juiste Organizational Unit, moet deze onmiddellijk worden gekoppeld en moet worden gecontroleerd of de koppeling correct is geconfigureerd met de juiste instellingen. Het is belangrijk om te verifiëren dat de GPO-link niet is uitgeschakeld, dat er geen blocking of enforcement-instellingen zijn die de toepassing van de policy verhinderen, en dat de GPO-link de juiste prioriteit heeft ten opzichte van andere GPO's die mogelijk dezelfde instelling wijzigen. In gevallen waar meerdere GPO's dezelfde instelling wijzigen, heeft de GPO met de hoogste prioriteit voorrang, wat betekent dat organisaties moeten controleren of de beveiligings-GPO de juiste prioriteit heeft om ervoor te zorgen dat deze niet wordt overschreven door andere configuraties. Bovendien moet worden gecontroleerd of de Organizational Unit-structuur correct is en of alle werkstations daadwerkelijk binnen de juiste Organizational Unit zijn geplaatst, omdat werkstations die in de verkeerde Organizational Unit staan mogelijk niet de juiste policies ontvangen. In gevallen waar de policy is overschreven door een andere GPO of lokale configuratie, moet een grondig onderzoek worden uitgevoerd om te bepalen welke configuratie de voorkeur heeft en waarom de overschrijving heeft plaatsgevonden. Als de overschrijvende configuratie legitiem is en is goedgekeurd door de juiste autoriteiten, moet deze worden aangepast om de beveiligingsmaatregel te respecteren, of moet worden overwogen om de beveiligingsmaatregel aan te passen als de overschrijvende configuratie een hogere prioriteit heeft om legitieme operationele redenen. Als de overschrijving onbedoeld is of het resultaat van een fout, moet deze onmiddellijk worden verwijderd of gecorrigeerd, en moeten maatregelen worden genomen om te voorkomen dat dergelijke fouten in de toekomst optreden. Dit kan betekenen dat de change management-processen worden verbeterd, dat aanvullende goedkeuringsstappen worden toegevoegd voor wijzigingen aan beveiligingsconfiguraties, of dat beheerders worden getraind in de juiste procedures voor het configureren van Group Policy Objects. Voor werkstations waar de policy handmatig is gewijzigd of verwijderd, moet de lokale configuratie onmiddellijk worden hersteld naar de gewenste staat. Dit kan worden gedaan door het opnieuw toepassen van de Group Policy door het uitvoeren van de opdracht 'gpupdate /force' op het werkstation, door het handmatig configureren van de lokale security policy via de Local Security Policy-editor, of door het gebruik van een geautomatiseerd remediatiescript dat de configuratie automatisch herstelt naar de gewenste staat. Het gebruik van geautomatiseerde scripts heeft de voorkeur omdat dit sneller is, minder foutgevoelig, en kan worden uitgevoerd op meerdere werkstations tegelijkertijd. Na het herstellen van de configuratie moet onmiddellijk worden geverifieerd dat de wijziging correct is toegepast door het opnieuw uitvoeren van de inventarisatiescript of door het handmatig controleren van de configuratie. Bovendien moet worden onderzocht waarom de configuratie handmatig is gewijzigd, omdat dit kan wijzen op een insider threat, een gecompromitteerd beheerderaccount, of een gebrek aan begrip van de beveiligingsvereisten. Na de remediatie van alle geïdentificeerde problemen moet een uitgebreide verificatie worden uitgevoerd om te bevestigen dat alle werkstations nu correct zijn geconfigureerd en dat de beveiligingsmaatregel volledig functioneel is. Dit verificatieproces moet dezelfde controles omvatten als het reguliere monitoringproces om te verzekeren dat de remediatie succesvol is geweest en dat er geen aanvullende problemen zijn die tijdens de remediatie over het hoofd zijn gezien. Bovendien moet een post-remediatie review worden uitgevoerd om te analyseren waarom de configuratie in de eerste plaats niet correct was, welke factoren hebben bijgedragen aan het probleem, en welke maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat de monitoringfrequentie wordt verhoogd om problemen sneller te detecteren, dat aanvullende geautomatiseerde controles worden geïmplementeerd om te voorkomen dat configuraties worden gewijzigd zonder autorisatie, dat de documentatie en procedures worden verbeterd om duidelijkheid te verschaffen over de juiste configuratie, of dat beheerders worden getraind in de juiste procedures voor het beheren van beveiligingsconfiguraties. Deze continue verbetering is essentieel voor het behoud van een effectieve beveiligingspostuur en voor het voorkomen van herhaling van dezelfde problemen.

Compliance & Frameworks

• CIS M365: Control Windows - RDP access (L1) -
• BIO: 09.02.03 -
• ISO 27001:2022: A.9.2.3 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Blokkeer Remote Desktop Protocol-aanmeldingen voor domeinbeheerders en enterprise-beheerders op werkstations. Dit dwingt beheerders om gebruik te maken van Privileged Access Workstations, wat diefstal van referenties via gecompromitteerde werkstations voorkomt. Vereiste voorafgaand aan implementatie: deployment van Privileged Access Workstations, dit zijn speciaal geconfigureerde, geharde en geïsoleerde beheerwerkstations. Activatie verloopt via Group Policy Object: Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment → Deny log on through Remote Desktop Services, waarbij Domain Admins en Enterprise Admins worden toegevoegd. Geen licentievereisten. Verplicht voor CIS-naleving en Zero Trust-implementatie. Implementatietijd: 5 tot 15 uur, waarbij de deployment van Privileged Access Workstations eerst moet worden voltooid als kritieke afhankelijkheid. Deze maatregel vormt kritieke domeinbescherming en voorkomt diefstal van beheerderreferenties via werkstations.

• Implementatietijd: 15 uur
• FTE required: 0.05 FTE