De meeste netwerkbeheerders, of zelfs mensen met basiskennis van serverbeveiliging, weten dat het open laten staan van de RDP-poort (Remote Desktop Protocol) op internet, vooral met een zwak wachtwoord, in feite een uitnodiging is voor aanvallers. Het is vreemd hoe vaak dit over het hoofd wordt gezien – iedereen denkt: “Ach, het is maar RDP”, maar een brute-force-aanval kan zich er zo een weg naar binnen banen als je niet oppast. Deze handleiding bevat een aantal ijzersterke tips om die brute-force-aanvallen op Windows Server te blokkeren. Als je het zat bent om uren te verspillen aan mislukte inlogpogingen of gehackt te worden, dan zijn dit de trucs die echt werken. Door een paar van deze tips toe te passen, maak je het leven een stuk moeilijker voor geautomatiseerde botnets en scriptkiddies die je wachtwoorden proberen te raden. Goed nieuws: die aanvallen zijn vrij voorspelbaar als je eenmaal weet waar je op moet letten en hoe je de verdediging moet instellen.
Hoe brute force-aanvallen op Windows Server te verhelpen
Methode 1: Beveilig met sterke wachtwoorden en accountvergrendelingsbeleid
Begin bij de basis: gebruik een complex wachtwoord. Combineer hoofdletters, kleine letters, cijfers en symbolen. Als je nog steeds de naam van je huisdier of ‘wachtwoord123’ gebruikt, ben je een makkelijk doelwit voor hackers. Configureer ook beleid voor accountvergrendeling, zodat het account na een aantal mislukte pogingen tijdelijk wordt geblokkeerd. In Windows Server vind je dit onder Lokaal beveiligingsbeleid → Accountbeleid → Accountvergrendelingsbeleid. Stel zaken in zoals de duur van de accountvergrendeling en de drempelwaarde voor accountvergrendeling. In sommige configuraties werkt dit soms niet meteen, maar na een herstart of even wachten wordt het wel geactiveerd. Het is misschien wat omslachtig, maar het voorkomt dat geautomatiseerde aanvalsscripts je server eindeloos blijven aanvallen.
Methode 2: Beperk mislukte aanmeldpogingen met Windows Defender of aangepaste scripts
Een andere optie is het instellen van een limiet op het aantal mislukte inlogpogingen. Zo wordt brute force-aanvallen minder aantrekkelijk. In Windows kun je dit configureren via de beveiligingsinstellingen of tools zoals Winhance gebruiken om de beveiliging aan te scherpen. Het idee is dat het systeem na een bepaald aantal mislukte pogingen (bijvoorbeeld 5 of 10) tijdelijk verdere pogingen vanaf dat IP-adres blokkeert. Het is alsof je een tijdelijke, IP-gebaseerde blokkade opwerpt die de aanvaller vertraagt. Hun script loopt daardoor snel vast. Dit is vooral handig als je merkt dat er herhaaldelijk mislukte pogingen vanaf dezelfde IP-adressen plaatsvinden – een goed teken dat je wordt aangevallen.
Methode 3: Wijzig de standaardpoorten en gebruik firewalls
Aanvallers richten zich natuurlijk op poort 3389 (voor RDP) omdat dit de standaardpoort is. Door deze te wijzigen naar een niet-standaardpoort, bijvoorbeeld een obscure poort zoals 50022, wordt de beveiliging iets versterkt. Bewerk hiervoor het register of gebruik PowerShell-opdrachten om de poort te wijzigen. Werk vervolgens uw firewallregels bij en zorg ervoor dat alleen uw IP-adressen of vertrouwde IP-adressen toegang hebben tot de nieuwe poort. Het is geen waterdichte oplossing, maar het is een goede stap om ongewenste aanvallen en geautomatiseerde scans te verminderen. U kunt de RDP-toegang ook beperken tot specifieke IP-bereiken via Windows Firewall → Inkomende regels.
Methode 4: CAPTCHA inschakelen of tweefactorauthenticatie gebruiken
Bij sommige inloggegevensopslagplaatsen of als je een aangepaste webinterface gebruikt, kan het toevoegen van een CAPTCHA bots direct stoppen. Schakel bovendien tweefactorauthenticatie (2FA) in als je met belangrijke gegevens werkt – Google Authenticator, Duo, of wat dan ook – want zelfs als iemand het wachtwoord met een brute-force-aanval probeert te kraken, wordt diegene zonder de tweede factor nog steeds buitengesloten. Grote bedrijven gebruiken dit niet voor niets. Voor SSH of RDP kun je 2FA instellen met tools van derden, maar dat is iets complexer. Toch maakt zelfs het inschakelen van 2FA brute-force-aanvallen al minder effectief.
Methode 5: EvlWatcher of vergelijkbare tools installeren en configureren
Hier is een handige truc: installeer een tool zoals EvlWatcher. Deze scant logbestanden op herhaalde mislukte pogingen vanaf hetzelfde IP-adres en blokkeert die IP-adressen automatisch voor een bepaalde periode, meestal zo’n 2 uur. Het is alsof je een portier hebt die lastpakken eruit gooit. Op sommige systemen vereist het wat aanpassingen, maar het helpt echt om het aanvalsoppervlak te verkleinen. Vooral omdat handmatige monitoring niet prettig is als je server constant wordt aangevallen.
Eerder introduceerde Microsoft het beleid ‘ Beheerdersaccount vergrendelen toestaan’ om brute-force-aanvallen, met name op het beheerdersaccount, te beperken. Windows 11 heeft nu standaard accountvergrendelingsbeleid dat de lokale of domeinbeheerder na een bepaald aantal mislukte pogingen blokkeert. Dit helpt de klassieke ‘probeer elk wachtwoord’-aanval op uw beheerdersaccount te voorkomen. Het is een goede verdedigingslinie, naast alle andere maatregelen.
Hoe herken je een brute-force-aanval?
Als de logboeken tientallen of honderden mislukte pogingen vanaf hetzelfde IP-adres of IP-bereik laten zien, is dat een slecht teken. Controleer in Windows de Logboeken → Beveiligingslogboeken op gebeurtenis-ID 4625 (mislukte aanmelding).Als er snel achter elkaar meerdere mislukte pogingen vanaf één IP-adres plaatsvinden, is het einde verhaal: ze proberen je server te kraken met een brute-force-aanval. Zodra je dit patroon ziet, moet je die IP-adressen onmiddellijk blokkeren of een blokkeringsbeleid activeren.
Is het echt mogelijk om alle brute-force-aanvallen te stoppen?
Nee, maar je kunt het wel heel moeilijk maken. Gebruik sterke wachtwoorden, blokkeer accounts na een paar mislukte pogingen, wijzig de standaardpoort en gebruik tweefactorauthenticatie. Het instellen van monitoringtools helpt ook, zodat je snel kunt reageren. Maar eerlijk gezegd, als iemand echt binnen wil komen, vindt hij of zij misschien alsnog wel een manier. Je doel is om de lat zo hoog te leggen dat de meeste geautomatiseerde scripts het opgeven.
Hopelijk helpen deze tips je server schoner en minder kwetsbaar te houden. Soms voelt het als een voortdurende strijd, maar een paar simpele aanpassingen kunnen een groot verschil maken.
Samenvatting
- Gebruik complexe, sterke wachtwoorden.
- Configureer accountvergrendelingen na mislukte pogingen.
- Wijzig de standaard RDP-poorten van 3389 naar een ongebruikelijke poort.
- Schakel indien mogelijk tweefactorauthenticatie in.
- Controleer de logbestanden regelmatig op verdachte activiteiten.
- Installeer tools zoals EvlWatcher voor geautomatiseerde IP-blokkering.
Samenvatting
Het is in het begin best een gedoe om dit allemaal in te stellen, maar het is de moeite waard. Zodra je merkt dat er minder brute-force-aanvallen zijn of dat aanvallers worden geblokkeerd, voelt het gewoon beter. Houd je logs in de gaten, zorg dat de beveiliging goed is en negeer die mislukte inlogpogingen niet – het zijn waarschuwingssignalen. Hopelijk bespaart dit iemand een paar uur en maakt het het in ieder geval een stuk minder makkelijk voor aanvallers.