Veilig verbinden met de TRADIUM Cloud via Remote Desktop
Werk je met de TRADIUM Cloud? Dan log je in op een centrale server bij Keemink Design via een Remote Desktop-verbinding. Sinds Microsoft de beveiliging rond Remote Desktop in Windows 11 stapsgewijs heeft aangescherpt, zie je bij elke verbinding een waarschuwingsdialoog en moet je de instellingen voor klembord, printers en lokale schijven telkens opnieuw bevestigen. Vervelend, zeker als je meerdere keren per dag inlogt.
Daarom hebben wij een eenmalig installatieprogramma ontwikkeld dat dit oplost. Na installatie heb je op je bureaublad een ondertekende, vooraf geconfigureerde snelkoppeling waarmee je direct én veiliger dan voorheen verbinding maakt met jouw TRADIUM Cloud-omgeving.
Wat is Remote Desktop?
Remote Desktop (afgekort RDP) is een protocol van Microsoft waarmee je vanaf jouw eigen werkstation een Windows-server op afstand bedient alsof je er fysiek voor zit. Muis, toetsenbord, beeldscherm, geluid, klembord en printers reizen versleuteld over het internet heen en weer.
In de TRADIUM Cloud-context draait je Tradium-software — de ERP-client, de database, de scripts, de e-mail-koppelingen — niet op jouw computer maar op een virtuele server bij Keemink Design. Elke klantorganisatie heeft een eigen, afgeschermde server met een eigen DNS-naam (zoals squiby.tradium.nl of multipapier.tradium.nl).
Jouw werkstation fungeert dus als client: beeldscherm, toetsenbord en muis. De rekenkracht en data zitten aan de serverkant. Voordeel: centraal beheer, sterke databescherming (data verlaat de server niet) en je kunt vanaf elke locatie aansluiten.
Waarom verandert er iets?
Sinds 2024 scherpt Microsoft de beveiliging rond .rdp-bestanden — de kleine configuratiebestanden waarmee een Remote Desktop-sessie wordt opgestart — stapsgewijs aan. Voor een niet-ondertekend .rdp-bestand geldt voortaan:
- Bij elke verbinding verschijnt een gele waarschuwingsdialoog ("Onbekende externe verbinding").
- De vinkjes voor klembord, printers en lokale schijven staan standaard uit, ongeacht wat er in het .rdp-bestand staat.
- De waarschuwing komt steeds terug — ook als je eerder "vertrouwen" hebt geklikt.
Architectonisch is dat terecht: Windows behandelt onbekende .rdp-bestanden als potentieel gevaarlijk omdat ze in theorie te misbruiken zijn — bijvoorbeeld om een gebruiker naar een valse server te sturen of lokale bestanden ongemerkt door te sluizen. Maar voor jou als reguliere TRADIUM Cloud-gebruiker is het vooral hinderlijk.
De oplossing: een digitaal ondertekend .rdp-bestand, in combinatie met een eenmalig op jouw werkstation geïnstalleerd vertrouwens-certificaat van Keemink Design.
Wat is een digitale handtekening en een certificaat?
Een digitale handtekening is voor een bestand wat een handtekening op papier is voor een document — alleen veel sterker. De handtekening garandeert twee dingen tegelijk:
- Authenticiteit — het bestand komt aantoonbaar van Keemink Design en niet van iemand anders.
- Integriteit — de inhoud is na ondertekening niet meer gewijzigd.
Om handtekeningen te kunnen maken én controleren, gebruiken we een digitaal certificaat: een soort elektronische identiteitskaart. Dat certificaat bestaat uit een geheim (private) deel dat veilig op onze servers blijft, en een openbaar (publiek) deel dat we met jouw werkstation delen. Met die publieke helft kan Windows controleren dat een handtekening écht door ons is gezet.
Is de handtekening geldig en herkent jouw werkstation onze certificaat-identiteit, dan opent het bestand zonder waarschuwing en worden de redirects (printer, klembord, schijven) automatisch ingeschakeld zoals wij ze hebben gespecificeerd.
Wat zit er in de installatie-bundle?
Voor jouw site ontvang je van support een ZIP-bestand met drie onderdelen:
Bestand
| Inhoud
|
|---|
TradiumCloudSetup.exe
| Het installatieprogramma zelf, gesigneerd met het officiële codesigning-certificaat van Keemink Design B.V. (uitgegeven door GlobalSign). Identiek voor alle klanten.
|
tradiumcloud.ini
| Klant-specifieke configuratie: jouw sitenaam en werkgroep-prefix.
|
template.rdp
| Het voor-ondertekende RDP-bestand voor jouw site, met het juiste server-adres al ingevuld.
|
Hoe werkt het installatieprogramma?
Pak de ZIP uit op een lokale map en start TradiumCloudSetup.exe met administrator-rechten. De wizard voert dan onder de motorkap de volgende stappen uit:
- Validatie — gecontroleerd wordt of alle drie de bestanden aanwezig en geldig zijn.
- Vraag om jouw gebruikersnaam — vul alleen het deel vóór de backslash in (bijvoorbeeld jan.jansen); het prefix SQUIBY\, EXOXTOX\ of vergelijkbaar wordt automatisch toegevoegd.
- Import van het Keemink Design RDP-certificaat in Windows Trusted Root — hiermee weet jouw werkstation: "alles wat met dit certificaat is ondertekend, is van Keemink Design".
- Registratie van het certificaat als vertrouwde RDP-uitgever in de Windows Group Policy. Hierdoor mag een correct ondertekend .rdp-bestand de standaard waarschuwingsdialoog overslaan.
- Plaatsing van de snelkoppeling op het bureaublad, met de naam "Tradium Cloud — <jouw site>.rdp" en jouw gebruikersnaam al voorgevuld.
- Voltooiing — installatie klaar. De installer kan worden gesloten; alle benodigde registraties zijn vastgelegd.
Deze installatie hoef je per werkstation maar één keer uit te voeren. Daarna werkt elke nieuwe of geüpdatete .rdp van Keemink Design direct, zonder gedoe.
Wat gebeurt er als je op de snelkoppeling dubbelklikt?
Achter de schermen voert Windows een korte validatie uit:
- De handtekening van het .rdp-bestand wordt cryptografisch gecontroleerd — als ook maar één teken in het bestand is veranderd na ondertekening, wordt het afgewezen.
- Het ingebedde certificaat wordt vergeleken met de Trusted Root-lijst van jouw werkstation; daar staat het Keemink Design RDP-certificaat dankzij de installer.
- De thumbprint (vingerafdruk) van het certificaat wordt vergeleken met de vertrouwde-uitgevers-policy. Match → het bestand mag de redirect-dialoog overslaan.
- Windows opent rechtstreeks het inlogscherm met jouw gebruikersnaam al voorgevuld. Je typt je wachtwoord en je bent binnen.
Van dubbelklik tot login-prompt verloopt het hele proces geruisloos — geen waarschuwingen, geen handmatige instellingen meer.
Waar beschermt dit tegen?
Dreiging
| Hoe wij dat afdekken
|
|---|
Iemand probeert het .rdp-bestand onderweg aan te passen (bijvoorbeeld om je naar een valse server te leiden).
| Elke wijziging breekt de handtekening; Windows weigert het bestand.
|
Een aanvaller maakt een nep-.rdp met het Tradium-logo erop.
| Zonder onze geheime sleutel kan hij geen geldige handtekening produceren.
|
Klanten verliezen functionaliteit (printers, klembord) door Windows-beveiliging.
| De redirects worden automatisch geactiveerd zodra het bestand vertrouwd is.
|
Wat dit model bewust niet dekt:
- Verkeerd omgaan met je wachtwoord. Een ondertekend .rdp-bestand kan niet voorkomen dat je je inloggegevens prijsgeeft. Authenticatie blijft jouw eigen verantwoordelijkheid.
- Een al gecompromitteerd werkstation. Als jouw eigen pc al besmet is, biedt geen enkele toegangs-techniek volledige bescherming. Endpoint-beveiliging blijft de verantwoordelijkheid van de klant.
Voor de techneut: technische details
Bedoeld voor IT-collega's en systeembeheerders die willen weten wat het installatieprogramma precies doet:
- Signing-certificaat: zelf-ondertekend RSA-2048 met SHA-256, Code Signing EKU (OID 1.3.6.1.5.5.7.3.3), 20 jaar geldig (tot 2045). Geïnstalleerd onder de Microsoft Enhanced RSA and AES Cryptographic Provider — een legacy CSP die noodzakelijk is omdat rdpsign.exe (het Windows-hulpprogramma dat de daadwerkelijke ondertekening uitvoert) moderne Key Storage Providers niet ondersteunt. De private sleutel is gemarkeerd als niet-exporteerbaar en blijft op de signing-server (KDNCS) bij Keemink Design.
- Certificaat-import: certutil.exe -addstore Root naar LocalMachine\Root.
- Trusted publisher policy: SHA1-thumbprint geregistreerd onder HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services → TrustedCertThumbprints, met AllowSignedFiles = 1.
- Signscope: alleen security-relevante velden (server-adres, authentication level, redirect-instellingen) vallen binnen de scope van de handtekening. Het username:s:-veld valt er bewust buiten, zodat het na ondertekening alsnog per werkstation kan worden ingevuld zonder de handtekening te breken.
- .rdp-encoding: UTF-16 LE — het standaard Windows RDP-formaat.
- Cert-rotatie: bij vervanging van het signing-certificaat (regulier rond 2045 of eerder bij compromis) wordt een nieuwe installer gebouwd die het nieuwe certificaat naast het oude registreert. Klanten draaien eenmalig de nieuwe installer; verder geen actie nodig. Omdat rdpsign.exe geen timestamping ondersteunt, worden alle uitstaande .rdp-bestanden bij rotatie opnieuw ondertekend en opnieuw gedistribueerd.
Hoe vraag je het installatieprogramma aan?
✅
Neem contact op met support via de gebruikelijke weg, of stuur een e-mail naar
support@tradium.nl. Geef daarbij aan voor welke TRADIUM Cloud-site (bijvoorbeeld Squiby, Ex-Ox-Tox, Multi Papier) en om hoeveel werkstations het gaat.
Wij sturen je dan de juiste ZIP-bundle voor jouw site, met een korte installatie-instructie.
Veelgestelde vragen
Moet ik dit op elke pc opnieuw installeren? Ja, eenmalig per werkstation. Daarna werkt het op die machine voor altijd — ook na herstart, ook na Windows-updates.
Werkt mijn oude snelkoppeling nog? Voorlopig wel, maar mét de bekende Microsoft-waarschuwingen. Zodra Microsoft de oude methode definitief blokkeert, werkt alleen de nieuwe ondertekende variant. Wij raden aan nu al over te stappen.
Kan ik de gebruikersnaam later nog wijzigen? Ja. De gebruikersnaam valt buiten de ondertekende velden. Je kunt het .rdp-bestand met rechtsklik → Bewerken aanpassen zonder dat de handtekening kapot gaat.
Werkt dit ook op Windows 10? Ja. Windows 10 hanteert dezelfde RDP-vertrouwensmechanismen. De installer is op beide platforms identiek.
Wat als ik meerdere TRADIUM Cloud-sites gebruik? Geen probleem — je krijgt per site een aparte bundle. De installer voegt elke nieuwe snelkoppeling naast de bestaande toe op je bureaublad.
Hulp nodig?
Kom je er niet uit, of heb je vragen? Neem contact op met Tradium Support via de gebruikelijke weg.
TradiumTech.nl is voor de technische ondersteuning van Tradium Business Software, kijk op www.tradium.nl voor meer informatie.