Baca dalam bahasa Inggris

Bagikan melalui


Penyelarasan gambar Windows Azure Kubernetes Service (AKS) dengan tolok ukur Center for Internet Security (CIS)

Sebagai layanan yang aman, Azure Kubernetes Service (AKS) mematuhi standar SOC, ISO, PCI DSS, dan HIPAA. Artikel ini membahas konfigurasi OS keamanan yang diterapkan ke gambar Windows yang digunakan oleh AKS. Konfigurasi keamanan ini didasarkan pada garis besar keamanan Azure X, yang selaras dengan tolok ukur CIS. Untuk informasi lebih lanjut tentang keamanan AKS, lihat Konsep keamanan untuk aplikasi dan kluster di Azure Kubernetes Service (AKS). Untuk informasi lebih lanjut tentang keamanan AKS, lihat Konsep keamanan untuk aplikasi dan kluster di Azure Kubernetes Service (AKS). Untuk informasi lebih lanjut tentang tolok ukur CIS, lihat Tolok ukur Center for Internet Security (CIS). Untuk informasi selengkapnya tentang garis besar keamanan Azure untuk Windows, lihat Garis besar keamanan Windows.

Windows Server 2022

Kluster AKS disebarkan pada mesin virtual host, yang menjalankan sistem operasi dengan konfigurasi aman bawaan. Sistem operasi ini digunakan untuk kontainer yang berjalan di AKS. Sistem operasi host ini didasarkan pada gambar Windows Server 2022 dengan konfigurasi keamanan yang diterapkan.

Sebagai bagian dari sistem operasi yang dioptimalkan keamanan:

  • AKS menyediakan OS host yang dioptimalkan keamanan secara default, tetapi tidak ada opsi untuk memilih sistem operasi alternatif.
  • OS host yang dioptimalkan keamanannya dibuat dan dipelihara khusus untuk AKS dan tidak didukung di luar platform AKS.
  • Beberapa driver modul kernel yang tidak perlu telah dinonaktifkan di OS untuk mengurangi area permukaan serangan.

Catatan

Tidak terkait dengan tolok ukur CIS, Azure menerapkan patch harian, termasuk patch keamanan, ke host mesin virtual AKS.

Tujuan dari konfigurasi aman yang dibuat ke dalam OS host adalah untuk mengurangi area permukaan serangan dan mengoptimalkan penyebaran kontainer dengan cara yang aman.

Berikut ini adalah hasil dari rekomendasi CIS Azure Compute Microsoft Windows Server 2022 Benchmark v1.0.0 - 01-26-2023 .

Rekomendasi dapat memiliki salah satu alasan berikut:

  • Dampak Operasi Potensial - Rekomendasi tidak diterapkan karena akan memiliki efek negatif pada layanan.
  • Tercakup di Tempat Lain - Rekomendasi dicakup oleh kontrol lain dalam komputasi cloud Azure.

Berikut ini adalah aturan CIS yang diterapkan:

Nomor paragraf CIS Deskripsi rekomendasi Status Alasan
1.1.1 Pastikan 'Terapkan riwayat kata sandi' diatur ke '24 kata sandi atau lebih' Gagal
1.1.2 Pastikan 'Usia kata sandi maksimum' diatur ke '365 atau kurang hari, tetapi bukan 0' Lulus
1.1.3 Pastikan 'Usia kata sandi minimum' diatur ke '1 hari atau lebih' Gagal
1.1.4 Pastikan 'Panjang kata sandi minimum' diatur ke '14 karakter atau lebih' Gagal
1.1.5 Pastikan 'Kata sandi harus memenuhi persyaratan kompleksitas' diatur ke 'Diaktifkan' Lulus
1.1.6 Pastikan 'Simpan kata sandi menggunakan enkripsi yang dapat dibalik' diatur ke 'Dinonaktifkan' Lulus
2.2.1 Pastikan 'Access Credential Manager sebagai penelepon tepercaya' diatur ke 'Tidak Ada' Lulus
2.2.2 Pastikan 'Akses komputer ini dari jaringan' diatur ke 'Administrator, Pengguna Terautentikasi, PENGENDALI DOMAIN PERUSAHAAN' (hanya DC) Gagal
2.2.4 Pastikan 'Bertindak sebagai bagian dari sistem operasi' diatur ke 'Tidak Ada' Lulus
2.2.5 Pastikan 'Tambahkan stasiun kerja ke domain' diatur ke 'Administrator' (hanya DC) T/A
2.2.6 Pastikan 'Sesuaikan kuota memori untuk proses' diatur ke 'Administrator, LAYANAN LOKAL, LAYANAN JARINGAN' Lulus
2.2.7 Pastikan 'Izinkan masuk secara lokal' diatur ke 'Administrator' Gagal
2.2.8 Pastikan 'Izinkan masuk melalui Layanan Desktop Jauh' diatur ke 'Administrator' (hanya DC) Lulus
2.2.10 Pastikan 'Cadangkan file dan direktori' diatur ke 'Administrator, Operator Cadangan' Lulus
2.2.11 Pastikan 'Ubah waktu sistem' diatur ke 'Administrator, LAYANAN LOKAL' Lulus
2.2.12 Pastikan 'Ubah zona waktu' diatur ke 'Administrator, LAYANAN LOKAL' Lulus
2.2.13 Pastikan 'Buat pagefile' diatur ke 'Administrator' Lulus
2.2.14 Pastikan 'Buat objek token' diatur ke 'Tidak Ada' Lulus
2.2.15 Pastikan 'Buat objek global' diatur ke 'Administrator, LAYANAN LOKAL, LAYANAN JARINGAN, LAYANAN' Lulus
2.2.16 Pastikan 'Buat objek bersama permanen' diatur ke 'Tidak Ada' Lulus
2.2.17 Pastikan 'Buat tautan simbolis' diatur ke 'Administrator' (hanya DC) Lulus
2.2.19 Pastikan 'Program debug' diatur ke 'Administrator' Lulus
2.2.20 Pastikan 'Tolak akses ke komputer ini dari jaringan' untuk menyertakan 'Tamu' Gagal
2.2.21 Pastikan 'Tolak masuk sebagai pekerjaan batch' untuk menyertakan 'Tamu' Gagal
2.2.22 Pastikan 'Tolak masuk sebagai layanan' untuk menyertakan 'Tamu' Gagal
2.2.23 Pastikan 'Tolak masuk secara lokal' untuk menyertakan 'Tamu' Gagal
2.2.24 Pastikan 'Tolak masuk melalui Layanan Desktop Jarak Jauh' untuk menyertakan 'Tamu' Gagal
2.2.25 Pastikan 'Aktifkan akun komputer dan pengguna agar tepercaya untuk delegasi' diatur ke 'Administrator' (hanya DC) Lulus
2.2.27 Pastikan 'Matikan paksa dari sistem jarak jauh' diatur ke 'Administrator' Lulus
2.2.28 Pastikan 'Hasilkan audit keamanan' diatur ke 'LAYANAN LOKAL, LAYANAN JARINGAN' T/A
2.2.29 Pastikan 'Meniru klien setelah autentikasi' diatur ke 'Administrator, LAYANAN LOKAL, LAYANAN JARINGAN, LAYANAN' (hanya DC) Lulus
2.2.31 Pastikan 'Tingkatkan prioritas penjadwalan' diatur ke 'Administrator' Gagal
2.2.32 Pastikan 'Muat dan bongkar driver perangkat' diatur ke 'Administrator' Lulus
2.2.33 Pastikan 'Kunci halaman dalam memori' diatur ke 'Tidak Ada' Lulus
2.2.34 Pastikan 'Kelola audit dan log keamanan' diatur ke 'Administrator' dan (saat Exchange berjalan di lingkungan) 'Server Exchange s' (hanya DC) Lulus
2.2.36 Pastikan 'Ubah label objek' diatur ke 'Tidak Ada' Lulus
2.2.37 Pastikan 'Ubah nilai lingkungan firmware' diatur ke 'Administrator' Lulus
2.2.38 Pastikan 'Lakukan tugas pemeliharaan volume' diatur ke 'Administrator' Lulus
2.2.39 Pastikan 'Proses tunggal profil' diatur ke 'Administrator' Lulus
2.2.40 Pastikan 'Performa sistem profil' diatur ke 'Administrator, NT SERVICE\WdiServiceHost' Lulus
2.2.41 Pastikan 'Ganti token tingkat proses' diatur ke 'LAYANAN LOKAL, LAYANAN JARINGAN' Lulus
2.2.42 Pastikan 'Pulihkan file dan direktori' diatur ke 'Administrator, Operator Cadangan' Lulus
2.2.43 Pastikan 'Matikan sistem' diatur ke 'Administrator, Operator Cadangan' Lulus
2.2.44 Pastikan 'Sinkronkan data layanan direktori' diatur ke 'Tidak Ada' (hanya DC) T/A
2.2.45 Pastikan 'Ambil kepemilikan file atau objek lain' diatur ke 'Administrator' Lulus
2.3.1.1 Pastikan 'Akun: Blokir akun Microsoft' diatur ke 'Pengguna tidak dapat menambahkan atau masuk dengan akun Microsoft' Lulus
2.3.1.3 Pastikan 'Akun: Batasi penggunaan akun lokal kata sandi kosong untuk masuk konsol saja' diatur ke 'Diaktifkan' Lulus
2.3.1.4 Mengonfigurasi 'Akun: Mengganti nama akun administrator' Lulus
2.3.1.5 Mengonfigurasi 'Akun: Mengganti nama akun tamu' Lulus
2.3.2.1 Pastikan 'Audit: Paksa pengaturan subkategori kebijakan audit (Windows Vista atau yang lebih baru) untuk mengambil alih pengaturan kategori kebijakan audit' diatur ke 'Diaktifkan' Lulus
2.3.2.2 Pastikan 'Audit: Matikan sistem segera jika tidak dapat mencatat audit keamanan' diatur ke 'Dinonaktifkan' Lulus
2.3.4.1 Pastikan 'Perangkat: Diizinkan untuk memformat dan mengeluarkan media yang dapat dilepas' diatur ke 'Administrator' Lulus
2.3.4.2 Pastikan 'Perangkat: Cegah pengguna menginstal driver printer' diatur ke 'Diaktifkan' Lulus
2.3.5.1 Pastikan 'Pengendali domain: Izinkan operator server untuk menjadwalkan tugas' diatur ke 'Dinonaktifkan' (hanya DC) T/A
2.3.5.2 Pastikan 'Pengendali domain: Izinkan koneksi saluran aman Netlogon yang rentan' diatur ke 'Tidak Dikonfigurasi' (Hanya DC) T/A
2.3.5.3 Pastikan 'Pengendali domain: Persyaratan token pengikatan saluran server LDAP' diatur ke 'Selalu' (Hanya DC) T/A
2.3.5.4 Pastikan 'Pengendali domain: Persyaratan penandatanganan server LDAP' diatur ke 'Memerlukan penandatanganan' (hanya DC) T/A
2.3.5.5 Pastikan 'Pengendali domain: Tolak perubahan kata sandi akun komputer' diatur ke 'Dinonaktifkan' (hanya DC) T/A
2.3.6.1 Pastikan 'Anggota domain: Mengenkripsi atau menandatangani data saluran aman secara digital (selalu)' diatur ke 'Enabled' Lulus
2.3.6.2 Pastikan 'Anggota domain: Mengenkripsi data saluran aman secara digital (jika memungkinkan)' diatur ke 'Enabled' Lulus
2.3.6.3 Pastikan 'Anggota domain: Menandatangani data saluran aman secara digital (jika memungkinkan)' diatur ke 'Enabled' Lulus
2.3.6.4 Pastikan 'Anggota domain: Nonaktifkan perubahan kata sandi akun komputer' diatur ke 'Disabled' Lulus
2.3.6.5 Pastikan 'Anggota domain: Usia kata sandi akun komputer maksimum' diatur ke '30 hari atau kurang, tetapi bukan 0' Lulus
2.3.7.1 Pastikan 'Masuk interaktif: Batas tidak aktif komputer' diatur ke '900 atau kurang detik), tetapi bukan 0' Lulus
2.3.7.2 Mengonfigurasi 'Masuk interaktif: Teks pesan untuk pengguna yang mencoba masuk' Gagal
2.3.7.3 Mengonfigurasi 'Masuk interaktif: Judul pesan untuk pengguna yang mencoba masuk' Gagal
2.3.7.4 Pastikan 'Masuk interaktif: Minta pengguna untuk mengubah kata sandi sebelum kedaluwarsa' diatur ke 'antara 5 dan 14 hari' Lulus
2.3.8.1 Pastikan 'Klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu)' diatur ke 'Diaktifkan' Gagal
2.3.8.2 Pastikan 'Klien jaringan Microsoft: Menandatangani komunikasi secara digital (jika server setuju)' diatur ke 'Diaktifkan' Lulus
2.3.8.3 Pastikan 'Klien jaringan Microsoft: Kirim kata sandi yang tidak terenkripsi ke server SMB pihak ketiga' diatur ke 'Dinonaktifkan' Lulus
2.3.9.1 Pastikan 'Server jaringan Microsoft: Jumlah waktu diam yang diperlukan sebelum menangguhkan sesi' diatur ke '15 atau lebih sedikit menit' Lulus
2.3.9.2 Pastikan 'Server jaringan Microsoft: Menandatangani komunikasi secara digital (selalu)' diatur ke 'Diaktifkan' Gagal
2.3.9.3 Pastikan 'Server jaringan Microsoft: Menandatangani komunikasi secara digital (jika klien setuju)' diatur ke 'Diaktifkan' Gagal
2.3.9.4 Pastikan 'Server jaringan Microsoft: Putuskan sambungan klien ketika jam masuk kedaluwarsa' diatur ke 'Diaktifkan' Lulus
2.3.10.1 Pastikan 'Akses jaringan: Izinkan terjemahan SID/Nama anonim' diatur ke 'Dinonaktifkan' Lulus
2.3.10.4 Pastikan 'Akses jaringan: Izinkan Semua Orang berlaku untuk pengguna anonim' diatur ke 'Dinonaktifkan' Lulus
2.3.10.5 Mengonfigurasi 'Akses jaringan: Pipa Bernama yang dapat diakses secara anonim' (hanya DC) Lulus
2.3.10.7 Mengonfigurasi 'Akses jaringan: Jalur registri yang dapat diakses dari jarak jauh' dikonfigurasi Lulus
2.3.10.8 Mengonfigurasi 'Akses jaringan: Jalur dan sub-jalur registri yang dapat diakses dari jarak jauh' dikonfigurasi Lulus
2.3.10.9 Pastikan 'Akses jaringan: Batasi akses anonim ke Pipa dan Berbagi Bernama' diatur ke 'Diaktifkan' Lulus
2.3.10.11 Pastikan 'Akses jaringan: Berbagi yang dapat diakses secara anonim' diatur ke 'Tidak Ada' T/A
2.3.10.12 Pastikan 'Akses jaringan: Berbagi dan model keamanan untuk akun lokal' diatur ke 'Klasik - pengguna lokal mengautentikasi sebagai diri mereka sendiri' Lulus
2.3.11.1 Pastikan 'Keamanan jaringan: Izinkan Sistem Lokal menggunakan identitas komputer untuk NTLM' diatur ke 'Diaktifkan' Gagal
2.3.11.2 Pastikan 'Keamanan jaringan: Izinkan fallback sesi LOCALSystem NULL' diatur ke 'Dinonaktifkan' Lulus
2.3.11.3 Pastikan 'Keamanan Jaringan: Izinkan permintaan autentikasi PKU2U ke komputer ini untuk menggunakan identitas online' diatur ke 'Dinonaktifkan' Lulus
2.3.11.4 Pastikan 'Keamanan jaringan: Konfigurasikan jenis enkripsi yang diizinkan untuk Kerberos' diatur ke 'AES128_HMAC_SHA1, AES256_HMAC_SHA1, Jenis enkripsi di masa mendatang' Lulus
2.3.11.5 Pastikan 'Keamanan jaringan: Jangan simpan nilai hash LAN Manager pada perubahan kata sandi berikutnya' diatur ke 'Diaktifkan' Lulus
2.3.11.6 Pastikan 'Keamanan jaringan: Tingkat autentikasi LAN Manager' diatur ke 'Kirim respons NTLMv2 saja. Menolak LM & NTLM' Gagal
2.3.11.7 Pastikan 'Keamanan jaringan: Persyaratan penandatanganan klien LDAP' diatur ke 'Negosiasikan penandatanganan' atau yang lebih tinggi Lulus
2.3.11.8 Pastikan 'Keamanan jaringan: Keamanan sesi minimum untuk klien berbasis NTLM SSP (termasuk RPC aman) diatur ke 'Memerlukan keamanan sesi NTLMv2, Memerlukan enkripsi 128-bit' Gagal
2.3.11.9 Pastikan 'Keamanan jaringan: Keamanan sesi minimum untuk server berbasis NTLM SSP (termasuk RPC aman) diatur ke 'Memerlukan keamanan sesi NTLMv2, Memerlukan enkripsi 128-bit' Gagal
2.3.13.1 Pastikan 'Matikan: Izinkan sistem dimatikan tanpa harus masuk' diatur ke 'Dinonaktifkan' Lulus
2.3.15.1 Pastikan 'Objek sistem: Memerlukan ketidakpekaan huruf besar/kecil untuk subsistem non-Windows' diatur ke 'Diaktifkan' Lulus
2.3.15.2 Pastikan 'Objek sistem: Perkuat izin default objek sistem internal (misalnya Tautan Simbolik)' diatur ke 'Diaktifkan' Lulus
2.3.17.1 Pastikan 'Kontrol Akun Pengguna: Mode Persetujuan Admin untuk akun Administrator Bawaan' diatur ke 'Diaktifkan' Gagal
2.3.17.2 Pastikan 'Kontrol Akun Pengguna: Perilaku permintaan elevasi untuk administrator dalam Mode Persetujuan Admin' diatur ke 'Minta persetujuan di desktop aman' Gagal
2.3.17.3 Pastikan 'Kontrol Akun Pengguna: Perilaku permintaan elevasi untuk pengguna standar' diatur ke 'Tolak permintaan elevasi secara otomatis' Gagal
2.3.17.4 Pastikan 'Kontrol Akun Pengguna: Mendeteksi penginstalan aplikasi dan meminta elevasi' diatur ke 'Diaktifkan' Lulus
2.3.17.5 Pastikan 'Kontrol Akun Pengguna: Hanya tingkatkan aplikasi UIAccess yang diinstal di lokasi aman' yang diatur ke 'Diaktifkan' Lulus
2.3.17.6 Pastikan 'Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin' diatur ke 'Diaktifkan' Lulus
2.3.17.7 Pastikan 'Kontrol Akun Pengguna: Beralih ke desktop aman saat meminta elevasi' diatur ke 'Diaktifkan' Lulus
2.3.17.8 Pastikan 'Kontrol Akun Pengguna: Virtualisasi kegagalan penulisan file dan registri ke lokasi per pengguna' diatur ke 'Diaktifkan' Lulus
5.1 Pastikan 'Penampung Cetak (Penampung)' diatur ke 'Dinonaktifkan' (hanya DC) T/A
9.1.1 Pastikan 'Windows Firewall: Domain: Status firewall' diatur ke 'Aktif (disarankan)' Gagal
9.1.2 Pastikan 'Windows Firewall: Domain: Koneksi masuk' diatur ke 'Blokir (default)' Lulus
9.1.3 Pastikan 'Windows Firewall: Domain: Koneksi keluar' diatur ke 'Izinkan (default)' Lulus
9.1.4 Pastikan 'Windows Firewall: Domain: Logging: Name' diatur ke '%SystemRoot%\System32\logfiles\firewall\domainfw.log' Lulus
9.1.5 Pastikan 'Windows Firewall: Domain: Logging: Batas ukuran (KB)' diatur ke '16,384 KB atau lebih besar' Lulus
9.1.6 Pastikan 'Windows Firewall: Domain: Pengelogan: Paket log yang dihilangkan' diatur ke 'Ya' Lulus
9.1.7 Pastikan 'Windows Firewall: Domain: Pengelogan: Koneksi berhasil log' diatur ke 'Ya' Gagal
9.2.1 Pastikan 'Windows Firewall: Privat: Status firewall' diatur ke 'Aktif (disarankan)' Gagal
9.2.2 Pastikan 'Windows Firewall: Privat: Koneksi masuk' diatur ke 'Blokir (default)' Lulus
9.2.3 Pastikan 'Windows Firewall: Privat: Koneksi keluar' diatur ke 'Izinkan (default)' Gagal
9.2.4 Pastikan 'Windows Firewall: Privat: Pengelogan: Nama' diatur ke '%SystemRoot%\System32\logfiles\firewall\privatefw.log' Lulus
9.2.5 Pastikan 'Windows Firewall: Privat: Pengelogan: Batas ukuran (KB)' diatur ke '16,384 KB atau lebih besar' Lulus
9.2.6 Pastikan 'Windows Firewall: Privat: Pengelogan: Paket log yang dihilangkan' diatur ke 'Ya' Lulus
9.2.7 Pastikan 'Windows Firewall: Privat: Pengelogan: Koneksi berhasil log' diatur ke 'Ya' Lulus
9.3.1 Pastikan 'Windows Firewall: Publik: Status firewall' diatur ke 'Aktif (disarankan)' Gagal
9.3.2 Pastikan 'Windows Firewall: Publik: Koneksi masuk' diatur ke 'Blokir (default)' Lulus
9.3.3 Pastikan 'Windows Firewall: Publik: Koneksi keluar' diatur ke 'Izinkan (default)' Gagal
9.3.4 Pastikan 'Windows Firewall: Publik: Pengelogan: Nama' diatur ke '%SystemRoot%\System32\logfiles\firewall\publicfw.log' Lulus
9.3.5 Pastikan 'Windows Firewall: Publik: Pengelogan: Batas ukuran (KB)' diatur ke '16,384 KB atau lebih besar' Gagal
9.3.6 Pastikan 'Windows Firewall: Publik: Pengelogan: Paket log yang dihilangkan' diatur ke 'Ya' Lulus
9.3.7 Pastikan 'Windows Firewall: Publik: Pengelogan: Koneksi berhasil log' diatur ke 'Ya' Lulus
17.1.1 Pastikan 'Validasi Kredensial Audit' diatur ke 'Berhasil dan Gagal' Lulus
17.1.2 Pastikan 'Audit Layanan Autentikasi Kerberos' diatur ke 'Berhasil dan Gagal' (Hanya DC) Lulus
17.2.1 Pastikan 'Manajemen Akun Komputer Audit' diatur untuk menyertakan 'Berhasil dan Gagal' (hanya DC) Lulus
17.2.2 Pastikan 'Manajemen Grup Distribusi Audit' diatur untuk menyertakan 'Keberhasilan dan Kegagalan' (hanya DC) Lulus
17.2.3 Pastikan 'Audit Peristiwa Manajemen Akun Lain' diatur untuk menyertakan 'Berhasil' (hanya DC) Lulus
17.2.4 Pastikan 'Manajemen Grup Keamanan Audit' diatur untuk menyertakan 'Keberhasilan' Lulus
17.2.5 Pastikan 'Manajemen Akun Pengguna Audit' diatur ke 'Keberhasilan dan Kegagalan' Lulus
17.3.1 Pastikan 'Aktivitas PNP Audit' diatur untuk menyertakan 'Berhasil' Lulus
17.3.2 Pastikan 'Pembuatan Proses Audit' diatur untuk menyertakan 'Keberhasilan' Lulus
17.5.1 Pastikan 'Penguncian Akun Audit' diatur untuk menyertakan 'Berhasil dan Gagal' Lulus
17.5.2 Pastikan 'Keanggotaan Grup Audit' diatur untuk menyertakan 'Berhasil' Lulus
17.5.3 Pastikan 'Logoff Audit' diatur untuk menyertakan 'Success' Lulus
17.5.4 Pastikan 'Log Masuk Audit' diatur ke 'Berhasil dan Gagal' Lulus
17.5.5 Pastikan 'Audit Kejadian Masuk/Keluar Lainnya' diatur ke 'Berhasil dan Gagal' Lulus
17.5.6 Pastikan 'Audit Special Logon' diatur untuk menyertakan 'Success' Lulus
17.6.1 Pastikan 'Audit Peristiwa Akses Objek Lain' diatur ke 'Berhasil dan Gagal' Gagal
17.6.2 Pastikan 'Audit Removable Storage' diatur ke 'Berhasil dan Gagal' Gagal
17.7.1 Pastikan 'Perubahan Kebijakan Audit Audit' diatur untuk menyertakan 'Keberhasilan' Lulus
17.7.2 Pastikan 'Perubahan Kebijakan Autentikasi Audit' diatur untuk menyertakan 'Berhasil' Lulus
17.7.3 Pastikan 'Audit Perubahan Kebijakan Tingkat Aturan MPSSVC' diatur ke 'Berhasil dan Gagal' Gagal
17.8.1 Pastikan 'Penggunaan Hak Istimewa Sensitif Audit' diatur ke 'Berhasil dan Gagal' Lulus
17.9.1 Pastikan 'Perubahan Status Keamanan Audit' diatur untuk menyertakan 'Keberhasilan' Gagal
17.9.2 Pastikan 'Ekstensi Sistem Keamanan Audit' diatur untuk menyertakan 'Keberhasilan' Lulus
17.9.3 Pastikan 'Integritas Sistem Audit' diatur ke 'Sukses dan Gagal' Lulus
18.1.2.2 Pastikan 'Izinkan pengguna mengaktifkan layanan pengenalan ucapan online' diatur ke 'Dinonaktifkan' Gagal
18.3.1 Pastikan 'Konfigurasikan driver klien SMB v1' diatur ke 'Diaktifkan: Nonaktifkan driver (disarankan)' Lulus
18.3.2 Pastikan 'Konfigurasikan server SMB v1' diatur ke 'Dinonaktifkan' Lulus
18.3.3 Pastikan 'Aktifkan Perlindungan Timpa Penanganan Pengecualian Terstruktur (SEHOP)' diatur ke 'Diaktifkan' Lulus
18.3.4 Pastikan 'Konfigurasi NetBT NodeType' diatur ke 'Diaktifkan: P-node (disarankan)' Lulus
18.3.5 Pastikan 'Autentikasi WDigest' diatur ke 'Dinonaktifkan' Lulus
18.4.1 Pastikan 'MSS: (DisableIPSourceRouting IPv6) Tingkat perlindungan perutean sumber IP (melindungi dari spoofing paket)' diatur ke 'Diaktifkan: Perlindungan tertinggi, perutean sumber sepenuhnya dinonaktifkan' Lulus
18.4.2 Pastikan tingkat perlindungan perutean sumber IP 'MSS: (DisableIPSourceRouting) (melindungi dari spoofing paket)' diatur ke 'Diaktifkan: Perlindungan tertinggi, perutean sumber sepenuhnya dinonaktifkan' Lulus
18.4.3 Pastikan 'MSS: (EnableICMPRedirect) Izinkan pengalihan ICMP untuk mengambil alih rute yang dihasilkan OSPF' diatur ke 'Dinonaktifkan' Gagal
18.4.4 Pastikan 'MSS: (NoNameReleaseOnDemand) Izinkan komputer mengabaikan permintaan rilis nama NetBIOS kecuali dari server WINS' diatur ke 'Diaktifkan' Lulus
18.5.4.1 Pastikan 'Nonaktifkan resolusi nama multicast' diatur ke 'Diaktifkan' Gagal
18.5.8.1 Pastikan 'Aktifkan logon tamu yang tidak aman' diatur ke 'Dinonaktifkan' Gagal
18.5.11.2 Pastikan 'Melarang penginstalan dan konfigurasi Jembatan Jaringan di jaringan domain DNS Anda' diatur ke 'Diaktifkan' Gagal
18.5.11.3 Pastikan 'Melarang penggunaan Berbagi Koneksi Internet di jaringan domain DNS Anda' diatur ke 'Diaktifkan' Gagal
18.5.14.1 Pastikan 'Jalur UNC yang Diperkeras' diatur ke 'Diaktifkan, dengan "Memerlukan Autentikasi Timbal Balik" dan "Memerlukan Integritas" yang diatur untuk semua berbagi NETLOGON dan SYSVOL' Lulus
18.5.21.1 Pastikan 'Minimalkan jumlah koneksi simultan ke Internet atau Domain Windows' diatur ke 'Diaktifkan: 1 = Minimalkan koneksi simultan' Lulus
18.8.3.1 Pastikan 'Sertakan baris perintah dalam peristiwa pembuatan proses' diatur ke 'Diaktifkan' Gagal
18.8.4.1 Pastikan 'Remediasi Oracle Enkripsi' diatur ke 'Diaktifkan: Paksa Klien yang Diperbarui' Lulus
18.8.4.2 Pastikan 'Host jarak jauh memungkinkan delegasi kredensial yang tidak dapat diekspor' diatur ke 'Diaktifkan' Lulus
18.8.14.1 Pastikan 'Kebijakan Inisialisasi Driver Boot-Start' diatur ke 'Diaktifkan: Baik, tidak diketahui, dan buruk tetapi kritis' Lulus
18.8.21.2 Pastikan 'Konfigurasikan pemrosesan kebijakan registri: Jangan terapkan selama pemrosesan latar belakang berkala' diatur ke 'Enabled: FALSE' Lulus
18.8.21.3 Pastikan 'Konfigurasikan pemrosesan kebijakan registri: Proses meskipun objek Kebijakan Grup tidak berubah' diatur ke 'Enabled: TRUE' Lulus
18.8.21.4 Memastikan 'Lanjutkan pengalaman pada perangkat ini' diatur ke 'Dinon-fungsikan' Lulus
18.8.21.5 Pastikan 'Nonaktifkan refresh latar belakang Kebijakan Grup' diatur ke 'Dinonaktifkan' Lulus
18.8.22.1.1 Pastikan 'Matikan pengunduhan driver cetak melalui HTTP' diatur ke 'Diaktifkan' Gagal
18.8.28.1 Pastikan 'Blokir pengguna agar tidak menampilkan detail akun saat masuk' diatur ke 'Diaktifkan' Gagal
18.8.28.2 Pastikan 'Jangan tampilkan UI pemilihan jaringan' diatur ke 'Diaktifkan' Gagal
18.8.36.1 Pastikan 'Konfigurasikan Bantuan Jarak Jauh Penawaran' diatur ke 'Dinonaktifkan' Lulus
18.8.36.2 Pastikan 'Konfigurasikan Bantuan Jarak Jauh yang Diminta' diatur ke 'Dinonaktifkan' Gagal
18.8.40.1 Pastikan 'Konfigurasikan validasi kunci WHfB yang rentan ROCA selama autentikasi' diatur ke 'Diaktifkan: Audit' atau lebih tinggi (hanya DC) T/A
18.9.6.1 Pastikan 'Izinkan akun Microsoft menjadi opsional' diatur ke 'Diaktifkan' Gagal
18.9.14.1 Pastikan 'Nonaktifkan konten status akun konsumen cloud' diatur ke 'Diaktifkan' Lulus
18.9.14.2 Pastikan 'Nonaktifkan pengalaman konsumen Microsoft' diatur ke 'Diaktifkan' Lulus
18.9.16.1 Pastikan 'Jangan tampilkan tombol ungkap kata sandi' diatur ke 'Diaktifkan' Gagal
18.9.16.2 Pastikan 'Hitung akun administrator pada elevasi' diatur ke 'Dinonaktifkan' Lulus
18.9.17.1 Pastikan 'Izinkan Data Diagnostik' diatur ke 'Diaktifkan: Mengirim data diagnostik yang diperlukan' Gagal
18.9.27.1.1 Pastikan 'Aplikasi: Kontrol perilaku Log Peristiwa ketika file log mencapai ukuran maksimumnya' diatur ke 'Dinonaktifkan' Lulus
18.9.27.1.2 Pastikan 'Aplikasi: Tentukan ukuran file log maksimum (KB)' diatur ke 'Diaktifkan: 32.768 atau lebih tinggi' Gagal
18.9.27.2.1 Pastikan 'Keamanan: Kontrol perilaku Log Peristiwa saat file log mencapai ukuran maksimumnya' diatur ke 'Dinonaktifkan' Lulus
18.9.27.2.2 Pastikan 'Keamanan: Tentukan ukuran file log maksimum (KB)' diatur ke 'Diaktifkan: 196.608 atau lebih tinggi' Gagal
18.9.27.3.1 Pastikan 'Penyiapan: Kontrol perilaku Log Peristiwa saat file log mencapai ukuran maksimumnya' diatur ke 'Dinonaktifkan' Lulus
18.9.27.3.2 Pastikan 'Penyiapan: Tentukan ukuran file log maksimum (KB)' diatur ke 'Diaktifkan: 32.768 atau lebih tinggi' Gagal
18.9.27.4.1 Pastikan 'Sistem: Kontrol perilaku Log Peristiwa ketika file log mencapai ukuran maksimumnya' diatur ke 'Dinonaktifkan' Lulus
18.9.27.4.2 Pastikan 'Sistem: Tentukan ukuran file log maksimum (KB)' diatur ke 'Diaktifkan: 32.768 atau lebih tinggi' Gagal
18.9.31.2 Pastikan 'Nonaktifkan Pencegahan Eksekusi Data untuk Explorer' diatur ke 'Dinonaktifkan' Lulus
18.9.31.3 Pastikan 'Matikan penghentian tumpukan pada kerusakan' diatur ke 'Dinonaktifkan' Lulus
18.9.31.4 Pastikan 'Matikan mode terlindungi protokol shell' diatur ke 'Dinonaktifkan' Lulus
18.9.46.1 Pastikan 'Blokir semua autentikasi pengguna akun Microsoft konsumen' diatur ke 'Diaktifkan' Lulus
18.9.47.15 Pastikan 'Konfigurasikan deteksi untuk aplikasi yang berpotensi tidak diinginkan' diatur ke 'Diaktifkan: Blokir' Lulus
18.9.47.16 Pastikan 'Nonaktifkan Microsoft Defender AntiVirus' diatur ke 'Dinonaktifkan' Lulus
18.9.47.4.1 Pastikan 'Konfigurasikan penimpaan pengaturan lokal untuk pelaporan ke Microsoft MAPS' diatur ke 'Dinonaktifkan' Lulus
18.9.47.5.1.1 Pastikan 'Konfigurasikan aturan Pengurangan Permukaan Serangan' diatur ke 'Diaktifkan' Lulus
18.9.47.5.1.2 Pastikan 'Konfigurasikan aturan Pengurangan Permukaan Serangan: Atur status untuk setiap aturan ASR' dikonfigurasi Lulus
18.9.47.5.3.1 Pastikan 'Cegah pengguna dan aplikasi mengakses situs web berbahaya' diatur ke 'Diaktifkan: Blokir' Lulus
18.9.47.9.1 Pastikan 'Pindai semua file dan lampiran yang diunduh' diatur ke 'Diaktifkan' Lulus
18.9.47.9.2 Pastikan 'Nonaktifkan perlindungan real-time' diatur ke 'Dinonaktifkan' Lulus
18.9.47.9.3 Pastikan 'Aktifkan pemantauan perilaku' diatur ke 'Diaktifkan' Lulus
18.9.47.9.4 Pastikan 'Aktifkan pemindaian skrip' diatur ke 'Diaktifkan' Lulus
18.9.47.12.1 Pastikan 'Aktifkan pemindaian email' diatur ke 'Diaktifkan' Gagal
18.9.65.2.2 Pastikan 'Jangan izinkan kata sandi disimpan' diatur ke 'Diaktifkan' Gagal
18.9.65.3.3.1 Pastikan 'Jangan izinkan pengalihan drive' diatur ke 'Diaktifkan' Lulus
18.9.65.3.9.1 Pastikan 'Selalu minta kata sandi saat koneksi' diatur ke 'Diaktifkan' Gagal
18.9.65.3.9.2 Pastikan 'Perlu komunikasi RPC aman' diatur ke 'Diaktifkan' Gagal
18.9.65.3.9.3 Pastikan 'Atur tingkat enkripsi koneksi klien' diatur ke 'Diaktifkan: Tingkat Tinggi' Lulus
18.9.65.3.11.1 Pastikan 'Jangan hapus folder sementara saat keluar' diatur ke 'Dinonaktifkan' Lulus
18.9.65.3.11.2 Pastikan 'Jangan gunakan folder sementara per sesi' diatur ke 'Dinonaktifkan' Lulus
18.9.66.1 Pastikan 'Cegah pengunduhan penutup' diatur ke 'Diaktifkan' Gagal
18.9.67.2 Pastikan 'Izinkan pengindeksan file terenkripsi' diatur ke 'Dinonaktifkan' Lulus
18.9.85.1.1 Pastikan 'Konfigurasikan SmartScreen Pertahanan Windows' diatur ke 'Diaktifkan: Peringatkan dan cegah bypass' Gagal
18.9.90.1 Pastikan 'Izinkan kontrol pengguna atas penginstalan' diatur ke 'Dinonaktifkan' Lulus
18.9.90.2 Pastikan 'Selalu instal dengan hak istimewa yang ditingkatkan' diatur ke 'Dinonaktifkan' Lulus
18.9.91.1 Pastikan 'Masuk dan kunci pengguna interaktif terakhir secara otomatis setelah hidupkan ulang' diatur ke 'Dinonaktifkan' Lulus
18.9.100.1 Pastikan 'Aktifkan Pengelogan Blok Skrip PowerShell' diatur ke 'Diaktifkan' Gagal
18.9.100.2 Pastikan 'Aktifkan Transkripsi PowerShell' diatur ke 'Dinonaktifkan' Lulus
18.9.102.1.1 Pastikan 'Izinkan autentikasi Dasar' diatur ke 'Dinonaktifkan' Lulus
18.9.102.1.2 Pastikan 'Izinkan lalu lintas tidak terenkripsi' diatur ke 'Dinonaktifkan' Lulus
18.9.102.1.3 Pastikan 'Larang autentikasi Hash' diatur ke 'Diaktifkan' Gagal
18.9.102.2.1 Pastikan 'Izinkan autentikasi Dasar' diatur ke 'Dinonaktifkan' Lulus
18.9.102.2.2 Pastikan 'Izinkan lalu lintas tidak terenkripsi' diatur ke 'Dinonaktifkan' Lulus
18.9.102.2.3 Pastikan 'Larang WinRM menyimpan kredensial RunAs' diatur ke 'Diaktifkan' Gagal
18.9.105.2.1 Pastikan 'Cegah pengguna mengubah pengaturan' diatur ke 'Diaktifkan' Lulus

Langkah berikutnya

Untuk informasi selengkapnya tentang keamanan AKS, lihat artikel berikut: