Mengamankan akun komputer lokal dengan Direktori Aktif
Akun komputer, atau akun LocalSystem, sangat diistimewakan dengan akses ke hampir semua sumber daya di komputer lokal. Akun tidak terkait dengan akun pengguna yang masuk. Layanan berjalan sebagai sumber daya jaringan akses LocalSystem dengan menyajikan kredensial komputer ke server jarak jauh dalam format <domain_name>\\<computer_name>$
. Nama akun komputer yang telah ditentukan sebelumnya adalah NT AUTHORITY\SYSTEM
. Anda dapat memulai layanan dan memberikan konteks keamanan untuk layanan tersebut.
Manfaat menggunakan akun komputer
Akun komputer memiliki manfaat berikut:
- Akses lokal tidak terbatas - akun komputer menyediakan akses lengkap ke sumber daya lokal komputer
- Manajemen kata sandi otomatis - menghapus kebutuhan akan kata sandi yang diubah secara manual. Akun adalah anggota Direktori Aktif, dan kata sandinya diubah secara otomatis. Dengan akun komputer, Anda tidak perlu mendaftarkan nama perwakilan layanan.
- Hak akses terbatas di luar komputer - daftar kontrol akses default di Active Directory Domain Services (AD DS) mengizinkan akses minimal ke akun komputer. Selama akses oleh pengguna yang tidak sah, layanan memiliki akses terbatas ke sumber daya jaringan.
Penilaian postur keamanan akun komputer
Gunakan tabel berikut untuk meninjau potensi masalah dan mitigasi akun komputer.
Masalah akun komputer | Mitigasi |
---|---|
Akun komputer dapat dihapus dan dibuat ulang saat komputer keluar dan bergabung kembali dengan domain. | Konfirmasikan persyaratan untuk menambahkan komputer ke grup Direktori Aktif. Untuk memverifikasi akun komputer yang ditambahkan ke grup, gunakan skrip di bagian berikut. |
Jika Anda menambahkan akun komputer ke grup, layanan yang berjalan sebagai LocalSystem di komputer tersebut mendapatkan hak akses grup. | Selektiflah tentang keanggotaan grup akun komputer. Jangan jadikan akun komputer sebagai anggota grup administrator domain. Layanan terkait memiliki akses lengkap ke AD DS. |
Default jaringan yang tidak akurat untuk LocalSystem. | Jangan asumsikan akun komputer memiliki akses terbatas default ke sumber daya jaringan. Sebagai gantinya, konfirmasi keanggotaan grup untuk akun tersebut. |
Layanan tidak diketahui yang berjalan sebagai LocalSystem. | Pastikan layanan yang berjalan di bawah akun LocalSystem layanan Microsoft, atau layanan tepercaya. |
Menemukan layanan dan akun komputer
Untuk menemukan layanan yang berjalan di bawah akun komputer, gunakan cmdlet PowerShell berikut:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Gunakan cmdlet PowerShell berikut ini untuk menemukan akun komputer yang merupakan anggota grup tertentu:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Gunakan cmdlet PowerShell berikut ini untuk menemukan akun komputer yang merupakan anggota grup Admin Identitas (administrator domain, administrator perusahaan, dan administrator):
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Rekomendasi akun komputer
Penting
Akun komputer sangat istimewa, oleh karena itu gunakan jika layanan Anda memerlukan akses tidak terbatas ke sumber daya lokal, pada komputer, dan Anda tidak dapat menggunakan akun layanan terkelola (MSA).
- Mengonfirmasi layanan pemilik layanan berjalan dengan MSA
- Gunakan akun layanan terkelola grup (gMSA), atau akun layanan terkelola mandiri (sMSA), jika layanan Anda mendukungnya
- Menggunakan akun pengguna domain dengan izin yang diperlukan untuk menjalankan layanan
Langkah berikutnya
Untuk mempelajari selengkapnya tentang mengamankan akun layanan, lihat artikel berikut ini: