Konfigurasikan Stasiun Kerja Akses Istimewa
Bagian penting lain dari mengamankan lingkungan adalah memastikan bahwa komputer yang digunakan staf IT untuk terhubung ke server aman itu sendiri aman. Keamanan server bisnis penting Anda setara dengan keamanan dari komputer yang digunakan staf IT Anda untuk melakukan tugas administratif.
Staf IT tidak boleh melakukan aktivitas rutin seperti menjawab email atau menjelajahi internet pada komputer yang digunakan untuk melakukan tugas administratif. Aktivitas sehari-hari tersebut menciptakan kerentanan lain dari stasiun kerja administratif.
Staf IT adalah target prioritas tinggi bagi pengguna yang tidak sah. Dengan mendapatkan akses ke komputer atau akun IT, pengguna tersebut bisa memperoleh semua izin dan sumber daya yang dimiliki anggota tim. Tanpa solusi perlindungan seperti Credential Guard Pertahanan Windows, selain akun asli yang disusupi, pengguna tidak sah yang cerdik dapat mengekstrak kredensial akun lain apa pun yang telah digunakan untuk masuk ke komputer yang sama. Skenario ini sangat menyusahkan jika perangkat yang sama digunakan untuk masuk dengan kredensial untuk tugas harian dan untuk kredensial yang sangat istimewa.
Meskipun pengguna yang tidak sah tidak dapat mengambil kredensial secara langsung, mereka dapat menginstal perangkat lunak jahat seperti keystroke logger yang memungkinkan mereka secara tidak langsung menemukan nama pengguna dan kata sandi yang digunakan untuk tugas administratif. Anda dapat memastikan bahwa serangan eksternal tidak dapat menginfeksi perangkat dengan memastikan staf IT melakukan tugas administratif hanya pada host administratif yang aman, disebut juga sebagai stasiun kerja akses hak istimewa (PAW).
Konfigurasi stasiun kerja akses hak istimewa
Saat mengonfigurasi PAW, Anda harus:
Memastikan bahwa hanya pengguna yang sah yang dapat masuk ke PAW. Akun pengguna standar tidak dapat masuk.
Aktifkan Credential Guard Pertahanan Windows untuk membantu melindungi dari pencurian kredensial.
Aktifkan Enkripsi Kandar BitLocker untuk membantu melindungi lingkungan boot dan hard disk drive dari gangguan.
Gunakan kebijakan Device Guard Pertahanan Windows untuk membatasi eksekusi aplikasi hanya pada aplikasi tepercaya yang digunakan karyawan organisasi Anda untuk melakukan tugas administratif.
Blokir PAW dari mengakses internet.
Instal semua alat yang dibutuhkan tugas administratif Anda, sehingga staf IT Anda tidak tergoda atau perlu menggunakan stasiun kerja lain untuk melakukan tugas administratif mereka.
Membatasi akses fisik ke PAW
Setelah mengonfigurasi PAW, selanjutnya Anda perlu melakukan tugas konfigurasi berikut untuk memaksimalkan nilai dalam mengamankan lingkungan Anda:
Blokir Protokol Desktop Jarakjauh (RDP), Windows PowerShell, dan koneksi konsol manajemen ke server yang berasal dari komputer mana pun yang bukan PAW.
Implementasikan aturan keamanan koneksi sehingga lalu lintas antara server dan PAW dienkripsi dan dilindungi dari serangan replay.
Konfigurasikan pembatasan masuk untuk akun administratif sehingga akun tersebut hanya dapat masuk ke PAW.
Menggabungkan stasiun kerja pengguna harian dan PAW pada perangkat yang sama adalah praktik umum. Gabungkan komputer ini dengan menghosting salah satu sistem operasi dalam lingkungan virtual. Namun, jika Anda menggabungkan komputer ini, Anda harus menghosting mesin virtual stasiun kerja harian dalam host PAW, dan bukan mesin virtual PAW dalam host pengguna harian. Jika PAW dihosting di stasiun kerja pengguna harian dan stasiun kerja tersebut disusupi, PAW mungkin dapat disusupi juga.
Untuk informasi selengkapnya tentang Device Guard, lihat Kontrol Aplikasi Pertahanan Windows dan perlindungan integritas kode berbasis virtualisasi.
Server jump dan host bastion yang aman
Server jump dan host bastion yang aman mirip dengan PAW. Saat melakukan tugas administratif, gunakan RDP untuk terhubung ke server khusus yang dikonfigurasi sama seperti PAW. Perbedaannya adalah Anda masuk ke PAW secara lokal, sedangkan Anda masuk ke server jump dari jarak jauh. Dalam skenario ini, ada risiko bahwa host tempat Anda masuk mungkin disusupi.
Catatan
Anda dapat menggabungkan server jump dengan PAW.