Pengendali domain aman
Pengendali domain merepresentasikan salah satu target paling penting pada jaringan. Ini karena seseorang yang menyusupi pengendali domain memiliki kendali atas semua identitas domain. Anda dapat membantu mengamankan pengendali domain organisasi Anda dengan mengambil tindakan pencegahan berikut:
Pastikan bahwa pengendali domain menjalankan versi terbaru dari sistem operasi Windows Server dan memiliki pembaruan keamanan terkini.
Sebarkan pengendali domain dengan menggunakan opsi penginstalan Inti Server, bukan opsi Pengalaman Desktop. Menyebarkan opsi penginstalan Inti Server mengurangi permukaan serangan pengendali domain dan meminimalkan kemungkinan seseorang dapat menginstal perangkat lunak jahat secara tidak sengaja karena mereka masuk ke pengendali domain di komputer yang sama yang digunakan untuk menavigasi ke situs yang tidak aman.
Simpan pengendali domain yang disebarkan secara fisik di rak khusus yang aman dan terpisah dari server lain.
Sebarkan pengendali domain pada perangkat keras yang menyertakan chip Modul Platform Tepercaya (TPM) dan konfigurasikan semua volume dengan Enkripsi Kandar BitLocker. Jika Anda tidak dapat secara fisik memisah dan mengamankan pengendali domain di lokasi kantor cabang, Anda harus mengonfigurasinya sebagai pengendali domain baca-saja (RODC).
Jalankan pengendali domain yang divirtualisasi baik pada host virtualisasi terpisah atau sebagai mesin virtual terlindungi pada fabrik yang terjaga, yang membantu melindungi pengendali domain.
Gunakan Device Guard Pertahanan Windows untuk mengontrol eksekusi skrip dan file yang dapat dieksekusi pada pengendali domain. Ini meminimalkan kemungkinan bahwa file yang dapat dieksekusi dan skrip yang tidak sah dapat berjalan di komputer.
Konfigurasikan RDP (Protokol Desktop Jarakjauh) melalui Kebijakan Grup yang ditetapkan ke OU Pengendali Domain untuk membatasi koneksi RDP sehingga hanya dapat terjadi dari server jump dan stasiun kerja akses hak istimewa.
Konfigurasikan firewall perimeter untuk memblokir koneksi keluar ke internet dari pengendali domain. Jika solusi manajemen pembaruan sudah ada, ada baiknya untuk memblokir pengendali domain agar tidak berkomunikasi dengan host di internet sepenuhnya.
Tinjau tolok ukur Center for Internet Security (CIS) untuk sistem operasi Windows Server, untuk panduan keamanan khusus dari pengendali domain.
Bacaan tambahan: Untuk informasi selengkapnya, lihat Mengamankan Pengendali Domain dari Serangan.