Mengonfigurasi hak akun pengguna
Saat mengonfigurasi hak pengguna, penting untuk mengikuti prinsip hak istimewa terkecil. Ini berarti memberi pengguna hanya hak dan hak istimewa yang mereka butuhkan untuk melakukan tugas mereka, dan tidak lebih. Akibatnya, jika pengguna yang tidak sah menyusup ke akun, mereka hanya mendapatkan akses ke kumpulan hak istimewa terbatas yang diberikan ke akun itu. Staf TI juga harus memiliki akun terpisah untuk aktivitas sehari-hari seperti menjawab email, terpisah dari akun istimewa yang digunakan untuk melakukan tugas administratif.
Bacaan tambahan: Untuk informasi lebih lanjut tentang penerapan prinsip hak istimewa terkecil, lihat Menerapkan Model Administratif dengan Hak Terkecil.
| Kebijakan penetapan hak pengguna | Function |
|---|---|
| Mengakses Pengelola Info Masuk sebagai penelepon tepercaya | Digunakan oleh Manajer Kredensial selama pencadangan dan pemulihan. Anda tidak boleh menetapkan hak istimewa ini ke akun pengguna. |
| Akses komputer ini dari jaringan | Menentukan pengguna dan grup mana yang dapat terhubung ke komputer dari jaringan. Hak ini tidak mempengaruhi Layanan Desktop Jarak Jauh. |
| Bertindak sebagai bagian dari sistem operasi | Mengizinkan proses untuk menyamar sebagai pengguna tanpa autentikasi. Anda biasanya akan menetapkan akun LocalSystem ke proses yang memerlukan hak istimewa ini. |
| Tambahkan stasiun kerja ke domain | Memungkinkan Anda untuk bergabung dengan stasiun kerja ke domain. |
| Sesuaikan kuota memori untuk sebuah proses | Menentukan prinsip keamanan mana yang dapat menyesuaikan jumlah maksimum memori yang ditetapkan untuk suatu proses. |
| Izinkan masuk secara lokal | Menentukan pengguna mana yang dapat masuk secara lokal ke komputer. Ubah kebijakan ini di Stasiun Kerja Akses Istimewa untuk menghapus anggota grup Pengguna sebagai cara membatasi akun mana yang dapat masuk ke komputer. Secara default, setiap pengguna yang diautentikasi dapat masuk ke stasiun kerja atau server apa pun kecuali untuk Pengontrol Domain, yang dibatasi untuk anggota grup tertentu. |
| Izinkan masuk melalui Layanan Desktop Jarak Jauh | Menentukan pengguna dan grup mana yang dapat masuk dari jarak jauh dengan menggunakan koneksi Layanan Desktop Jarak Jauh. |
| untuk file dan direktori | Memberikan izin untuk mencadangkan file, direktori, registri, dan objek lain yang biasanya tidak diizinkan oleh pengguna. Pemberian hak ini memberikan akses tidak langsung ke semua data di komputer karena orang yang memiliki hak tersebut dapat mencadangkan data tersebut dan kemudian memulihkannya di lingkungan yang mereka kendalikan sepenuhnya. |
| Lalui pemeriksaan transversal | Mengizinkan pengguna dengan hak ini untuk melintasi direktori yang izinnya tidak mereka miliki. Itu tidak memungkinkan pengguna untuk membuat daftar isi direktori itu. |
| Mengubah waktu sistem | Memungkinkan pengguna dengan hak ini untuk mengubah waktu sistem, yang terpisah dari zona waktu. |
| Ubah zona waktu | Mengizinkan pengguna dengan hak ini untuk mengubah zona waktu, tetapi bukan waktu sistem. |
| Buat file halaman | Memungkinkan pengguna dengan hak ini untuk membuat dan memodifikasi file halaman. |
| Membuat objek token | Menentukan akun pengguna mana yang dapat digunakan proses untuk membuat token yang memungkinkan akses ke sumber daya lokal. Jangan berikan hak ini kepada pengguna mana pun yang Anda tidak ingin memiliki kontrol sistem penuh, karena mereka dapat menggunakannya untuk memanfaatkan hak istimewa Administrator lokal. |
| Membuat objek global | Menentukan akun pengguna mana yang dapat membuat objek global yang tersedia untuk semua sesi. Jangan berikan hak ini kepada pengguna mana pun yang tidak ingin Anda berikan kontrol sistem lengkap, karena mereka dapat menggunakannya untuk memanfaatkan hak istimewa Administrator lokal. |
| Membuat objek bersama permanen | Menentukan akun pengguna mana yang dapat membuat objek direktori dengan menggunakan manajer objek. |
| Membuat tautan simbolik | Menentukan akun pengguna mana yang dapat membuat tautan simbolis dari komputer tempat mereka masuk. Anda harus menetapkan hak ini hanya untuk pengguna tepercaya karena tautan simbolis dapat mengekspos kerentanan keamanan di aplikasi yang tidak dikonfigurasi untuk mendukungnya. |
| Program debug | Menentukan akun pengguna mana yang dapat melampirkan debugger ke proses dalam kernel sistem operasi. Hanya pengembang yang sedang menulis komponen sistem baru yang memerlukan kemampuan ini. Pengembang yang menulis aplikasi tidak. |
| Tolak akses ke komputer ini dari jaringan | Memblokir pengguna dan grup tertentu dari mengakses komputer dari jaringan. Pengaturan ini mengesampingkan kebijakan yang mengizinkan akses dari jaringan. |
| Tolak masuk sebagai pekerjaan batch | Memblokir pengguna dan grup tertentu agar tidak masuk sebagai tugas batch. Ini menimpa masuk sebagai kebijakan pekerjaan batch. |
| Tolak masuk sebagai layanan | Memblokir akun layanan agar tidak mendaftarkan proses sebagai layanan. Kebijakan ini menimpa kebijakan masuk sebagai layanan. Namun, itu tidak berlaku untuk akun Sistem Lokal, Layanan Lokal, atau Layanan Jaringan. |
| Tolak masuk secara lokal | Memblokir akun agar tidak masuk secara lokal. Kebijakan ini mengesampingkan kebijakan izinkan masuk secara lokal. |
| Tolak masuk melalui Layanan Desktop Jarak Jauh | Memblokir akun agar tidak masuk menggunakan Layanan Desktop Jarak Jauh. Kebijakan ini mengesampingkan kebijakan Izinkan masuk melalui Layanan Desktop Jarak Jauh. |
| Mengaktifkan komputer dan akun pengguna agar dipercayai untuk delegasi | Menentukan apakah Anda dapat mengonfigurasi pengaturan Trusted for Delegation pada pengguna atau objek komputer. |
| Mematikan paksa dari sistem jarak jauh | Pengguna yang diberi hak ini dapat mematikan komputer dari lokasi jaringan jarak jauh. |
| Membuat PIN Keamanan | Menentukan proses akun mana yang dapat digunakan untuk menambahkan item ke log keamanan. Karena hak ini memungkinkan interaksi dengan log keamanan, ini menimbulkan risiko keamanan saat Anda menetapkan ini ke akun pengguna. |
| Tiru klien setelah autentikasi | Mengizinkan aplikasi yang berjalan atas nama pengguna untuk meniru identitas klien. Hak ini dapat menjadi risiko keamanan, dan Anda harus menetapkannya hanya untuk pengguna tepercaya. |
| Meningkatkan kumpulan kerja proses | Akun yang diberi hak ini dapat menambah atau mengurangi jumlah halaman memori yang tersedia untuk proses yang akan digunakan untuk proses dalam memori akses acak (RAM). |
| Meningkatkan prioritas penjadwalan | Akun yang diberi hak ini dapat mengubah prioritas penjadwalan suatu proses. |
| Memuat dan membongkar driver perangkat | Akun yang diberi hak ini dapat memuat dan membongkar driver perangkat secara dinamis ke mode kernel. Hak ini terpisah dari hak untuk memuat dan membongkar driver plug and play. Menetapkan hak ini merupakan risiko keamanan karena memberikan akses ke mode kernel. |
| Mengunci halaman dalam memori | Akun yang diberi hak ini dapat menggunakan proses untuk menyimpan data dalam memori fisik, memblokir data tersebut dari penomoran ke memori virtual. |
| Masuk sebagai pekerjaan batch | Pengguna dengan akun yang memiliki izin ini dapat masuk ke komputer melalui fasilitas antrian batch. Hak ini hanya relevan untuk versi sistem operasi Windows yang lebih lama, dan Anda tidak boleh menggunakannya dengan versi yang lebih baru, seperti Windows 10 dan Windows Server 2016 atau yang lebih baru. |
| Masuk sebagai layanan | Mengizinkan kepala keamanan untuk masuk sebagai layanan. Anda perlu menetapkan hak ini saat layanan apa pun yang Anda konfigurasikan untuk menggunakan akun pengguna, bukan salah satu akun layanan bawaan. |
| Mengelola audit dan log keamanan | Pengguna yang diberi hak ini dapat mengonfigurasi opsi audit akses objek untuk sumber daya seperti file dan objek AD DS (Active Directory). Pengguna yang diberi hak ini juga dapat meninjau peristiwa di log keamanan dan menghapus log keamanan. Karena pengguna yang tidak sah cenderung menghapus log keamanan sebagai cara menyembunyikan jejak mereka, Anda tidak boleh menetapkan hak ini ke akun pengguna yang tidak akan Anda tetapkan izin Administrator lokal di komputer. |
| Mengubah label objek | Pengguna dengan izin ini dapat mengubah tingkat integritas objek, termasuk file, kunci registri, atau proses yang dimiliki pengguna lain. |
| Mengubah nilai lingkungan firmware | Menentukan pengguna mana yang dapat memodifikasi variabel lingkungan firmware. Kebijakan ini terutama untuk mengubah pengaturan konfigurasi boot komputer berbasis non-x86 |
| Melakukan tugas pemeliharaan volume | Menentukan akun pengguna mana yang dapat melakukan tugas pemeliharaan pada volume. Menetapkan hak ini merupakan risiko keamanan karena pengguna yang memiliki izin ini mungkin mengakses data yang disimpan di volume. |
| Proses tunggal profil | Menentukan akun pengguna mana yang dapat memanfaatkan alat pemantauan kinerja untuk memantau proses nonsistem. |
| Melihat Performa Sistem | Menentukan akun pengguna mana yang dapat memanfaatkan alat pemantauan kinerja untuk memantau proses sistem. |
| Menghapus komputer dari stasiun dok | Saat ditetapkan, akun pengguna dapat menghapus komputer portabel dari stasiun dok tanpa masuk. |
| Ganti token tingkat proses | Saat ditetapkan, akun pengguna dapat memanggil CreateProcessAsUser API sehingga satu layanan dapat memicu layanan lainnya. |
| Hapus file dan direktori | Mengizinkan pengguna yang diberi hak ini untuk melewati izin pada file, direktori, dan registri serta menimpa objek ini dengan data yang dipulihkan. Hak ini merupakan risiko keamanan, karena akun pengguna dengan hak ini dapat menimpa pengaturan registri dan mengganti izin yang ada. |
| Matikan sistem | Menetapkan kemampuan bagi pengguna yang masuk secara lokal untuk mematikan sistem operasi. |
| Sinkronisasi data layanan direktori | Menetapkan kemampuan untuk menyinkronkan data AD DS. |
| Mengambil-alih kepemilikan atas file atau objek lainnya | Saat ditetapkan, akun pengguna ini dapat mengambil kepemilikan atas objek yang dapat diamankan, termasuk objek AD DS, file, folder, kunci registri, proses, dan utas. Ini mewakili risiko keamanan karena memungkinkan pengguna untuk mengendalikan objek yang dapat diamankan. |
Anda juga dapat mengonfigurasi opsi keamanan akun tambahan yang membatasi bagaimana dan kapan akun dapat digunakan, termasuk:
Jam Masuk. Gunakan pengaturan ini untuk mengonfigurasi kapan pengguna dapat menggunakan akun.
Stasiun Kerja Masuk. Gunakan pengaturan ini untuk membatasi komputer tempat akun dapat masuk. Secara default, pengguna dapat menggunakan akun untuk masuk ke komputer mana pun di domain.
Kata Sandi Tidak Pernah Kedaluwarsa. Anda tidak boleh mengonfigurasi opsi ini untuk akun istimewa karena ini akan mengecualikan akun dari kebijakan kata sandi domain.
Kartu pintar diperlukan untuk masuk secara interaktif. Di lingkungan dengan keamanan tinggi, Anda dapat mengaktifkan opsi ini untuk memastikan bahwa hanya orang yang berwenang yang memiliki kartu pintar dan kredensial akun yang dapat menggunakan akun yang diistimewakan.
Akun sensitif dan tidak dapat didelegasikan. Saat Anda mengaktifkan opsi ini, Anda memastikan bahwa aplikasi tepercaya tidak dapat meneruskan kredensial akun ke layanan atau komputer lain di jaringan. Anda harus mengaktifkan pengaturan ini untuk akun yang sangat istimewa.
Gunakan hanya jenis enkripsi Kerberos Data Encryption Standard (DES) untuk akun ini. Opsi ini mengonfigurasi akun untuk hanya menggunakan enkripsi DES, yang merupakan bentuk enkripsi yang lebih lemah daripada Standar Enkripsi Lanjutan (AES). Anda tidak boleh mengonfigurasi opsi ini di jaringan aman.
Akun ini mendukung enkripsi Kerberos AES 128-bit. Saat Anda mengaktifkan opsi ini, Anda mengizinkan enkripsi Kerberos AES 128-bit terjadi.
Akun ini mendukung enkripsi Kerberos AES 256-bit. Jika memungkinkan, Anda harus mengonfigurasi opsi ini untuk akun yang diistimewakan dan meminta mereka menggunakan bentuk enkripsi Kerberos ini melalui opsi enkripsi AES 128-bit.
Tidak memerlukan pra-autentikasi Kerberos. Pra-autentikasi Kerberos mengurangi risiko serangan replay. Oleh karena itu, Anda sebaiknya tidak mengaktifkan opsi ini.
Akun kedaluwarsa. Memungkinkan Anda untuk mengonfigurasi tanggal akhir untuk akun sehingga tidak tetap berada di AD DS setelah tidak digunakan lagi.