Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif
Di setiap domain di Direktori Aktif, akun Administrator dibuat sebagai bagian dari pembuatan domain. Akun ini secara default adalah anggota grup Admin dan Administrator Domain di domain. Jika domain adalah domain akar forest, akun tersebut juga merupakan anggota grup Admin Perusahaan.
Penggunaan akun Administrator domain harus dicadangkan hanya untuk aktivitas build awal, dan mungkin skenario pemulihan bencana. Untuk memastikan bahwa akun Administrator dapat digunakan untuk memengaruhi perbaikan jika tidak ada akun lain yang dapat digunakan, Anda tidak boleh mengubah keanggotaan default akun Administrator di domain mana pun di forest. Sebagai gantinya, Anda harus mengamankan akun Administrator di setiap domain di forest seperti yang dijelaskan di bagian berikut dan dirinci dalam instruksi langkah demi langkah berikut.
Catatan
Panduan ini digunakan untuk merekomendasikan menonaktifkan akun. Ini dihapus karena laporan resmi pemulihan forest menggunakan akun administrator default. Alasannya adalah, ini adalah satu-satunya akun yang memungkinkan masuk tanpa Server Katalog Global.
Kontrol untuk Akun Administrator Bawaan
Untuk akun Administrator Bawaan di setiap domain di forest, Anda harus mengonfigurasi pengaturan berikut:
Aktifkan Akun sensitif dan tidak dapat didelegasikan bendera pada akun.
Aktifkan Kartu pintar diperlukan untuk bendera masuk interaktif pada akun.
Konfigurasikan GPO untuk membatasi penggunaan akun Administrator pada sistem yang bergabung dengan domain:
Dalam satu atau beberapa GPO yang Anda buat dan tautkan ke stasiun kerja dan OU server anggota di setiap domain, tambahkan akun Administrator setiap domain ke hak pengguna berikut di Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna:
Tolak akses ke komputer ini dari jaringan
Tolak masuk sebagai pekerjaan batch
Menolak masuk sebagai layanan
Tolak masuk melalui Layanan Desktop Jarak Jauh
Catatan
Saat menambahkan akun ke pengaturan ini, Anda harus menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda harus mengetik akun sebagai TAILSPINTOYS\Administrator, atau menelusuri ke akun Administrator untuk domain TAILSPINTOYS. Jika Anda mengetik "Administrator" dalam pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan.
Sebaiknya batasi akun Administrator lokal di server anggota dan stasiun kerja dengan cara yang sama seperti akun Administrator berbasis domain. Oleh karena itu, Anda umumnya harus menambahkan akun Administrator untuk setiap domain di forest dan akun Administrator untuk komputer lokal ke pengaturan hak pengguna ini. Cuplikan layar berikut menunjukkan contoh mengonfigurasi hak pengguna ini untuk memblokir akun Administrator lokal dan akun Administrator domain agar tidak melakukan logon yang seharusnya tidak diperlukan untuk akun ini.
- Mengonfigurasi GPO untuk membatasi akun Administrator pada pengendali domain
Di setiap domain di forest, GPO Pengendali Domain Default atau kebijakan yang ditautkan ke pengontrol domain OU harus dimodifikasi untuk menambahkan akun Administrator setiap domain ke hak pengguna berikut di Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignments:
Tolak akses ke komputer ini dari jaringan
Tolak masuk sebagai pekerjaan batch
Menolak masuk sebagai layanan
Tolak masuk melalui Layanan Desktop Jarak Jauh
Catatan
Pengaturan ini akan memastikan bahwa akun Administrator Bawaan domain tidak dapat digunakan untuk menyambungkan ke pengendali domain, meskipun akun dapat masuk secara lokal ke pengontrol domain. Karena akun ini hanya boleh digunakan dalam skenario pemulihan bencana, diantisipasi bahwa akses fisik ke setidaknya satu pengendali domain akan tersedia, atau bahwa akun lain dengan izin untuk mengakses pengendali domain dari jarak jauh dapat digunakan.
Mengonfigurasi Audit Akun Administrator
Saat akun Administrator setiap domain aman, Anda harus mengonfigurasi audit untuk memantau penggunaan, atau perubahan pada akun. Jika akun masuk, kata sandinya diatur ulang, atau modifikasi lain dilakukan ke akun, pemberitahuan harus dikirimkan kepada pengguna atau tim yang bertanggung jawab atas administrasi Direktori Aktif, selain tim respons insiden di organisasi Anda.
Petunjuk Langkah demi Langkah untuk Mengamankan Akun Administrator Bawaan di Direktori Aktif
Di Manajer Server, pilih Alat, dan pilih Pengguna direktori aktif dan Komputer.
Untuk mencegah serangan yang memanfaatkan delegasi untuk menggunakan kredensial akun pada sistem lain, lakukan langkah-langkah berikut:
Pilih kanan akun Administrator dan pilih Properti.
Pilih tab Akun.
Di bawah Opsi akun, pilih Akun sensitif dan tidak dapat didelegasikan bendera seperti yang ditunjukkan pada cuplikan layar berikut, dan pilih OK.
Untuk mengaktifkan Kartu pintar diperlukan untuk bendera masuk interaktif di akun, lakukan langkah-langkah berikut:
Pilih kanan akun Administrator dan pilih Properti.
Pilih tab Akun.
Di bawah Opsi akun , pilih Kartu pintar diperlukan untuk bendera masuk interaktif seperti yang ditunjukkan pada cuplikan layar berikut, dan pilih OK.
Mengonfigurasi GPO untuk Membatasi Akun Administrator di Tingkat Domain
Peringatan
GPO ini tidak boleh ditautkan di tingkat domain karena dapat membuat akun Administrator bawaan tidak dapat digunakan, bahkan dalam skenario pemulihan bencana.
Di Manajer Server, pilih Alat, dan pilih Manajemen Kebijakan Grup.
Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Objek Kebijakan Grup (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin membuat Kebijakan Grup).
Di pohon konsol, pilih kanan Objek Kebijakan Grup, dan pilih Baru.
Dalam kotak dialog GPO Baru, ketik <Nama> GPO, dan pilih OK (di mana <Nama> GPO adalah nama GPO ini).
Di panel detail, pilih <kanan Nama> GPO, dan pilih Edit.
Buka Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal, dan pilih Penetapan Hak Pengguna.
Konfigurasikan hak pengguna untuk mencegah akun Administrator mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan langkah-langkah berikut:
Pilih ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.
Pilih Tambahkan Pengguna atau Grup dan pilih Telusuri.
Ketik Administrator, pilih Periksa Nama, dan pilih OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.
Pilih OK, dan OK lagi.
Konfigurasikan hak pengguna untuk mencegah akun Administrator masuk sebagai pekerjaan batch dengan melakukan langkah-langkah berikut:
Pilih ganda Tolak masuk sebagai pekerjaan batch dan pilih Tentukan pengaturan kebijakan ini.
Pilih Tambahkan Pengguna atau Grup dan pilih Telusuri.
Ketik Administrator, pilih Periksa Nama, dan pilih OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.
Pilih OK, dan OK lagi.
Konfigurasikan hak pengguna untuk mencegah akun Administrator masuk sebagai layanan dengan melakukan langkah-langkah berikut:
Pilih ganda Tolak masuk sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.
Pilih Tambahkan Pengguna atau Grup dan pilih Telusuri.
Ketik Administrator, pilih Periksa Nama, dan pilih OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.
Pilih OK, dan OK lagi.
Konfigurasikan hak pengguna untuk mencegah akun Administrator mengakses server anggota dan stasiun kerja melalui Layanan Desktop Jauh dengan melakukan langkah-langkah berikut:
Pilih ganda Tolak masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.
Pilih Tambahkan Pengguna atau Grup dan pilih Telusuri.
Ketik Administrator, pilih Periksa Nama, dan pilih OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.
Pilih OK, dan OK lagi.
Untuk keluar dari Editor Manajemen Kebijakan Grup, pilih File, dan pilih Keluar.
Di Manajemen Kebijakan Grup, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan langkah-langkah berikut:
Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).
Pilih kanan unit organisasi tempat GPO akan diterapkan dan pilih Tautkan GPO yang ada.
Pilih GPO yang Anda buat dan pilih OK.
Buat tautan ke semua OU lain yang berisi stasiun kerja.
Buat tautan ke semua OU lain yang berisi server anggota.
Penting
Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik "Administrator" di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.
Langkah-langkah Verifikasi
Langkah-langkah verifikasi yang diuraikan di sini khusus untuk Windows 8 dan Windows Server 2012.
Verifikasi Opsi Akun "Kartu pintar diperlukan untuk masuk interaktif"
- Dari server anggota atau stasiun kerja apa pun yang terpengaruh oleh perubahan GPO, coba masuk secara interaktif ke domain dengan menggunakan akun Administrator bawaan domain. Setelah mencoba masuk, kotak dialog akan muncul yang memberi tahu Anda bahwa Anda memerlukan kartu pintar untuk masuk.
Verifikasi GPO "Tolak akses ke komputer ini dari jaringan" Pengaturan
Coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO dari server anggota atau stasiun kerja yang tidak terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE dengan melakukan langkah-langkah berikut:
Masuk ke domain menggunakan akun Administrator Bawaan domain.
Pilih kanan pada petunjuk Mulai dan pilih Windows PowerShell (Admin).
Saat diminta untuk menyetujui elevasi, pilih Ya.
Di jendela PowerShell , ketik net use \\<Server Name>\c$, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang anda coba akses melalui jaringan.
Anda harus menerima pesan bahwa pengguna belum diberikan jenis masuk yang diminta.
Verifikasi GPO "Tolak masuk sebagai pekerjaan batch" Pengaturan
Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.
Membuat File Batch
Pilih petunjuk Mulai dan ketik Notepad.
Pada daftar hasil, pilih Notepad.
Di Notepad, ketik dir c:.
Pilih File dan Pilih Simpan Sebagai.
Di bidang Nama file, ketik <Nama> File.bat (di mana <Nama File> adalah nama file batch baru).
Menjadwalkan Tugas
Pilih petunjuk Mulai, ketik penjadwal tugas, dan pilih Penjadwal Tugas.
Pada Penjadwal Tugas, pilih Tindakan, dan pilih Buat Tugas.
Dalam kotak dialog Buat Tugas, ketik< Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).
Pilih tab Tindakan , dan pilih Baru.
Di bawah Tindakan:, pilih Mulai program.
Di bawah Program/skrip:, pilih Telusuri, temukan dan pilih file batch yang dibuat di bagian "Buat File Batch", dan pilih Buka.
Pilih OK.
Pilih tab Umum .
Di bawah Opsi keamanan , pilih Ubah Pengguna atau Grup.
Ketik nama akun Administrator di tingkat domain, pilih Periksa Nama, dan pilih OK.
Pilih Jalankan apakah pengguna masuk atau tidak dan Jangan simpan kata sandi. Tugas hanya akan memiliki akses ke sumber daya komputer lokal.
Pilih OK.
Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.
Setelah memasukkan kredensial, pilih OK.
Anda akan disajikan dengan kotak dialog yang memberi tahu Anda bahwa tugas memerlukan akun dengan Masuk sebagai hak pekerjaan batch.
Verifikasi GPO "Tolak masuk sebagai layanan" Pengaturan
Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.
Pilih petunjuk Mulai, ketik layanan, dan pilih Layanan.
Temukan dan pilih ganda Print Spooler.
Pilih tab Masuk .
Di bawah Masuk sebagai:, pilih Akun ini.
Pilih Telusuri, ketik nama akun Administrator di tingkat domain, pilih Periksa Nama, dan pilih OK.
Di bawah Kata Sandi: dan Konfirmasi kata sandi:, ketik kata sandi akun Administrator, dan pilih OK.
Pilih OK tiga kali lagi.
Pilih kanan layanan Print Spooler dan pilih Hidupkan ulang.
Ketika layanan dimulai ulang, kotak dialog akan memberi tahu Anda bahwa layanan Print Spooler tidak dapat dimulai.
Kembalikan Perubahan ke Layanan Penampung Printer
Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.
Pilih petunjuk Mulai, ketik layanan, dan pilih Layanan.
Temukan dan pilih ganda Print Spooler.
Pilih tab Masuk .
Di bawah Masuk sebagai:, pilih akun Sistem Lokal, dan pilih OK.
Verifikasi GPO "Tolak masuk melalui Layanan Desktop Jarak Jauh" Pengaturan
Pilih Mulai lalu ketik koneksi desktop jarak jauh, dan pilih Koneksi ion Desktop Jauh.
Di bidang Komputer, ketik nama komputer yang ingin Anda sambungkan, dan pilih Koneksi. (Anda juga dapat mengetik alamat IP alih-alih nama komputer.)
Saat diminta, berikan kredensial untuk nama akun Administrator di tingkat domain.
Koneksi Desktop Jauh ditolak.