Lampiran H: Mengamankan Akun dan Grup Administrator Lokal
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Lampiran H: Mengamankan Akun dan Grup Administrator Lokal
Pada semua versi Windows yang saat ini dalam dukungan mainstream, akun Administrator lokal dinonaktifkan secara default, yang membuat akun tidak dapat digunakan untuk serangan pencurian pass-the-hash dan kredensial lainnya. Namun, di lingkungan yang berisi sistem operasi warisan atau di mana akun Administrator lokal telah diaktifkan, akun ini dapat digunakan seperti yang dijelaskan sebelumnya untuk menyebarkan kompromi di seluruh server anggota dan stasiun kerja. Setiap akun dan grup Administrator lokal harus diamankan seperti yang dijelaskan dalam instruksi langkah demi langkah berikut.
Untuk informasi terperinci tentang pertimbangan dalam mengamankan grup Administrator Bawaan (BA), lihat Menerapkan Model Administratif Hak Istimewa Terkecil.
Kontrol untuk Akun Administrator Lokal
Untuk akun Administrator lokal di setiap domain di forest, Anda harus mengonfigurasi pengaturan berikut:
- Mengonfigurasi GPO untuk membatasi penggunaan akun Administrator domain pada sistem yang bergabung dengan domain
Dalam satu atau beberapa GPO yang Anda buat dan tautkan ke stasiun kerja dan OU server anggota di setiap domain, tambahkan akun Administrator ke hak pengguna berikut di Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignments:
Tolak akses ke komputer ini dari jaringan
Tolak masuk sebagai pekerjaan batch
Menolak masuk sebagai layanan
Tolak masuk melalui Layanan Desktop Jarak Jauh
Instruksi Langkah demi Langkah untuk Mengamankan Grup Administrator Lokal
Mengonfigurasi GPO untuk Membatasi Akun Administrator pada Sistem yang Bergabung dengan Domain
Di Manajer Server, klik Alat, dan klik Manajemen Kebijakan Grup.
Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Objek Kebijakan Grup (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).
Di pohon konsol, klik kanan Objek Kebijakan Grup, dan klik Baru.
Dalam kotak dialog GPO Baru, ketik< Nama> GPO, dan klik OK (di mana <Nama> GPO adalah nama GPO ini).
Di panel detail, klik kanan Nama> GPO, dan klik Edit.<
Buka Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal, dan klik Penetapan Hak Pengguna.
Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan hal berikut:
Klik ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.
Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.
Klik OK.
Penting
Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.
Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal masuk sebagai pekerjaan batch dengan melakukan hal berikut:
Klik ganda Tolak masuk sebagai pekerjaan batch dan pilih Tentukan pengaturan kebijakan ini.
Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.
Klik OK.
Penting
Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.
Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal masuk sebagai layanan dengan melakukan hal berikut:
Klik ganda Tolak masuk sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.
Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.
Klik OK.
Penting
Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.
Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal mengakses server anggota dan stasiun kerja melalui Layanan Desktop Jauh dengan melakukan hal berikut:
Klik ganda Tolak masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.
Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.
Klik OK.
Penting
Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.
Untuk keluar dari Editor Manajemen Kebijakan Grup, klik File, dan klik Keluar.
Di Manajemen Kebijakan Grup, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan hal berikut:
Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).
Klik kanan unit organisasi tempat GPO akan diterapkan dan klik Tautkan GPO yang ada.
Pilih GPO yang Anda buat dan klik OK.
Buat tautan ke semua OU lain yang berisi stasiun kerja.
Buat tautan ke semua OU lain yang berisi server anggota.
Langkah-langkah Verifikasi
Verifikasi GPO "Tolak akses ke komputer ini dari jaringan" Pengaturan
Dari server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO (seperti jump server), coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE .
Masuk secara lokal ke server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO.
Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.
Dalam kotak Pencarian , ketik perintah, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator untuk membuka prompt perintah yang ditinggikan.
Ketika diminta untuk menyetujui elevasi, klik Ya.
Di jendela Prompt Perintah, ketik
net use \\<Server Name>\c$ /user:<Server Name>\Administrator
, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang coba Anda akses melalui jaringan.Catatan
Kredensial Administrator lokal harus berasal dari sistem yang sama dengan yang Anda coba akses melalui jaringan.
Cuplikan layar berikut menunjukkan pesan kesalahan yang akan muncul.
Verifikasi GPO "Tolak masuk sebagai pekerjaan batch" Pengaturan
Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.
Membuat File Batch
Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.
Dalam kotak Pencarian , ketik notepad, dan klik Notepad.
Di Notepad, ketik dir c:.
Klik File, dan klik Simpan Sebagai.
Dalam kotak Nama file, ketik
<Filename>.bat
(di mana <Nama> File adalah nama file batch baru).
Menjadwalkan Tugas
Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.
Dalam kotak Pencarian , ketik penjadwal tugas, dan klik Penjadwal Tugas.
Catatan
Pada komputer yang menjalankan Windows 8, di kotak Pencarian , ketik tugas jadwal, dan klik Jadwalkan tugas.
Klik Tindakan, dan klik Buat Tugas.
Dalam kotak dialog Buat Tugas, ketik< Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).
Klik tab Tindakan , dan klik Baru.
Di bidang Tindakan, klik Mulai program.
Di bidang Program/skrip, klik Telusuri, temukan dan pilih file batch yang dibuat di bagian Buat File Batch, dan klik Buka.
Klik OK.
Klik tab Umum.
Di bidang Opsi keamanan, klik Ubah Pengguna atau Grup.
Ketik nama akun Administrator lokal sistem, klik Periksa Nama, dan klik OK.
Pilih Jalankan apakah pengguna masuk atau tidak dan Jangan simpan kata sandi. Tugas hanya akan memiliki akses ke sumber daya komputer lokal.
Klik OK.
Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.
Setelah memasukkan kredensial, klik OK.
Kotak dialog yang mirip dengan yang berikut ini akan muncul.
Verifikasi GPO "Tolak masuk sebagai layanan" Pengaturan
Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.
Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.
Dalam kotak Pencarian , ketik layanan, dan klik Layanan.
Temukan dan klik dua kali Print Spooler.
Klik tab Masuk .
Di bidang Masuk sebagai , klik Akun ini.
Klik Telusuri, ketik akun Administrator lokal sistem, klik Periksa Nama, dan klik OK.
Di bidang Kata Sandi dan Konfirmasi kata sandi, ketik kata sandi akun yang dipilih, dan klik OK.
Klik OK tiga kali lagi.
Klik kanan Cetak Penampung dan klik Mulai Ulang.
Saat layanan dimulai ulang, kotak dialog yang mirip dengan yang berikut ini akan muncul.
Kembalikan Perubahan ke Layanan Penampung Printer
Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.
Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.
Dalam kotak Pencarian , ketik layanan, dan klik Layanan.
Temukan dan klik dua kali Print Spooler.
Klik tab Masuk .
Di bidang Masuk sebagai: , pilih Akun Sistem Lokal, dan klik OK.
Verifikasi GPO "Tolak masuk melalui Layanan Desktop Jarak Jauh" Pengaturan
Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.
Dalam kotak Pencarian, ketik koneksi desktop jarak jauh, dan klik Koneksi ion Desktop Jauh.
Di bidang Komputer, ketik nama komputer yang ingin Anda sambungkan, dan klik Koneksi. (Anda juga dapat mengetik alamat IP alih-alih nama komputer.)
Saat diminta, berikan kredensial untuk akun Administrator lokal sistem.
Kotak dialog yang mirip dengan yang berikut ini akan muncul.