Bagikan melalui

Lampiran H: Mengamankan Akun dan Grup Administrator Lokal

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lampiran H: Mengamankan Akun dan Grup Administrator Lokal

Pada semua versi Windows yang saat ini dalam dukungan mainstream, akun Administrator lokal dinonaktifkan secara default, yang membuat akun tidak dapat digunakan untuk serangan pencurian pass-the-hash dan kredensial lainnya. Namun, di lingkungan yang berisi sistem operasi warisan atau di mana akun Administrator lokal telah diaktifkan, akun ini dapat digunakan seperti yang dijelaskan sebelumnya untuk menyebarkan kompromi di seluruh server anggota dan stasiun kerja. Setiap akun dan grup Administrator lokal harus diamankan seperti yang dijelaskan dalam instruksi langkah demi langkah berikut.

Untuk informasi terperinci tentang pertimbangan dalam mengamankan grup Administrator Bawaan (BA), lihat Menerapkan Model Administratif Hak Istimewa Terkecil.

Kontrol untuk Akun Administrator Lokal

Untuk akun Administrator lokal di setiap domain di forest, Anda harus mengonfigurasi pengaturan berikut:

  • Mengonfigurasi GPO untuk membatasi penggunaan akun Administrator domain pada sistem yang bergabung dengan domain

    • Dalam satu atau beberapa GPO yang Anda buat dan tautkan ke stasiun kerja dan OU server anggota di setiap domain, tambahkan akun Administrator ke hak pengguna berikut di Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignments:

      • Tolak akses ke komputer ini dari jaringan

      • Tolak masuk sebagai pekerjaan batch

      • Menolak masuk sebagai layanan

      • Tolak masuk melalui Layanan Desktop Jarak Jauh

Instruksi Langkah demi Langkah untuk Mengamankan Grup Administrator Lokal

Mengonfigurasi GPO untuk Membatasi Akun Administrator pada Sistem yang Bergabung dengan Domain

  1. Di Manajer Server, klik Alat, dan klik Manajemen Kebijakan Grup.

  2. Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Objek Kebijakan Grup (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

  3. Di pohon konsol, klik kanan Objek Kebijakan Grup, dan klik Baru.

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. Dalam kotak dialog GPO Baru, ketik< Nama> GPO, dan klik OK (di mana <Nama> GPO adalah nama GPO ini).

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. Di panel detail, klik kanan Nama> GPO, dan klik Edit.<

  6. Buka Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal, dan klik Penetapan Hak Pengguna.

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan hal berikut:

    1. Klik ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. Klik OK.

      Penting

      Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.

  8. Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal masuk sebagai pekerjaan batch dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk sebagai pekerjaan batch dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. Klik OK.

      Penting

      Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.

  9. Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal masuk sebagai layanan dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. Klik OK.

      Penting

      Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.

  10. Konfigurasikan hak pengguna untuk mencegah akun Administrator lokal mengakses server anggota dan stasiun kerja melalui Layanan Desktop Jauh dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup, ketik nama pengguna akun Administrator lokal, dan klik OK. Nama pengguna ini akan menjadi Administrator, default ketika Windows diinstal.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. Klik OK.

      Penting

      Saat menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik Administrator di pengaturan hak pengguna ini di Editor Objek Kebijakan Grup, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.

  11. Untuk keluar dari Editor Manajemen Kebijakan Grup, klik File, dan klik Keluar.

  12. Di Manajemen Kebijakan Grup, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan hal berikut:

    1. Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi tempat GPO akan diterapkan dan klik Tautkan GPO yang ada.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. Pilih GPO yang Anda buat dan klik OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. Buat tautan ke semua OU lain yang berisi stasiun kerja.

    5. Buat tautan ke semua OU lain yang berisi server anggota.

Langkah-langkah Verifikasi

Verifikasi GPO "Tolak akses ke komputer ini dari jaringan" Pengaturan

Dari server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO (seperti jump server), coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE .

  1. Masuk secara lokal ke server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik perintah, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator untuk membuka prompt perintah yang ditinggikan.

  4. Ketika diminta untuk menyetujui elevasi, klik Ya.

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. Di jendela Prompt Perintah, ketik net use \\<Server Name>\c$ /user:<Server Name>\Administrator, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang coba Anda akses melalui jaringan.

    Catatan

    Kredensial Administrator lokal harus berasal dari sistem yang sama dengan yang Anda coba akses melalui jaringan.

  6. Cuplikan layar berikut menunjukkan pesan kesalahan yang akan muncul.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

Verifikasi GPO "Tolak masuk sebagai pekerjaan batch" Pengaturan

Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

Membuat File Batch

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik notepad, dan klik Notepad.

  3. Di Notepad, ketik dir c:.

  4. Klik File, dan klik Simpan Sebagai.

  5. Dalam kotak Nama file, ketik <Filename>.bat (di mana <Nama> File adalah nama file batch baru).

Menjadwalkan Tugas

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik penjadwal tugas, dan klik Penjadwal Tugas.

    Catatan

    Pada komputer yang menjalankan Windows 8, di kotak Pencarian , ketik tugas jadwal, dan klik Jadwalkan tugas.

  3. Klik Tindakan, dan klik Buat Tugas.

  4. Dalam kotak dialog Buat Tugas, ketik< Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).

  5. Klik tab Tindakan , dan klik Baru.

  6. Di bidang Tindakan, klik Mulai program.

  7. Di bidang Program/skrip, klik Telusuri, temukan dan pilih file batch yang dibuat di bagian Buat File Batch, dan klik Buka.

  8. Klik OK.

  9. Klik tab Umum.

  10. Di bidang Opsi keamanan, klik Ubah Pengguna atau Grup.

  11. Ketik nama akun Administrator lokal sistem, klik Periksa Nama, dan klik OK.

  12. Pilih Jalankan apakah pengguna masuk atau tidak dan Jangan simpan kata sandi. Tugas hanya akan memiliki akses ke sumber daya komputer lokal.

  13. Klik OK.

  14. Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.

  15. Setelah memasukkan kredensial, klik OK.

  16. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

Verifikasi GPO "Tolak masuk sebagai layanan" Pengaturan

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bidang Masuk sebagai , klik Akun ini.

  7. Klik Telusuri, ketik akun Administrator lokal sistem, klik Periksa Nama, dan klik OK.

  8. Di bidang Kata Sandi dan Konfirmasi kata sandi, ketik kata sandi akun yang dipilih, dan klik OK.

  9. Klik OK tiga kali lagi.

  10. Klik kanan Cetak Penampung dan klik Mulai Ulang.

  11. Saat layanan dimulai ulang, kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

Kembalikan Perubahan ke Layanan Penampung Printer

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bidang Masuk sebagai: , pilih Akun Sistem Lokal, dan klik OK.

Verifikasi GPO "Tolak masuk melalui Layanan Desktop Jarak Jauh" Pengaturan

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian, ketik koneksi desktop jarak jauh, dan klik Koneksi ion Desktop Jauh.

  3. Di bidang Komputer, ketik nama komputer yang ingin Anda sambungkan, dan klik Koneksi. (Anda juga dapat mengetik alamat IP alih-alih nama komputer.)

  4. Saat diminta, berikan kredensial untuk akun Administrator lokal sistem.

  5. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    secure local admin accounts and groups