Jalan untuk Penyusupan
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Undang-Undang Nomor Tujuh: Jaringan yang paling aman adalah jaringan yang dikelola dengan baik. - 10 Hukum Administrasi Keamanan yang Tidak Dapat Diubah
Dalam organisasi yang mengalami peristiwa penyusupan bencana, penilaian biasanya mengungkapkan bahwa organisasi memiliki visibilitas terbatas ke dalam keadaan aktual infrastruktur TI mereka, yang mungkin berbeda secara signifikan dari status "seperti yang didokumentasikan". Variansi ini memperkenalkan kerentanan yang mengekspos lingkungan untuk membahayakan, seringkali dengan sedikit risiko penemuan sampai kompromi telah berkembang ke titik di mana penyerang secara efektif "memiliki" lingkungan.
Penilaian terperinci tentang konfigurasi AD DS organisasi ini, infrastruktur kunci publik (PKIs), server, stasiun kerja, aplikasi, daftar kontrol akses (ACL), dan teknologi lain mengungkapkan kesalahan konfigurasi dan kerentanan yang, jika diremediasi, dapat mencegah penyusupan awal.
Analisis dokumentasi, proses, dan prosedur TI mengidentifikasi kerentanan yang diperkenalkan oleh kesenjangan dalam praktik administratif yang dimanfaatkan oleh penyerang untuk akhirnya mendapatkan hak istimewa yang digunakan untuk sepenuhnya membahayakan forest Direktori Aktif. Hutan yang sepenuhnya disusupi adalah salah satu di mana penyerang tidak hanya membahayakan sistem individu, aplikasi, atau akun pengguna, tetapi meningkatkan akses mereka untuk mendapatkan tingkat hak istimewa di mana mereka dapat memodifikasi atau menghancurkan semua aspek forest. Ketika instalasi Direktori Aktif telah disusupi ke tingkat tersebut, penyerang dapat membuat perubahan yang memungkinkan mereka mempertahankan kehadiran di seluruh lingkungan, atau lebih buruk, untuk menghancurkan direktori dan sistem dan akun yang dikelolanya.
Meskipun sejumlah kerentanan yang umum dieksploitasi dalam deskripsi yang mengikuti bukan serangan terhadap Direktori Aktif, mereka memungkinkan penyerang untuk membangun pijakan di lingkungan yang dapat digunakan untuk menjalankan eskalasi hak istimewa (juga disebut elevasi hak istimewa) serangan dan akhirnya menargetkan dan membahayakan AD DS.
Bagian dokumen ini berfokus pada menjelaskan mekanisme yang biasanya digunakan penyerang untuk mendapatkan akses ke infrastruktur dan akhirnya untuk meluncurkan serangan elevasi hak istimewa. Lihat juga bagian berikut:
Mengurangi rekomendasi Detail Permukaan Serangan Direktori Aktif untuk konfigurasi direktori aktif yang aman.
Memantau Active Directory untuk Tanda-tanda Penyusupan Rekomendasi untuk membantu mendeteksi kompromi
Merencanakan pendekatan Tingkat Tinggi Kompromi untuk membantu mempersiapkan serangan terhadap infrastruktur dari it dan perspektif bisnis
Catatan
Meskipun dokumen ini berfokus pada sistem Direktori Aktif dan Windows yang merupakan bagian dari domain AD DS, penyerang jarang fokus hanya pada Direktori Aktif dan Windows. Di lingkungan dengan campuran sistem operasi, direktori, aplikasi, dan repositori data, adalah umum untuk menemukan bahwa sistem non-Windows juga telah disusupi. Ini terutama berlaku jika sistem menyediakan "jembatan" antara lingkungan Windows dan non-Windows, seperti server file yang diakses oleh klien Windows dan UNIX atau Linux, direktori yang menyediakan layanan autentikasi ke beberapa sistem operasi, atau metadirectories yang menyinkronkan data di seluruh direktori yang berbeda.
AD DS ditargetkan karena kemampuan akses terpusat dan manajemen konfigurasi yang disediakannya tidak hanya untuk sistem Windows, tetapi untuk klien lain. Direktori atau aplikasi lain yang menyediakan layanan manajemen autentikasi dan konfigurasi dapat, dan akan ditargetkan oleh penyerang yang ditentukan. Meskipun dokumen ini berfokus pada perlindungan yang dapat mengurangi kemungkinan penyusupan penginstalan Direktori Aktif, setiap organisasi yang mencakup komputer, direktori, aplikasi, atau repositori data non-Windows juga harus mempersiapkan serangan terhadap sistem tersebut.
Target Pelanggaran Awal
Tidak ada yang sengaja membangun infrastruktur TI yang mengekspos organisasi untuk disusupi. Ketika forest Direktori Aktif pertama kali dibangun, biasanya asli dan saat ini. Ketika tahun berlalu dan sistem operasi dan aplikasi baru diperoleh, mereka ditambahkan ke forest. Karena manfaat pengelolaan yang disediakan Direktori Aktif diakui, semakin banyak konten ditambahkan ke direktori, semakin banyak orang yang mengintegrasikan komputer atau aplikasi mereka dengan AD DS, dan domain ditingkatkan untuk mendukung fungsionalitas baru yang ditawarkan oleh versi terbaru sistem operasi Windows. Namun, apa yang juga terjadi dari waktu ke waktu adalah bahwa bahkan sebagai infrastruktur baru sedang ditambahkan, bagian lain dari infrastruktur mungkin tidak dipertahankan serta awalnya, sistem dan aplikasi berfungsi dengan baik dan oleh karena itu tidak menerima perhatian, dan organisasi mulai lupa bahwa mereka belum menghilangkan infrastruktur warisan mereka. Berdasarkan apa yang kita lihat dalam menilai infrastruktur yang disusupi, lingkungan yang lebih tua, lebih besar, dan lebih kompleks, semakin besar kemungkinan ada banyak instans kerentanan yang umum dieksploitasi.
Terlepas dari motivasi penyerang, sebagian besar pelanggaran keamanan informasi dimulai dengan penyusupan satu atau dua sistem pada satu waktu. Peristiwa awal ini, atau titik masuk ke dalam jaringan, sering memanfaatkan kerentanan yang dapat diperbaiki, tetapi tidak. Laporan Investigasi Pelanggaran Data (DBIR) 2012, yang merupakan studi tahunan yang diproduksi oleh Tim RISIKO Verizon bekerja sama dengan sejumlah lembaga keamanan nasional dan perusahaan lain, menyatakan bahwa 96 persen serangan "tidak terlalu sulit," dan bahwa "97 persen pelanggaran dapat dihindari melalui kontrol sederhana atau menengah." Temuan ini mungkin merupakan konsekuensi langsung dari kerentanan yang umum dieksploitasi yang mengikuti.
Kesenjangan dalam Penyebaran Antivirus dan Antimalware
Undang-Undang Nomor Delapan: Pemindai malware kedaluarsa hanya secara marginal lebih baik daripada tidak ada pemindai sama sekali. - Sepuluh Hukum Keamanan yang Tidak Dapat Diubah (Versi 2.0)
Analisis penyebaran antivirus dan antimalware organisasi sering mengungkapkan lingkungan di mana sebagian besar stasiun kerja dikonfigurasi dengan perangkat lunak antivirus dan antimalware yang diaktifkan dan saat ini. Pengecualian biasanya adalah stasiun kerja yang jarang terhubung ke lingkungan perusahaan atau perangkat karyawan yang perangkat lunak antivirus dan antimalwarenya mungkin sulit disebarkan, dikonfigurasi, dan diperbarui.
Namun, populasi server cenderung kurang konsisten dilindungi di banyak lingkungan yang disusupi. Seperti yang dilaporkan dalam Investigasi Pelanggaran Data 2012, 94 persen dari semua kompromi data melibatkan server, yang mewakili peningkatan 18 persen selama tahun sebelumnya, dan 69 persen serangan yang menggabungkan malware. Dalam populasi server, tidak jarang menemukan bahwa penginstalan antivirus dan antimalware secara tidak konsisten dikonfigurasi, ketinggalan zaman, salah konfigurasi, atau bahkan dinonaktifkan. Dalam beberapa kasus, perangkat lunak antivirus dan antimalware dinonaktifkan oleh staf administratif, tetapi dalam kasus lain, penyerang menonaktifkan perangkat lunak setelah membahayakan server melalui kerentanan lain. Ketika perangkat lunak antivirus dan antimalware dinonaktifkan, penyerang kemudian menanam malware di server dan fokus pada penyebaran kompromi di seluruh populasi server.
Penting untuk tidak hanya memastikan bahwa sistem Anda dilindungi dengan perlindungan malware yang saat ini dan komprehensif, tetapi juga untuk memantau sistem untuk menonaktifkan atau menghapus perangkat lunak antivirus dan antimalware dan untuk secara otomatis memulai ulang perlindungan saat dinonaktifkan secara manual. Meskipun tidak ada perangkat lunak antivirus dan antimalware yang dapat menjamin pencegahan dan deteksi semua infeksi, implementasi antivirus dan antimalware yang dikonfigurasi dan disebarkan dengan benar dapat mengurangi kemungkinan infeksi.
Patching Tidak Lengkap
Undang-Undang Nomor Tiga: Jika Anda tidak mengikuti perbaikan keamanan, jaringan Anda tidak akan menjadi milik Anda untuk waktu yang lama. - 10 Hukum Administrasi Keamanan yang Tidak Dapat Diubah
Microsoft merilis buletin keamanan pada hari Selasa kedua setiap bulan, meskipun terkadang pembaruan keamanan jarang dirilis antara pembaruan keamanan bulanan (ini juga dikenal sebagai pembaruan "di luar band"), ketika kerentanan ditentukan untuk menimbulkan risiko mendesak pada sistem pelanggan. Apakah bisnis kecil mengonfigurasi komputer Windows-nya untuk menggunakan Windows Update untuk mengelola patching sistem dan aplikasi atau organisasi besar menggunakan perangkat lunak manajemen seperti Microsoft Endpoint Configuration Manager untuk menyebarkan patch sesuai dengan rencana rinci dan hierarkis, banyak pelanggan menambal infrastruktur Windows mereka secara relatif tepat waktu.
Namun, beberapa infrastruktur hanya mencakup komputer Windows dan aplikasi Microsoft, dan di lingkungan yang disusupi, adalah umum untuk menemukan bahwa strategi manajemen patch organisasi berisi celah. Sistem Windows di lingkungan ini tidak konsisten di-patch. Sistem operasi Non-Windows ditambal secara sporatik, jika sama sekali. Aplikasi komersial off-the-shelf (COTS) berisi kerentanan di mana patch ada, tetapi belum diterapkan. Perangkat jaringan sering dikonfigurasi dengan kredensial default pabrik dan tidak ada pembaruan firmware bertahun-tahun setelah penginstalannya. Aplikasi dan sistem operasi yang tidak lagi didukung oleh vendor mereka sering terus berjalan, terlepas dari kenyataan bahwa mereka tidak dapat lagi di-patch terhadap kerentanan. Masing-masing sistem yang belum dikirim ini mewakili titik masuk potensial lain untuk penyerang.
Konsumenisasi TI telah memperkenalkan tantangan tambahan dalam perangkat milik karyawan yang digunakan untuk mengakses data milik perusahaan, dan organisasi mungkin memiliki sedikit atau tidak memiliki kontrol atas patching dan konfigurasi perangkat pribadi karyawan. Perangkat keras kelas perusahaan biasanya dikirim dengan opsi konfigurasi siap perusahaan dan kemampuan manajemen, dengan biaya lebih sedikit pilihan dalam penyesuaian individu dan pemilihan perangkat. Perangkat keras yang berfokus pada karyawan menawarkan berbagai produsen, vendor, fitur keamanan perangkat keras, fitur keamanan perangkat lunak, kemampuan manajemen dan opsi konfigurasi, dan banyak fitur perusahaan mungkin tidak ada sama sekali.
Perangkat Lunak Manajemen Patch dan Kerentanan
Jika sistem manajemen patch yang efektif tersedia untuk sistem Windows dan aplikasi Microsoft, bagian dari permukaan serangan yang dibuat kerentanan yang tidak dikirim telah ditangani. Namun, kecuali sistem non-Windows, aplikasi non-Microsoft, infrastruktur jaringan, dan perangkat karyawan juga tetap diperbarui pada patch dan perbaikan lainnya, infrastruktur tetap rentan. Dalam beberapa kasus, vendor aplikasi dapat menawarkan kemampuan pembaruan otomatis; di lain, mungkin ada kebutuhan untuk merancang pendekatan untuk secara teratur mengambil dan menerapkan patch dan perbaikan lainnya.
Aplikasi dan Sistem Operasi yang Kedaluarsa
"Anda tidak dapat mengharapkan sistem operasi enam tahun untuk melindungi Anda dari serangan enam bulan." - Profesional Keamanan Informasi dengan pengalaman 10 tahun mengamankan instalasi perusahaan
Meskipun "dapatkan arus, tetap terkini" mungkin terdengar seperti frasa pemasaran, sistem operasi dan aplikasi yang kedaluarsa menciptakan risiko di infrastruktur TI banyak organisasi. Sistem operasi yang dirilis pada tahun 2003 mungkin masih didukung oleh vendor dan diberikan pembaruan untuk mengatasi kerentanan, tetapi sistem operasi tersebut mungkin tidak berisi fitur keamanan yang ditambahkan dalam versi sistem operasi yang lebih baru. Sistem yang kedaluarsa bahkan dapat memerlukan pelemahan konfigurasi keamanan AD DS tertentu untuk mendukung kemampuan komputer yang lebih rendah.
Aplikasi yang ditulis untuk menggunakan protokol autentikasi lama oleh vendor yang tidak lagi mendukung aplikasi biasanya tidak dapat diatasi kembali untuk mendukung mekanisme autentikasi yang lebih kuat. Namun, domain Active Directory organisasi mungkin masih dikonfigurasi untuk menyimpan hash LAN Manager atau kata sandi terenkripsi balik untuk mendukung aplikasi tersebut. Aplikasi yang ditulis sebelum pengenalan sistem operasi yang lebih baru mungkin tidak berfungsi dengan baik atau sama sekali pada sistem operasi saat ini, mengharuskan organisasi untuk mempertahankan sistem yang lebih lama dan lebih lama, dan dalam beberapa kasus, perangkat keras dan perangkat lunak yang sepenuhnya tidak didukung.
Bahkan dalam kasus di mana organisasi telah memperbarui pengontrol domain mereka ke Windows Server 2012, Windows Server 2008 R2, atau Windows Server 2008, biasanya menemukan bagian signifikan dari populasi server anggota untuk menjalankan Windows Server 2003, Windows 2000 Server atau Windows NT Server 4.0 (yang sama sekali tidak didukung). Semakin lama organisasi mempertahankan sistem penuaan, semakin banyak perbedaan antara set fitur tumbuh, dan semakin besar kemungkinan menjadi sistem produksi tidak akan didukung. Selain itu, semakin lama forest Direktori Aktif dipertahankan, semakin kita mengamati bahwa sistem dan aplikasi warisan terlewatkan dalam rencana peningkatan. Ini dapat berarti bahwa satu komputer yang menjalankan satu aplikasi dapat memperkenalkan kerentanan di seluruh domain atau hutan karena Direktori Aktif dikonfigurasi untuk mendukung protokol warisan dan mekanisme autentikasinya.
Untuk menghilangkan sistem dan aplikasi warisan, Anda harus terlebih dahulu fokus pada mengidentifikasi dan membuat katalog, lalu menentukan apakah akan meningkatkan atau mengganti aplikasi atau host. Meskipun mungkin sulit untuk menemukan pengganti untuk aplikasi yang sangat khusus yang tidak ada dukungan atau jalur peningkatan, Anda mungkin dapat memanfaatkan konsep yang disebut "penghancuran kreatif" untuk mengganti aplikasi warisan dengan aplikasi baru yang menyediakan fungsionalitas yang diperlukan. Perencanaan untuk Kompromi dijelaskan secara lebih mendalam dalam "Perencanaan untuk Kompromi" nanti dalam dokumen ini.
Salah konfigurasi
Undang-Undang Nomor Empat: Tidak ada gunanya menginstal perbaikan keamanan di komputer yang tidak pernah diamankan untuk memulai. - 10 Hukum Administrasi Keamanan yang Tidak Dapat Diubah
Bahkan di lingkungan di mana sistem umumnya tetap terkini dan ditambal, kami biasanya mengidentifikasi kesenjangan atau kesalahan konfigurasi dalam sistem operasi, aplikasi yang berjalan di komputer, dan Direktori Aktif. Beberapa kesalahan konfigurasi hanya mengekspos komputer lokal untuk disusupi, tetapi setelah komputer "dimiliki," penyerang biasanya fokus pada penyebaran kompromi lebih lanjut di seluruh sistem lain dan akhirnya ke Direktori Aktif. Berikut adalah beberapa area umum di mana kami mengidentifikasi konfigurasi yang menimbulkan risiko.
Di Direktori Aktif
Akun di Direktori Aktif yang paling sering ditargetkan oleh penyerang adalah akun yang merupakan anggota grup dengan hak istimewa paling tinggi, seperti anggota grup Admin Domain (DA), Admin Perusahaan (EA), atau Administrator bawaan (BA) di Direktori Aktif. Keanggotaan grup ini harus dikurangi menjadi jumlah akun sekecil mungkin sehingga permukaan serangan grup ini terbatas. Bahkan dimungkinkan untuk menghilangkan keanggotaan "permanen" dalam grup istimewa ini; artinya, Anda dapat menerapkan pengaturan yang memungkinkan Anda mengisi grup ini untuk sementara hanya ketika hak istimewa di seluruh domain dan forest mereka diperlukan. Ketika akun yang sangat istimewa digunakan, akun tersebut harus digunakan hanya pada sistem yang ditunjuk dan aman seperti pengendali domain atau host administratif yang aman. Informasi terperinci untuk membantu mengimplementasikan semua konfigurasi ini disediakan dalam Mengurangi Permukaan Serangan Direktori Aktif.
Ketika kami mengevaluasi keanggotaan grup istimewa tertinggi di Direktori Aktif, kami biasanya menemukan keanggotaan yang berlebihan di ketiga grup dengan hak istimewa terbanyak. Dalam beberapa kasus, organisasi memiliki puluhan, bahkan ratusan akun dalam grup DA. Dalam kasus lain, organisasi menempatkan akun langsung ke grup Administrator bawaan, berpikir bahwa grup "kurang istimewa" daripada grup DAs. Ini tidak. Kami sering menemukan beberapa anggota permanen grup EA di domain akar hutan, terlepas dari kenyataan bahwa hak istimewa EA jarang dan sementara diperlukan. Menemukan akun administratif sehari-hari pengguna TI di ketiga grup juga umum, meskipun ini adalah konfigurasi yang berlebihan secara efektif. Seperti yang dijelaskan dalam Mengurangi Permukaan Serangan Direktori Aktif, apakah akun adalah anggota permanen dari salah satu grup ini atau semuanya, akun dapat digunakan untuk membahayakan, dan bahkan menghancurkan lingkungan AD DS serta sistem dan akun yang dikelola olehnya. Rekomendasi untuk konfigurasi aman dan penggunaan akun istimewa di Direktori Aktif disediakan di Mengurangi Permukaan Serangan Direktori Aktif.
Pada Pengendali Domain
Ketika kami menilai pengendali domain, kami sering menemukannya dikonfigurasi dan dikelola tidak berbeda dari server anggota. Pengontrol domain terkadang menjalankan aplikasi dan utilitas yang sama yang diinstal pada server anggota, bukan karena diperlukan pada pengontrol domain, tetapi karena aplikasi adalah bagian dari build standar. Aplikasi ini dapat menyediakan fungsionalitas minimal pada pengontrol domain tetapi menambahkan secara signifikan ke permukaan serangannya dengan mengharuskan pengaturan konfigurasi yang membuka port, membuat akun layanan yang sangat istimewa, atau memberikan akses ke sistem oleh pengguna yang tidak boleh terhubung ke pengontrol domain untuk tujuan apa pun selain autentikasi dan aplikasi Kebijakan Grup. Dalam beberapa pelanggaran, penyerang telah menggunakan alat yang sudah diinstal pada pengendali domain tidak hanya untuk mendapatkan akses ke pengontrol domain, tetapi untuk memodifikasi atau merusak database AD DS.
Ketika kami mengekstrak pengaturan konfigurasi Internet Explorer pada pengendali domain, kami menemukan bahwa pengguna telah masuk dengan akun yang memiliki tingkat hak istimewa tinggi di Direktori Aktif dan telah menggunakan akun untuk mengakses Internet dan intranet dari pengendali domain. Dalam beberapa kasus, akun telah mengonfigurasi pengaturan Internet Explorer pada pengendali domain untuk mengizinkan pengunduhan isi Internet, dan utilitas freeware telah diunduh dari situs Internet dan diinstal pada pengendali domain. Konfigurasi Keamanan Tingkat Tinggi Internet Explorer diaktifkan untuk Pengguna dan Administrator secara default, namun kami sering mengamati bahwa telah dinonaktifkan untuk Administrator. Ketika akun yang sangat istimewa mengakses Internet dan mengunduh konten ke komputer mana pun, komputer tersebut berisiko parah. Ketika komputer adalah pengendali domain, seluruh penginstalan AD DS berisiko.
Melindungi Pengendali Domain
Pengendali domain harus diperlakukan sebagai komponen infrastruktur penting, diamankan lebih ketat dan dikonfigurasi lebih kaku daripada server file, cetak, dan aplikasi. Pengendali domain tidak boleh menjalankan perangkat lunak apa pun yang tidak diperlukan agar pengontrol domain berfungsi atau tidak melindungi pengendali domain dari serangan. Pengendali domain tidak boleh diizinkan untuk mengakses Internet, dan pengaturan keamanan harus dikonfigurasi dan diberlakukan oleh Objek Kebijakan Grup (GPO). Rekomendasi terperinci untuk penginstalan, konfigurasi, dan manajemen pengendali domain yang aman disediakan dalam Mengamankan Pengendali Domain Terhadap Serangan.
Dalam Sistem Operasi
Hukum Nomor Dua: Jika orang jahat dapat mengubah sistem operasi di komputer Anda, itu bukan komputer Anda lagi. - Sepuluh Hukum Keamanan yang Tidak Dapat Diubah (Versi 2.0)
Meskipun beberapa organisasi membuat konfigurasi dasar untuk server dari berbagai jenis dan memungkinkan penyesuaian terbatas sistem operasi setelah diinstal, analisis lingkungan yang disusupi sering kali mengungkap sejumlah besar server yang disebarkan dengan cara ad hoc, dan dikonfigurasi secara manual dan independen. Konfigurasi antara dua server yang melakukan fungsi yang sama mungkin sama sekali berbeda, di mana tidak ada server yang dikonfigurasi dengan aman. Sebaliknya, garis besar konfigurasi server dapat diberlakukan secara konsisten, tetapi juga secara konsisten salah dikonfigurasi; artinya, server dikonfigurasi dengan cara yang menciptakan kerentanan yang sama di semua server dari jenis tertentu. Kesalahan konfigurasi mencakup praktik seperti menonaktifkan fitur keamanan, memberikan hak dan izin yang berlebihan kepada akun (terutama akun layanan), penggunaan kredensial lokal yang identik di seluruh sistem, dan mengizinkan penginstalan aplikasi dan utilitas yang tidak sah yang menciptakan kerentanan sendiri.
Menonaktifkan Fitur Keamanan
Organisasi terkadang menonaktifkan Windows Firewall dengan Advanced Security (WFAS) karena keyakinan bahwa WFAS sulit dikonfigurasi atau memerlukan konfigurasi intensif kerja. Namun, dimulai dengan Windows Server 2008, ketika peran atau fitur apa pun diinstal pada server, itu dikonfigurasi secara default dengan hak istimewa paling sedikit yang diperlukan agar peran atau fitur berfungsi, dan Windows Firewall secara otomatis dikonfigurasi untuk mendukung peran atau fitur. Dengan menonaktifkan WFAS (dan tidak menggunakan firewall berbasis host lain di tempatnya), organisasi meningkatkan permukaan serangan seluruh lingkungan Windows. Firewall perimeter memberikan beberapa perlindungan terhadap serangan yang secara langsung menargetkan lingkungan dari Internet, tetapi mereka tidak memberikan perlindungan terhadap serangan yang mengeksploitasi vektor serangan lain seperti serangan unduhan drive-by, atau serangan yang berasal dari sistem lain yang disusupi pada intranet.
Pengaturan Kontrol Akun Pengguna (UAC) terkadang dinonaktifkan di server karena staf administratif menemukan perintah yang mengganggu. Meskipun artikel Dukungan Microsoft 2526083 menjelaskan skenario di mana UAC dapat dinonaktifkan di Windows Server, kecuali Anda menjalankan penginstalan inti server (di mana UAC dinonaktifkan secara desain), Anda tidak boleh menonaktifkan UAC di server tanpa pertimbangan dan penelitian yang cermat.
Dalam kasus lain, pengaturan server dikonfigurasi ke nilai yang kurang aman karena organisasi menerapkan pengaturan konfigurasi server lama ke sistem operasi baru, seperti menerapkan garis besar Windows Server 2003 ke komputer yang menjalankan Windows Server 2012, Windows Server 2008 R2, atau Windows Server 2008, tanpa mengubah garis besar untuk mencerminkan perubahan dalam sistem operasi. Daripada membawa garis besar server lama ke sistem operasi baru, saat menyebarkan sistem operasi baru, tinjau perubahan keamanan dan pengaturan konfigurasi untuk memastikan bahwa pengaturan yang diterapkan berlaku dan sesuai untuk sistem operasi baru.
Memberikan Hak Istimewa Berlebihan
Di hampir setiap lingkungan yang telah kami nilai, hak istimewa yang berlebihan diberikan ke akun lokal dan berbasis domain pada sistem Windows. Pengguna diberikan hak Administrator lokal di stasiun kerja mereka, server anggota menjalankan layanan yang dikonfigurasi dengan hak di luar apa yang mereka butuhkan untuk berfungsi, dan grup Administrator lokal di seluruh populasi server berisi puluhan atau bahkan ratusan akun lokal dan domain. Kompromi hanya satu akun istimewa di komputer memungkinkan penyerang untuk membahayakan akun setiap pengguna dan layanan yang masuk ke komputer, dan untuk memanen dan memanfaatkan kredensial untuk menyebarkan kompromi ke sistem lain.
Meskipun serangan pencurian pass-the-hash (PTH) dan kredensial lainnya di mana-mana saat ini, itu karena ada alat yang tersedia secara bebas yang memudahkan dan mudah untuk mengekstrak kredensial akun istimewa lainnya ketika penyerang telah mendapatkan akses tingkat Administrator atau SISTEM ke komputer. Bahkan tanpa alat yang memungkinkan panen kredensial dari sesi masuk, penyerang dengan akses istimewa ke komputer dapat dengan mudah menginstal keystroke logger yang menangkap penekanan tombol, cuplikan layar, dan konten clipboard. Penyerang dengan akses istimewa ke komputer dapat menonaktifkan perangkat lunak antimalware, menginstal rootkit, memodifikasi file yang dilindungi, atau menginstal malware di komputer yang mengotomatiskan serangan atau mengubah server menjadi host unduhan drive-by.
Taktik yang digunakan untuk memperluas pelanggaran di luar satu komputer bervariasi, tetapi kunci untuk menyebarkan kompromi adalah akuisisi akses yang sangat istimewa ke sistem tambahan. Dengan mengurangi jumlah akun dengan akses istimewa ke sistem apa pun, Anda mengurangi permukaan serangan tidak hanya dari komputer itu, tetapi kemungkinan penyerang memanen kredensial berharga dari komputer.
Menstandarkan Kredensial Administrator Lokal
Telah lama ada perdebatan di antara spesialis keamanan tentang apakah ada nilai dalam mengganti nama akun Administrator lokal di komputer Windows. Yang sebenarnya penting tentang akun Administrator lokal adalah apakah akun tersebut dikonfigurasi dengan nama pengguna dan kata sandi yang sama di beberapa komputer.
Jika akun Administrator lokal diberi nama dengan nilai yang sama di seluruh server dan kata sandi yang ditetapkan ke akun juga dikonfigurasi ke nilai yang sama, penyerang dapat mengekstrak kredensial akun di satu komputer tempat akses tingkat Administrator atau SISTEM diperoleh. Penyerang awalnya tidak harus membahayakan akun Administrator; mereka hanya perlu membahayakan akun pengguna yang merupakan anggota grup Administrator lokal, atau akun layanan yang dikonfigurasi untuk dijalankan sebagai LocalSystem atau dengan hak istimewa Administrator. Penyerang kemudian dapat mengekstrak kredensial untuk akun Administrator dan memutar ulang kredensial tersebut dalam logon jaringan ke komputer lain di jaringan.
Selama komputer lain memiliki akun lokal dengan nama pengguna dan kata sandi (atau hash kata sandi) yang sama dengan kredensial akun yang sedang disajikan, upaya masuk berhasil dan penyerang mendapatkan akses istimewa ke komputer yang ditargetkan. Dalam versi Windows saat ini, akun Administrator bawaan dinonaktifkan secara default, tetapi dalam sistem operasi warisan, akun diaktifkan secara default.
Catatan
Beberapa organisasi sengaja mengonfigurasi akun Administrator lokal untuk diaktifkan dengan keyakinan bahwa ini menyediakan "failsafe" jika semua akun istimewa lainnya terkunci dari sistem. Namun, bahkan jika akun Administrator lokal dinonaktifkan dan tidak ada akun lain yang tersedia yang dapat mengaktifkan akun atau masuk ke sistem dengan hak istimewa Administrator, sistem dapat di-boot ke mode aman dan akun Administrator lokal bawaan dapat diaktifkan kembali, seperti yang dijelaskan dalam artikel Dukungan Microsoft 814777. Selain itu, jika sistem masih berhasil menerapkan GPO, GPO dapat dimodifikasi ke (sementara) mengaktifkan kembali akun Administrator, atau Grup Terbatas dapat dikonfigurasi untuk menambahkan akun berbasis domain ke grup Administrator lokal. Perbaikan dapat dilakukan dan akun Administrator dapat dinonaktifkan lagi. Untuk secara efektif mencegah penyusupan lateral yang menggunakan kredensial akun Administrator lokal bawaan, nama pengguna dan kata sandi unik harus dikonfigurasi untuk akun Administrator lokal. Untuk menyebarkan kata sandi unik untuk akun Administrator lokal melalui GPO, lihat Solusi untuk manajemen kata sandi akun Administrator bawaan melalui GPO di technet.
Mengizinkan Penginstalan Aplikasi Yang Tidak Sah
Hukum Nomor Satu: Jika orang jahat dapat membujuk Anda untuk menjalankan programnya di komputer Anda, itu bukan hanya komputer Anda lagi. - Sepuluh Hukum Keamanan yang Tidak Dapat Diubah (Versi 2.0)
Apakah organisasi menyebarkan pengaturan garis besar yang konsisten di seluruh server, penginstalan aplikasi yang bukan bagian dari peran yang ditentukan server tidak boleh diizinkan. Dengan memungkinkan perangkat lunak diinstal yang bukan bagian dari fungsionalitas server yang ditunjuk, server diekspos ke instalasi perangkat lunak yang tidak disengaja atau berbahaya yang meningkatkan permukaan serangan server, memperkenalkan kerentanan aplikasi, atau menyebabkan ketidakstabilan sistem.
Aplikasi
Seperti yang dijelaskan sebelumnya, aplikasi sering diinstal dan dikonfigurasi untuk menggunakan akun yang diberikan lebih banyak hak istimewa daripada yang sebenarnya diperlukan aplikasi. Dalam beberapa kasus, dokumentasi aplikasi menentukan bahwa akun layanan harus menjadi anggota grup Administrator lokal server atau harus dikonfigurasi untuk dijalankan dalam konteks LocalSystem. Ini sering kali bukan karena aplikasi memerlukan hak-hak tersebut, tetapi karena menentukan hak dan izin apa yang dibutuhkan akun layanan aplikasi membutuhkan investasi dalam waktu dan upaya tambahan. Jika aplikasi tidak menginstal dengan hak istimewa minimum yang diperlukan agar aplikasi dan fitur yang dikonfigurasi berfungsi, sistem akan terkena serangan yang memanfaatkan hak istimewa aplikasi tanpa serangan terhadap sistem operasi itu sendiri.
Kurangnya Praktik Pengembangan Aplikasi yang Aman
Infrastruktur ada untuk mendukung beban kerja bisnis. Di mana beban kerja ini diimplementasikan dalam aplikasi kustom, sangat penting untuk memastikan bahwa aplikasi dikembangkan menggunakan praktik terbaik yang aman. Analisis akar penyebab insiden di seluruh perusahaan sering kali mengungkapkan bahwa kompromi awal diberlakukan melalui aplikasi kustom-terutama yang dihadapi Internet. Sebagian besar kompromi ini dicapai melalui penyusupan serangan terkenal seperti injeksi SQL (SQLi) dan serangan scripting lintas situs (XSS).
Injeksi SQL adalah kerentanan aplikasi yang memungkinkan input yang ditentukan pengguna untuk memodifikasi pernyataan SQL yang diteruskan ke database untuk dieksekusi. Input ini dapat disediakan melalui bidang dalam aplikasi, parameter (seperti string kueri atau cookie), atau metode lainnya. Hasil dari injeksi ini adalah bahwa pernyataan SQL yang diberikan ke database pada dasarnya berbeda dari apa yang dimaksudkan pengembang. Ambil, misalnya, kueri umum yang digunakan dalam evaluasi kombinasi nama pengguna/kata sandi:
SELECT userID FROM users WHERE username = 'sUserName' AND password = 'sPassword'
Ketika ini diterima oleh server database, ia menginstruksikan server untuk melihat melalui tabel pengguna dan mengembalikan rekaman userID di mana nama pengguna dan kata sandi cocok dengan yang disediakan oleh pengguna (mungkin melalui bentuk login dari beberapa jenis). Tentu saja niat pengembang dalam hal ini adalah hanya mengembalikan rekaman yang valid jika nama pengguna dan kata sandi yang benar dapat disediakan oleh pengguna. Jika salah, server database tidak akan dapat menemukan rekaman yang cocok dan mengembalikan hasil kosong.
Masalah ini terjadi ketika penyerang melakukan sesuatu yang tidak terduga seperti menyediakan SQL mereka sendiri sebagai pengganti data yang valid. Karena SQL ditafsirkan dengan cepat oleh server database, kode yang disuntikkan akan diproses seolah-olah pengembang telah memasukkannya ke dalam dirinya sendiri. Misalnya, jika penyerang memasukkan administrator untuk ID pengguna dan xyz ATAU 1=1 sebagai kata sandi, pernyataan yang dihasilkan yang diproses oleh database adalah:
SELECT userID FROM users WHERE username = 'administrator' AND password = 'xyz' OR 1=1
Ketika kueri ini diproses oleh server database, semua baris dalam tabel akan dikembalikan dalam kueri karena 1=1 akan selalu dievaluasi ke True, sehingga tidak masalah jika nama pengguna dan kata sandi yang benar diketahui atau disediakan. Hasil bersih dalam kebanyakan kasus adalah bahwa pengguna akan masuk sebagai pengguna pertama dalam database pengguna; dalam kebanyakan kasus, ini akan menjadi pengguna administratif.
Selain hanya masuk, pernyataan SQL yang salah bentuk seperti ini dapat digunakan untuk menambahkan, menghapus, atau mengubah data, atau bahkan menghilangkan (menghapus) seluruh tabel dari database. Dalam kasus paling ekstrem di mana SQLi dikombinasikan dengan hak istimewa yang berlebihan, perintah sistem operasi dapat dijalankan untuk memungkinkan pembuatan pengguna baru, untuk mengunduh alat serangan, atau untuk mengambil tindakan lain dari penyerang yang memilih.
Dalam pembuatan skrip lintas situs, kerentanan diperkenalkan dalam output aplikasi. Serangan dimulai dengan penyerang yang menyediakan data cacat ke aplikasi, tetapi dalam hal ini data cacat dalam bentuk kode skrip (seperti JavaScript) yang akan dijalankan oleh browser korban. Eksploitasi kerentanan XSS dapat memungkinkan penyerang menjalankan fungsi apa pun dari aplikasi target dalam konteks pengguna yang meluncurkan browser. Serangan XSS biasanya dimulai oleh email phishing yang mendorong pengguna untuk memilih tautan yang terhubung ke aplikasi dan menjalankan kode serangan.
XSS sering dieksploitasi dalam skenario perbankan online dan e-niaga di mana penyerang dapat melakukan pembelian atau mentransfer uang dalam konteks pengguna yang dieksploitasi. Dalam kasus serangan yang ditargetkan pada aplikasi manajemen identitas berbasis web kustom, itu dapat memungkinkan penyerang untuk membuat identitas mereka sendiri, memodifikasi izin dan hak, dan menyebabkan penyusupan sistemik.
Meskipun diskusi lengkap tentang pembuatan skrip lintas situs dan injeksi SQL berada di luar cakupan dokumen ini, Open Web Application Security Project (OWASP) menerbitkan 10 daftar teratas dengan diskusi mendalam tentang kerentanan dan penanggulangan.
Terlepas dari investasi dalam keamanan infrastruktur, jika aplikasi yang dirancang dan ditulis dengan buruk disebarkan dalam infrastruktur itu, lingkungan dibuat rentan terhadap serangan. Bahkan infrastruktur yang diamankan dengan baik sering kali tidak dapat memberikan penanggulangan yang efektif terhadap serangan aplikasi ini. Memperparah masalah, aplikasi yang dirancang dengan buruk mungkin mengharuskan akun layanan diberikan izin yang berlebihan agar aplikasi berfungsi.
Microsoft Security Development Lifecycle (SDL) adalah serangkaian kontrol proses struktural yang bekerja untuk meningkatkan keamanan yang dimulai sejak awal dalam pengumpulan dan perluasan persyaratan melalui siklus hidup aplikasi hingga dinonaktifkan. Integrasi kontrol keamanan yang efektif ini tidak hanya penting dari perspektif keamanan, sangat penting untuk memastikan bahwa keamanan aplikasi bersifat biaya dan jadwal yang efektif. Menilai aplikasi untuk masalah keamanan ketika kode secara efektif selesai mengharuskan organisasi untuk membuat keputusan tentang keamanan aplikasi hanya sebelum atau bahkan setelah aplikasi disebarkan. Organisasi dapat memilih untuk mengatasi kelemahan aplikasi sebelum menyebarkan aplikasi dalam produksi, menimbulkan biaya dan penundaan, atau aplikasi dapat disebarkan dalam produksi dengan kelemahan keamanan yang diketahui, mengekspos organisasi untuk disusupi.
Beberapa organisasi menempatkan biaya penuh untuk memperbaiki masalah keamanan dalam kode produksi di atas $10.000 per masalah, dan aplikasi yang dikembangkan tanpa SDL yang efektif dapat rata-rata lebih dari sepuluh masalah tingkat keparahan tinggi per 100.000 baris kode. Dalam aplikasi besar, biaya meningkat dengan cepat. Sebaliknya, banyak perusahaan menetapkan tolok ukur kurang dari satu masalah per 100.000 baris kode pada tahap peninjauan kode akhir SDL, dan bertujuan untuk nol masalah dalam aplikasi berisiko tinggi dalam produksi.
Menerapkan SDL meningkatkan keamanan dengan menyertakan persyaratan keamanan dini dalam pengumpulan persyaratan dan desain aplikasi menyediakan pemodelan ancaman untuk aplikasi berisiko tinggi; membutuhkan pelatihan dan pemantauan pengembang yang efektif; dan memerlukan standar dan praktik kode yang jelas dan konsisten. Efek bersih dari SDL adalah peningkatan signifikan dalam keamanan aplikasi sambil mengurangi biaya untuk mengembangkan, menyebarkan, memelihara, dan menonaktifkan aplikasi. Meskipun diskusi terperinci tentang desain dan implementasi SDL berada di luar cakupan dokumen ini, lihat Siklus Hidup Pengembangan Keamanan Microsoft untuk panduan dan informasi terperinci.