Praktik Terbaik untuk Mengamankan AD DS
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Serangan terhadap infrastruktur komputasi telah meningkat selama dekade terakhir di seluruh bagian dunia. Kita hidup dalam era perang cyber, kejahatan cyber, dan hacktivisme. Akibatnya, organisasi dari semua ukuran di seluruh dunia harus berurusan dengan kebocoran informasi, pencurian kekayaan intelektual (IP), serangan penolakan layanan (DDoS), atau bahkan infrastruktur yang hancur.
Namun, karena lanskap ancaman telah berubah selama bertahun-tahun, lanskap keamanan juga telah beradaptasi untuk melawan ancaman ini. Meskipun tidak ada organisasi dengan infrastruktur teknologi informasi (TI) yang kebal terhadap serangan, tujuan utama keamanan tidak mencegah upaya serangan sama sekali, tetapi melindungi infrastruktur TI dari serangan. Dengan kebijakan, proses, dan kontrol yang tepat, Anda dapat melindungi bagian utama infrastruktur TI Anda dari kompromi.
Dalam artikel ini, kami menjelaskan jenis kerentanan paling umum yang telah kami amati dalam penyebaran Direktori Aktif (AD). Selanjutnya, kami mempersenjatai Anda dengan rekomendasi tentang cara melindungi titik-titik lemah ini dari kompromi. Kami merancang rekomendasi ini berdasarkan keahlian organisasi Microsoft IT (MSIT) dan Microsoft Information Security and Risk Management (ISRM). Kami juga menunjukkan kepada Anda langkah-langkah yang dapat Anda ambil untuk mengurangi berapa banyak infrastruktur yang rentan, atau permukaan serangan, di AD Anda terekspos ke dunia luar. Kami juga menyertakan saran tentang cara memulihkan data penting dan fungsi infrastruktur jika ada kompromi keamanan.
Kerentanan keamanan umum
Untuk mempelajari cara terbaik melindungi infrastruktur Anda, Anda harus terlebih dahulu memahami di mana serangan kemungkinan besar akan menyerang dan cara kerjanya. Artikel ini hanya membahas rekomendasi umum, tetapi jika Anda ingin masuk ke detail lebih lanjut, kami telah menyertakan tautan ke artikel yang lebih menyeluruh.
Sekarang, mari kita lihat kerentanan keamanan yang paling umum.
Titik masuk umum
Target pelanggaran awal, atau titik masuk, adalah area di mana penyerang dapat dengan mudah memasukkan infrastruktur TI Anda. Titik masuk biasanya merupakan celah dalam keamanan atau pembaruan yang dapat dieksploitasi penyerang untuk mendapatkan akses ke sistem dalam infrastruktur Anda. Penyerang biasanya mulai dengan satu atau dua sistem pada satu waktu, kemudian meningkatkan serangan mereka saat mereka menyebarkan pengaruh mereka di lebih banyak sistem yang tidak terdeteksi.
Kerentanan yang paling umum adalah:
Celah dalam penyebaran antivirus dan antimalware
Patching tidak lengkap
Aplikasi dan sistem operasi yang kedaluarsa
Salah konfigurasi
Kurangnya praktik pengembangan aplikasi yang aman
Pencurian kredensial
Serangan pencurian info masuk adalah ketika penyerang mendapatkan akses istimewa ke komputer di jaringan dengan menggunakan alat untuk mengekstrak kredensial dari sesi akun yang saat ini masuk. Penyerang sering pergi untuk akun tertentu yang sudah memiliki hak istimewa yang ditingkatkan. Penyerang mencuri kredensial akun ini untuk meniru identitasnya untuk mendapatkan akses ke sistem.
Pencuri info masuk biasanya menargetkan jenis akun ini:
Akun dengan hak istimewa permanen
Akun VIP
Akun Active Directory yang dilampirkan hak istimewa
Pengendali domain
Layanan infrastruktur lain yang memengaruhi manajemen identitas, akses, dan konfigurasi, seperti server infrastruktur kunci publik (PKI) atau server manajemen sistem
Pengguna dengan akun yang sangat istimewa meningkatkan risiko kredensial mereka dicuri dengan terlibat dalam perilaku berikut:
Masuk ke akun istimewa mereka di komputer yang tidak aman
Menelusuri internet saat masuk ke akun istimewa
Anda juga harus menghindari konfigurasi yang buruk dan berisiko untuk melindungi keamanan kredensial sistem Anda, seperti:
Mengonfigurasi akun istimewa lokal dengan kredensial yang sama di semua sistem.
Menetapkan terlalu banyak pengguna ke grup domain istimewa, mendorong penggunaan berlebihan.
Tidak cukup mengelola keamanan pengendali domain.
Untuk informasi selengkapnya tentang akun yang rentan, lihat Akun menarik untuk pencurian kredensial.
Mengurangi permukaan serangan Direktori Aktif
Anda dapat mencegah serangan dengan mengurangi permukaan serangan pada penyebaran Direktori Aktif Anda. Dengan kata lain, Anda membuat penyebaran Anda lebih aman dengan menutup celah keamanan yang kami sebutkan di bagian sebelumnya.
Hindari memberikan hak istimewa yang berlebihan
Serangan pencurian kredensial bergantung pada admin yang memberikan hak istimewa berlebihan pada akun tertentu. Anda dapat mencegah serangan ini adalah melakukan hal-hal berikut:
Ingat ada tiga grup bawaan yang memiliki hak istimewa tertinggi di Direktori Aktif secara default: Admin Perusahaan, Admin Domain, dan Administrator. Pastikan Anda mengambil langkah-langkah untuk melindungi ketiga grup tersebut, bersama dengan grup lain yang diberikan organisasi Anda hak istimewa yang ditingkatkan.
Terapkan model administratif hak istimewa terkecil. Jangan gunakan akun yang sangat istimewa untuk tugas administratif sehari-hari jika Anda dapat menghindarinya. Selain itu, pastikan akun admin Anda hanya memiliki hak istimewa dasar yang diperlukan untuk melakukan pekerjaan mereka, tanpa hak istimewa tambahan yang tidak mereka butuhkan. Hindari memberikan hak istimewa yang berlebihan kepada akun pengguna yang tidak membutuhkannya. Pastikan Anda tidak secara tidak sengaja memberikan hak istimewa yang sama kepada akun di seluruh sistem kecuali mereka benar-benar membutuhkannya.
Periksa area infrastruktur berikut untuk memastikan Anda tidak memberikan hak istimewa yang berlebihan kepada akun pengguna:
Active Directory
Server anggota
Stasiun kerja
Aplikasi
Repositori data
Untuk informasi selengkapnya, lihat Menerapkan model administratif hak istimewa terkecil.
Menggunakan host administratif yang aman
Host administratif yang aman adalah komputer yang dikonfigurasi untuk mendukung administrasi untuk Direktori Aktif dan sistem terhubung lainnya. Host ini tidak menjalankan perangkat lunak nonadministratif seperti aplikasi email, browser web, atau perangkat lunak produktivitas seperti Microsoft Office.
Saat mengonfigurasi host administratif yang aman, Anda harus mengikuti prinsip-prinsip umum ini:
Jangan pernah mengelola sistem tepercaya dari host yang kurang tepercaya.
Memerlukan autentikasi multifaktor saat menggunakan akun istimewa atau melakukan tugas administratif.
Keamanan fisik untuk host administratif Anda sama pentingnya dengan keamanan sistem dan jaringan.
Untuk informasi selengkapnya, lihat Menerapkan host administratif yang aman.
Menjaga pengendali domain Anda tetap aman
Jika penyerang mendapatkan akses istimewa ke pengendali domain, penyerang dapat memodifikasi, merusak, dan menghancurkan database AD. Serangan terhadap pengendali domain berpotensi mengancam semua sistem dan akun yang dikelola AD dalam organisasi Anda. Oleh karena itu, penting untuk mengambil langkah-langkah berikut untuk menjaga pengendali domain Anda tetap aman:
Jaga keamanan pengendali domain Anda secara fisik dalam pusat data, kantor cabang, dan lokasi jarak jauh mereka.
Kenali sistem operasi pengendali domain Anda.
Konfigurasikan pengendali domain Anda dengan alat konfigurasi bawaan dan tersedia secara bebas untuk membuat garis besar konfigurasi keamanan yang dapat Anda terapkan dengan objek kebijakan grup (GPO).
Untuk informasi selengkapnya, lihat Mengamankan pengendali domain terhadap serangan.
Memantau Active Directory untuk tanda-tanda serangan atau penyusupan
Cara lain Anda dapat menjaga penyebaran AD Anda tetap aman adalah dengan memantaunya untuk tanda-tanda serangan berbahaya atau penyusupan keamanan. Anda dapat menggunakan kategori audit lama dan subkataan kebijakan audit, atau menggunakan Kebijakan Audit Tingkat Lanjut. Untuk informasi selengkapnya, lihat Kebijakan Audit Rekomendasi.
Merencanakan penyusupan keamanan
Meskipun Anda dapat melindungi AD dari serangan luar, tidak ada pertahanan yang benar-benar sempurna. Penting bahwa selain mengambil tindakan pencegahan yang juga Anda rencanakan untuk skenario terburuk. Saat merencanakan pelanggaran keamanan, Anda harus mengikuti panduan dalam Merencanakan kompromi, terutama bagian Memikirkan kembali pendekatan, Anda juga harus membaca Mempertahankan lingkungan yang lebih aman.
Berikut adalah ringkasan singkat tentang hal-hal yang harus Anda lakukan saat merencanakan penyusupan keamanan, seperti yang dijelaskan secara lebih rinci dalam Mempertahankan lingkungan yang lebih aman:
Mempertahankan lingkungan yang lebih aman
Membuat praktik keamanan yang ber sentris bisnis untuk AD
Menetapkan kepemilikan bisnis ke data AD
Menerapkan manajemen siklus hidup berbasis bisnis
Mengklasifikasikan semua data AD sebagai sistem, aplikasi, atau pengguna
Untuk terus membaca detail selengkapnya tentang praktik ini, lihat Mempertahankan lingkungan yang lebih aman.
Tabel ringkasan pengukuran keamanan
Tabel berikut ini meringkas rekomendasi yang tercantum dalam artikel ini, yang tercantum dalam urutan prioritas. Yang lebih dekat ke bagian bawah tabel adalah yang harus Anda dan organisasi Anda prioritaskan saat menyiapkan Direktori Aktif Anda. Namun, Anda juga bebas untuk menyesuaikan urutan prioritas dan bagaimana Anda menerapkan setiap ukuran berdasarkan kebutuhan unik organisasi Anda.
Setiap ukuran juga dikategorikan berdasarkan apakah itu taktis, strategis, preventif, atau detektif. Langkah-langkah taktis berfokus pada komponen AD tertentu dan infrastruktur terkait. Langkah-langkah strategis lebih komprehensif dan karenanya memerlukan lebih banyak perencanaan untuk diterapkan. Tindakan pencegahan mencegah serangan dari pelaku jahat. Langkah-langkah detektif membantu Anda mendeteksi pelanggaran keamanan saat terjadi, sebelum dapat menyebar ke sistem lain.
| Ukuran keamanan | Taktis atau Strategis | Preventif atau Detektif |
|---|---|---|
| Aplikasi patch. | Taktis | Pencegahan |
| Patch sistem operasi. | Taktis | Pencegahan |
| Sebarkan dan segera perbarui perangkat lunak antivirus dan antimalware di semua sistem dan pantau upaya untuk menghapus atau menonaktifkannya. | Taktis | Keduanya |
| Pantau objek Direktori Aktif sensitif untuk upaya modifikasi dan Windows untuk peristiwa yang mungkin menunjukkan upaya penyusupan. | Taktis | Detektif |
| Melindungi dan memantau akun untuk pengguna yang memiliki akses ke data sensitif | Taktis | Keduanya |
| Mencegah akun yang kuat digunakan pada sistem yang tidak sah. | Taktis | Pencegahan |
| Hilangkan keanggotaan permanen dalam grup yang sangat istimewa. | Taktis | Pencegahan |
| Terapkan kontrol untuk memberikan keanggotaan sementara dalam grup istimewa saat diperlukan. | Taktis | Pencegahan |
| Menerapkan host administratif yang aman. | Taktis | Pencegahan |
| Gunakan daftar izin aplikasi pada pengendali domain, host administratif, dan sistem sensitif lainnya. | Taktis | Pencegahan |
| Identifikasi aset penting, dan prioritaskan keamanan dan pemantauannya. | Taktis | Keduanya |
| Terapkan hak istimewa terendah, kontrol akses berbasis peran untuk administrasi direktori, infrastruktur pendukungnya, dan sistem yang bergabung dengan domain. | Strategis | Pencegahan |
| Mengisolasi sistem dan aplikasi warisan. | Taktis | Pencegahan |
| Menonaktifkan sistem dan aplikasi warisan. | Strategis | Pencegahan |
| Menerapkan program siklus hidup pengembangan yang aman untuk aplikasi kustom. | Strategis | Pencegahan |
| Terapkan manajemen konfigurasi, tinjau kepatuhan secara teratur, dan evaluasi pengaturan dengan setiap versi perangkat keras atau perangkat lunak baru. | Strategis | Pencegahan |
| Migrasikan aset penting ke hutan murni dengan persyaratan keamanan dan pemantauan yang ketat. | Strategis | Keduanya |
| Menyederhanakan keamanan untuk pengguna akhir. | Strategis | Pencegahan |
| Gunakan firewall berbasis host untuk mengontrol dan mengamankan komunikasi. | Taktis | Pencegahan |
| Perangkat patch. | Taktis | Pencegahan |
| Terapkan manajemen siklus hidup yang ber sentris bisnis untuk aset TI. | Strategis | T/A |
| Membuat atau memperbarui rencana pemulihan insiden. | Strategis | T/A |