Mengurangi Permukaan Serangan Direktori Aktif
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Bagian ini berfokus pada kontrol teknis yang akan diterapkan untuk mengurangi permukaan serangan penginstalan Direktori Aktif. Bagian berisi informasi berikut:
Menerapkan Model Administratif Hak Istimewa Terkecil berfokus pada identifikasi risiko penggunaan akun dengan hak istimewa tinggi untuk administrasi sehari-hari, selain memberikan rekomendasi untuk diterapkan guna mengurangi risiko yang ada pada akun istimewa.
Menerapkan Host Administratif Aman menjelaskan prinsip-prinsip untuk penyebaran sistem administratif khusus dan aman, selain beberapa pendekatan sampel untuk penyebaran host administratif yang aman.
Mengamankan Pengendali Domain Terhadap Serangan membahas kebijakan dan pengaturan yang, meskipun mirip dengan rekomendasi untuk implementasi host administratif yang aman, berisi beberapa rekomendasi khusus pengendali domain untuk membantu memastikan bahwa pengontrol domain dan sistem yang digunakan untuk mengelolanya diamankan dengan baik.
Akun dan Grup Istimewa di Direktori Aktif
Bagian ini menyediakan informasi latar belakang tentang akun dan grup istimewa di Direktori Aktif yang dimaksudkan untuk menjelaskan kesamaan dan perbedaan antara akun dan grup istimewa di Direktori Aktif. Dengan memahami perbedaan ini, apakah Anda menerapkan rekomendasi dalam Menerapkan Model Administratif Hak Istimewa Terkecil verbatim atau memilih untuk menyesuaikannya untuk organisasi Anda, Anda memiliki alat yang Anda butuhkan untuk mengamankan setiap grup dan akun dengan tepat.
Akun dan Grup Istimewa Bawaan
Direktori Aktif memfasilitasi delegasi administrasi dan mendukung prinsip hak istimewa paling sedikit dalam menetapkan hak dan izin. Pengguna "Reguler" yang memiliki akun di domain, secara default, dapat membaca banyak hal yang disimpan di direktori, tetapi hanya dapat mengubah sekumpulan data yang sangat terbatas di direktori. Pengguna yang memerlukan hak istimewa tambahan dapat diberikan keanggotaan dalam berbagai grup "istimewa" yang dibangun ke dalam direktori sehingga mereka dapat melakukan tugas tertentu yang terkait dengan peran mereka, tetapi tidak dapat melakukan tugas yang tidak relevan dengan tugas mereka. Organisasi juga dapat membuat grup yang disesuaikan dengan tanggung jawab pekerjaan tertentu dan diberikan hak dan izin terperinci yang memungkinkan staf TI untuk melakukan fungsi administratif sehari-hari tanpa memberikan hak dan izin yang melebihi apa yang diperlukan untuk fungsi tersebut.
Dalam Direktori Aktif, tiga grup bawaan adalah grup hak istimewa tertinggi di direktori: Admin Perusahaan, Admin Domain, dan Administrator. Konfigurasi default dan kemampuan masing-masing grup ini dijelaskan di bagian berikut:
Grup Hak Istimewa Tertinggi di Direktori Aktif
Admin Perusahaan
Admin Perusahaan (EA) adalah grup yang hanya ada di domain akar forest, dan secara default, ini adalah anggota grup Administrator di semua domain di forest. Akun Administrator bawaan di domain akar forest adalah satu-satunya anggota default grup EA. EA diberikan hak dan izin yang memungkinkan mereka menerapkan perubahan di seluruh hutan (yaitu, perubahan yang memengaruhi semua domain di forest), seperti menambahkan atau menghapus domain, membangun kepercayaan hutan, atau meningkatkan tingkat fungsi hutan. Dalam model delegasi yang dirancang dan diimplementasikan dengan benar, keanggotaan EA hanya diperlukan ketika pertama kali membangun forest atau ketika membuat perubahan di seluruh hutan tertentu seperti membangun kepercayaan hutan keluar. Sebagian besar hak dan izin yang diberikan kepada grup EA dapat didelegasikan kepada pengguna dan grup yang kurang istimewa.
Admin Domain
Setiap domain di forest memiliki grup Admin Domain (DA) sendiri, yang merupakan anggota grup Administrator domain tersebut dan anggota grup Administrator lokal di setiap komputer yang bergabung ke domain. Satu-satunya anggota default grup DA untuk domain adalah akun Administrator bawaan untuk domain tersebut. CA "serba kuat" dalam domain mereka, sementara EA memiliki hak istimewa di seluruh hutan. Dalam model delegasi yang dirancang dan diimplementasikan dengan benar, keanggotaan Admin Domain harus diperlukan hanya dalam skenario "break glass" (seperti situasi di mana akun dengan tingkat hak istimewa tinggi pada setiap komputer di domain diperlukan). Meskipun mekanisme delegasi Direktori Aktif asli memungkinkan delegasi sejauh mungkin untuk menggunakan akun DA hanya dalam skenario darurat, membangun model delegasi yang efektif dapat memakan waktu, dan banyak organisasi memanfaatkan alat pihak ketiga untuk mempercepat proses.
Administrator
Grup ketiga adalah grup Administrator lokal domain bawaan (BA) tempat EA dan EA disarangkan. Grup ini diberikan banyak hak dan izin langsung di direktori dan pada pengontrol domain. Namun, grup Administrator untuk domain tidak memiliki hak istimewa pada server anggota atau di stasiun kerja. Ini melalui keanggotaan dalam grup Administrator lokal komputer yang diberikan hak istimewa lokal.
Catatan
Meskipun ini adalah konfigurasi default dari grup istimewa ini, anggota salah satu dari tiga grup dapat memanipulasi direktori untuk mendapatkan keanggotaan di salah satu grup lain. Dalam beberapa kasus, sepele untuk mendapatkan keanggotaan di grup lain, sementara di lain lebih sulit, tetapi dari perspektif hak istimewa potensial, ketiga kelompok harus dianggap setara secara efektif.
Admin Skema
Grup istimewa keempat, Admin Skema (SA), hanya ada di domain akar hutan dan hanya memiliki akun Administrator bawaan domain tersebut sebagai anggota default, mirip dengan grup Admin Perusahaan. Grup Admin Skema dimaksudkan untuk diisi hanya untuk sementara waktu dan sesekali (ketika modifikasi skema AD DS diperlukan).
Meskipun grup SA adalah satu-satunya grup yang dapat memodifikasi skema Direktori Aktif (yaitu, struktur data yang mendasar direktori seperti objek dan atribut), cakupan hak dan izin grup SA lebih terbatas daripada grup yang dijelaskan sebelumnya. Juga umum untuk menemukan bahwa organisasi telah mengembangkan praktik yang tepat untuk manajemen keanggotaan grup SA karena keanggotaan dalam grup biasanya jarang diperlukan, dan hanya untuk waktu yang singkat. Ini secara teknis berlaku untuk grup EA, DA, dan BA di Direktori Aktif, juga, tetapi jauh kurang umum untuk menemukan bahwa organisasi telah menerapkan praktik serupa untuk grup ini seperti untuk grup SA.
Akun dan Grup yang Dilindungi di Direktori Aktif
Dalam Direktori Aktif, sekumpulan akun dan grup istimewa default yang disebut akun dan grup "dilindungi" diamankan secara berbeda dari objek lain di direktori. Akun apa pun yang memiliki keanggotaan langsung atau transitif dalam grup yang dilindungi (terlepas dari apakah keanggotaan berasal dari kelompok keamanan atau distribusi) mewarisi keamanan terbatas ini.
Misalnya, jika pengguna adalah anggota grup distribusi yang, pada gilirannya, anggota grup yang dilindungi di Direktori Aktif, objek pengguna tersebut ditandai sebagai akun yang dilindungi. Saat akun ditandai sebagai akun yang dilindungi, nilai atribut adminCount pada objek diatur ke 1.
Catatan
Meskipun keanggotaan transitif dalam grup yang dilindungi mencakup distribusi berlapis dan grup keamanan berlapis, akun yang merupakan anggota grup distribusi berlapis tidak akan menerima SID grup yang dilindungi dalam token akses mereka. Namun, grup distribusi dapat dikonversi ke grup keamanan di Direktori Aktif, itulah sebabnya grup distribusi disertakan dalam enumerasi anggota grup yang dilindungi. Jika grup distribusi berlapis yang dilindungi pernah dikonversi ke grup keamanan, akun yang merupakan anggota grup distribusi sebelumnya kemudian akan menerima SID grup yang dilindungi induk dalam token akses mereka di log masuk berikutnya.
Tabel berikut mencantumkan akun dan grup yang dilindungi default di Direktori Aktif berdasarkan versi sistem operasi dan tingkat paket layanan.
Akun dan Grup yang Dilindungi Default di Direktori Aktif berdasarkan Sistem Operasi dan Versi Paket Layanan (SP)
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 -Windows Server 2012 |
|---|---|---|---|
| Administrator | Operator Akun | Operator Akun | Operator Akun |
| Administrator | Administrator | Administrator | |
| Administrator | Administrator | Administrator | |
| Admin Domain | Operator Azure Backup | Operator Azure Backup | Operator Azure Backup |
| Penerbit Sertifikat | |||
| Admin Domain | Admin Domain | Admin Domain | |
| Admin Perusahaan | Pengendali domain | Pengendali domain | Pengendali domain |
| Admin Perusahaan | Admin Perusahaan | Admin Perusahaan | |
| Krbtgt | Krbtgt | Krbtgt | |
| Operator Cetak | Operator Cetak | Operator Cetak | |
| Pengontrol Domain Baca-saja | |||
| Replikator | Replikator | Replikator | |
| Admin Skema | Admin Skema | Admin Skema |
AdminSDHolder dan SDProp
Dalam kontainer Sistem dari setiap domain Direktori Aktif, objek yang disebut AdminSDHolder dibuat secara otomatis. Tujuan objek AdminSDHolder adalah untuk memastikan bahwa izin pada akun dan grup yang dilindungi diberlakukan secara konsisten, terlepas dari di mana grup dan akun yang dilindungi berada di domain.
Setiap 60 menit (secara default), proses yang dikenal sebagai Security Descriptor Propagator (SDProp) berjalan pada pengendali domain yang memegang peran Emulator PDC domain. SDProp membandingkan izin pada objek AdminSDHolder domain dengan izin pada akun dan grup yang dilindungi di domain. Jika izin pada salah satu akun dan grup yang dilindungi tidak cocok dengan izin pada objek AdminSDHolder, izin pada akun dan grup yang dilindungi diatur ulang agar sesuai dengan objek AdminSDHolder domain.
Pewarisan izin dinonaktifkan pada grup dan akun yang dilindungi, yang berarti bahwa meskipun akun atau grup dipindahkan ke lokasi yang berbeda di direktori, mereka tidak mewarisi izin dari objek induk baru mereka. Pewarisan juga dinonaktifkan pada objek AdminSDHolder sehingga izin berubah ke objek induk tidak mengubah izin AdminSDHolder.
Catatan
Saat akun dihapus dari grup yang dilindungi, akun tersebut tidak lagi dianggap sebagai akun yang dilindungi, tetapi atribut adminCount-nya tetap diatur ke 1 jika tidak diubah secara manual. Hasil dari konfigurasi ini adalah bahwa ACL objek tidak lagi diperbarui oleh SDProp, tetapi objek masih tidak mewarisi izin dari objek induknya. Oleh karena itu, objek dapat berada di unit organisasi (OU) tempat izin telah didelegasikan, tetapi objek yang sebelumnya dilindungi tidak akan mewarisi izin yang didelegasikan ini. Skrip untuk menemukan dan mereset objek yang sebelumnya dilindungi di domain dapat ditemukan di artikel Dukungan Microsoft 817433.
Kepemilikan AdminSDHolder
Sebagian besar objek di Direktori Aktif dimiliki oleh grup BA domain. Namun, objek AdminSDHolder adalah, secara default, dimiliki oleh grup DA domain. (Ini adalah keadaan di mana DAs tidak memperoleh hak dan izin mereka melalui keanggotaan dalam grup Administrator untuk domain.)
Dalam versi Windows yang lebih lama dari Windows Server 2008, pemilik objek dapat mengubah izin objek, termasuk memberikan izin sendiri yang awalnya tidak mereka miliki. Oleh karena itu, izin default pada objek AdminSDHolder domain mencegah pengguna yang merupakan anggota grup BA atau EA mengubah izin untuk objek AdminSDHolder domain. Namun, anggota grup Administrator untuk domain dapat mengambil kepemilikan objek dan memberi diri mereka izin tambahan, yang berarti bahwa perlindungan ini tidak biasa dan hanya melindungi objek dari modifikasi yang tidak disengaja oleh pengguna yang bukan anggota grup DA di domain. Selain itu, grup BA dan EA (jika berlaku) memiliki izin untuk mengubah atribut objek AdminSDHolder di domain lokal (domain akar untuk EA).
Catatan
Atribut pada objek AdminSDHolder, dSHeuristics, memungkinkan kustomisasi terbatas (penghapusan) grup yang dianggap sebagai grup yang dilindungi dan dipengaruhi oleh AdminSDHolder dan SDProp. Penyesuaian ini harus dipertimbangkan dengan cermat jika diimplementasikan, meskipun ada keadaan yang valid di mana modifikasi dSHeuristics pada AdminSDHolder berguna. Informasi selengkapnya tentang modifikasi atribut dSHeuristics pada objek AdminSDHolder dapat ditemukan di artikel Dukungan Microsoft 817433 dan di Lampiran C: Akun dan Grup yang Dilindungi di Direktori Aktif.
Meskipun grup yang paling istimewa di Direktori Aktif dijelaskan di sini, ada sejumlah grup lain yang telah diberikan tingkat hak istimewa yang ditinggikan. Untuk informasi selengkapnya tentang semua grup default dan bawaan di Direktori Aktif dan hak pengguna yang ditetapkan untuk masing-masing grup, lihat Lampiran B: Akun dan Grup Istimewa di Direktori Aktif.