Perlindungan dan Manajemen Kredensial

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Topik untuk profesional TI ini membahas fitur dan metode yang diperkenalkan di Windows Server 2012 R2 dan Windows 8.1 untuk perlindungan kredensial dan kontrol autentikasi domain untuk mengurangi pencurian kredensial.

Mode Admin Terbatas untuk Koneksi Desktop Jauh

Mode Admin Terbatas menyediakan metode masuk secara interaktif ke server host jarak jauh tanpa mengirimkan kredensial Anda ke server. Ini mencegah kredensial Anda dipanen selama proses koneksi awal jika server telah disusupi.

Dengan menggunakan mode ini dengan kredensial administrator, klien desktop jarak jauh mencoba masuk secara interaktif ke host yang juga mendukung mode ini tanpa mengirim kredensial. Ketika host memverifikasi bahwa akun pengguna yang terhubung ke sana memiliki hak administrator dan mendukung mode Admin Terbatas, koneksi berhasil. Jika tidak, upaya koneksi gagal. Mode Admin Terbatas tidak pada titik mana pun mengirim teks biasa atau bentuk kredensial lain yang dapat digunakan kembali ke komputer jarak jauh.

Perlindungan LSA

Otoritas Keamanan Lokal (LSA), yang berada dalam proses Local Security Authority Security Service (LSASS), memvalidasi pengguna untuk masuk lokal dan jarak jauh dan memberlakukan kebijakan keamanan lokal. Sistem operasi Windows 8.1 memberikan perlindungan tambahan bagi LSA untuk mencegah injeksi kode oleh proses yang tidak dilindungi. Ini memberikan keamanan tambahan untuk kredensial yang disimpan dan dikelola LSA. Pengaturan proses yang dilindungi untuk LSA ini dapat dikonfigurasi di Windows 8.1 tetapi aktif secara default di Windows RT 8.1 dan tidak dapat diubah.

Untuk informasi tentang mengonfigurasi perlindungan LSA, lihat Mengonfigurasi Perlindungan LSA Tambahan.

Grup keamanan Pengguna Terproteksi

Grup global domain baru ini memicu perlindungan baru yang tidak dapat dikonfigurasi pada perangkat dan komputer host yang menjalankan Windows Server 2012 R2 dan Windows 8.1. Grup Pengguna Terproteksi memungkinkan perlindungan tambahan untuk pengendali domain dan domain di domain Windows Server 2012 R2. Ini sangat mengurangi jenis kredensial yang tersedia ketika pengguna masuk ke komputer di jaringan dari komputer yang tidak disusupi.

Anggota grup Pengguna Yang Dilindungi dibatasi lebih lanjut oleh metode autentikasi berikut:

  • Anggota grup Pengguna Terproteksi hanya dapat masuk menggunakan protokol Kerberos. Akun tidak dapat mengautentikasi menggunakan NTLM, Digest Authentication, atau CredSSP. Pada perangkat yang menjalankan Windows 8.1, kata sandi tidak di-cache, sehingga perangkat yang menggunakan salah satu Penyedia Dukungan Keamanan (SSP) ini akan gagal mengautentikasi ke domain ketika akun adalah anggota grup Pengguna Terproteksi.

  • Protokol Kerberos tidak akan menggunakan jenis enkripsi DES atau RC4 yang lebih lemah dalam proses praauthentication. Ini berarti bahwa domain harus dikonfigurasi untuk mendukung setidaknya rangkaian sandi AES.

  • Akun pengguna tidak dapat didelegasikan dengan delegasi Kerberos yang dibatasi atau tidak dibatasi. Ini berarti bahwa koneksi sebelumnya ke sistem lain mungkin gagal jika pengguna adalah anggota grup Pengguna yang Dilindungi.

  • Pengaturan masa pakai Tiket Pemberian Tiket (TGT) Kerberos default selama empat jam dapat dikonfigurasi menggunakan Kebijakan Autentikasi dan Silo yang diakses melalui Active Directory Administrative Center (ADAC). Ini berarti bahwa ketika empat jam telah berlalu, pengguna harus mengautentikasi lagi.

Peringatan

Akun untuk layanan dan komputer tidak boleh menjadi anggota grup Pengguna Yang Dilindungi. Grup ini tidak memberikan perlindungan lokal karena kata sandi atau sertifikat selalu tersedia di host. Autentikasi akan gagal dengan kesalahan "nama pengguna atau kata sandi salah" untuk layanan atau komputer apa pun yang ditambahkan ke grup Pengguna Terproteksi.

Untuk informasi selengkapnya tentang grup ini, lihat Grup Keamanan Pengguna Terproteksi.

Silo Kebijakan Autentikasi dan Kebijakan Autentikasi

Kebijakan Direktori Aktif berbasis forest diperkenalkan, dan dapat diterapkan ke akun di domain dengan tingkat fungsional domain Windows Server 2012 R2. Kebijakan autentikasi ini dapat mengontrol host mana yang dapat digunakan pengguna untuk masuk. Mereka bekerja bersama dengan grup keamanan Lindungi Pengguna, dan admin dapat menerapkan kondisi kontrol akses untuk autentikasi ke akun. Kebijakan autentikasi ini mengisolasi akun terkait untuk membatasi cakupan jaringan.

Kelas objek Direktori Aktif baru, Kebijakan Autentikasi, memungkinkan Anda menerapkan konfigurasi autentikasi ke kelas akun di domain dengan tingkat fungsional domain Windows Server 2012 R2. Kebijakan autentikasi diberlakukan selama pertukaran Kerberos AS atau TGS. Kelas akun Direktori Aktif adalah:

  • User

  • Komputer

  • Akun Layanan Terkelola

  • Akun Layanan Terkelola Grup

Untuk informasi selengkapnya, lihat Kebijakan Autentikasi dan Silo Kebijakan Autentikasi.

Untuk informasi selengkapnya cara mengonfigurasi akun yang dilindungi, lihat Cara Mengonfigurasi Akun yang Dilindungi.

Referensi Tambahan

Untuk informasi selengkapnya tentang LSA dan LSASS, lihat Ringkasan Teknis Masuk dan Autentikasi Windows.