Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif

  • Artikel
  • 10 menit untuk membaca

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif

Di setiap domain di Direktori Aktif, akun Administrator dibuat sebagai bagian dari pembuatan domain. Akun ini secara default adalah anggota grup Admin dan Administrator Domain di domain, dan jika domain adalah domain akar forest, akun tersebut juga merupakan anggota grup Admin Perusahaan.

Penggunaan akun Administrator domain harus dicadangkan hanya untuk aktivitas build awal, dan mungkin skenario pemulihan bencana. Untuk memastikan bahwa akun Administrator dapat digunakan untuk memengaruhi perbaikan jika tidak ada akun lain yang dapat digunakan, Anda tidak boleh mengubah keanggotaan default akun Administrator di domain apa pun di forest. Sebagai gantinya, Anda harus mengamankan akun Administrator di setiap domain di forest seperti yang dijelaskan di bagian berikut dan dirinci dalam instruksi langkah demi langkah yang mengikuti.

Catatan

Panduan ini digunakan untuk merekomendasikan menonaktifkan akun. Ini dihapus karena laporan resmi pemulihan forest menggunakan akun administrator default. Alasannya adalah, ini adalah satu-satunya akun yang memungkinkan masuk tanpa Server Katalog Global.

Kontrol untuk Akun Administrator Bawaan

Untuk akun Administrator Bawaan di setiap domain di forest Anda, Anda harus mengonfigurasi pengaturan berikut:

  • Aktifkan Akun sensitif dan tidak dapat didelegasikan bendera pada akun.

  • Aktifkan Kartu pintar diperlukan untuk bendera masuk interaktif pada akun.

  • Konfigurasikan GPO untuk membatasi penggunaan akun Administrator pada sistem yang bergabung dengan domain:

    • Dalam satu atau beberapa GPO yang Anda buat dan tautkan ke stasiun kerja dan OU server anggota di setiap domain, tambahkan akun Administrator setiap domain ke hak pengguna berikut di Konfigurasi Komputer\Kebijakan\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Penetapan Hak Pengguna:

      • Tolak akses ke komputer ini dari jaringan

      • Tolak masuk sebagai pekerjaan batch

      • Menolak masuk sebagai layanan

      • Tolak masuk melalui Layanan Desktop Jarak Jauh

Catatan

Saat menambahkan akun ke pengaturan ini, Anda harus menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain. Misalnya, untuk menambahkan akun Administrator domain NWTRADERS ke hak tolak ini, Anda harus mengetik akun sebagai NWTRADERS\Administrator, atau menelusuri ke akun Administrator untuk domain NWTRADERS. Jika Anda mengetik "Administrator" di pengaturan hak pengguna ini di Kebijakan Grup Object Editor, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan.

Sebaiknya batasi akun Administrator lokal di server anggota dan stasiun kerja dengan cara yang sama seperti akun Administrator berbasis domain. Oleh karena itu, Anda umumnya harus menambahkan akun Administrator untuk setiap domain di forest dan akun Administrator untuk komputer lokal ke pengaturan hak pengguna ini. Cuplikan layar berikut menunjukkan contoh mengonfigurasi hak pengguna ini untuk memblokir akun Administrator lokal dan akun Administrator domain agar tidak melakukan masuk yang seharusnya tidak diperlukan untuk akun ini.

Cuplikan layar yang menyoroti Penetapan Hak Pengguna.

  • Mengonfigurasi GPO untuk membatasi akun Administrator pada pengendali domain
    • Di setiap domain di forest, GPO Pengendali Domain Default atau kebijakan yang ditautkan ke OU pengendali domain harus dimodifikasi untuk menambahkan akun Administrator setiap domain ke hak pengguna berikut di Konfigurasi Komputer\Kebijakan\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Penetapan Hak Pengguna:

      • Tolak akses ke komputer ini dari jaringan

      • Tolak masuk sebagai pekerjaan batch

      • Menolak masuk sebagai layanan

      • Tolak masuk melalui Layanan Desktop Jarak Jauh

Catatan

Pengaturan ini akan memastikan bahwa akun Administrator Bawaan domain tidak dapat digunakan untuk menyambungkan ke pengendali domain, meskipun akun dapat masuk secara lokal ke pengendali domain. Karena akun ini hanya boleh digunakan dalam skenario pemulihan bencana, diantisipasi bahwa akses fisik ke setidaknya satu pengendali domain akan tersedia, atau bahwa akun lain dengan izin untuk mengakses pengendali domain dari jarak jauh dapat digunakan.

  • Mengonfigurasi Audit Akun Administrator

    Ketika Anda telah mengamankan setiap akun Administrator domain, Anda harus mengonfigurasi audit untuk memantau penggunaan, atau perubahan pada akun. Jika akun masuk, kata sandinya diatur ulang, atau modifikasi lain dilakukan ke akun, pemberitahuan harus dikirimkan kepada pengguna atau tim yang bertanggung jawab atas administrasi Direktori Aktif, selain tim respons insiden di organisasi Anda.

Petunjuk Langkah demi Langkah untuk Mengamankan Akun Administrator Bawaan di Direktori Aktif

  1. Di Manajer Server, klik Alat, dan klik Pengguna dan Komputer Direktori Aktif.

  2. Untuk mencegah serangan yang memanfaatkan delegasi untuk menggunakan kredensial akun pada sistem lain, lakukan langkah-langkah berikut:

    1. Klik kanan akun Administrator dan klik Properti.

    2. Klik tab Akun .

    3. Di bawah Opsi akun, pilih Akun sensitif dan tidak dapat didelegasikan bendera seperti yang ditunjukkan pada cuplikan layar berikut, dan klik OK.

      Cuplikan layar yang memperlihatkan kotak centang Akun sensitif dan tidak dapat didelegasikan.

  3. Untuk mengaktifkan Kartu pintar diperlukan untuk bendera masuk interaktif di akun, lakukan langkah-langkah berikut:

    1. Klik kanan akun Administrator dan pilih Properti.

    2. Klik tab Akun .

    3. Di bawah Opsi akun , pilih Kartu pintar diperlukan untuk bendera masuk interaktif seperti yang ditunjukkan pada cuplikan layar berikut, dan klik OK.

      Cuplikan layar yang memperlihatkan kotak centang Kartu pintar diperlukan untuk masuk interaktif.

Mengonfigurasi GPO untuk Membatasi Akun Administrator di Domain-Level

Peringatan

GPO ini tidak boleh ditautkan di tingkat domain karena dapat membuat akun Administrator bawaan tidak dapat digunakan, bahkan dalam skenario pemulihan bencana.

  1. Di Manajer Server, klik Alat, dan klik manajemen Kebijakan Grup.

  2. Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Kebijakan Grup Objects (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin membuat Kebijakan Grup).

  3. Di pohon konsol, klik kanan objek Kebijakan Grup, dan klik Baru.

    Cuplikan layar yang memperlihatkan Objek Kebijakan Grup di pohon konsol.

  4. Dalam kotak dialog GPO Baru , ketik <Nama> GPO, dan klik OK (di mana <Nama> GPO adalah nama GPO ini) seperti yang ditunjukkan pada cuplikan layar berikut.

    Cuplikan layar yang memperlihatkan kotak dialog GPO Baru.

  5. Di panel detail, klik <kanan Nama> GPO, dan klik Edit.

  6. Buka Konfigurasi Komputer\Kebijakan\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal, dan klik Penetapan Hak Pengguna.

    Cuplikan layar yang memperlihatkan Editor Manajemen Kebijakan Grup.

  7. Konfigurasikan hak pengguna untuk mencegah akun Administrator mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan hal berikut:

    1. Klik ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.

      Cuplikan layar yang memperlihatkan format DomainName/Nama Pengguna.

    4. Klik OK, dan OK lagi.

  8. Konfigurasikan hak pengguna untuk mencegah akun Administrator masuk sebagai tugas batch dengan melakukan hal berikut:

    1. Klik dua kali Tolak masuk sebagai tugas batch dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mencegah akun Administrator masuk sebagai pekerjaan batch.

    4. Klik OK, dan OK lagi.

  9. Konfigurasikan hak pengguna untuk mencegah akun Administrator masuk sebagai layanan dengan melakukan hal berikut:

    1. Klik dua kali Tolak masuk sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mencegah akun Administrator masuk sebagai layanan.

    4. Klik OK, dan OK lagi.

  10. Konfigurasikan hak pengguna untuk mencegah akun Administrator mengakses server anggota dan stasiun kerja melalui Layanan Desktop Jauh dengan melakukan hal berikut:

    1. Klik dua kali Tolak masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK. Verifikasi bahwa akun ditampilkan dalam <format DomainName>\Username seperti yang ditunjukkan pada cuplikan layar berikut.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mencegah akun BA mengakses server anggota dan stasiun kerja melalui Layanan Desktop Jarak Jauh.

    4. Klik OK, dan OK lagi.

  11. Untuk keluar dari Kebijakan Grup Management Editor, klik File, dan klik Keluar.

  12. Di Kebijakan Grup Management, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan hal berikut:

    1. Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi tempat GPO akan diterapkan dan klik Tautkan GPO yang ada.

      Cuplikan layar yang memperlihatkan opsi menu Tautkan GPO yang Sudah Ada.

    3. Pilih GPO yang Anda buat dan klik OK.

      Cuplikan layar yang memperlihatkan tempat untuk memilih GPO yang Anda buat.

    4. Buat tautan ke semua OU lain yang berisi stasiun kerja.

    5. Buat tautan ke semua OU lain yang berisi server anggota.

Penting

Saat Anda menambahkan akun Administrator ke pengaturan ini, Anda menentukan apakah Anda mengonfigurasi akun Administrator lokal atau akun Administrator domain dengan cara Anda memberi label akun. Misalnya, untuk menambahkan akun Administrator domain TAILSPINTOYS ke hak tolak ini, Anda akan menelusuri ke akun Administrator untuk domain TAILSPINTOYS, yang akan muncul sebagai TAILSPINTOYS\Administrator. Jika Anda mengetik "Administrator" di pengaturan hak pengguna ini di Kebijakan Grup Object Editor, Anda akan membatasi akun Administrator lokal di setiap komputer tempat GPO diterapkan, seperti yang dijelaskan sebelumnya.

Langkah-langkah Verifikasi

Langkah-langkah verifikasi yang diuraikan di sini khusus untuk Windows 8 dan Windows Server 2012.

Verifikasi Opsi Akun "Kartu pintar diperlukan untuk masuk interaktif"
  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, coba masuk secara interaktif ke domain dengan menggunakan akun Administrator bawaan domain. Setelah mencoba masuk, kotak dialog yang mirip dengan yang berikut ini akan muncul.

Cuplikan layar yang mengatakan Anda harus menggunakan kartu pintar untuk masuk.

Verifikasi Pengaturan GPO "Tolak akses ke komputer ini dari jaringan"

Dari server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO (seperti server lompat), coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE dengan melakukan langkah-langkah berikut:

  1. Masuk ke domain menggunakan akun Administrator Bawaan domain.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik prompt perintah, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator untuk membuka prompt perintah yang ditinggikan.

  4. Saat diminta untuk menyetujui elevasi, klik Ya.

    Cuplikan layar yang memperlihatkan kotak dialog Access Control Pengguna.

  5. Di jendela Prompt Perintah , ketik net use \\<Server Name>\c$, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang anda coba akses melalui jaringan.

  6. Cuplikan layar berikut menunjukkan pesan kesalahan yang akan muncul.

    Cuplikan layar yang memperlihatkan kesalahan kegagalan akses.

Verifikasi Pengaturan GPO "Tolak masuk sebagai pekerjaan batch"

Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

Membuat File Batch

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik notepad, dan klik Notepad.

  3. Di Notepad, ketik dir c:.

  4. Klik File dan klik Simpan Sebagai.

  5. Di bidang Filename , ketik <Filename>.bat (di mana <Filename> adalah nama file batch baru).

Menjadwalkan Tugas

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik penjadwal tugas, dan klik Penjadwal Tugas.

    Catatan

    Pada komputer yang menjalankan Windows 8, dalam kotak Pencarian, ketik tugas jadwal, dan klik Jadwalkan tugas.

  3. Pada Penjadwal Tugas, klik Tindakan, dan klik Buat Tugas.

  4. Dalam kotak dialog Buat Tugas, ketik <Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).

  5. Klik tab Tindakan , dan klik Baru.

  6. Di bawah Tindakan:, pilih Mulai program.

  7. Di bawah Program/skrip:, klik Telusuri, temukan dan pilih file batch yang dibuat di bagian "Buat File Batch", dan klik Buka.

  8. Klik OK.

  9. Klik tab Umum.

  10. Di bawah Opsi keamanan , klik Ubah Pengguna atau Grup.

  11. Ketik nama akun Administrator di tingkat domain, klik Periksa Nama, dan klik OK.

  12. Pilih Jalankan apakah pengguna masuk atau tidak dan Jangan simpan kata sandi. Tugas ini hanya akan memiliki akses ke sumber daya komputer lokal.

  13. Klik OK.

  14. Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.

  15. Setelah memasukkan kredensial, klik OK.

  16. Kotak dialog yang mirip dengan berikut ini akan muncul.

    Cuplikan layar yang memperlihatkan kotak dialog Penjadwal Tugas.

Verifikasi Pengaturan GPO "Tolak masuk sebagai layanan"

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bawah Masuk sebagai:, pilih Akun ini.

  7. Klik Telusuri, ketik nama akun Administrator di tingkat domain, klik Periksa Nama, dan klik OK.

  8. Di bawah Kata Sandi: dan Konfirmasi kata sandi:, ketik kata sandi akun Administrator, dan klik OK.

  9. Klik OK tiga kali lagi.

  10. Klik kanan layanan Print Spooler dan pilih Mulai Ulang.

  11. Saat layanan dimulai ulang, kotak dialog yang mirip dengan berikut ini akan muncul.

    Cuplikan layar yang memperlihatkan kotak dialog Layanan.

Kembalikan Perubahan ke Layanan Penampung Pencetak

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bawah Masuk sebagai:, pilih akun Sistem Lokal , dan klik OK.

Verifikasi Pengaturan GPO "Tolak masuk melalui Layanan Desktop Jarak Jauh"

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik koneksi desktop jarak jauh, dan klik Koneksi Desktop Jauh.

  3. Di bidang Komputer , ketik nama komputer yang ingin Anda sambungkan, dan klik Sambungkan. (Anda juga dapat mengetik alamat IP alih-alih nama komputer.)

  4. Saat diminta, berikan kredensial untuk nama akun Administrator di tingkat domain.

  5. Kotak dialog yang mirip dengan berikut ini akan muncul.

    mengamankan akun admin bawaan