Menerapkan Host Administratif Aman
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Host administratif yang aman adalah stasiun kerja atau server yang telah dikonfigurasi khusus untuk tujuan membuat platform aman tempat akun istimewa dapat melakukan tugas administratif di Direktori Aktif atau pada pengontrol domain, sistem yang bergabung dengan domain, dan aplikasi yang berjalan pada sistem yang bergabung dengan domain. Dalam hal ini, "akun istimewa" tidak hanya merujuk ke akun yang merupakan anggota grup paling istimewa di Direktori Aktif, tetapi ke akun apa pun yang telah didelegasikan hak dan izin yang memungkinkan tugas administratif dilakukan.
Akun-akun ini mungkin adalah akun Help Desk yang memiliki kemampuan untuk mengatur ulang kata sandi untuk sebagian besar pengguna di domain, akun yang digunakan untuk mengelola catatan dan zona DNS, atau akun yang digunakan untuk manajemen konfigurasi. Host administratif yang aman didedikasikan untuk fungsionalitas administratif, dan tidak menjalankan perangkat lunak seperti aplikasi email, browser web, atau perangkat lunak produktivitas seperti Microsoft Office.
Meskipun akun dan grup "paling istimewa" harus dilindungi dengan paling ketat, ini tidak menghilangkan kebutuhan untuk melindungi akun dan grup apa pun yang hak istimewanya di atas akun pengguna standar telah diberikan.
Host administratif yang aman dapat menjadi stasiun kerja khusus yang hanya digunakan untuk tugas administratif, server anggota yang menjalankan peran server Gateway Desktop Jauh dan tempat pengguna TI terhubung untuk melakukan administrasi host tujuan, atau server yang menjalankan peran Hyper-V dan menyediakan komputer virtual unik untuk digunakan setiap pengguna TI untuk tugas administratif mereka. Di banyak lingkungan, kombinasi ketiga pendekatan dapat diimplementasikan.
Menerapkan host administratif yang aman memerlukan perencanaan dan konfigurasi yang konsisten dengan ukuran, praktik administratif, selera risiko, dan anggaran organisasi Anda. Pertimbangan dan opsi untuk menerapkan host administratif yang aman disediakan di sini untuk Anda gunakan dalam mengembangkan strategi administratif yang cocok untuk organisasi Anda.
Prinsip untuk Membuat Host Administratif yang Aman
Untuk mengamankan sistem secara efektif terhadap serangan, beberapa prinsip umum harus diingat:
Anda tidak boleh mengelola sistem tepercaya (yaitu, server aman seperti pengendali domain) dari host yang kurang tepercaya (yaitu, stasiun kerja yang tidak diamankan ke tingkat yang sama dengan sistem yang dikelolanya).
Anda tidak boleh mengandalkan satu faktor autentikasi saat melakukan aktivitas istimewa; artinya, kombinasi nama pengguna dan kata sandi tidak boleh dianggap sebagai autentikasi yang dapat diterima karena hanya satu faktor (sesuatu yang Anda ketahui) yang diwakili. Anda harus mempertimbangkan di mana kredensial dibuat dan di-cache atau disimpan dalam skenario administratif.
Meskipun sebagian besar serangan di lanskap ancaman saat ini memanfaatkan malware dan peretasan berbahaya, jangan hilangkan keamanan fisik saat merancang dan menerapkan host administratif yang aman.
Konfigurasi Akun
Bahkan jika organisasi Anda saat ini tidak menggunakan kartu pintar, Anda harus mempertimbangkan untuk menerapkannya untuk akun istimewa dan host administratif yang aman. Host administratif harus dikonfigurasi untuk mewajibkan masuk kartu pintar untuk semua akun dengan memodifikasi pengaturan berikut dalam GPO yang ditautkan ke OU yang berisi host administratif:
Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Kebijakan Lokal\Opsi Keamanan\Masuk interaktif: Memerlukan kartu pintar
Pengaturan ini akan mengharuskan semua logon interaktif untuk menggunakan kartu pintar, terlepas dari konfigurasi pada akun individual di Direktori Aktif.
Anda juga harus mengonfigurasi host administratif yang aman untuk mengizinkan masuk hanya oleh akun resmi, yang dapat dikonfigurasi dalam:
Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Kebijakan Lokal\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna
Ini memberikan hak masuk interaktif (dan, jika sesuai, Layanan Desktop Jauh) hanya untuk pengguna yang berwenang dari host administratif aman.
Keamanan Fisik
Agar host administratif dianggap dapat dipercaya, host administratif harus dikonfigurasi dan dilindungi ke tingkat yang sama dengan sistem yang mereka kelola. Sebagian besar rekomendasi yang disediakan dalam Mengamankan Pengendali Domain Terhadap Serangan juga berlaku untuk host yang digunakan untuk mengelola pengendali domain dan database AD DS. Salah satu tantangan penerapan sistem administratif yang aman di sebagian besar lingkungan adalah keamanan fisik bisa lebih sulit diterapkan karena komputer ini sering berada di area yang tidak seaman server yang dihosting di pusat data, seperti desktop pengguna administratif.
Keamanan fisik termasuk mengontrol akses fisik ke host administratif. Dalam organisasi kecil, ini mungkin berarti Bahwa Anda mempertahankan stasiun kerja administratif khusus yang disimpan terkunci di kantor atau laci meja saat tidak digunakan. Atau itu mungkin berarti bahwa ketika Anda perlu melakukan administrasi Direktori Aktif atau pengontrol domain Anda, Anda masuk ke pengendali domain secara langsung.
Dalam organisasi berukuran sedang, Anda dapat mempertimbangkan untuk menerapkan "jump server" administratif aman yang terletak di lokasi aman di kantor dan digunakan saat manajemen Direktori Aktif atau pengontrol domain diperlukan. Anda juga dapat menerapkan stasiun kerja administratif yang dikunci di lokasi yang aman saat tidak digunakan, dengan atau tanpa server lompat.
Di organisasi besar, Anda dapat menyebarkan server jump bertempat di pusat data yang menyediakan akses yang dikontrol secara ketat ke Direktori Aktif; pengendali domain; dan server file, cetak, atau aplikasi. Implementasi arsitektur jump server kemungkinan besar akan mencakup kombinasi stasiun kerja dan server yang aman di lingkungan besar.
Terlepas dari ukuran organisasi Anda dan desain host administratif Anda, Anda harus mengamankan komputer fisik dari akses atau pencurian yang tidak sah, dan harus menggunakan Enkripsi Drive BitLocker untuk mengenkripsi dan melindungi drive pada host administratif. Dengan menerapkan BitLocker pada host administratif, bahkan jika host dicuri atau disknya dihapus, Anda dapat memastikan bahwa data pada drive tidak dapat diakses oleh pengguna yang tidak sah.
Versi dan Konfigurasi Sistem Operasi
Semua host administratif, baik server atau stasiun kerja, harus menjalankan sistem operasi terbaru yang digunakan di organisasi Anda karena alasan yang dijelaskan sebelumnya dalam dokumen ini. Dengan menjalankan sistem operasi saat ini, staf administratif Anda mendapat manfaat dari fitur keamanan baru, dukungan vendor penuh, dan fungsionalitas tambahan yang diperkenalkan dalam sistem operasi. Selain itu, ketika Anda mengevaluasi sistem operasi baru, dengan menyebarkannya terlebih dahulu ke host administratif, Anda harus membiasakan diri dengan fitur, pengaturan, dan mekanisme manajemen baru yang ditawarkannya, yang kemudian dapat dimanfaatkan dalam merencanakan penyebaran sistem operasi yang lebih luas. Pada saat itu, pengguna yang paling canggih di organisasi Anda juga akan menjadi pengguna yang terbiasa dengan sistem operasi baru dan paling baik diposisikan untuk mendukungnya.
Panduan Konfigurasi Keamanan Microsoft
Jika Anda menerapkan jump server sebagai bagian dari strategi host administratif, Anda harus menggunakan Wizard Konfigurasi Keamanan bawaan untuk mengonfigurasi pengaturan layanan, registri, audit, dan firewall untuk mengurangi permukaan serangan server. Ketika pengaturan konfigurasi Panduan Konfigurasi Keamanan telah dikumpulkan dan dikonfigurasi, pengaturan dapat dikonversi ke GPO yang digunakan untuk menerapkan konfigurasi garis besar yang konsisten di semua server lompat. Anda dapat mengedit GPO lebih lanjut untuk menerapkan pengaturan keamanan khusus untuk jump server, dan dapat menggabungkan semua pengaturan dengan pengaturan garis besar tambahan yang diekstrak dari Microsoft Security Compliance Manager.
Microsoft Security Compliance Manager
Microsoft Security Compliance Manager adalah alat yang tersedia secara bebas yang mengintegrasikan konfigurasi keamanan yang direkomendasikan oleh Microsoft, berdasarkan versi sistem operasi dan konfigurasi peran, dan mengumpulkannya dalam satu alat dan UI yang dapat digunakan untuk membuat dan mengonfigurasi pengaturan keamanan dasar untuk pengendali domain. Templat Microsoft Security Compliance Manager dapat dikombinasikan dengan pengaturan Panduan Konfigurasi Keamanan untuk menghasilkan garis besar konfigurasi komprehensif untuk server lompat yang disebarkan dan diberlakukan oleh GPO yang disebarkan di OU tempat server lompat berada di Direktori Aktif.
Catatan
Pada penulisan ini, Microsoft Security Compliance Manager tidak menyertakan pengaturan khusus untuk jump server atau host administratif aman lainnya, tetapi Security Compliance Manager (SCM) masih dapat digunakan untuk membuat garis besar awal untuk host administratif Anda. Namun, untuk mengamankan host dengan benar, Anda harus menerapkan pengaturan keamanan tambahan yang sesuai dengan stasiun kerja dan server yang sangat aman.
AppLocker
Host administratif dan komputer virtual harus dikonfigurasi dengan skrip, alat, dan aplikasi melalui AppLocker atau perangkat lunak pembatasan aplikasi pihak ketiga. Setiap aplikasi atau utilitas administratif yang tidak mematuhi pengaturan aman harus ditingkatkan atau diganti dengan alat yang mematuhi praktik pengembangan dan administratif yang aman. Ketika alat baru atau tambahan diperlukan pada host administratif, aplikasi dan utilitas harus diuji secara menyeluruh, dan jika alat ini cocok untuk penyebaran pada host administratif, itu dapat ditambahkan ke sistem.
Pembatasan RDP
Meskipun konfigurasi tertentu akan bervariasi tergantung pada arsitektur sistem administratif Anda, Anda harus menyertakan pembatasan pada akun dan komputer mana yang dapat digunakan untuk membuat koneksi Protokol Desktop Jauh (RDP) ke sistem terkelola, seperti menggunakan server lompat Gateway Desktop Jarak Jauh (Gateway RD) untuk mengontrol akses ke pengontrol domain dan sistem terkelola lainnya dari pengguna dan sistem yang berwenang.
Anda harus mengizinkan masuk interaktif oleh pengguna yang berwenang dan harus menghapus atau bahkan memblokir jenis masuk lain yang tidak diperlukan untuk akses server.
Manajemen Patch dan Konfigurasi
Organisasi yang lebih kecil dapat mengandalkan penawaran seperti Windows Update atau Windows Server Update Services (WSUS) untuk mengelola penyebaran pembaruan ke sistem Windows, sementara organisasi yang lebih besar dapat menerapkan patch perusahaan dan perangkat lunak manajemen konfigurasi seperti Microsoft Endpoint Configuration Manager. Terlepas dari mekanisme yang Anda gunakan untuk menyebarkan pembaruan ke server umum dan populasi stasiun kerja, Anda harus mempertimbangkan penyebaran terpisah untuk sistem yang sangat aman seperti pengendali domain, otoritas sertifikasi, dan host administratif. Dengan memisahkan sistem ini dari infrastruktur manajemen umum, jika perangkat lunak manajemen atau akun layanan Anda disusupi, kompromi tidak dapat dengan mudah diperluas ke sistem yang paling aman dalam infrastruktur Anda.
Meskipun Anda tidak boleh menerapkan proses pembaruan manual untuk sistem yang aman, Anda harus mengonfigurasi infrastruktur terpisah untuk memperbarui sistem yang aman. Bahkan di organisasi yang sangat besar, infrastruktur ini biasanya dapat diimplementasikan melalui server WSUS khusus dan GPO untuk sistem yang aman.
Memblokir Akses Internet
Host administratif tidak boleh diizinkan untuk mengakses Internet, juga tidak boleh menelusuri intranet organisasi. Browser web dan aplikasi serupa tidak boleh diizinkan pada host administratif. Anda dapat memblokir akses Internet untuk host aman melalui kombinasi pengaturan firewall perimeter, konfigurasi WFAS, dan konfigurasi proksi "lubang hitam" pada host aman. Anda juga dapat menggunakan daftar izin aplikasi untuk mencegah browser web digunakan pada host administratif.
Virtualization
Jika memungkinkan, pertimbangkan untuk menerapkan komputer virtual sebagai host administratif. Dengan menggunakan virtualisasi, Anda dapat membuat sistem administratif per pengguna yang disimpan dan dikelola secara terpusat, dan yang dapat dengan mudah dimatikan saat tidak digunakan, memastikan bahwa info masuk tidak dibiarkan aktif pada sistem administratif. Anda juga dapat mengharuskan host administratif virtual diatur ulang ke rekam jepret awal setelah setiap penggunaan, memastikan bahwa komputer virtual tetap murni. Informasi selengkapnya tentang opsi untuk virtualisasi host administratif disediakan di bagian berikut.
Contoh Pendekatan untuk Menerapkan Host Administratif Aman
Terlepas dari bagaimana Anda merancang dan menyebarkan infrastruktur host administratif Anda, Anda harus mengingat pedoman yang diberikan dalam "Prinsip untuk Membuat Host Administratif Yang Aman" sebelumnya dalam topik ini. Masing-masing pendekatan yang dijelaskan di sini memberikan informasi umum tentang bagaimana Anda dapat memisahkan sistem "administratif" dan "produktivitas" yang digunakan oleh staf IT Anda. Sistem produktivitas adalah komputer yang digunakan administrator TI untuk memeriksa email, menelusuri Internet, dan menggunakan perangkat lunak produktivitas umum seperti Microsoft Office. Sistem administratif adalah komputer yang diperkeras dan didedikasikan untuk digunakan untuk administrasi sehari-hari lingkungan TI.
Cara paling sederhana untuk menerapkan host administratif yang aman adalah dengan memberi staf TI Anda stasiun kerja aman tempat mereka dapat melakukan tugas administratif. Dalam implementasi khusus stasiun kerja, setiap stasiun kerja administratif digunakan untuk meluncurkan alat manajemen dan koneksi RDP untuk mengelola server dan infrastruktur lainnya. Implementasi khusus stasiun kerja dapat efektif di organisasi yang lebih kecil, meskipun infrastruktur yang lebih besar dan lebih kompleks dapat memperoleh manfaat dari desain terdistribusi untuk host administratif tempat server administratif khusus dan stasiun kerja digunakan, seperti yang dijelaskan dalam "Menerapkan Stasiun Kerja Administratif Aman dan Jump Server" nanti dalam topik ini.
Menerapkan Stasiun Kerja Fisik Terpisah
Salah satu cara agar Anda dapat menerapkan host administratif adalah dengan mengeluarkan setiap pengguna TI dua stasiun kerja. Satu stasiun kerja digunakan dengan akun pengguna "reguler" untuk melakukan aktivitas seperti memeriksa email dan menggunakan aplikasi produktivitas, sementara stasiun kerja kedua didedikasikan secara ketat untuk fungsi administratif.
Untuk stasiun kerja produktivitas, staf TI dapat diberikan akun pengguna reguler daripada menggunakan akun istimewa untuk masuk ke komputer yang tidak aman. Stasiun kerja administratif harus dikonfigurasi dengan konfigurasi yang dikontrol dengan ketat dan staf TI harus menggunakan akun yang berbeda untuk masuk ke stasiun kerja administratif.
Jika Anda telah menerapkan kartu pintar, stasiun kerja administratif harus dikonfigurasi untuk memerlukan logon kartu pintar, dan staf IT harus diberikan akun terpisah untuk penggunaan administratif, juga dikonfigurasi untuk memerlukan kartu pintar untuk masuk interaktif. Host administratif harus diperkuat seperti yang dijelaskan sebelumnya, dan hanya pengguna TI yang ditunjuk yang boleh masuk secara lokal ke stasiun kerja administratif.
Pro
Dengan menerapkan sistem fisik terpisah, Anda dapat memastikan bahwa setiap komputer dikonfigurasi dengan tepat untuk perannya dan bahwa pengguna TI tidak dapat secara tidak sengaja mengekspos sistem administratif terhadap risiko.
Kontra
Menerapkan komputer fisik terpisah meningkatkan biaya perangkat keras.
Masuk ke komputer fisik dengan kredensial yang digunakan untuk mengelola sistem jarak jauh menyimpan kredensial dalam memori.
Jika stasiun kerja administratif tidak disimpan dengan aman, stasiun kerja mungkin rentan terhadap penyusupan melalui mekanisme seperti pencatat kunci perangkat keras fisik atau serangan fisik lainnya.
Menerapkan Stasiun Kerja Fisik yang Aman dengan Stasiun Kerja Produktivitas Virtual
Dalam pendekatan ini, pengguna TI diberi stasiun kerja administratif yang aman tempat mereka dapat melakukan fungsi administratif sehari-hari, menggunakan Remote Server Administration Tools (RSAT) atau koneksi RDP ke server dalam cakupan tanggung jawab mereka. Ketika pengguna TI perlu melakukan tugas produktivitas, mereka dapat terhubung melalui RDP ke stasiun kerja produktivitas jarak jauh yang berjalan sebagai komputer virtual. Kredensial terpisah harus digunakan untuk setiap stasiun kerja, dan kontrol seperti kartu pintar harus diimplementasikan.
Pro
Stasiun kerja administratif dan stasiun kerja produktivitas dipisahkan.
Staf TI yang menggunakan stasiun kerja yang aman untuk terhubung ke stasiun kerja produktivitas dapat menggunakan kredensial dan kartu pintar terpisah, dan kredensial istimewa tidak disimpan di komputer yang kurang aman.
Kontra
Menerapkan solusi memerlukan pekerjaan desain dan implementasi serta opsi virtualisasi yang kuat.
Jika stasiun kerja fisik tidak disimpan dengan aman, stasiun kerja mungkin rentan terhadap serangan fisik yang membahayakan perangkat keras atau sistem operasi dan membuatnya rentan terhadap intersepsi komunikasi.
Menerapkan Stasiun Kerja Aman Tunggal dengan Koneksi untuk Memisahkan Komputer Virtual "Produktivitas" dan "Administratif"
Dalam pendekatan ini, Anda dapat mengeluarkan pengguna TI satu stasiun kerja fisik yang dikunci seperti yang dijelaskan sebelumnya, dan di mana pengguna TI tidak memiliki akses istimewa. Anda dapat menyediakan koneksi Layanan Desktop Jauh ke komputer virtual yang dihosting di server khusus, menyediakan staf IT dengan satu komputer virtual yang menjalankan email dan aplikasi produktivitas lainnya, dan komputer virtual kedua yang dikonfigurasi sebagai host administratif khusus pengguna.
Anda harus memerlukan kartu pintar atau masuk multifaktor lainnya untuk komputer virtual, menggunakan akun terpisah selain akun yang digunakan untuk masuk ke komputer fisik. Setelah pengguna TI masuk ke komputer fisik, mereka dapat menggunakan kartu pintar produktivitas mereka untuk terhubung ke komputer produktivitas jarak jauh mereka dan akun terpisah dan kartu pintar untuk terhubung ke komputer administratif jarak jauh mereka.
Pro
Pengguna TI dapat menggunakan satu stasiun kerja fisik.
Dengan memerlukan akun terpisah untuk host virtual dan menggunakan koneksi Layanan Desktop Jarak Jauh ke komputer virtual, kredensial pengguna TI tidak di-cache dalam memori di komputer lokal.
Host fisik dapat diamankan ke tingkat yang sama dengan host administratif, mengurangi kemungkinan kompromi komputer lokal.
Dalam kasus di mana komputer virtual produktivitas pengguna TI atau komputer virtual administratif mereka mungkin telah disusupi, komputer virtual dapat dengan mudah diatur ulang ke status "baik yang diketahui".
Jika komputer fisik disusupi, tidak ada kredensial istimewa yang akan di-cache dalam memori, dan penggunaan kartu pintar dapat mencegah penyusupan kredensial oleh pencatat penembolokan kunci.
Kontra
Menerapkan solusi memerlukan pekerjaan desain dan implementasi serta opsi virtualisasi yang kuat.
Jika stasiun kerja fisik tidak disimpan dengan aman, stasiun kerja mungkin rentan terhadap serangan fisik yang membahayakan perangkat keras atau sistem operasi dan membuatnya rentan terhadap intersepsi komunikasi.
Menerapkan Stasiun Kerja Administratif yang Aman dan Server Lompat
Sebagai alternatif untuk mengamankan stasiun kerja administratif, atau dalam kombinasinya, Anda dapat menerapkan server lompat yang aman, dan pengguna administratif dapat terhubung ke server lompat menggunakan RDP dan kartu pintar untuk melakukan tugas administratif.
Server lompat harus dikonfigurasi untuk menjalankan peran Gateway Desktop Jarak Jauh untuk memungkinkan Anda menerapkan pembatasan koneksi ke server lompat dan ke server tujuan yang akan dikelola darinya. Jika memungkinkan, Anda juga harus menginstal peran Hyper-V dan membuat Desktop Virtual Pribadi atau komputer virtual per pengguna lainnya untuk digunakan pengguna administratif untuk tugas mereka di server lompat.
Dengan memberi pengguna administratif komputer virtual per pengguna di server lompat, Anda memberikan keamanan fisik untuk stasiun kerja administratif, dan pengguna administratif dapat mengatur ulang atau mematikan komputer virtual mereka saat tidak digunakan. Jika Anda lebih suka tidak menginstal peran Hyper-V dan peran Gateway Desktop Jauh pada host administratif yang sama, Anda dapat menginstalnya di komputer terpisah.
Jika memungkinkan, alat administrasi jarak jauh harus digunakan untuk mengelola server. Fitur Remote Server Administration Tools (RSAT) harus diinstal pada komputer virtual pengguna (atau server lompat jika Anda tidak menerapkan komputer virtual per pengguna untuk administrasi), dan staf administratif harus terhubung melalui RDP ke komputer virtual mereka untuk melakukan tugas administratif.
Dalam kasus ketika pengguna administratif harus terhubung melalui RDP ke server tujuan untuk mengelolanya secara langsung, RD Gateway harus dikonfigurasi untuk memungkinkan koneksi dibuat hanya jika pengguna dan komputer yang sesuai digunakan untuk membuat koneksi ke server tujuan. Eksekusi alat RSAT (atau sejenisnya) harus dilarang pada sistem yang tidak ditunjuk sistem manajemen, seperti stasiun kerja penggunaan umum dan server anggota yang bukan server lompat.
Pro
Membuat server lompat memungkinkan Anda memetakan server tertentu ke "zona" (kumpulan sistem dengan konfigurasi, koneksi, dan persyaratan keamanan yang serupa) di jaringan Anda dan untuk mengharuskan administrasi setiap zona dicapai oleh staf administratif yang terhubung dari host administratif yang aman ke server "zona" yang ditunjuk.
Dengan memetakan jump server ke zona, Anda dapat menerapkan kontrol terperinci untuk properti koneksi dan persyaratan konfigurasi, dan dapat dengan mudah mengidentifikasi upaya untuk terhubung dari sistem yang tidak sah.
Dengan menerapkan komputer virtual per administrator pada server lompat, Anda memberlakukan pematian dan pengaturan ulang komputer virtual ke status bersih yang diketahui ketika tugas administratif selesai. Dengan memberlakukan matikan (atau menghidupkan ulang) komputer virtual ketika tugas administratif selesai, komputer virtual tidak dapat ditargetkan oleh penyerang, atau serangan pencurian kredensial yang layak karena kredensial yang di-cache memori tidak bertahan di luar boot ulang.
Kontra
Server khusus diperlukan untuk server lompat, baik fisik maupun virtual.
Menerapkan server lompatan yang ditunjuk dan stasiun kerja administratif memerlukan perencanaan dan konfigurasi yang cermat yang memetakan ke zona keamanan apa pun yang dikonfigurasi di lingkungan.