Mengamankan Pengontrol Domain Terhadap Serangan
Berlaku untuk: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Hukum Nomor Tiga: Jika orang jahat memiliki akses fisik yang tidak terbatas ke komputer Anda, itu bukan komputer Anda lagi. - Sepuluh Hukum Keamanan yang Tidak Dapat Diubah (Versi 2.0).
Pengendali domain menyediakan penyimpanan fisik untuk database Active Directory Domain Services (AD DS), selain menyediakan layanan dan data yang memungkinkan perusahaan mengelola server, stasiun kerja, pengguna, dan aplikasi mereka secara efektif. Jika akses istimewa ke pengontrol domain diperoleh oleh pengguna berbahaya, mereka dapat memodifikasi, merusak, atau menghancurkan database AD DS dan, dengan ekstensi, semua sistem dan akun yang dikelola oleh Direktori Aktif.
Karena pengendali domain dapat membaca dari dan menulis ke apa pun dalam database AD DS, penyusupan pengendali domain berarti bahwa forest Direktori Aktif Anda tidak pernah dapat dipercaya lagi, kecuali Anda dapat pulih menggunakan cadangan yang baik yang diketahui dan untuk menutup celah yang memungkinkan kompromi.
Tergantung pada persiapan, peralatan, dan keterampilan penyerang, kerusakan yang tidak dapat diperbaiki dapat diselesaikan dalam hitungan menit hingga jam, bukan hari atau minggu. Yang penting bukanlah berapa lama penyerang memiliki akses istimewa ke Direktori Aktif, tetapi berapa banyak penyerang telah merencanakan untuk saat ketika akses istimewa diperoleh. Mengorbankan pengendali domain dapat menyediakan jalur paling langsung untuk penghancuran server anggota, stasiun kerja, dan Direktori Aktif. Karena ancaman ini, pengendali domain harus diamankan secara terpisah dan lebih ketat daripada infrastruktur umum.
Keamanan Fisik untuk Pengendali Domain
Bagian ini menyediakan informasi tentang mengamankan pengendali domain secara fisik. Pengendali domain mungkin merupakan komputer fisik atau virtual, di pusat data, kantor cabang, atau lokasi jarak jauh.
Pengontrol Domain Pusat Data
Pengontrol Domain Fisik
Di pusat data, pengontrol domain fisik harus dipasang di rak atau kandang aman khusus yang terpisah dari populasi server umum. Jika memungkinkan, pengontrol domain harus dikonfigurasi dengan chip Trusted Platform Module (TPM) dan semua volume di server pengontrol domain harus dilindungi melalui BitLocker Drive Encryption. BitLocker menambahkan overhead performa kecil dalam persentase satu digit, tetapi melindungi direktori dari kompromi bahkan jika disk dihapus dari server. BitLocker juga dapat membantu melindungi sistem dari serangan seperti rootkit karena modifikasi file boot akan menyebabkan server boot ke mode pemulihan sehingga biner asli dapat dimuat. Jika pengendali domain dikonfigurasi untuk menggunakan RAID perangkat lunak, SCSI yang terpasang serial, penyimpanan SAN/NAS, atau volume dinamis, BitLocker tidak dapat diimplementasikan, sehingga penyimpanan yang terpasang secara lokal (dengan atau tanpa RAID perangkat keras) harus digunakan dalam pengendali domain jika memungkinkan.
Pengontrol Domain Virtual
Jika Anda menerapkan pengontrol domain virtual, Anda harus memastikan bahwa pengendali domain juga berjalan pada host fisik terpisah daripada komputer virtual lainnya di lingkungan. Bahkan jika Anda menggunakan platform virtualisasi pihak ketiga, pertimbangkan untuk menyebarkan pengontrol domain virtual pada Hyper-V di Windows Server, yang menyediakan permukaan serangan minimal dan dapat dikelola dengan pengendali domain yang dihostingnya daripada dikelola dengan host virtualisasi lainnya. Jika Anda menerapkan System Center Virtual Machine Manager (SCVMM) untuk manajemen infrastruktur virtualisasi, Anda dapat mendelegasikan administrasi untuk host fisik tempat komputer virtual pengendali domain berada dan pengendali domain itu sendiri kepada administrator yang berwenang. Anda juga harus mempertimbangkan untuk memisahkan penyimpanan pengendali domain virtual untuk mencegah administrator penyimpanan mengakses file komputer virtual.
Catatan
Jika Anda berniat untuk menemukan pengontrol domain virtual dengan komputer virtual lain yang kurang sensitif pada server virtualisasi fisik (host) yang sama, pertimbangkan untuk menerapkan solusi yang memberlakukan pemisahan tugas berbasis peran, seperti VM Terlindungi di Hyper-V. Teknologi ini memberikan perlindungan komprehensif terhadap administrator fabric berbahaya atau tanpa petunjuk (termasuk administrator virtualisasi, jaringan, penyimpanan, dan cadangan.) Ini memanfaatkan akar kepercayaan fisik dengan pengesahan jarak jauh dan provisi VM yang aman, dan secara efektif memastikan tingkat keamanan yang setera dengan server fisik khusus.
Lokasi Cabang
Pengendali Domain Fisik di cabang
Di lokasi di mana beberapa server berada tetapi tidak diamankan secara fisik ke tingkat bahwa server pusat data diamankan, pengendali domain fisik harus dikonfigurasi dengan chip TPM dan Enkripsi Drive BitLocker untuk semua volume server. Jika pengendali domain tidak dapat disimpan di ruang terkunci di lokasi cabang, Anda harus mempertimbangkan untuk menyebarkan Pengontrol Domain Baca-Saja (RODC) di lokasi tersebut.
Pengontrol Domain Virtual di cabang
Jika memungkinkan, Anda harus menjalankan pengontrol domain virtual di kantor cabang pada host fisik terpisah daripada komputer virtual lainnya di situs. Di kantor cabang tempat pengontrol domain virtual tidak dapat berjalan pada host fisik terpisah dari populasi server virtual lainnya, Anda harus menerapkan chip TPM dan Enkripsi Drive BitLocker pada host tempat pengontrol domain virtual berjalan minimal, dan semua host jika memungkinkan. Tergantung pada ukuran kantor cabang dan keamanan host fisik, Anda harus mempertimbangkan untuk menyebarkan RODC di lokasi cabang.
Lokasi Jarak Jauh dengan Ruang dan Keamanan Terbatas
Jika infrastruktur Anda menyertakan lokasi di mana hanya satu server fisik yang dapat diinstal, server yang mampu menjalankan beban kerja virtualisasi harus diinstal, dan Enkripsi Drive BitLocker harus dikonfigurasi untuk melindungi semua volume di server. Satu komputer virtual di server harus berjalan sebagai RODC, dengan server lain berjalan sebagai komputer virtual terpisah pada host. Informasi tentang perencanaan penyebaran RODC disediakan dalam Panduan Perencanaan dan Penyebaran Pengendali Domain Baca-Saja. Untuk informasi selengkapnya tentang menyebarkan dan mengamankan pengontrol domain virtual, lihat Menjalankan Pengendali Domain di Hyper-V. Untuk panduan lebih rinci untuk memperkuat keamanan Hyper-V, mendelegasikan manajemen komputer virtual, dan melindungi komputer virtual, lihat Akselerator Solusi Panduan Keamanan Hyper-V di situs web Microsoft.
Sistem Operasi Pengendali Domain
Anda harus menjalankan semua pengontrol domain pada versi terbaru Windows Server yang didukung dalam organisasi Anda. Organisasi harus memprioritaskan menonaktifkan sistem operasi warisan dalam populasi pengendali domain. Menjaga pengendali domain tetap terkini dan menghilangkan pengontrol domain warisan, memungkinkan Anda memanfaatkan fungsionalitas dan keamanan baru. Fungsionalitas ini mungkin tidak tersedia di domain atau forest dengan pengendali domain yang menjalankan sistem operasi warisan.
Catatan
Adapun konfigurasi sensitif keamanan dan tujuan tunggal, kami sarankan Anda menyebarkan sistem operasi di opsi penginstalan Server Core . Ini memberikan beberapa manfaat, seperti meminimalkan permukaan serangan, meningkatkan performa dan mengurangi kemungkinan kesalahan manusia. Disarankan agar semua operasi dan manajemen dilakukan dari jarak jauh, dari titik akhir khusus yang sangat aman seperti stasiun kerja akses Istimewa (PAW) atau Host administratif Aman.
Konfigurasi Aman Pengendali Domain
Alat dapat digunakan untuk membuat garis besar konfigurasi keamanan awal untuk pengendali domain yang nantinya dapat diberlakukan oleh GPO. Alat-alat ini dijelaskan di bagian Mengelola pengaturan kebijakan keamanan dokumentasi sistem operasi Microsoft atau Desired State Configuration (DSC) untuk Windows.
Pembatasan RDP
Objek Kebijakan Grup yang ditautkan ke semua OU pengontrol domain di forest harus dikonfigurasi untuk mengizinkan koneksi RDP hanya dari pengguna dan sistem yang berwenang seperti server lompat. Kontrol dapat dicapai melalui kombinasi pengaturan hak pengguna dan konfigurasi WFAS yang diterapkan dengan GPO sehingga kebijakan diterapkan secara konsisten. Jika kebijakan dilewati, refresh Kebijakan Grup berikutnya mengembalikan sistem ke konfigurasi yang tepat.
Manajemen Patch dan Konfigurasi untuk Pengendali Domain
Meskipun mungkin tampak berlawanan dengan intuisi, Anda harus mempertimbangkan untuk menambal pengontrol domain dan komponen infrastruktur penting lainnya secara terpisah dari infrastruktur Windows umum Anda. Jika Anda menggunakan perangkat lunak manajemen konfigurasi perusahaan untuk semua komputer di infrastruktur Anda, kompromi perangkat lunak manajemen sistem dapat digunakan untuk mengkompromikan atau menghancurkan semua komponen infrastruktur yang dikelola oleh perangkat lunak tersebut. Dengan memisahkan patch dan manajemen sistem untuk pengontrol domain dari populasi umum, Anda dapat mengurangi jumlah perangkat lunak yang diinstal pada pengontrol domain, selain mengontrol manajemennya dengan ketat.
Memblokir Akses Internet untuk Pengendali Domain
Salah satu pemeriksaan yang dilakukan sebagai bagian dari Penilaian Keamanan Direktori Aktif adalah penggunaan dan konfigurasi Internet Explorer pada pengendali domain. Tidak ada browser web yang harus digunakan pada pengendali domain. Analisis ribuan pengendali domain telah mengungkapkan banyak kasus di mana pengguna istimewa menggunakan Internet Explorer untuk menelusuri intranet organisasi atau Internet.
Seperti yang dijelaskan sebelumnya di bagian "Kesalahan konfigurasi" dari Avenues to Compromise, menelusuri Internet atau intranet yang terinfeksi dari salah satu komputer paling kuat dalam infrastruktur Windows menggunakan akun yang sangat istimewa memberikan risiko luar biasa bagi keamanan organisasi. Baik melalui drive dengan mengunduh atau dengan mengunduh "utilitas" yang terinfeksi malware," penyerang dapat mendapatkan akses ke semua yang mereka butuhkan untuk sepenuhnya membahayakan atau menghancurkan lingkungan Direktori Aktif.
Meskipun Windows Server dan versi Internet Explorer saat ini menawarkan banyak perlindungan terhadap unduhan berbahaya, dalam kebanyakan kasus di mana pengontrol domain dan akun istimewa telah digunakan untuk menelusuri Internet, pengendali domain menjalankan Windows Server 2003, atau perlindungan yang ditawarkan oleh sistem operasi dan browser yang lebih baru sengaja dinonaktifkan.
Meluncurkan browser web pada pengendali domain harus dibatasi oleh kontrol kebijakan dan teknis. Selanjutnya, akses Internet umum ke dan dari pengendali domain juga harus dikontrol secara ketat.
Microsoft mendorong semua organisasi untuk beralih ke pendekatan berbasis cloud untuk manajemen identitas dan akses dan bermigrasi dari Direktori Aktif ke ID Microsoft Entra. MICROSOFT Entra ID adalah solusi manajemen identitas dan akses cloud lengkap untuk mengelola direktori, memungkinkan akses ke aplikasi lokal dan cloud, dan melindungi identitas dari ancaman keamanan. Microsoft Entra ID juga menawarkan serangkaian kontrol keamanan yang kuat dan terperinci untuk membantu melindungi identitas, seperti autentikasi multifaktor, kebijakan Akses Bersyar, Perlindungan Identitas, tata kelola identitas, dan Privileged Identity Management.
Sebagian besar organisasi akan beroperasi dalam model identitas hibrid selama transisi mereka ke cloud, di mana beberapa elemen Active Directory lokal mereka akan disinkronkan menggunakan Microsoft Entra Koneksi. Sementara model hibrid ini ada di organisasi mana pun, Microsoft merekomendasikan perlindungan yang didukung cloud dari identitas lokal tersebut menggunakan Microsoft Defender untuk Identitas. Konfigurasi sensor Defender for Identity pada pengontrol domain dan server LAYANAN Federasi Direktori Aktif memungkinkan koneksi satu arah yang sangat aman ke layanan cloud melalui proksi dan ke titik akhir tertentu. Penjelasan lengkap tentang cara mengonfigurasi koneksi proksi ini dapat ditemukan dalam dokumentasi teknis untuk Defender for Identity. Konfigurasi yang dikontrol dengan ketat ini memastikan bahwa risiko menghubungkan server ini ke layanan cloud dimitigasi, dan organisasi mendapat manfaat dari peningkatan kemampuan perlindungan yang ditawarkan Defender for Identity. Microsoft juga merekomendasikan agar server ini dilindungi dengan deteksi titik akhir yang didukung cloud seperti Pertahanan Microsoft untuk Server.
Untuk organisasi yang memiliki persyaratan peraturan atau kebijakan lain yang didorong untuk mempertahankan implementasi Direktori Aktif lokal saja, Microsoft merekomendasikan untuk sepenuhnya membatasi akses internet ke dan dari pengendali domain.
Pembatasan Firewall Perimeter
Firewall perimeter harus dikonfigurasi untuk memblokir koneksi keluar dari pengendali domain ke Internet. Meskipun pengendali domain mungkin perlu berkomunikasi di seluruh batas situs, firewall perimeter dapat dikonfigurasi untuk memungkinkan komunikasi antarsitus dengan mengikuti panduan yang disediakan dalam Cara mengonfigurasi firewall untuk domain dan kepercayaan Direktori Aktif.
Mencegah Penjelajahan Web dari Pengendali Domain
Anda dapat menggunakan kombinasi konfigurasi AppLocker, konfigurasi proksi "lubang hitam", dan konfigurasi WFAS untuk mencegah pengendali domain mengakses Internet dan untuk mencegah penggunaan browser web pada pengendali domain.