Artikel ini membahas mengenai cara untuk melakukan usaha-usaha peningkatan sekuriti pada server windows. Hal ini penting dilakukan terutama setelah kita mengalami insiden
penyerangan atau penyusupan.
Bagaimanapun, para penyerang seringkali menyatroni kembali sistem-sistem korban setelah beberapa waktu menunggu, untuk kemudian melancarakan aksinya lagi. Lakukan beberapa usaha peningkatan sekuriti sehingga sistem/ server masuk pada level "secure" atau aman.
1. Pastikan semua partisi disk di format dalam NTFS
Partisi NTFS menawarkan kontrol dan pengamanan akses yang tidak tersedia pada file system terdahulu, seperti FAT, FAT32 atau FAT32x. Oleh karena itu, pastikan semua partisi disk pada server kita menggunakan format NTFS. Jika perlu, gunakan utilitas convert untuk melakukan konversi (tanpa merusak) dari partisi FAT ke NTFS.
Utilitas convert akan menset ACL pada drive tersebut ke smua orang : Full Controll. Jadi hasilnya sangat tidak aman. Solusinya, gunakan utilitas fixacls.exe dari Windows NT Server Resource Kit untuk mereset drive tersebut ke tingkat keamanan yang diharapkan.
2. Pastikan account-account administrator memiliki password kuat (strong password)
Windows terkini memungkinkan kita membuat password sampai 127 karakter. Secara umum, password yang panjang memang lebih kuat dibanding yang pendek. Password-password dengan kombinasi jenis karakter (huruf, angka, tanda baca, karakter ASCII non cetak yang dibuat menggunakan kunci ALT bersama kode angka tiga digit pada keypad numerik) lebih kuat dibanding password alfabet dan alfanumerik saja.
Untuk pengamanan maksimum, pastikan password account administrator mempunyai panjang minimal 9 karakter dan mengandung minimal 1 tanda baca atau karakter ASCII. Disamping itu, password account administrator tidak boleh ada yang sama pada server-server berbeda. Ini
dalam rangka meningkatkan keamanan didalam workgroup atau domain kita. Ketika sebuah server berhasil dijebol, maka peluang ancaman untuk server-server lainnya terbuka lebar seandainya kita menggunakan password yang sama.
3. Matikan layanan-layanan yang tidak perlu.
Setelah menginstal server windows, seharusnya kita mematikan semua layanan (dikenal
dengan service) jaringan yang tidak diperlukan. Mungkin kita harus mematikan layanan-layanan berikut ini saat tidak digunakan :
- IIS (Internet Information Server): FTP Publishing Service, IIS Admin Service, Network News Transport Protocol (NNTP), Simple Mail Transport Protocol (SMTP), dan Service World Wide Web Publishing.
- Server Service. Matikan jika server tidak digunakan untuk sharing file dan folder. - SNMP Service. Matikan jika monitoring SNMP tidak diperlukan
Disamping itu, kita juga seharusnya menghindari menginstal aplikasi baru pada server kecuali memang betul-betul diperlukan pada fungsi server.
4. Matikan atau hapus account-account yang tidak perlu
Lakukan review terhadap daftar account kita (user dan aplikasi) yang dimiliki komputer. Segera matikan semua account non aktif, dan hapus account yang tidak diperlukan lagi.
- Matikan account Guest dan berikan password yang kuat. Secara default, account Guest memang non-aktif pada sistem yang menjalankan windows server. Jika masih aktif, segera non-aktifkan .
- Matikan account TsInternetUser dan berikan password yang kuat. - Ubah nama account Administrator
- Perkuat TCP/IP
Hasil instal murni bawaan server windows biasanya telah memberikan ACL (Access Control List) default yang cukup aman bagi file-file sistem. Meskipun begitu, upgrade dari versi
sebelumnya (misalnya windows NT 4.0) tidak lantas mengubah setting keamanan sebelumya dan tidak menerapkan setting default windows terbaru.
- Matikan opsi "Hide file extensions for known file types" - Minimalkan izin NTFS bagi semua orang
- Pada level-level drive logical, lakukan set perizinan berikut : - Full controll bagi administrator
- Full controll bagi pembuat/ pemilik
- Modify, Read/ Execute, List Folder Contents, Read, Write bagi user yang sah. - Berikan permisi ALL untuk direktori sistem bagi user-user yang sah (Authenticated Users)
6. Amankan registry dari akses Anonymous
Setting permission default tidak memblok akses remote terhadap registry kita, karena tool penyuntingan registry pada windows server mendukung akses remote secara default. Pastikan bahwa hanya administrator saja yang seharusnya memiliki akses remote pada registry
7. Batasi akses ke informasi Local Security Authority (LSA) Publik
Ingat, kita wajib mengidentifikasi semua user pada sistem. Oleh karena itu, kita harus
membatasi penggunaan user anonymous sehingga jumlah informasi publik yang biasa mereka dapatkan tentang komponen LSA pada Windows NT Security Subsystem dapat dikurangi. LSA menangani aspek-aspek administrasi sekuriti pada komputer lokal, termasuk setting akses dan perizinan.
8. Hapus semua direktori dan program "contoh" dari server
winntsystem32inetsrviisadmpwd, dan winntsystem32inetsrviisadmin seharusnya dihapus. Begitu juga dokumentasi dan program percobaan. Ini dapat mengurangi peluang ekploitasi oleh seseorang yang mencoba mempelajari atau memanfaatkan material-material tersebut.
9. Set kebijakan penguncian account
Windows Server 2000/ 2003 memberi kita fitur penguncian account yang akan mematikan sebuah account setelah terjadi kesalahan login sebanyakn angka yang ditentukan
Administrator. Dengan demikian dapat mengurangi risiko seorang penyerang menggunakan metode brute-force untuk mengetahui login valid menggunakan sebanyak mungkin password. Sayangnya, teknik ini membuat kerentanan terhadap Denial of Servoce (DoS), dimana seorang penyerang dapat membuat account-account terkunci, menyebabkan user-user resmi tidak bisa login atau mengakses sistem.
10. Lakukan konfigurasi pada Account Administrator
Karena account administrator adalah bawaan dari setiap copy windows, seluk beluknya tentu dipahami betul oleh penyerang. Jadi untuk mempersulit penyerangan pada account
Administrator, lakukan trik-trik berikut :
- Ganti nama account dengan nama lain (bukan "adminstrator", "admin", atau "root") - Buat account umpanbernama "administrator", tetapi tanpa hak akses apapun dberikan. - Hidupkan penguncian account pada account "administrator sebenarnya" dengan
menggunakan utilitas passprop
- Matikan account Administrator pada komputer lokal.
11. Hapus file share yang tidak diperlukan
Semua file yang di-share didalam jaringan harus sebatas yang dibutuhkan saja. Jika terdapat diantaranya yang kurang perlu, maka segera hapus. Ini untuk mencegah kemungkinan
pengungkapan informasi dan mencegah user-user nakal memanfaatkan share sebagai jalan masuk ke sistem lokal.
12. Aktifkan audit event sekuriti
Server-server windows menyediakan sarana untuk mencatat usaha-usaha login yang sukses dan gagal. Pencatatan ini berguna untuk mengetahui apakah adanya serangan atau tidak, juga bagaimana dan kapan serangan itu dilancarkan.
Kita memang dapat mengaktifkan semua jenis audit, namun konfigurasi tersebut akan
menghasilkan file-file log yang sulit dikelola. Laporan-laporan dapat sangat banyak dan besar sehingga berpeluang memperngaruhi kinerja server. Microsoft menganjurkan kita untuk hanya menghidupkan audit atas login suskes dan gagal.
13. Set pesan peringatan pada Log on
Adalah dianjurkan untuk menulis pesan peringatan kepada siapa saja yang berusaha
melakukan penyerangan. Meski setting log pesan peringatan ini tidak secara teknis membatasi usaha penyerangan, namun secara signifikan dapat menambah kekuatan perusahaan,
terutama untuk melakukan tuntutan atas aksi penyerangan.
Kita dapat memilih kata-kata yang bersifat formal dan tegas pada pesan peringatan, sebaiknya gunakan bahasa inggris. Microsoft merekomendasikan seperti berikut :
"This system is restricted to authorized users. Individuals attemting unauthorized access will be prosecuted. If unauthorized, terminate access now! Clicking on OK indicates your acceptance of the information in the background"
14. Install software antivirus, antispyware, dan meng-update secara berkala
Penting sekali untuk menginstal software antivirus dan antispyware serta menjaganya tetap up-to-date. Ini karena begitu banyak jenis virus terbaru bermunculan di internet dan intranet.
15. Instal Service Pack dan Critical Patch
Dari waktu ke waktu, Microsoft merilis apa yang disebut service pack dan critical update untuk mengatasi kerentanan keamanan yang baru ditemukan didalam komponen yang termasuk dalam windows. Microsoft update adalah tool untuk mengidentifikasi update-update kritis yang selayaknya kita install. Service pack terbaru untuk windows mencakup semua perbaikan keamanan dari versi service pack sebelumnya. Microsoft merekomendasikan kita untuk tetap up-to-date pada rilis service pack ini dan menginstallnya dengan benar.
16. Gunakan automatic update untuk secara otomatis memberitahu ketersediaan perbaikan keamanan baru
Automatic update dalam windows harus kita aktifkan, sehingga dapat secara otomatis melakukan download update-update dab menginstallnya tanpa melalui intervensi manual. Microsoft biasanya membuat buletin-buletin keamanan melalui Security Notification Service. Perusahaan skala menengah besar seharusnya menggunakan Windows Server Update
Service (WSUS), Microsoft Management Server, atau solusi lain yang serupa untuk mengurangi campur tangan manusia dalam penanganan patch-patch.
17. Lakukan pemindaian terhadap sistem dengan Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) merupakan tool yang mampu mengevaluasi ketepatan konfigurasi-konfigurasi sistem kita dan menyediakan laporan yang memberikan saran-saran spesifik untuk meningkatkan keamanan. MBSA akan merekomendasikan
perbaikan terbaru, perubahan konfigurasi yang berkaitan dengan layanan-layanan inti internet, seperti internet explorer, internet information service, dan sql server.
Gunakan MBSA untuk mengenali kelemahan dalam konfigurasi-konfigurasi vital sistem kita, dan jalankan secara teratur untuk menemukan kelemahan-kelemahan baru. Hasil dari MBSA akan menampilkan banyak perbaikan keamanan yang belum di instal. Inilah yang diharapkan.
