Keamanan / Security merupakan salah satu hal dasar bagi para administrator jaringan (network). Kelalaian dalam memperhatikan hal ini kan berakibat fatal bagi si network administrator. Kali ini kita akan membahas cara-cara dasar pengamanan windows server :
- Gunakan windows service pack terbaru atau update patch security terbaru untuk menutupi kelemahan pada software windows server terhadap malware atau security exploit. Update berkala program-program yang penting misalnya adobe acrobat reader, adobe flash player, sun java untuk menutup vulnerabilities. Atau uninstall saja program-program tersebut jika tidak dibutuhkan selain itu uninstall atau disable service-service yang tidak dibutuhkan misal (Gopher, FTP, HTTP, remote administration)
|
Windows Automatic Updates |
- Hilangkan atau disable user account yang tidak diperlukan yang dibuat ketika proses instalasi server misalnya disable administrator account dan buat account lain/alternatif dengan hak administrator. Dengan cara ini hacker tidak bisa meng-crack menggunakan username default windows yaitu administrator. Dan juga matikan account guest dari menu Computer Management (Klik kanan My Computer - Manage) atau dari command prompt : net user guest delete.
|
Login Windows Server 2003 |
|
|
|
- Gunakan
password yang kuat sehingga tidak mudah untuk dicrack oleh hacker menggunakan brute force atau dictionary attack. Password yang baik adalah memiliki sedikitnya 15 buah karakter, mengandung huruf besar (uppercase), mengandung huruf kecil (lower case), mengandung angka (nomor), mengandung simbol seperti ` ! " ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ' ~ # | \ < , > . ? /
Contoh password yang baik adalah My cat, Lucy, likes to bathe in my presence, password ini lebih dari 15 karakter, mengandung huruf besar dan kecil, mengandung simbol. Coba uji password anda di website ini
http://howsecureismypassword.net/
-Install radmin/vnc sebagai alternatif remote pengganti rpc (terminal service) dan tambahkan username dan password radmin untuk keamanan/security tambahan ketika koneksi ke server, kemudian ganti port default/standar-nya agar tidak mudah dikenali penyerang. Dan terakhir gunakan pilihan IP Filter agar hanya ip yang kita izinkan saja yang dapat masuk untuk meremote server kita untuk menghindari serangan dari dalam (LAN) dan juga luar jaringan (Internet)
|
Radmin |
- Dual authentication
Selain menggunakan autentikasi berupa user name dan password untuk masuk ke login server, untuk proteksi lebih kita dapat menggunakan biometrik atau smart card.
|
Biometric Smart Card |
- Aktifkan / Enable audit policy dan account lockout policy dan cek secara berkala untuk melihat log yang mencurigakan.
Yang dimaksud audit dalam hal ini adalah mencatat/merekam semua kejadian (events) pada server. Event ini dapat terjadi karena dilakukan oleh user itu sendiri atau oleh server. Sebagai contoh adalah ketika user login (memasukkan user name dan password) ke dalam server.
Untuk mengaktifkan audit policy, masuk ke secpol.msc (Start - Run - ketik secpol.msc) kemudian pilih Local Policies, Audit Policy, rubah setting seperti gambar di bawah :
|
Audit Policy |
|
|
Beri tanda centang pada success dan failure untuk audit logon events:
|
Audit Logon Events Success Failure |
Untuk mengunci / lock user yang berulangkali gagal login ke server maka kita gunakan account lockout policy.
Untuk mengaktifkan account lockout policy, masuk ke secpol.msc (Start - Run - ketik secpol.msc) kemudian pilih Account Policies, Account Lockout Policy, rubah setting ke setting
medium seperti gambar di bawah :
|
Account Lockout Policy |
Salah satu teknik yang efektif untuk audit adalah dengan menggunakan audit failure untuk login network Audit failure akan membuat sebuah log entry hanya ketika seorang user mencoba login dan gagal. Kemudian kita akan dapat melihat username apa yang gagal ketika login. Jika username hanya muncul sekali pada aduit failure security log, kemungkinan hanya salah ketik. Tetapi jika username tersebut gagal login beberapa kali terutama diluar jam kerja, kemungkinan ini adalah upaya hacking.
Berikut adalah contoh dari seseorang yang gagal masuk (login) ke server yang terekam di Event Viewer:
|
Audit Failure |
- Tutup atau disable port yang dapat menjadi celah masuk hacker seperti port 135-139,445 (rpc, netbios, windows file and print sharing) pada server terluar seperti firewall, dns, email.. Ini merupakan salah satu cara untuk menutupi kelemahan Windows Server misal untuk mencegah Kiss Of Death (salah satu tool Denial Of Service/DOS). NetBIOS merupakan protocol lama yang tidak aman, oleh karena itu sebaiknya protocol ini di-disable saja, NetBIOS dulu dikembangkan oleh IBM untuk menghubungkan satu komputer dengan komputer lain. Jangan disable Netbios pada server Active Directory karena akan mengakibatkan kegagalan proses authentikasi beberapa user ke server. Dengan menutup windows file and print sharing kita telah menutup salah satu celah bagi hacker untuk masuk ke server.
|
Disable NetBIOS |
|
Disable File and Print Sharing dengan tidak mencentangnya |
Security tool
Symentec End Point ini mempunyai fitur yang lumayan lengkap ... antivirus, antispyware, firewall, HIPS (host-based intrusion protection system), application and device control, network IPS (Intrusion Prevention System), ddos detection, portscan detection, block keylogger, anti-trojan, anti-worm, anti-malware. Fitur
IPS yang dimilikinya adalah sebuah langkah maju bila dibandingkan dengan
IDS (Intrusion Detection System). Jika IDS cara kerjanya secara pasif memonitor lalu-lintas data yang lewat pada suatu port kemudian mengirimkan sebuah peringatan ke network admin, IPS dapat bertindak sebagai firewall, menahan (intercept) dan meneruskan (forward) paket data. Jadi IPS mampu untuk menghadang (block) serangan secara real time. Fungsi application dan device control di Symantec End Point antara lain memblock penggunaan usb/cd-rom, mencegah serangan lewat PDF, block instalasi program yang tidak diinginkan di komputer. Dengan pemblokiran penggunaan USB di komputer, maka hal ini dapat berguna untuk mencegah serangan
Social Engineering lewat USB. Teknik Social Engineering menggunakan metode USB Flashdrive ini merupakan cara yang paling populer untuk menyerang dari dalam jaringan (LAN). Dimana ketika karyawan suatu perusahaan menancapkan USB yang berisi exploit dari rumahnya kemudian dibawa ke kantornya, exploit tersebut seketika menjadi aktif ketika USB tersebut ditancapkan di pc kantor.
|
Symantec End Point |
- Periksa keamanan server dengan online security check seperti
ShieldsUp,
AuditMyPC,
Secunia atau distro khusus security: Linux
Backtrack Penetration Testing Distribution dengan tool seperti
nmap untuk mengetest firewall atau server anda terhadap kelemahan-kelemahan misalnya port-port server yang terbuka (open).
|
Linux Backtrack 5 |
- Pengamanan server secara fisik
Semua komputer dengan sistem operasi (Windows 2000, XP, or 2003) menyimpan passwordnya di dalam Security Accounts Manager (SAM), walaupun password tersebut disimpan dalam bentuk enkripsi, tapi karena kunci enkripsi disimpan di server(mesin) yang sama, maka rentan untuk dijebol oleh orang yang tidak bertanggung jawab misalnya dengan memakai program "password recovery utilities". Untuk itu kita perlu mengamankan server secara fisik dengan cara mengamankan server dengan meletakkannya di ruang tersendiri yang terkunci(aman).
|
Secure Server Room |
"Sebuah tulisan yang masih jauh dari sempurna"
Wallahualam bissawab
Sumber:
http://books.google.co.id/books?id=5BCEwMjA5zgC&printsec=frontcover&dq=securing+windows+server+2003&source=bl&ots=s2b9Tz6x86&sig=5Zgf8VRGIld39suxKn8vpP0fHu8&hl=id&ei=HdUGTcqgEcaurAfxq-CiCQ&sa=X&oi=book_result&ct=result&resnum=2&ved=0CB0Q6AEwAQ#v=onepage&q&f=false
http://www.windowsecurity.com/articles/Implementing-Troubleshooting-Account-Lockout.html
http://www.xnews.ro/docs/online-security-check.htm
http://www.techrepublic.com/article/tips-and-tricks-to-secure-windows-server-2003/5758155
http://www.techrepublic.com/article/solutionbase-creating-a-windows-server-2003-audit-policy/6028421
http://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf