Disable Local Administrator Account

Disable Local Administrator

Oleh:

Hadi Rasyid Sono

Muhammad Ridho Dewanto

Yoko Hugo

 Disable local administrator merupakan langkah untuk menonaktifkan akun administrator untuk menghindari dimanfaatkannya akun administrator oleh penyerang. Disable local administrator dapat dilakukan cukup dengan langkah-langkah sederhana.

Ketika akan login pada Windows, terdapat beberapa pilihan akun yang bisa dipilih untuk melakukan login. Salah satu akun yang bisa dipilih yaitu akun yang memiliki akses privilege yang lebih tinggi, yang disebut local administrator account. Akun ini memiliki akses lebih tinggi untuk membaca, menulis, atau menjalankan program atau tertentu yang tidak bisa dilakukan user biasa. Akun inilah yang biasa disalahgunakan penyerang untuk mengeksploitasi sistem. Dengan memanfaatkan akun ini, penyerang dapat menjalankan malicious code untuk reformat harddisk, menghapus file, atau membuat akun baru dengan administrative privileges untuk kepentingan jahat.

Pada umunya, dalam menjalankan pekerjaan sehari-hari tidak diperlukan tingkat privilege sebagaimana local administrator account. Oleh karena itu, sebaiknya pengguna menggunakan akun biasa dengan privilege sesuai dengan kebutuhan pekerjaan. Dalam keamanan informasi terdapat konsep Principle of Least Privilege, yang berarti pengguna menggunakan akun yang memiliki batas akses minimum sesuai kebutuhan pekerjaannya. Local administrator account yang sedang tidak dipakai sebaiknya dimatikan untuk mengurangi vulnerabilities.

Berikut akan dijabarkan langkah-langkah untuk disable local administrator account pada Windows Vista & 7 Professional, Business, Ultimate, and Enterprise, and Windows 8.

  1. Klik kanan pada ikon My Computer
  2. Pilih Manage

3. Jika diminta izin oleh User account Control Scren, klik tombol Yes.

4. Layar Computer Management akan terbuka. Pilih folder System Tools, kemudian folder Local Users and Group, kemudian klik pada folder Users. Pada bagian kanan akan terlihat daftar akun pada komputer kita, termasuk Administrator account.

5. Klik kanan pada Administrator account dan klik Properties pada pilihan menu sebagaimana gambar di bawah.

6. Layar Administrator Properties akan terbuka seperti gambar di bawah.

 Aktifkan tanda check pada checkbox Account is disable jika ingin menonaktifkan Local Administrator account.

7. Klik tombol OK kemudian keluar dari layar Computer Management.

 

Referensi:

CMU (2006). Windows Administrator Account Guidelines. [Online], Available: http://www.cmu.edu/iso/governance/guidelines/win-admin.html [Accessed: 5 November 2013]

Lawrence Abrams (2010). How to Enable and Disable Windows Administrator Account. [Online], Available: http://www.bleepingcomputer.com/tutorials/enable-disable-windows-administrator-account/ [Accessed: 5 November 2013]

Mitigation Strategy #13 – Centralised and Time-Synchronised Logging of Allowed and Blocked Network Activity

Pendahuluan
Tidak ada satu pun strategi mitigasi yang mampu mencegah gangguan siber. Namun, diperlukan banyak strategi mitigasi yang dilakukan yang diharapkan mampu menempatkan diri dalam tiga tahap gangguan siber (tahap 1 – musuh yang melakukan pengintaian kepada user yang terpilih, tahap 2 – musuh yang biasanya menggunakan akun yang dikompromikan untuk mengeksploitasi kelemahan, dan tahap 3 – musuh yang menggunakan file arsip RAR/zip untuk mengkompresi dan mengenkripsi salinan dari informasi sensitif).
Penjelasan Teknik
Salah satu mitigasi yang dilakukan adalah pencatatan yang terpusat dan tersinkronisasi waktu pada aktivitas jaringan yang diperbolehkan dan diblok dengan analisis pencatatan aktual, penyimpanan catatan sekurangnya 18 bulan. Pencatatan penting meliputi DNS server, web proxy logs yang berisikan koneksi detail mencakup user-agent values, DHCP leases, firewall logs yang mana mendetailkan lalu lintas masuk dan keluar jaringan organisasi, dan data alir jaringan. Target penyerangan dari berbagai gangguan siber perlu dipantau aktivitas jaringannya demi mendapatkan info diserang atau tidaknya agar penanganan dapat dilakukan dengan segera.
HTTP traffic
HTTP traffic ini dilakukan agar mengetahui aktivitas penjelajahan dunia maya yang menggunakan HTTP sebagai protokolnya. Hal ini dilakukan sebagai bentuk antisipasi karena target serangan sering menggunakannya. Ada beberapa software yang dapat digunakan untuk melakukan pemantauan HTTP traffic ini. Di antaranya ada wireshark dan fiddler. Contoh pemantauan dapat dilihat pada gambar di bawah ini.

Contoh Pemakaian software Fiddler dalam pemantauan HTTP traffic 

DHCP leases (penyewaan Dynamic Host Configuration Protocol)
Dynamic Host Configuration Protocol (DHCP) adalah sebuah protokol standardisasi jaringan menggunakan jaringan IP yang secara dinamis mengatur IP address dan informasi lain yang dibutuhkan untuk komunikasi internet. DHCP ini juga merupakan layanan yang secara otomatis memberikan nomor IP kepada komputer yang memintanya. DHCP membolehkan komputer dan devais lainnya untuk menerima sebuah IP address secara otomatis dari server DHCP pusat, mengurangi kebutuhan untuk jaringan administrator atau pengguna dari memiliki menjadi mengatur aturan secara manual. Komputer yang memberikan nomor IP disebut sebagai DHCP server, sedangkan komputer yang meminta nomor IP disebut sebagai DHCP Client. Dengan demikian administrator tidak perlu lagi harus memberikan nomor IP secara manual pada saat konfigurasi TCP/IP, tapi cukup dengan memberikan referensi kepada DHCP server. Pada saat kedua DHCP client dihidupkan, maka komputer tersebut melakukan request ke DHCP-server untuk mendapatkan nomor IP. DHCP menjawab dengan memberikan nomor IP yang ada di database DHCP. DHCP Server setelah memberikan nomor IP, maka server meminjamkan nomor IP yang ada ke DHCP-Client dan mencoret nomor IP tersebut dari daftar pool. Nomor IP diberikan bersama dengan subnet mask dan default gateway. Jika tidak ada nomor IP yang dapat diberikan, maka client tidak dapat menginisialisasi TCP/IP, dengan sendirinya tidak dapat tersambung pada jaringan tersebut.
Kelebihan DHCP
1. Memudahkan dalam transfer data kepada PC client lain atau PC server
2. DHCP menyediakan alamat-alamat IP secara dinamis dan konfigurasi lain. DHCP ini didesain untuk melayani network yang besar dan konfigurasi TCP/IP yang kompleks.
3. DHCP memungkin suatu client menggunakan alamat IP yang reusable, artinya bisa dipakai oleh client yang lain jika client tidak sedang menggunakannya (off).
4. DHCP memungkiinkan suatu client menggunakan satu alamat IP untuk jangka waktu tertentu dari server.
5. DHCP akan memberikan satu alamat IP dan parameter-parameter konfigurasi lainnya kepada client.
Pencatatan DHCP log ini bertujuan agar dapat menelusuri serangan-serangan yang mungkin terjadi. Hampir sama dengan log lainnya, catatan ini juga memberi kita informasi
Log DNS Server
Melakukan pencatatan ini, secara cepat mampu mengidentifikasikan apakah sebuah mesin terinfeksi, diserang, atau mengalami gangguan siber. Sebagai contohnya, hal ini dilakukan dengan mengeksekusi command DNS server activity yang sedang terhubung pada server /var/log/messages files : #rndc querylog. Contoh potongan log file (yang didapat dari situs lain):
Log DNS dari situs http://www.linuxnix.com/2009/11/how-to-log-dns-server-activity.html

Firewall logs
Instalasi firewall yang dilakukan belumlah cukup dalam mengatasi gangguan siber. Dalam hal ini, pemantauan file log firewall sangatlah perlu dilakukan secara berkelanjutan. Dengan meninjau kembali log firewall, kita dapat menentukan apakah IP address baru mencoba untuk menggali jaringan dan juga memungkinkan membuat aturan dalam firewall agar lebih kuat dalam menghadapi serangan. Setelah itu, kita juga dapat menentukan penelusuran “penggalian” tersebut dan melakukan aksi untuk menghadapi masalah yang mungkin dihadapi pada saat itu ataupun mungkin setelahnya. Seluruh informasi log firewall dicatat pada logging server secara terpusat atau lokal. Kita harusnya dapat meninjau log tersebut secara rutin (harian), dan lebih disukai hal itu dilakukan pagi hari, untuk melihat aktivitas yang dinilai mencurigakan yang mungkin terjadi pada malam hari. Inilah beberapa hal-hal mendasar yang harus dilakukan:
Lihat IP address yang ditolak dan di-drop, telusuri dari manakah mereka berasa. Untuk mengetahuinya, coba untuk menyelesaikan IP address dengan sebuah nama menggunakan ping –a IP address. Jika hal itu benar, kita dapat menyelesaikannya dengan “Who Is” database, panggil pemiliknya, dan cari tahu mengapa seseorang pada situsnya menggali port kita. Sering pemiliknya berupa ISP, yang dapat menunjukkan pelaku pada “penggalian” tersebut jika si pelaku merupakan customer dari ISP tersebut.
Lihat pada login yang tidak berhasil ke firewall kita atau ke mission-critical server yang melindunginya. Jika kita melihat banyak sekali kegagalan login dari domain yang sama, kita mungkin dapat menuliskan suatu aturan untuk men-drop seluruh koneksi dari domain atau IP address. Sebelum melakukannya, pastikan IP address tidak di-spoof.
Lihat pada koneksi outbound yang mencurigakan. Sebagai contoh, koneksi outbound datang dari server jejaring publik dapat menjadi sebuah indikasi bahwa penyusup melancarkan sebuah serangan terhadap seseorang lainnya dari web server.
Lihat pada paket source-routed. Paket dengan sumber alamat internal ke jaringan yang aslinya dari luar jaringan dapat mengindikasikan bahwa seseorang berupaya untuk menipu satu dari alamat internal kita dengan tujuan untuk memperoleh akses ke jaringan internal kita.
Jika pemeriksaan log dilakukan tiap hari, kita akan mendapatkan hal yang wajar atau tidak dalam koneksi.
Berikut adalah cara untuk memeriksa log pada Windows Firewall. Buka direktori C:WindowsSystem32LogFilesFirewall lalu cek isi file pfirewall.log.

Isi File pfirewall.log

Referensi:

fiddler2.com
http://www.linuxnix.com/2009/11/how-to-log-dns-server-activity.html
http://www.zdnet.com/news/read-your-firewall-logs/298230
http://hadi27.wordpress.com/pengertian-dan-kelebihan-dhcp/
http://threatsim.com/2011/12/19/fighting-advanced-attacker-9-security-controls-add-network/
http://social.technet.microsoft.com/Forums/windowsserver/en-US/f786b2aa-0045-4010-b433-50026895ae8a/logging-dns-server-queries?forum=winservergen

Kelompok:
Yoko Hugo – 23213060
Muhammad Ridho Dewanto – 23213088
Hadi Rasyid Sono – 23213154