Mengakses Komputer Dari Jaringan Pengaturan Kebijakan Keamanan – Menjelaskan praktik terbaik, lokasi, nilai, manajemen kebijakan, dan pertimbangan keamanan untuk Akses komputer ini dari pengaturan kebijakan keamanan jaringan . Jika menjalankan Windows Server atau Azure Stack HCI Failover Clustering, jangan hapus Pengguna yang Diotentikasi dari pengaturan kebijakan Akses komputer ini dari jaringan . Melakukannya dapat menyebabkan penghentian produksi yang tidak terduga. Hal ini disebabkan CLIUSR akun pengguna lokal yang digunakan untuk menjalankan layanan cluster. CLIUSR bukan anggota grup Administrator lokal dan jika grup Pengguna yang Diotentikasi dihapus, layanan cluster tidak akan memiliki hak yang memadai untuk berfungsi atau memulai dengan benar.
Mengakses Komputer Dari Jaringan Pengaturan Kebijakan Keamanan
portknocking – Akses komputer ini dari pengaturan kebijakan jaringan menentukan pengguna mana yang dapat terhubung ke perangkat dari jaringan. Kemampuan ini diperlukan oleh banyak protokol jaringan, termasuk protokol berbasis Server Message Block (SMB), NetBIOS, Common Internet File System (CIFS), dan Component Object Model Plus (COM+). Pengguna, perangkat, dan akun layanan mendapatkan atau kehilangan Akses komputer ini dari hak pengguna jaringan dengan secara eksplisit atau implisit ditambahkan atau dihapus dari grup keamanan yang telah diberikan hak pengguna ini. Misalnya, akun pengguna atau akun mesin dapat ditambahkan secara eksplisit ke grup keamanan kustom atau grup keamanan bawaan, atau mungkin ditambahkan secara implisit oleh Windows ke grup keamanan yang dihitung seperti Pengguna Domain, Pengguna yang Diotentikasi, atau Perusahaan Pengontrol Domain. Secara default, akun pengguna dan akun mesin diberikan hak akses komputer ini dari jaringan pengguna saat dihitung grup seperti pengguna yang diautentikasi, dan untuk pengontrol domain, grup pengontrol domain perusahaan, ditentukan di pengontrol domain default objek kebijakan grup (GPO).
Nilai Yang Mungkin
- Daftar akun yang ditentukan pengguna
- Tidak terdefinisikan
Praktik Terbaik
- Pada perangkat desktop atau server anggota, berikan hak ini hanya kepada pengguna dan administrator.
- Pada pengontrol domain, berikan hak ini hanya kepada pengguna yang diautentikasi, pengontrol domain perusahaan, dan administrator.
- Pada kluster failover, pastikan hak ini diberikan kepada pengguna yang diautentikasi.
- Pengaturan ini mencakup grup Semua Orang untuk memastikan kompatibilitas mundur. Setelah pemutakhiran Windows, setelah Anda memverifikasi bahwa semua pengguna dan grup dimigrasikan dengan benar, Anda harus menghapus grup Semua Orang dan menggunakan grup Pengguna yang Diotentikasi sebagai gantinya.
Manajemen Kebijakan
Saat Anda mengubah hak pengguna ini, tindakan berikut mungkin menyebabkan pengguna dan layanan mengalami masalah akses jaringan:
- Menghapus grup keamanan Pengontrol Domain Perusahaan
- Menghapus grup Pengguna yang Diotentikasi atau grup eksplisit yang memungkinkan pengguna, komputer, dan akun layanan hak pengguna untuk terhubung ke komputer melalui jaringan
- Menghapus semua akun pengguna dan mesin
Pengaktifan ulang perangkat tidak diperlukan agar setelan kebijakan ini efektif. Setiap perubahan pada penetapan hak pengguna untuk sebuah akun menjadi efektif saat pemilik akun masuk lagi.
Kebijakan Grup
Pengaturan diterapkan dalam urutan berikut melalui objek kebijakan grup (GPO), yang akan menimpa pengaturan di komputer lokal pada pembaruan kebijakan grup berikutnya:
- Pengaturan kebijakan lokal
- Pengaturan kebijakan situs
- Pengaturan kebijakan domain
- Pengaturan kebijakan OU
Ketika pengaturan lokal berwarna abu abu, ini menunjukkan bahwa GPO saat ini mengontrol pengaturan itu.
Pertimbangan Keamanan
Bagian ini menjelaskan bagaimana penyerang dapat mengeksploitasi fitur atau konfigurasinya, bagaimana menerapkan penanggulangan, dan kemungkinan konsekuensi negatif dari penerapan penanggulangan.
Baca Juga : Keamanan Informasi Dan Perlindungan Jaringan Perusahaan
Kerentanan
Pengguna yang dapat terhubung dari perangkat mereka ke jaringan dapat mengakses sumber daya pada perangkat target yang izinnya mereka miliki. Misalnya, Akses komputer ini dari hak pengguna jaringan diperlukan agar pengguna dapat terhubung ke printer dan folder bersama. Jika hak pengguna ini ditetapkan ke grup Semua Orang , siapa pun dalam grup dapat membaca file di folder bersama tersebut. Situasi ini tidak mungkin karena grup yang dibuat oleh penginstalan default setidaknya Windows Server 2008 R2 atau Windows 7 tidak menyertakan grup Semua Orang . Namun, jika perangkat ditingkatkan dan perangkat asli menyertakan Semua Orang grup sebagai bagian dari pengguna dan grup yang ditentukan, grup tersebut ditransisikan sebagai bagian dari proses peningkatan dan ada di perangkat.
Tindakan Balasan
Batasi Akses komputer ini dari hak pengguna jaringan hanya untuk pengguna dan grup yang memerlukan akses ke komputer. Misalnya, jika Anda mengonfigurasi pengaturan kebijakan ini ke grup Administrator dan Pengguna , pengguna yang masuk ke domain dapat mengakses sumber daya yang dibagikan dari server di domain jika anggota grup Pengguna Domain disertakan dalam grup Pengguna lokal . Catatan Jika Anda menggunakan IPsec untuk membantu mengamankan komunikasi jaringan di organisasi Anda, pastikan bahwa grup yang menyertakan akun mesin diberikan hak ini. Hak ini diperlukan untuk otentikasi komputer yang berhasil. Pemberian hak ini kepada Pengguna yang Diautentikasi atau Komputer Domain memenuhi persyaratan ini.
Dampak Potensial
Jika Anda menghapus akses komputer ini dari pengguna jaringan langsung di pengontrol domain untuk semua pengguna, tidak ada yang bisa masuk ke domain atau menggunakan sumber daya jaringan. Jika Anda menghapus pengguna ini langsung di server anggota, pengguna tidak dapat terhubung ke server tersebut melalui jaringan. Jika Anda telah menginstal komponen opsional seperti ASP.NET atau Layanan Informasi Internet (IIS), Anda mungkin perlu menetapkan hak pengguna ini ke akun lain yang diperlukan oleh komponen tersebut. Penting untuk memverifikasi bahwa pengguna yang berwenang diberikan hak pengguna ini untuk perangkat yang mereka perlukan untuk mengakses jaringan.
Jika menjalankan Windows Server atau Azure Stack HCI Failover Clustering, jangan hapus Pengguna yang Diotentikasi dari pengaturan kebijakan Akses komputer ini dari jaringan. Melakukannya dapat menyebabkan penghentian produksi yang tidak terduga. Pemadaman ini disebabkan akun pengguna lokal CLIUSR yang digunakan untuk menjalankan layanan cluster. CLIUSR bukan anggota grup Administrator lokal dan jika grup Pengguna yang Diotentikasi dihapus, layanan cluster tidak akan memiliki hak yang memadai untuk berfungsi atau memulai dengan benar.