Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Ringkasan

Microsoft, Pusat Keamanan internet (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA), dan National Institute of Standards and Technology (NIST) telah menerbitkan "Panduan konfigurasi keamanan" untuk Microsoft Windows.

Tingkat keamanan tinggi yang ditentukan dalam beberapa panduan ini mungkin membatasi fungsi sistem secara signifikan. Oleh karena itu, Anda harus menjalankan pengujian yang signifikan sebelum menyebarkan rekomendasi ini. Kami menyarankan agar Anda melakukan tindakan pencegahan tambahan saat melakukan hal berikut:

  • Edit daftar kontrol akses (ACL) untuk file dan kunci registri

  • Aktifkan klien jaringan Microsoft: komunikasi menandatangani secara digital (selalu)

  • Mengaktifkan keamanan jaringan: Jangan Simpan nilai HASH LAN Manager pada perubahan kata sandi berikutnya

  • Mengaktifkan sistem kriptografi: Gunakan algoritma sesuai FIPS untuk enkripsi, menerapkan algoritma, dan penandatanganan

  • Menonaktifkan layanan pembaruan otomatis atau layanan transfer cerdas latar belakang (Bits)

  • Menonaktifkan Layanan NetLogon

  • Mengaktifkan Nonamereleaseondemand

Microsoft sangat mendukung upaya industri untuk menyediakan panduan keamanan untuk penyebaran di area dengan keamanan tinggi. Namun, Anda harus menguji panduan secara menyeluruh dalam lingkungan target. Jika Anda memerlukan pengaturan keamanan tambahan di luar pengaturan default, kami sangat menyarankan agar Anda melihat panduan yang dikeluarkan Microsoft. Panduan ini bisa berfungsi sebagai titik awal untuk persyaratan organisasi Anda. Untuk dukungan atau untuk pertanyaan tentang panduan pihak ketiga, hubungi organisasi yang menerbitkan panduan.

Pendahuluan

Selama beberapa tahun terakhir, sejumlah organisasi, termasuk Microsoft, Pusat Keamanan internet (CIS), National Security Agency (NSA), Defense Information Systems Agency (DISA), dan National Institute of Standards and Technology (NIST), telah menerbitkan "Panduan konfigurasi keamanan" untuk Windows. Seperti panduan keamanan apa pun, keamanan tambahan yang diperlukan sering kali memiliki efek yang merugikan pada kegunaan.

Beberapa panduan ini, termasuk panduan dari Microsoft, dari CIS, dan dari NIST, berisi beberapa tingkatan pengaturan keamanan. Panduan ini mungkin menyertakan tingkat yang dirancang untuk yang berikut ini:

  • Interoperabilitas dengan sistem operasi yang lebih lama

  • Lingkungan perusahaan

  • Keamanan yang disempurnakan yang menyediakan fungsionalitas terbatas

    catatan tingkat ini sering dikenal sebagai keamanan khusus – tingkat fungsionalitas terbatas atau tingkat keamanan tinggi.

Keamanan yang tinggi, atau keamanan khusus – fungsionalitas terbatas, tingkat dirancang khusus untuk lingkungan yang sangat bermusuhan di bawah risiko serangan yang signifikan. Tingkat penjaga informasi ini memiliki nilai tertinggi, seperti informasi yang diperlukan oleh beberapa sistem pemerintah. Tingkat keamanan yang tinggi dari sebagian besar panduan publik ini tidak sesuai untuk sebagian besar sistem yang menjalankan Windows. Kami menyarankan agar Anda tidak menggunakan tingkat keamanan tinggi pada workstation tujuan umum. Kami menyarankan agar Anda menggunakan tingkat keamanan yang tinggi hanya pada sistem di mana kompromi akan menyebabkan hilangnya nyawa, hilangnya informasi yang sangat berharga, atau hilangnya banyak uang.

Beberapa grup bekerja dengan Microsoft untuk menghasilkan panduan keamanan ini. Dalam banyak kasus, panduan ini semua membahas ancaman serupa. Namun, setiap panduan berbeda sedikit karena persyaratan hukum, kebijakan lokal, dan persyaratan fungsional. Karena ini, pengaturan mungkin berbeda dari satu kumpulan rekomendasi ke yang berikutnya. Bagian "organisasi yang menghasilkan panduan keamanan yang tersedia untuk publik" berisi ringkasan dari setiap panduan keamanan.

Informasi Selengkapnya

Organisasi yang menghasilkan panduan keamanan yang tersedia untuk publik

Microsoft Corporation

Microsoft menyediakan panduan tentang cara mengamankan sistem operasi kami. Kami telah mengembangkan tiga tingkat pengaturan keamanan berikut ini:

  • Klien perusahaan (EC)

  • Stand-Alone (SA)

  • Keamanan khusus – fungsi terbatas (SSLF)

Kami menguji panduan ini secara menyeluruh untuk digunakan dalam berbagai skenario pelanggan. Panduan sesuai untuk setiap organisasi yang ingin membantu mengamankan komputer berbasis Windows.

Kami sepenuhnya mendukung panduan kami karena pengujian ekstensif yang telah kami lakukan di laboratorium kompatibilitas aplikasi kami pada panduan tersebut. Kunjungi situs web Microsoft berikut untuk mengunduh panduan kami:

Jika Anda mengalami masalah atau memiliki komentar setelah Anda menerapkan panduan keamanan Microsoft, Anda bisa memberikan umpan balik dengan mengirimkan pesan email ke secwish@microsoft.com.



Panduan konfigurasi keamanan untuk sistem operasi Windows, untuk Internet Explorer, dan untuk rangkaian produktivitas Office disediakan di Microsoft Security Compliance Manager: http://technet.Microsoft.com/en-US/Library/cc677002.aspx.


Pusat Keamanan internet

CIS telah mengembangkan tolok ukur untuk menyediakan informasi yang membantu organisasi membuat keputusan yang tepat tentang pilihan keamanan tertentu yang tersedia. CIS telah menyediakan tiga tingkatan Benchmark keamanan:

  • Konvensional

  • Enterprise

  • Keamanan tinggi

Jika Anda mengalami masalah atau memiliki komentar setelah menerapkan pengaturan benchmark CIS, hubungi CIS dengan mengirimkan pesan email ke Win2k-feedback@cisecurity.org.

Catatan panduan CIS telah berubah sejak kami menerbitkan artikel ini (3 November 2004). Panduan saat ini CIS menyerupai panduan yang disediakan Microsoft. Untuk informasi selengkapnya tentang panduan yang disediakan oleh Microsoft, Baca bagian "Microsoft Corporation" sebelumnya di artikel ini.

National Institute of Standards and Technology

NIST bertanggung jawab untuk membuat panduan keamanan untuk pemerintah federal Amerika Serikat. NIST telah membuat empat tingkatan panduan keamanan yang digunakan oleh agensi federal Amerika Serikat, organisasi privat, dan organisasi publik:

  • SoHo

  • Konvensional

  • Enterprise

  • Keamanan khusus – fungsionalitas terbatas

Jika Anda mengalami masalah atau memiliki komentar setelah Anda menerapkan Templat keamanan NIST, hubungi NIST dengan mengirimkan pesan email ke itsec@nist.gov.

Catatan panduan NIST telah berubah sejak kami menerbitkan artikel ini (3 November 2004). Panduan saat ini NIST menyerupai panduan yang disediakan Microsoft. Untuk informasi selengkapnya tentang panduan yang disediakan oleh Microsoft, Baca bagian "Microsoft Corporation" sebelumnya di artikel ini.

Badan sistem informasi pertahanan

DISA membuat panduan secara khusus untuk digunakan di Departemen Pertahanan Amerika Serikat (DOD). Pengguna DOD Amerika Serikat yang mengalami masalah atau memiliki komentar setelah menerapkan panduan konfigurasi DISA bisa memberikan umpan balik dengan mengirimkan pesan email ke fso_spt@ritchie.disa.mil.

Catatan panduan DISA telah berubah sejak kami menerbitkan artikel ini (3 November 2004). Panduan DISA saat ini mirip atau identik dengan panduan yang disediakan Microsoft. Untuk informasi selengkapnya tentang panduan yang disediakan oleh Microsoft, Baca bagian "Microsoft Corporation" sebelumnya di artikel ini.

National Security Agency (NSA)

NSA telah menghasilkan panduan untuk membantu mengamankan komputer berisiko tinggi di Departemen Pertahanan Amerika Serikat (DOD). NSA telah mengembangkan satu tingkat panduan yang sesuai dengan tingkat keamanan tinggi yang dihasilkan oleh organisasi lain.

Jika Anda mengalami masalah atau memiliki komentar setelah Anda menerapkan panduan keamanan NSA untuk Windows XP, Anda bisa memberikan umpan balik dengan mengirimkan pesan email ke XPGuides@nsa.gov. Untuk memberikan umpan balik tentang panduan Windows 2000, kirim pesan email ke w2kguides@nsa.gov.

Catatan panduan NSA telah berubah sejak kami menerbitkan artikel ini (3 November 2004). Panduan saat ini NSA mirip atau identik dengan panduan yang disediakan Microsoft. Untuk informasi selengkapnya tentang panduan yang disediakan oleh Microsoft, Baca bagian "Microsoft Corporation" sebelumnya di artikel ini.

Masalah panduan keamanan

Seperti yang disebutkan sebelumnya dalam artikel ini, tingkat keamanan tinggi yang diuraikan dalam beberapa panduan ini dirancang untuk membatasi fungsionalitas sistem secara signifikan. Karena pembatasan ini, Anda harus menguji sistem secara menyeluruh sebelum Anda menyebarkan rekomendasi ini.

Perhatikan panduan keamanan yang disediakan untuk tingkat SoHo, Legacy, atau Enterprise belum dilaporkan untuk sangat mempengaruhi fungsionalitas sistem. Artikel Pangkalan Pengetahuan ini terutama difokuskan pada panduan yang terkait dengan tingkat keamanan tertinggi. 

Kami sangat mendukung upaya industri untuk menyediakan panduan keamanan untuk penyebaran di area keamanan tinggi. Kami terus bekerja dengan grup standar keamanan untuk mengembangkan Panduan Pengerasan yang berguna yang sepenuhnya diuji. Panduan keamanan dari pihak ketiga selalu diterbitkan dengan peringatan kuat untuk sepenuhnya menguji panduan dalam lingkungan keamanan tinggi target. Namun, peringatan ini tidak selalu diabaikan. Pastikan bahwa Anda benar-benar menguji semua konfigurasi keamanan di lingkungan target Anda. Pengaturan keamanan yang berbeda dari yang kami rekomendasikan mungkin membatalkan pengujian kompatibilitas aplikasi yang dilakukan sebagai bagian dari proses pengujian sistem operasi. Selain itu, kami dan pihak ketiga secara khusus mencegah penerapan draf panduan dalam lingkungan produksi langsung, bukan dalam lingkungan pengujian.

Tingkat tinggi panduan keamanan ini menyertakan beberapa pengaturan yang harus dievaluasi dengan seksama sebelum Anda menerapkannya. Meskipun pengaturan ini mungkin memberikan manfaat keamanan tambahan, pengaturannya mungkin memiliki efek yang merugikan pada kegunaan sistem.

Modifikasi daftar kontrol akses sistem dan registri

Windows XP dan versi Windows yang lebih baru telah diperketat izin di seluruh sistem. Oleh karena itu, ekstensif perubahan pada izin default seharusnya tidak diperlukan. 

Perubahan kewenangan akses kontrol akses (DACL) tambahan mungkin membatalkan semua atau sebagian besar pengujian kompatibilitas aplikasi yang dilakukan oleh Microsoft. Sering kali, perubahan seperti ini belum mengalami pengujian menyeluruh yang dilakukan Microsoft pada pengaturan lain. Kasus dukungan dan pengalaman bidang telah memperlihatkan bahwa pengeditan DACL mengubah perilaku mendasar dari sistem operasi, dengan cara yang tidak diinginkan. Perubahan ini mempengaruhi kompatibilitas aplikasi dan stabilitas serta mengurangi fungsionalitas, berkaitan dengan kinerja dan kapabilitas.

Karena perubahan ini, kami tidak menyarankan agar Anda mengubah DACLs sistem file pada file yang disertakan dengan sistem operasi pada sistem produksi. Kami menyarankan agar Anda mengevaluasi perubahan ACL tambahan apa pun terhadap ancaman yang diketahui untuk memahami potensi keuntungan apa pun yang mungkin ada pada konfigurasi tertentu. Untuk alasan ini, panduan kami hanya membuat perubahan DACL yang sangat minim dan hanya ke Windows 2000. Untuk Windows 2000, beberapa perubahan kecil diperlukan. Perubahan ini dijelaskan dalam Panduan Pengerasan Keamanan Windows 2000.

Perubahan izin ekstensif yang disebarkan di seluruh sistem Registry dan file tidak dapat dibatalkan. Folder baru, seperti folder profil pengguna yang tidak ada di instalasi asli sistem operasi, mungkin terpengaruh. Oleh karena itu, jika Anda menghapus pengaturan kebijakan grup yang melakukan perubahan DACL, atau Anda menerapkan default sistem, Anda tidak bisa mengembalikan DACLs asli. 

Perubahan pada DACL dalam folder% SystemDrive% mungkin menyebabkan skenario berikut ini:

  • Keranjang sampah tidak lagi berfungsi seperti yang didesain, dan file tidak dapat dipulihkan.

  • Pengurangan keamanan yang memungkinkan non-administrator menampilkan konten keranjang sampah administrator.

  • Kegagalan profil pengguna berfungsi seperti yang diharapkan.

  • Pengurangan keamanan yang menyediakan pengguna interaktif dengan akses baca ke beberapa atau semua profil pengguna pada sistem.

  • Masalah kinerja ketika banyak pengeditan DACL dimuat ke dalam objek kebijakan grup yang menyertakan waktu masuk yang panjang atau pengulangan ulang sistem target yang berulang.

  • Masalah kinerja, termasuk perlambatan sistem, setiap 16 jam atau lebih sebagai pengaturan kebijakan grup diterapkan kembali.

  • Masalah kompatibilitas aplikasi atau aplikasi mengalami crash.

Untuk membantu Anda menghapus hasil terburuk dari izin file dan registri tersebut, Microsoft akan menyediakan upaya yang wajar secara komersial sejalan dengan kontrak dukungan Anda. Namun, saat ini Anda tidak dapat memutar kembali perubahan ini. Kami dapat menjamin bahwa Anda dapat kembali ke pengaturan rekomendasi kotak keluar dengan memformat ulang hard disk dan menginstal ulang sistem operasi.

Misalnya, modifikasi ke registri DACLs mempengaruhi bagian besar kumpulan registri dan mungkin menyebabkan sistem tidak lagi berfungsi seperti yang diharapkan. Memodifikasi DACLs pada kunci registri tunggal yang menimbulkan sedikit masalah pada banyak sistem. Namun, kami menyarankan agar Anda mempertimbangkan dan menguji perubahan ini secara cermat sebelum menerapkannya. Sekali lagi, kami dapat menjamin bahwa Anda bisa kembali ke pengaturan yang direkomendasikan saat Anda memformat ulang dan menginstal ulang sistem operasi.

Klien jaringan Microsoft: komunikasi menandatangani secara digital (selalu)

Saat Anda mengaktifkan pengaturan ini, klien harus menandatangani Traffic blok pesan server (SMB) saat mereka menghubungi server yang tidak memerlukan penandatanganan SMB. Ini membuat klien kurang rentan terhadap serangan pembajakan sesi. Menyediakan nilai yang signifikan, tapi tanpa mengaktifkan perubahan yang sama pada server untuk mengaktifkan server jaringan Microsoft: komunikasi menandatangani secara digital (selalu) atau klien jaringan Microsoft: menandatangani komunikasi (jika klien setuju), klien tidak akan dapat berkomunikasi dengan sukses dengan server.

Keamanan jaringan: Jangan Simpan nilai hash LAN Manager pada perubahan kata sandi berikutnya

Saat Anda mengaktifkan pengaturan ini, nilai hash LAN Manager (LM) untuk kata sandi baru tidak akan disimpan ketika kata sandi diubah. Hash LM relatif lemah dan rentan diserang dibandingkan dengan hash Microsoft Windows NT yang lebih kuat. Meskipun pengaturan ini memberikan keamanan tambahan yang ekstensif untuk sistem dengan mencegah banyak utilitas cracking kata sandi umum, pengaturan tersebut bisa mencegah beberapa aplikasi mulai atau berjalan dengan benar.

Sistem kriptografi: Gunakan algoritma sesuai FIPS untuk enkripsi, menerapkan algoritma, dan penandatanganan

Saat Anda mengaktifkan pengaturan ini, Layanan informasi internet (IIS) dan Microsoft Internet Explorer hanya menggunakan protokol transport Layer Security (TLS) 1,0. Jika pengaturan ini diaktifkan di server yang menjalankan IIS, hanya browser web yang mendukung TLS 1,0 dapat tersambung. Jika pengaturan ini diaktifkan pada klien web, klien hanya dapat menyambungkan ke server yang mendukung protokol TLS 1,0. Persyaratan ini mungkin mempengaruhi kemampuan klien untuk mengunjungi situs web yang menggunakan Secure Sockets Layer (SSL). Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk menampilkan artikel di Basis Pengetahuan Microsoft:

811834 Tidak dapat mengunjungi situs SSL setelah Anda mengaktifkan kriptografi sesuai FIPS
Selain itu, saat Anda mengaktifkan pengaturan ini di server yang menggunakan layanan terminal, klien dipaksa untuk menggunakan klien RDP 5,2 atau versi yang lebih baru untuk tersambung.

Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk menampilkan artikel di Basis Pengetahuan Microsoft:

811833 Efek mengaktifkan "sistem kriptografi: Gunakan algoritma sesuai FIPS untuk enkripsi, menerapkan algoritma, dan penandatanganan" pengaturan keamanan "di Windows XP dan di versi Windows yang lebih baru

Layanan pembaruan otomatis atau layanan transfer cerdas latar belakang (BITS) dinonaktifkan

Salah satu pilar utama strategi keamanan Microsoft adalah memastikan bahwa sistem disimpan saat ini pada pembaruan. Komponen kunci dalam strategi ini adalah layanan pembaruan otomatis. Layanan pembaruan Windows dan pembaruan perangkat lunak menggunakan layanan pembaruan otomatis. Layanan pembaruan otomatis mengandalkan layanan transfer cerdas latar belakang (BITS). Jika layanan ini dinonaktifkan, komputer tidak akan bisa lagi menerima pembaruan dari pembaruan Windows melalui pembaruan otomatis, dari Software Update Services (SUS), atau dari beberapa penginstalan server manajemen sistem Microsoft (SMS). Layanan ini harus dinonaktifkan hanya pada sistem yang memiliki sistem distribusi pembaruan yang efektif yang tidak bergantung pada BITS.

Layanan NetLogon dinonaktifkan

Jika Anda menonaktifkan layanan NetLogon, workstation tidak lagi berfungsi secara andal sebagai anggota domain. Pengaturan ini mungkin sesuai untuk beberapa komputer yang tidak berpartisipasi dalam domain. Namun, harus dievaluasi secara seksama sebelum penggunaan.

Tidak ada habisnya

Pengaturan ini mencegah server dari melepaskan nama NetBIOS-nya jika bertentangan dengan komputer lain pada jaringan. Pengaturan ini merupakan tindakan preventif yang baik untuk penyangkalan serangan layanan terhadap server nama dan peran server yang sangat penting lainnya.

Saat Anda mengaktifkan pengaturan ini di workstation, workstation menolak untuk melepaskan nama NetBIOS Meskipun nama konflik dengan nama sistem yang lebih penting, seperti pengontrol domain. Skenario ini bisa menonaktifkan fungsionalitas domain penting. Microsoft sangat mendukung upaya industri untuk menyediakan panduan keamanan yang ditargetkan untuk penyebaran di area keamanan tinggi. Namun, panduan ini harus diuji secara menyeluruh dalam lingkungan target. Kami sangat menyarankan agar administrator sistem yang memerlukan pengaturan keamanan tambahan di luar pengaturan default gunakan panduan yang dikeluarkan Microsoft sebagai titik awal untuk persyaratan organisasi mereka. Untuk dukungan atau untuk pertanyaan tentang panduan pihak ketiga, hubungi organisasi yang menerbitkan panduan.

Referensi

Untuk informasi selengkapnya tentang pengaturan keamanan, lihat ancaman dan penanggulangan: pengaturan keamanan di Windows Server 2003 dan Windows XP. Untuk mengunduh panduan ini, kunjungi situs web Microsoft berikut ini:

http://go.microsoft.com/fwlink/?LinkId=15159Untuk informasi selengkapnya tentang efek dari beberapa pengaturan keamanan kunci tambahan, klik nomor artikel berikut ini untuk menampilkan artikel di Basis Pengetahuan Microsoft:

823659 Klien, Layanan, dan program yang tidak kompatibel yang mungkin terjadi ketika Anda mengubah pengaturan keamanan dan Assignmentsuntuk informasi selengkapnya tentang efek dari mengharuskan algoritma sesuai FIPS, klik nomor artikel berikut ini untuk menampilkan artikel di Basis Pengetahuan Microsoft:

811833 Efek mengaktifkan "sistem kriptografi: Gunakan algoritma sesuai FIPS untuk enkripsi, hashing, dan penandatanganan" pengaturan keamanan di Windows XP dan versi yang lebih baru menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Microsoft tidak menjamin keakuratan informasi kontak dari produsen pihak ketiga ini.


Untuk informasi tentang pabrik perangkat keras Anda, kunjungi situs web Microsoft berikut ini:

http://support.microsoft.com/gp/vendors/en-us

Facebook LinkedIn Email

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×