Windows Hardening

Walaupun dari dulu saya (pernah) menggunakan Windows, tapi baru pertama kali ini saya melakukan hardening server berbasis Windows hahaha. Tetapi fundamental hardening mestinya sama saja, yaitu patch system, dan allow port komunikasi mana saja yang diijinkan… sisanya, DENY (default deny policy). Kenapa? Analoginya, lebih aman mana ruang brankas dengan banyak jendelanya VS ruang brankas tanpa jendela dengan hanya satu pintu untuk masuk? Hahaha.. Nah, pada kesempatan kali ini, saya ingin berbagi tulisan ringan ini sambil menunggu waktu tidur eh.. Berikut ini beberapa vector serangan pada Windows konfigurasi standar dan jarang di update (untuk pembelajaran yee), yuk mari..

at TCP Port #445, SMB2 Flaw

Service Message Block tetap menjadi ancaman di windows pada jaringan lokal, flaw juga eksis di versi penerusnya (SMBv2) di sistem operasi Vista, 7, Server 2008. Sudah banyak exploit public yang tersedia. Salah satu tutorialnya disini. Exploitnya sudah diadopsi pembuat worm untuk exploitasi system Windows di jaringan lokal yang artinya kalau laptop anda terkena worm ini, anda bisa secara tidak sengaja “meng-hack” system disekitar anda hahaha. Service ini running otomatis di Windows. Untuk pencegahan serangan ini, stop saja service SMB. Lakukan tips-trick langkah-langkah mematikan service ini untuk mengurangi vector serangan ke Windows yang salah satu caranya ada di website petri ini.

at TCP Port #3389, RDP Flaw

Ada satu hari di tahun 2012 kemarin, menjadi hari yang bikin sysadmin Windows Server galau massal sedunia setelah di publikasikan bug pada Remote Desktop Connection Windows (MS12-020). Dimana dengan exploit tersebut, efeknya akan membuat server bluescreen dan restart. Contohnya ada di video ini. Untuk pencegahannya, aktifkan mode yang hanya mengijinkan klien konek dengan network level authentication (NLA) atau kalau perlu matikan remote desktop connection jika memungkinkan. Dibawah ini video Proof of Concept (PoC) nya.

Masih banyak lagi celah yang bisa dimasuki/yang bisa bikin rusak server Windows anda. Maka dari itulah mengapa dalam hardening pastikan port yang diijinkan sesuai dengan kebutuhan. Plus yang running hanya servis-servis yang perlu saja, servis yang tidak penting sebaiknya dimatikan karena bisa memperluas vector serangan om heker, salah satu contohnya di port 445 dan 3389 di atas ‘kan…

Contoh, katakanlah server Windows anda melayani aplikasi berbasis web pada Server A, kemudian database MySQL untuk aplikasi tersebut ada di Server B. Simply secure best-practicenya, lakukan konfigurasi:

Server A

  • Servis yang running di server hanya servis web a.k.a. http (jadi TCP port 80 akan open pada Server A)
  • Firewall pada Server A hanya mengijinkan inbound connection dari siapapun ke port 80 itu, untuk tujuan ke port lainnya REJECT.
  • Jangan lupa selalu apply patch & update dari pembuatnya untuk program yang running di port 80-nya (web server-nya)

Server B

  • Servis yang running di server hanya servis MySQL (jadi TCP port 3306 akan open pada Server B)
  • Firewall pada Server B hanya mengijinkan inbound connection dari Server A ke port 3306 itu (REJECT jika dari selain Server A), untuk tujuan ke port lainnya REJECT.
  • Jangan lupa selalu apply patch & update dari pembuatnya untuk program yang running di port 3306-nya (mysql server-nya)

One thought on “Windows Hardening

Leave a Reply

Your email address will not be published. Required fields are marked *