Menggunakan pengguna yang sama dengan hak akses administrator untuk segalanya adalah salah satu hal yang kesalahan keamanan yang paling umum Di Windows, baik di lingkungan rumah maupun profesional, memisahkan akun kerja harian Anda dari akun dengan hak akses tinggi dan memiliki pemahaman menyeluruh tentang akun sistem internal sangat penting untuk mengurangi risiko, melindungi privasi, dan menekan malware.
Sepanjang artikel ini Anda akan melihat, langkah demi langkah, bagaimana Buat dan kelola akun lokal yang aman untuk penggunaan sehari-hari.Jenis-jenis akun apa saja yang ada di Windows (termasuk akun sistem tersembunyi), bagaimana cara mengkonfigurasinya di Windows 10 dan Windows 11, apa saja yang telah berubah dalam versi terbaru, dan kebijakan serta praktik terbaik apa yang harus Anda terapkan jika Anda mengelola banyak komputer atau seluruh ruang kelas.
Apa sebenarnya akun lokal di Windows dan mengapa akun ini bermanfaat?
Di Windows, Anda dapat masuk dengan Akun Microsoft atau dengan akun lokal.Akun Microsoft terhubung ke alamat email (Outlook, Hotmail, Live, dll.) dan terintegrasi dengan OneDrive, Microsoft Store, sinkronisasi pengaturan, Xbox, Office, dan layanan cloud lainnya. Semua ini bagus, tetapi juga berarti lebih banyak paparan data dan ketergantungan pada identitas online Anda.
Akun lokal, di sisi lain, adalah akun yang Itu hanya ada di perangkat tersebut.Pengguna memiliki folder profil, dokumen, gambar, desktop, dll., tetapi pengaturan dan file tidak disinkronkan dengan cloud Microsoft. Pendekatan ini menawarkan tingkat privasi yang lebih tinggi dan mengurangi potensi kerentanan dalam skenario di mana Anda tidak memerlukan atau menginginkan integrasi dengan layanan online perusahaan.
Dalam lingkungan dengan banyak pengguna yang berbagi PC (keluarga besar, kantor, ruang kelas, laboratorium, atau usaha kecil), membuat profil lokal terpisah akan mencegah Sebagian orang melihat data orang lain.Fitur ini mengisolasi pengaturan, riwayat penelusuran, dan aplikasi yang terpasang untuk setiap pengguna, sehingga menyederhanakan kepatuhan terhadap kebijakan perlindungan data.
Windows 8, 10, dan 11 masih mengizinkan akun lokal seperti pada versi sebelumnya, meskipun sistem berusaha mendorong Anda untuk menggunakannya. Akun Microsoft untuk segalanyaAnda dapat beralih antara akun Microsoft dan akun lokal Anda kapan saja, tanpa kehilangan data jika Anda melakukannya dengan benar.
Akun pengguna lokal dan sistem: jenis-jenisnya dan kegunaannya.
Windows secara otomatis membuat serangkaian akun lokal default Saat Anda menginstal sistem, beberapa di antaranya khusus untuk pengguna dan yang lainnya khusus untuk sistem, digunakan secara internal oleh Windows itu sendiri dan layanan tertentu. Keduanya tidak berperilaku sama atau memiliki izin yang sama, jadi penting untuk memahaminya agar terhindar dari kerusakan atau kerentanan.
Akun pengguna lokal default
Akun pengguna lokal default adalah akun bawaan yang disediakan oleh sistem. dihasilkan selama instalasiFile-file tersebut tidak dapat dihapus, meskipun dalam beberapa kasus dapat diganti namanya atau dinonaktifkan. Semuanya berada di komputer dan hanya memiliki hak akses atas perangkat tersebut, tanpa akses otomatis ke sumber daya jaringan.
Untuk melihat dan mengelola akun-akun ini, pada edisi Pro dan yang lebih tinggi, Anda dapat menggunakan konsol. Administrasi perangkat > Pengguna dan grup lokal > PenggunaDari situ Anda dapat membuat pengguna khusus, mengubah kata sandi, menonaktifkan akun, dan lain sebagainya. Pada edisi Home, banyak dari tugas-tugas ini dilakukan dari aplikasi Pengaturan atau menggunakan perintah.
Akun Administrator
Akun administrator lokal bawaan adalah akun yang memiliki kendali penuh atas timSID Anda berakhiran 500 Ini adalah akun pertama yang dibuat selama instalasi Windows, meskipun pada versi modern biasanya dinonaktifkan dan akun lain dengan hak akses administrator dibuat untuk pengguna utama.
Dengan akun ini Anda dapat mengubah file, layanan, izin, atau pengaturan apa punHal ini memungkinkan mereka untuk mengambil kendali atas sumber daya, mengubah hak pengguna, dan menetapkan hak istimewa. Justru karena alasan inilah, akun ini sangat menarik bagi penyerang dan malware, dan keberadaannya sudah dikenal luas di hampir semua versi Windows.
Demi alasan keamanan, Anda tidak dapat menghapus akun Administrator, tetapi Anda dapat ganti namanya atau nonaktifkanMicrosoft menyarankan untuk tidak menggunakan akun ini untuk login reguler dan membatasi jumlah akun yang termasuk dalam grup Administrator sebisa mungkin. Praktik yang baik adalah selalu bekerja dengan akun standar dan hanya menggunakan hak akses yang lebih tinggi (Jalankan sebagai administrator dan Kontrol Akun Pengguna) bila diperlukan.
Akun Tamu
Akun Tamu ditujukan untuk pengguna penggunaan sesekali atau sekali pakai Mereka membutuhkan akses cepat ke komputer tanpa membuat akun sendiri. SID-nya berakhiran 501, memiliki izin yang sangat terbatas, dan sesuai desainnya, hanya untuk sesi sementara tanpa kustomisasi yang ekstensif.
Secara default, akun Tamu akan muncul dinonaktifkan dan tanpa kata sandiHal ini menimbulkan risiko serius jika diaktifkan secara sembarangan, karena dapat memberikan akses anonim. Ini adalah satu-satunya anggota grup bawaan Tamu (SID S-1-5-32-546), yang hanya memiliki hak akses yang diperlukan untuk masuk secara lokal.
Jika Anda mengaktifkannya karena alasan apa pun, disarankan untuk membatasinya sebisa mungkin, dan tidak mengizinkan penggunaannya melalui jaringan. mencegah mereka melihat log peristiwa dan tinjau aktivitas Anda secara berkala untuk mencegah seseorang menggunakannya secara tidak sengaja untuk membiarkan layanan atau sumber daya tetap terbuka.
Akun Default (DSMA)
DefaultAccount, juga dikenal sebagai Akun Terkelola Sistem Default (DSMA)Ini adalah akun standar yang dikelola sistem yang diperkenalkan untuk mendukung aplikasi multi-pengguna (MUMA) dan skenario modern tertentu (misalnya, Xbox atau lingkungan sesi bersama).
Akun ini biasanya dinonaktifkan secara default Pada desktop dan server Windows dengan pengalaman desktop, ia memiliki RID yang dikenal (503) dan termasuk dalam grup khusus akun yang dikelola sistem (SID S-1-5-32-581). Windows sendiri membuatnya di Security Account Manager (SAM) saat komputer pertama kali dinyalakan.
Dari sudut pandang izin, ia berperilaku seperti pengguna standar, tetapi dirancang sedemikian rupa sehingga aplikasi yang perlu tetap berjalan di latar belakang, bereaksi terhadap perubahan sesi pengguna, dapat... dijalankan dalam konteks yang independen dari pengguna manusia.Microsoft menyarankan untuk tidak mengubah pengaturan default, karena hal ini dapat merusak skenario keamanan saat ini atau di masa mendatang tanpa memberikan manfaat keamanan yang nyata.
Akun Utilitas WDAGU
WDAGUtilityAccount adalah akun lokal bawaan lainnya, yang digunakan oleh Perlindungan aplikasi Windows Defender (Windows Defender Application Guard). SID-nya diketahui (berakhir dengan 504) dan, secara default, tidak termasuk dalam grup mana pun.
Akun ini digunakan untuk mengisolasi lingkungan penjelajahan atau eksekusi yang dilindungi sistem dalam kontainer. Dalam keadaan normal, Anda tidak boleh menyentuhnya. Windows mengaktifkan dan mengkonfigurasinya secara otomatis. bila diperlukan.
Akun WSI
WSIAccount muncul di Windows 11 dan ditujukan untuk Aktivitas terkait web dari layar kunci atau layar masuk.Contohnya, ini digunakan untuk mengakses halaman penyedia kredensial ketika Anda ingin mengatur ulang kata sandi atau menggunakan otentikasi berbasis web sebelum masuk sepenuhnya.
Akun ini memiliki SID yang diketahui dan diakhiri dengan 1001, dan secara default merupakan bagian dari grup Pengguna. Sekali lagi, ini adalah akun layanan yang Seharusnya tidak digunakan secara interaktif. juga tidak boleh dimodifikasi secara manual kecuali jika Microsoft mendokumentasikannya untuk kasus tertentu.
Akun HelpAssistant
HelpAssistant adalah akun lokal yang digunakan oleh Windows. Hanya diaktifkan selama sesi Bantuan Jarak Jauh.Ketika pengguna meminta bantuan melalui undangan (melalui email, file, dll.), sistem akan membuat akun ini dengan izin terbatas sehingga orang yang membantu dapat terhubung dan mengontrol komputer di bawah pengawasan.
Akun tersebut tetap dinonaktifkan sampai ada permintaan bantuan jarak jauh yang tertunda. Akun ini dikelola oleh layanan Remote Desktop Help Session Manager dan merupakan bagian dari grup yang terkait dengan Remote Desktop dan Terminal Server (misalnya, grup dengan SID S-1-5-13 dan S-1-5-14, yang mencakup pengguna layanan Remote Desktop dan Remote Interactive Logon).
Di Windows Server, Remote Assistance tidak diinstal secara default dan merupakan komponen opsionalAkun HelpAssistant baru akan berperan setelah diinstal dan digunakan.
Akun sistem lokal: SYSTEM, Layanan Lokal, dan Layanan Jaringan
Selain akun pengguna, Windows memiliki beberapa akun sistem internal yang bukan dimaksudkan untuk masuk sebagai pengguna biasa, tetapi untuk memungkinkan sistem dan layanannya berfungsi.
Yang paling ampuh adalah akun. PELACAKAN PENGIRIMAN (SID S-1-5-18). Digunakan oleh kernel sistem operasi dan berbagai layanan yang membutuhkan izin maksimal, termasuk tugas instalasi. Tidak muncul di Pengelola Pengguna dan tidak dapat ditambahkan ke grup, tetapi Anda akan melihatnya di daftar izin NTFS, di mana biasanya terdapat kontrol penuh atas semua file dari volume lokal.
Akun Layanan lokal (LAYANAN LOKAL, SID S-1-5-19) Akun ini dirancang untuk menjalankan layanan dengan hak akses minimal pada mesin dan kredensial anonim di jaringan. Dengan cara ini, jika layanan yang menggunakan akun ini disusupi, penyerang akan memiliki ruang gerak yang lebih terbatas.
Sementara itu, akun tersebut Layanan Jaringan (LAYANAN JARINGAN, SID S-1-5-20) Sistem ini menjalankan layanan yang perlu menggunakan kredensial komputer itu sendiri saat berkomunikasi dengan server jarak jauh lainnya. Dengan demikian, layanan tersebut menampilkan dirinya ke jaringan sebagai komputer, bukan sebagai pengguna biasa, tetapi mempertahankan hak akses yang relatif terbatas secara lokal.
Buat akun lokal yang aman untuk penggunaan sehari-hari di Windows 10 dan Windows 11.
Selain akun terintegrasi, praktik yang umum dilakukan adalah membuat pengguna lokal standar Untuk penggunaan sehari-hari, Anda dapat memiliki satu atau lebih akun administrator yang hanya digunakan saat Anda perlu menginstal perangkat lunak, memodifikasi pengaturan global, atau melakukan pemeliharaan. Windows menawarkan beberapa cara untuk membuat akun-akun ini, tergantung pada apakah Anda lebih menyukai antarmuka grafis atau baris perintah.
Buat dari aplikasi Pengaturan
Di Windows 10 dan 11, cara yang paling "ramah pengguna" bagi sebagian besar pengguna adalah melalui aplikasi. Pengaturan > AkunDari situ Anda dapat membuat akun lokal dan akun berbasis Microsoft ID, dan kemudian mengubah jenisnya (Pengguna Standar atau Administrator).
Alur biasanya adalah: masuk ke Akun, masukkan Keluarga dan pengguna lain (pada Windows 10) atau pada Pengguna lain (di Windows 11), klik Tambah akun dan, saat sistem meminta alamat email atau nomor telepon, pilih opsi Saya tidak memiliki detail login untuk orang iniPada langkah selanjutnya, alih-alih membuka email Microsoft baru, pilih Tambah pengguna tanpa akun Microsoft.
Dari situ, Anda hanya perlu menunjukkan nama pengguna dan kata sandiUlangi kata sandi Anda untuk keamanan dan atur tiga pertanyaan keamanan. respons pemulihanAnda bisa membiarkan kata sandi kosong, tetapi itu bukan ide yang baik dalam hampir semua skenario dunia nyata. Setelah dibuat, akun akan muncul di bagian pengguna lain, dan Anda dapat mengubah jenisnya menjadi Administrator jika diperlukan.
Membuat akun anggota keluarga (dengan akun Microsoft)
Jika Anda ingin membuat akun untuk anak di bawah umur atau pengguna yang ingin Anda daftarkan kontrol orang tua dan aturan waktu penggunaan layarAnda dapat menggunakan opsi Keluarga. Dalam hal ini, akun Microsoft diperlukan karena kontrol terpusat melalui layanan Family Safety.
Pengguna dengan hak akses administrator yang masuk menggunakan ID Microsoft dapat membuka Akun > Keluarga, menambahkan anggota, dan menunjukkan apakah mereka akan menjadi anggota keluarga. Penyelenggara atau Anggota dan tautkan alamat email Anda (atau buat yang baru untuk anak). Semua pengaturan selanjutnya (filter, batasan, laporan) dikelola kemudian melalui situs web Microsoft Family Safety.
Pembuatan dari Manajemen Perangkat
Dalam lingkungan yang lebih teknis, Manajemen Tim adalah alat yang sangat praktis untuk Buat beberapa pengguna lokal dengan cepat., khususnya pada Windows Pro atau Enterprise.
Dari menu konteks tombol Mulai, buka Manajemen Komputer, perluas Pengguna dan Grup Lokal > Pengguna, dan gunakan opsi untuk Pengguna baruBagian ini mendefinisikan nama pengguna, nama lengkap (opsional), deskripsi, dan kata sandi. Anda dapat mewajibkan perubahan kata sandi saat login pertama kali, mencegah pengguna mengubah kata sandi mereka, atau mengaturnya agar tidak pernah kedaluwarsa.
Setelah mengklik Buat, jendela tetap terbuka jika Anda perlu membuat beberapa pengguna sekaligus, yang sangat berguna di ruang kelas atau laboratorium dengan banyak siswa. Metode ini hanya membuat pengguna lokal, bukan akun Microsoft, dan dari properti setiap pengguna, Anda dapat menetapkan keanggotaan grup (misalnya, Pengguna atau Administrator).
Dibuat dengan Netplwiz
Netplwiz adalah alat Windows klasik untuk Kelola akun dan opsi loginAplikasi ini diluncurkan dari menu Run dengan mengetik netplwiz dan memungkinkan Anda untuk menambahkan akun, mengubah kata sandi, dan mengkonfigurasi apakah pengguna harus memasukkan kata sandi saat masuk.
Dari tab Pengguna, klik Tambah dan wizard akan menawarkan untuk membuat akun Microsoft atau, jika opsi yang sesuai dipilih, sebuah akun lokal tanpa MicrosoftMeskipun agak tersembunyi, prosedurnya mirip dengan aplikasi Pengaturan: nama, kata sandi, dan, jika berlaku, keanggotaan grup.
Membuat dari konsol: net user dan PowerShell
Saat mengelola banyak tim atau bekerja dalam mode aman, konsol adalah sekutu Anda. Dengan perintah klasik net user Anda dapat membuat pengguna hanya dengan satu baris kode, misalnya:
operator pengguna jaringan SecurePassword123! /add
Jika nantinya Anda ingin akun tersebut tergabung dalam grup tertentu, Anda dapat menggunakan:
net localgroup Administrators operator /add Untuk memberikan hak akses administrator, atau menambahkannya ke grup Pengguna jika hanya sebagai pengguna biasa. Metode ini ideal untuk skrip dan penerapan otomatis.
Di PowerShell, cmdlet Pengguna Lokal Baru Ini memungkinkan kontrol yang lebih baik dan sintaks yang modern. Anda dapat membuat akun dan menentukan kata sandi yang aman yang dikonversi ke SecureString, lalu menggunakannya. Tambahkan-AnggotaGrupLokal untuk menambahkannya ke grup yang sesuai. Ini sangat berguna bagi administrator sistem ketika dikombinasikan dengan alat otomatisasi atau modul Microsoft.PowerShell.LocalAccounts.
Perubahan terbaru di Windows 11: OOBE, perintah, dan membuat akun lokal
Pada versi Windows 11 terbaru, khususnya mulai dari build 24H2 dan seterusnya, Microsoft telah menutup rute “tidak resmi” untuk melewati persyaratan penggunaan akun Microsoft selama instalasi awal.
Trik yang sudah terkenal OOBE\BYPASSNOFitur yang hingga baru-baru ini memungkinkan Anda untuk memaksakan opsi akun lokal di wizard Out-of-Box Experience (OOBE) telah berhenti berfungsi. Saat mencoba menggunakannya di 24H2, sistem hanya memulai ulang wizard dan mengembalikan Anda ke layar yang sama, tanpa menawarkan pintasan akun lokal seperti sebelumnya.
Namun, alternatif yang efektif masih ada. Salah satu yang paling bersih adalah menggunakan kode berikut di layar yang menunjukkan bahwa koneksi internet diperlukan: Tekan Shift+F10 untuk membuka konsol. dan menjalankan perintah internal seperti OOBE: mulai ms-cxh:localonlyyang membuat asisten menampilkan jalur pembuatan akun lokal tanpa mengaitkannya dengan email.
Pilihan klasik lainnya adalah Instal Windows secara offlineMencabut kabel jaringan atau menonaktifkan Wi-Fi sebelum atau selama wizard pengaturan juga dapat membantu. Pada banyak versi, jika komputer tidak mendeteksi koneksi internet, komputer secara otomatis menawarkan opsi untuk membuat akun lokal sebagai bagian dari proses pengaturan awal, tanpa memerlukan langkah tambahan apa pun.
Terakhir, selalu ada pilihan untuk Instal menggunakan akun Microsoft, lalu buat akun lokal. Dari Pengaturan atau konsol, pindahkan penggunaan harian Anda ke akun tersebut dan, jika diinginkan, ubah akun Microsoft menjadi akun lokal dari Akun > Info Anda > Masuk dengan akun lokal. Prosesnya sedikit lebih rumit, tetapi sepenuhnya didukung dan stabil.
Keamanan dan praktik terbaik dalam penggunaan akun lokal sehari-hari
Memiliki banyak akun tidak ada gunanya jika konfigurasinya longgar. Agar akun lokal benar-benar memberikan keamanan, akun-akun tersebut perlu digabungkan. praktik penggunaan yang baik dengan konfigurasi UAC, izin, dan kebijakan grup yang tepat, terutama di lingkungan perusahaan.
Gunakan akun standar untuk penggunaan sehari-hari.
Rekomendasi umum dari Microsoft dan pakar keamanan mana pun sudah jelas: gunakan Akun standar untuk tugas harian (penjelajahan internet, email, aplikasi perkantoran, game, dll.) dan cadangkan akun dengan hak akses administrator hanya untuk tindakan yang benar-benar membutuhkannya, dan, jika memungkinkan, aktifkan otentikasi multi-faktor.
El Kontrol Akun Pengguna (UAC) Ini sangat membantu. Bahkan saat masuk dengan akun yang termasuk dalam grup Administrator, UAC menerapkan model "persetujuan administrator": pengguna berfungsi dalam mode standar hingga suatu tindakan memerlukan peningkatan hak akses, di mana sistem akan menampilkan peringatan dan meminta konfirmasi atau kredensial.
UAC juga memengaruhi bagaimana akun lokal berperilaku saat digunakan untuk akses jarak jauh atau jaringanSebagai contoh, saat masuk melalui login jaringan (NET USE, koneksi bersama, dll.), Windows dapat menerbitkan token pengguna standar tanpa kemampuan peningkatan hak akses, sehingga mencegah akun tersebut mengakses sumber daya administratif seperti C$ atau ADMIN$. Hal ini mengurangi potensi serangan untuk pergerakan lateral setelah pencurian kredensial.
Batasi penggunaan jarak jauh akun lokal dengan hak administratif.
Salah satu serangan paling umum pada jaringan Windows adalah pergerakan lateral, yang memanfaatkan hash kata sandi yang digunakan kembali pada beberapa komputer. Jika akun administrator lokal memiliki kata sandi yang sama di beberapa PC, penyerang yang berhasil membobol satu PC dapat menggunakan kredensial tersebut untuk menyebar ke PC lainnya.
Untuk mengurangi risiko ini, ada beberapa strategi yang saling melengkapi. Yang pertama adalah tolak akses masuk dari jaringan dan Layanan Desktop Jarak Jauh masuk ke akun lokal yang merupakan anggota grup Administrator. Hal ini dilakukan melalui kebijakan grup, menggunakan kebijakan berikut:
- Tolak akses jaringan ke perangkat ini, dikonfigurasi untuk “Akun lokal dan anggota grup Administrator”.
- Tolak akses masuk melalui Layanan Desktop Jarak Jauhjuga mengarah ke “Akun lokal dan anggota grup Administrator”.
Kebijakan ini diterapkan di Konfigurasi Komputer > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal > Penugasan Hak Pengguna dan didistribusikan melalui GPO ke unit organisasi yang berisi workstation dan server yang ingin Anda lindungi.
Langkah penting lainnya adalah mengontrol perilaku UAC pada akses jarak jauh dengan mengkonfigurasi nilai registri. Kebijakan FilterAkunToken Lokal Di bawah HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Melalui GPO berbasis Preferensi Registri, nilai ini dapat didefinisikan sebagai REG_DWORD dengan data 0 untuk memberlakukan pemfilteran token dan membatasi peningkatan hak akses akun lokal melalui jaringan.
Kata sandi unik dan acak untuk akun lokal dengan hak akses istimewa.
Menggunakan kembali kata sandi administrator lokal yang sama di semua komputer adalah sebuah kesalahan. risiko yang sangat besarKebocoran kata sandi tersebut, atau hash-nya, membuka peluang untuk membahayakan semua mesin yang dikonfigurasi secara identik dalam reaksi berantai.
Solusi tersebut melibatkan pembentukan kata sandi unik dan acak untuk setiap akun lokal dengan hak akses istimewa. Hal ini membuat serangan pass-the-hash menjadi sangat sulit, karena hash yang dicuri hanya valid pada mesin tempat hash tersebut diperoleh, bukan pada mesin lainnya.
Microsoft menawarkan beberapa cara untuk mengotomatiskan pengacakan ini. Metode yang paling direkomendasikan saat ini adalah dengan menerapkan LAPS (Solusi Kata Sandi Administrator Lokal)Perangkat lunak ini menghasilkan dan merotasi kata sandi kompleks untuk akun administrator lokal dan menyimpannya dalam keadaan terenkripsi di Active Directory, yang hanya dapat diakses oleh administrator yang berwenang. Opsi lain termasuk memperoleh alat perusahaan dari manajemen kata sandi istimewa atau mengembangkan skrip khusus yang menghasilkan kata sandi yang kuat secara berkala. Yang penting adalah menghindari kata sandi statis yang digunakan bersama dan godaan untuk "menggunakan kata sandi yang sama agar semua orang mengingatnya."
Melindungi kredensial dan proses sensitif: LSASS dan Credential Guard
Windows menyimpan kredensial dan rahasia keamanan selama proses tersebut. LSASS (Layanan Subsistem Otoritas Keamanan Lokal)yang mengontrol sesi pengguna dan validasi. Jika penyerang berhasil membaca memori LSASS, mereka dapat mengekstrak hash kata sandi dan tiket Kerberos untuk pergerakan lateral. Selain itu, disarankan Periksa apakah kredensial Anda telah bocor. dan bertindak cepat.
Oleh karena itu, pada workstation dan server modern, disarankan untuk mengkonfigurasi LSASS sebagai Lampu Perlindungan Proses (PPL)memperkuat isolasinya dari proses yang tidak dapat diandalkan. Selain itu, banyak sistem saat ini memungkinkan aktivasi. Pelindung Kredensialyang menggunakan virtualisasi berbasis perangkat keras untuk mengisolasi kredensial dan rahasia, sekaligus mengurangi potensi pencurian hash.
Langkah-langkah ini, bersama dengan segmentasi akun lokal yang tepat, penggunaan kata sandi unik, dan pembatasan login jarak jauh, menghasilkan lingkungan yang jauh lebih tahan terhadap serangan eskalasi dan pergerakan lateral.
Manajemen akun lokal tingkat lanjut dan administrasi jarak jauh.
Pada pengendali domain, akun domain dikelola melalui Active Directory dan alat-alat standar, tetapi dimungkinkan juga untuk menggunakan Pengguna dan grup lokal untuk mengelola akun pada komputer jarak jauh yang bukan pengendali domain, dengan syarat jaringan dan kebijakan mengizinkan administrasi jarak jauh.
Selain GUI, administrator memiliki utilitas klasik seperti PENGGUNA NET.EXE dan GRUP LOKAL NET.EXE untuk mengelola pengguna dan grup lokal menggunakan skrip, dan modul Microsoft.PowerShell.LocalAccounts untuk mengotomatiskan pembuatan, modifikasi, dan penghapusan akun dengan PowerShell.
Berikan tugas dengan benar hak pengguna dan izin akses Hal ini juga mendasar. Hak akses (seperti mencadangkan file, mematikan komputer, masuk secara lokal atau melalui jaringan) didefinisikan dalam kebijakan keamanan lokal atau domain, sementara izin diterapkan pada objek tertentu (file, folder, printer) melalui ACL.
Pada pengendali domain, Pengguna dan Grup Lokal tidak dapat digunakan untuk mengelola akun lokal pada pengendali itu sendiri, tetapi dapat digunakan untuk mengarahkan administrasi ke komputer anggota jarak jauh. Pemisahan ini membantu menjaga keamanan domain yang terdefinisi dengan baik dibandingkan dengan akun lokal masing-masing mesin.
Secara keseluruhan, pemahaman menyeluruh tentang akun terintegrasi, penggunaan akun lokal standar untuk operasi harian, pembatasan ketat akun administratif, penegakan kebijakan pembatasan login jarak jauh, perlindungan LSASS, dan memastikan kata sandi yang unik menjadi dasar bagi keamanan sistem. Akun lokal adalah alat yang aman dan andal. baik di rumah maupun di jaringan bisnis, ruang kelas, atau laboratorium tempat banyak pengguna berbagi peralatan tetapi seharusnya tidak berbagi risiko atau data.
