Fitur Remote Desktop dari Windows sebenarya sudah dilindungi dengan enkripsi, namun jika pengaturan nya tidak dioptimalkan, masih bisa terdapat celah yang memungkinkan pihak ketiga dapat masuk dengan teknik “man in the middle attack”. Berikut adalah beberapa pengaturan untuk mengoptimalkan keamanan RDP:
1.Gunakan Password yang Kuat
Gunakan password yang kuat pada komputer yang disetting untuk diakses oleh RDP. Gunakan minimal 8 karakter dan mengandung kombinasi huruf besar, angka, dan simbol secara acak. Jangan gunakan password yang tersusun menjadi sebuah kata yang mudah ditebak, seperti nama, tanggal lahir dsb.
2.Aktifkan Update Otomatis
Salah satu kelebihan mengunakan fitur Remote Desktop bawaan Windows dari aplikasi Remote pihak ketiga adalah update yang menyatu dengan OS dan bisa diset agar berjalan otomatis. Pastikan PC server dan client mendapatkan update patch terbaru terutama update untuk fitur RDP agar tidak ada celah keamanan yang terbuka. Seperti bulan Mei 2019 yang lalu ditemukan celah BlueKeep yang mengeksploitasi fitur RDP. Anda bisa install patch untuk menambal celah tersebut dengan mengklik link ini:
Windows XP SP3 x86
http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-enu_d7206aca53552fececf72a3dee93eb2da0421188.exe
Windows XP Professional x64 Edition SP2
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Win Vista SP 2
https://support.microsoft.com/en-gb/help/4500705/customer-guidance-for-cve-2019-0708
Windows 7 for 32-bit Systems Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/pciclearstalecache_7f0c5cff499688bc34fdf52d5a6af3d97881d801.exe
Windows 7 for x64-based Systems Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/pciclearstalecache_d243a607b50db10ed50f03cff570498018c61a59.exe
Windows 8.1 32 bit
http://download.windowsupdate.
Windows 8.1 64 bit
http://download.windowsupdate.
Windows 10 64 bit
https://catalog.update.
Windows Server 2003 SP2 x86
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-enu_62d416d73d413b590df86224b32a52e56087d4c0.exe
Windows Server 2003 SP2 x64
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows Server 2008 R2 64bit
http://download.windowsupdate.
Windows Server 2012 64 bit
http://download.windowsupdate.
Windows server 2016 x64
http://download.windowsupdate.
3.Batasi Akses dengan Firewall
Gunakan hardware atau software firewall untuk membatasi akses listening ke port Remote Desktop (default: TCP 3389). Sangat direkomendasikan menggunakan RDP Gateway terpusat untuk membatasi akses RDP baik ke desktop ataupun server.
4.Aktifkan Network Level Authentication (NLA)
NLA membuat koneksi lebih aman karena komputer akan di autentikasi sebelum terhubung ke RDP. Kebanyakan tool ‘brute force attack’ tidak mau masuk ke RDP dengan NLA yang aktif, karena akan memperlambat dan menambah level kesulitan pada proses hacking. Dengan begitu NLA bisa lebih melindungi komputer dari serangan DoS dan exploit.
Pada Win 7, Vista, dan Server 2008, fitur ini sudah aktif secara default. Fitur ini sangat direkomendasikan untuk tetap aktif, dan hanya dimatikan jika komputer yang diremote tidak mendukung fitur ini. Berikut cara mengaktifkan nya:
a. Win Vista, Win 7, Win 8, Win 10, Server 2008, Server 2008 R2, Server 2012, Server 2016. Tanpa RD Session Host Role:
b. Win Server 2016 & Server 2012 dengan RD Session Host role:
-
- Pada RD Session Host server, buka Server Manager.
- Klik Remote Desktop Services>RDSCollections. Pilih session yang ingin disetting, klik Tasks, Edit, Properties.
- Di bagian Security, centang Allow connections only from computers running Remote Desktop with Network Level Authentication. (Untuk kompabilitas, pada bagian security Layer, pilih Negotiate).
- Centang bagian Allow connections only from computers running Remote Desktop with Network Level Authentication.
- Klik OK.
c. Windows 2008 dan Windows 2008 R2 dengan RD Session Host Role:
-
- Pada RD Session Host server, klik Start>Administrative Tools>Remote Desktop Services, klik Remote Desktop Session Host Configuration.
- Pada bagian Connections, klik kanan nama Connections, lalu klik Properties.
- Pada tab General, centang Allow connections only from computers running Remote Desktop with Network Level Authentication. (untuk kompabilitas, bagian Security Layer di set ke Negotiate)
-
- Centang Allow connections only from computers running Remote Desktop with Network Level Authentication.
- Klik OK.
d. Setting Group Policies
Setting policies melalui Terminal Server:
-
- Open gpedit.msc.
- Arahken ke Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security.
- Aktifkan Require use of specific security layer for remote (RDP) connections dan pilih RDP pada Security Layer.
- Aktifkan Require user authentication for remote connections by using Network Level Authentication policy.
- Restart Terminal server.
5.Batasi User yang Dapat Login ke RDP
Secara default, semua Administrator dapat megakses RDP. Hal ini harus dibatasi sehingga hanya Admin yang benar-benar berkepentingan yang dapat mengakses RDP. Dan sebagai gantinya buatlah akses grup dengan cara sbb:
- Klik Start–>Programs–>Administrative Tools–>Local Security Policy
- Pada Local Policies–>User Rights Assignment, pilih “Allow logon through Terminal Services.” atau “Allow logon through Remote Desktop Services”
- Hapus grup Administrators dan biarkan grup Remote Desktop Users.
- Klik add users or Group.
6.Setting Account Lockout Policy
Dengan setting ini maka akun atau komputer akan terkunci otomatis jika salah mengetik password sejumlah yang ditentukan. Hal ini sangat penting untuk menghindari hacker yang mencoba masuk dengan meregenerate password terus-menerus (brute force attack). Caranya adalah sebagai berikut:
- klik Start–>Programs–>Administrative Tools–>Local Security Policy
- Pada Account Policies–>Account Lockout Policies, masukkan setting pada pilihan yang ada. Sebagai contoh anda bisa mensetting komputer akan terkunci selama 5 menit jika salah memasukkan password 3 kali.
Semoga artikel ini bermanfaat. Terimakasih