Tindakan Keamanan Dasar Untuk Windows XP

Meskipun Windows XP Professional dibangun di atas kernel Windows 2000, ada perbedaan yang signifikan antara sistem operasi – terutama mengenai keamanan. Daftar-pembanding berikut sebagian didasarkan pada keamanan Windows 2000 dan meliputi baik Windows XP Professional dan XP Home Edition. Sayangnya, Windows XP Home Edition tidak memiliki semua fitur keamanan seperti XP Professional, sehingga tidak semua pilihan yang tersedia untuk kedua versi. Jika Anda khawatir tentang data Anda, disarankan upgrade ke XP Profesional sesegera mungkin. Ketika melaksanakan rekomendasi ini, perlu diingat bahwa ada trade off antara tingkat keamanan dalam Sistem Operasi. Untuk membantu Anda memutuskan berapa banyak keamanan yang Anda butuhkan, disini ditampilkan beberapa Dasar, Intermediate, dan Advanced Keamanan pilihan. Anda harus menilai potensi resiko keamanan Anda, menentukan nilai data Anda, dan keseimbangan sesuai kebutuhan Anda.

1. Gunakan Format NTFS pada semua Partisi Hardisk anda

Sistem file FAT16/FAT32 yang berlaku pada Windows 95/98/ME tidak memadai untuk keamanan data Anda dan memungkinkan sistem Anda akan terkena serangan. Sistem file NTFS lebih cepat daripada FAT32 dan memungkinkan Anda untuk mengatur hak akses ke tingkat file. Jika Anda tidak yakin tentang bagaimana sistem anda dikonfigurasi, buka My Computer, klik kanan pada huruf drive yang ingin Anda periksa, dan pilih mwnu “Properties”. Jika Windows XP anda adalah sistem dengan FAT16 atau sistem file FAT32, Anda dapat mengkonversi partisi dengan cepat dan mudah menggunakan utilitas convert.exe. (Jika Anda memilih untuk mengkonversi ke NTFS, Anda tidak dapat kembali ke FAT atau sistem FAT32 file kecuali jika Anda menginstal ulang XP) Selain itu, NTFS dari Windows XP Professional memungkinkan Anda untuk mengenkripsi file dan folder menggunakan Encrypting File System (EFS). Jika Anda menggunakan dual boot Windows XP dan Windows 9x/Me, perlu diingat bahwa sistem operasi tidak dapat membaca partisi NTFS, dan Anda tidak akan dapat mengakses file ketika Anda berada di Windows 9x/ME

2. Gunakan Pasword Acount untuk Login ke System

Baik Windows XP Professional maupun Home Edition memungkinkan pengguna untuk masuk ke system tanpa menggunakan pasword, meskipun di XP Profesional masuk ke system tanpa pasword acount dapat digunakan, adalah merupakan ide yang buruk jika Anda peduli dengan keamanan. Pastikan Anda menetapkan password untuk semua account, khususnya account Administrator dan account dengan hak akses Administrator. Di XP Home Edition semua account user memiliki hak akses administratif dan tidak ada password secara default. Pastikan Anda menutup lubang ini secepat mungkin. Dengan menggunakan Acount Login kesystem membuat keamanan system anda apalagi ketika anda tersambung ke jaringan atau ke Internet, karena orang yang ingin masuk ke system anda harus mengetahui pasword login system anda, bila mereka tidak tau maka mereka tidak dapat masuk ke system windows anda.

Untuk membuat User dan Pasword Login caranya :

1. Klik Start, kemudian Klik Control Panel
2. Pada menu Control Panel pilih dan klik User Accounts
3. Kemudian klik Create a New User Account
4. Pada kotak Tupe a name for The New Account tulis nama account anda kemudian klik Next
5. Pilih “Computer Administrator” (Pengguna dengan hak akses penuh) atau “Limited” (Pengguna dengan hak akses terbatas), kemudian klik Create Acount
6. Kemudian klik Icon Acount yang anda buat tadi
7. Klik Create a Pasword
8. Masukkan Pasword yang anda inginkan pada kotak “Type a new Password
9. Masukkan lagi pasword yang sama untuk konfirmasi
10. Masukkan kode pengingat pada kotak pasword Hint
11. Kemudian klik Create Pasword
12. Restart komputer anda, maka anda akan masuk dengan login menggunakan account dan pasword

3. Nonaktifkan Simple File Sharing

Baik Windows XP Home Edition dan XP Professional workstation yang bukan merupakan bagian dari domain, menggunakan model jaringan akses disebut “Simple File Sharing,” di mana semua upaya untuk log on ke komputer dari seluruh jaringan dipaksa untuk menggunakan account Guest ( untuk mencegah mereka dari menggunakan account Administrator lokal yang tidak dikonfigurasi dengan sandi) Ini berarti jika Anda terhubung ke internet dan tidak menggunakan firewall yang aman, file pada komputer anda dapat di buka oleh siapa saja.

Untuk menon aktifkan Simple File Sharing caranya

* klik Start > My Computer > Tools > Folder Options
* Pilih menu View
* klik Advanced Settings,
* Lepaskan tanda centrang kotak Use Simple File Sharing

Untuk XP Home Edition tidak memungkinkan Anda untuk menonaktifkan Berbagi File dengan mudah dan tidak dapat bergabung dengan domain, sehingga hal yang terbaik yang dapat Anda harapkan adalah untuk memastikan untuk menetapkan folder Anda bersama untuk dibaca saja, menyembunyikan file penting dengan menggunakan tanda $ setelah nama folder, atau jika Anda menggunakan sistem file NTFS, gunakan pilihan ‘Make Private ” dalam properti folder Windows XP. workstation profesional yang merupakan bagian dari domain atau cacat saat menggunakan Simple File Sharing, gunakan “Classic” NT security yang mengharuskan semua pengguna untuk otentikasi sebelum memberikan akses ke folder bersama.

4. Gunakan firewall jika Anda Terhubung ke Internet

Memiliki akses kecepatan tinggi ke internet adalah kemudahan tetapi juga dapat membuat data Anda beresiko. Windows XP dilengkapi dengan built in firewall (disebut ICF), tetapi tidak diaktifkan secara default, dan hanya filter lalu lintas masuk tanpa berusaha untuk mengelola atau membatasi koneksi outbound sama sekali. Meskipun hal ini mungkin bagus untuk kebanyakan pengguna, kami sangat menyarankan menggunakan personal firewall pihak ketiga seperti BlackIce jika Anda khawatir tentang data Anda. Untuk pengguna korporat penggunaan atau firewall pihak ketiga sangatlah penting, pertimbangkan untuk menggunakan Kebijakan Grup untuk mengaktifkan ICF dan port tertentu menonaktifkan ketika pengguna tidak terhubung ke jaringan perusahaan.

5. Menggunakan Pasword Screen Seaver

ekali lagi ini adalah langkah keamanan dasar yang sering diabaikan oleh pengguna. Pastikan semua workstation Anda memiliki fitur ini diaktifkan untuk mencegah ancaman internal dari pihak luar. Untuk hasil terbaik, pilih screensaver dengan menggunakan pasword atau logon. Hindari OpenGL dan program intensif grafis yang memakan siklus CPU dan memori. Pastikan pengaturan menunggu sesuai untuk bisnis Anda. Jika Anda bisa mendapatkan pengguna Anda dalam kebiasaan manual penguncian workstation mereka ketika mereka jauh dari komputer mereka, Anda mungkin bisa lolos dengan waktu idle 15 menit atau lebih. Anda dapat menjaga pengguna dengan mengubah pengaturan ini melalui Group Policy atau kebijakan keamanan lokal.

6. Ubah Nama Account Administrator

Banyak hacker berpendapat bahwa ini tidak akan menghentikan mereka, karena mereka akan menggunakan SID untuk menemukan nama account dan hack itu. mengapa membuatnya mudah bagi mereka. Mengganti nama Administrator account akan menghentikan beberapa hacker amatir, dan akan mengganggu yang lebih ditentukan. Ingat bahwa hacker tidak akan tahu siapa pengguna atau akses group adalah untuk account, sehingga mereka akan berusaha hack account lokal mereka menemukan dan kemudian mencoba untuk hack account lain saat pengguna komputer pergi untuk meningkatkan akses mereka. Jika Anda mengubah nama account tersebut, cobalah untuk tidak menggunakan kata ‘Admin ” atau dengan nama pengguna yang mempermudah para hacker untuk menebak account anda.

7. Pastikan Fasilitas Remote Desktop Di Disable

Remote Desktop adalah fitur baru di Windows XP Profesional yang memungkinkan Anda untuk terhubung ke komputer Anda secara remote dan bekerja seolah-olah Anda sedang duduk di konsol. Meskipun hal ini mungkin nyaman bagi beberapa pengguna, ini juga memudahkan bagi seorang hacker yang dikompromi salah satu account pengguna Anda untuk log in langsung ke mesin anda dari jarak jauh. Untungnya, desktop remote tidak diaktifkan secara default pada Windows XP Professional, dan tidak tersedia untuk Windows XP Home Edition.

Cara mendisablekan Remote Desktop :

1. Klik Start, klik Run, ketik gpedit.msc, kemudian klik OK.
2. Pada Group Policy editor, klik pada expand Computer Configuration, klik pada expand Administrative Templates, lalu klik pada expand Windows Components, lalu klik pada expand Terminal Services.
3. Double-click Do not allow new client connections policy.
4. Set policy to Enabled, dan klik OK.

Anda juga dapat menggunakan prosedur berikut untuk menonaktifkan Remote Desktop, namun, jika Anda menggunakan prosedur sebelumnya, konfigurasi berikut ini menimpa:

1. Klik kanan My Computer kemudian klik Properties.
2. Klik Remote tab.
3. Pada pilihan Remote Desktop, Klik untuk menghapus centrang Allow users to connect remotely to this computer, kemudian OK.

8. Disable Penciptaan File Dump

Sebuah file dump dapat menjadi alat yang berguna ketika masalah baik sistem atau aplikasi crash dan menyebabkan “terkenal Blue Screen of Death”. Namun, mereka juga dapat membuat seorang hacker dengan informasi yang sensitif seperti password aplikasi. Anda dapat menonaktifkan file dump dengan pergi ke Control Panel > System > Advanced > Startup and Recovery and change the options for ‘Write Debugging Information” Jika Anda perlu memecahkan masalah crash dijelaskan di kemudian hari, Anda dapat mengaktifkan kembali. pilihan ini sampai masalah teratasi tetapi pastikan untuk menonaktifkan lagi nanti dan menghapus file dump yang disimpan

9. Disable fasilitas Autorun dari CD/DVD Room

Salah satu cara termudah bagi seorang hacker dengan akses fisik ke sebuah perusahaan PC untuk mendistribusikan kode berbahaya adalah melalui CD-ROM. Dengan membuat CD kustom dengan muatan ditetapkan memulai dari fitur autorun di mesin apapun, seorang hacker dapat mempengaruhi jumlah membuka sistem tanpa pernah meninggalkan sidik jari atau menyentuh keyboard. Atau ia hanya dapat meninggalkan beberapa kode tinggal dikantor ditandai ” MP3s”, atau “Data Payroll” dan menunggu untuk pengguna yang tidak curiga mengambil CD/DVD dan memasukkannya ke dalam mesin mereka. Anda dapat menonaktifkan fungsi ini pada Windows XP Professional dengan mengklik Start  > Run > and type GPEDIT.MSC Then go to Computer Configuration > Administrative Templates > System >  cari lokasi untuk Turn autoplay off

10. Pertimbangkan penggunaan SmartCard atau perangkat Biometric bukan password.

Kebijakan yang lebih ketat menyimpan password Anda adalah, pengguna sering menyimpan daftar password yang disalin pada kertas, atau ditempelkan di bagian bawah keyboard mereka. Windows 2000 mendukung perangkat ini, jadi pertimbangkan biaya vs risiko data Anda yang paling sensitif. Bila menggunakan smart card pastikan untuk menerapkan mengkonfigurasi workstation Anda untuk mengunci jika Anda mengeluarkan kartu pintar. Local Policies >  Security Options  >  Interactive logon > Smart card removal behavior > Lock Workstation setting

11. Disable Standard Share

Windows XP secara otomatis membuat sejumlah share administrasi tersembunyi bahwa sistem operasi digunakan untuk mengelola lingkungan komputer pada jaringan. Default share ini dapat dinonaktifkan melalui konsol Computer Management di Control Panel, tetapi mereka diaktifkan kembali oleh sistem setelah Anda me-restart komputer Anda. default share tersembunyi adalah:

• C$ D$ E$ : Root partisi masing-masing. Untuk komputer Windows XP Profesional, hanya anggota dari grup Administrator atau Backup Operator dapat terhubung ke shared folder ini.
• ADMIN$ : % SystemRoot% saham ini digunakan oleh sistem selama administrasi remote dari sebuah komputer. Jalur sumberdaya ini selalu path ke sistem Windows XP root (direktori di mana Windows XP diinstal: misalnya, C: \ Winnt).
• FAX$ : Ini digunakan oleh klien fax dalam proses pengiriman faks. Folder bersama sementara cache file dan menutup akses halaman yang disimpan pada server.
• IPC$ : Koneksi Sementara antara server dengan menggunakan named pipes penting untuk komunikasi antara program. Hal ini digunakan selama administrasi secara remote dari sebuah komputer dan bila melihat sumber daya komputer di-share.
• NetLogon : Ini digunakan oleh layanan Netlogon untuk memproses permintaan logon
• PRINT$ : % SystemRoot% \ SYSTEM32 \ spool \ DRIVER Digunakan selama administrasi remote printer.

Untuk mencegah dari Share yang diciptakan pada saat startup, buka RegEdit dan edit regystry berikut: HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters Buat nilai DWORD bernama AutoShareWks dan buat parameternya 0. (Catatan: $ ini tidak menonaktifkan IPC share. Anda harus menguji fungsionalitas program dan jasa Anda setelah Anda menonaktifkan dasar Share administrator. Beberapa layanan Windows tergantung pada keberadaan share tersebut. Selain itu, beberapa program pihak ketiga mungkin diperlukan untuk beberapa share administrator ada. Sebagai contoh, beberapa program mungkin memerlukan cadangan share tersebut. Anda mungkin dapat mengembalikan fungsi secara manual membuat share diperlukan.

12. Aktifkan EFS (Encrypting File System)

Windows XP Profesional dengan sistem enkripsi yang kuat yang menambah sebuah lapisan keamanan ekstra untuk drive, folder, atau file. Ini akan membantu mencegah hacker mengakses file Anda dengan fisik mounting hard drive pada PC lain dan mengambil kepemilikan file. Pastikan untuk mengaktifkan enkripsi pada Folder, tidak hanya file. Semua file yang ditempatkan dalam folder yang akan dienkripsi.

13. Nonaktifkan layanan yang tidak perlu

Layanan yang tidak perlu adalah lubang hacker untuk masuk ke system anda, serta menguras sumber daya sistem. Anda dapat menonaktifkan layanan melalui Control> Panel Administrative Tools> Services

Beberapa Service yang tidak diperlukan :

• Disable IIS : Untungnya, di IIS tidak terinstal secara default pada Windows XP. Jika  diaktifkan selama instalasi Anda, dan tidak menggunakannya Anda harus menonaktifkannya. Jika Anda menggunakan IIS pada workstation Anda, Anda perlu mengambil tindakan ekstra untuk menguncinya dan tetap di atas kerentanan keamanan khusus untuk layanan web.
• Netmeeting Remote Desktop Sharing
• Remote Desktop Help Session Manager : Di disable Jika Anda belum dinonaktifkan ini melalui Kebijakan Grup.
• Remote Registry
• Routing &  Remote Access : jika tidak ada panggilan ke dalam mesin Anda.
• SSDP Discovery Service : Menonaktifkan Layanan Universal PNP, yang meninggalkan TCP Port 5000 terbuka lebar.
• Universal Plug and Play Device Host : Ini dirancang untuk memungkinkan komputer Anda untuk secara otomatis tersambung ke peralatan aktif jaringan. Meskipun tidak ada manfaat praktis untuk teknologi ini, beberapa kelemahan keamanan yang parah telah ditemukan. Gunakan Cabut dan utilitas dari UnPlug and Pray untuk menonaktifkan “Universal Plug and Play”.
• Telnet

14. Mengamankan jaringan nirkabel Anda

802,11 standar baru nirkabel memungkinkan Anda untuk berkeliaran dengan bebas tanpa kabel dan membuat antara kantor virtual Anda. Hal ini juga memberikan hacker pintu lain terbuka untuk data Anda jika Anda gagal untuk menguncinya. Sebuah survei terbaru di Inggris menemukan bahwa dari 5.000 jaringan nirkabel yang ditemukan hanya dengan berkeliling kota dengan laptop diaktifkan nirkabel, 92% terbuka lebar. Sebagai “drive oleh” hacking dan warchalking menjadi praktek umum, setiap hacker dengan laptop dan Pringles bisa dapat berpotensi membahayakan jaringan Anda.

15. Pertimbangkan untuk membuat sebuah account Administrator Palsu

Strategi lain adalah dengan membuat account lokal bernama “Administrator”, kemudian memberikan account yang tidak ada hak istimewa dan tidak mungkin untuk menebak password 10 digit kompleks. Ini harus menjaga script Hacker sibuk untuk sementara waktu. Jika Anda membuat account Administrasi palsu, diaktifkan audit sehingga Anda akan tahu ketika sedang dirusak.

16. Disable Guest Account

Guest Account merupakan lubang besar bagi hacker, dan harus dinonaktifkan segera setelah Anda menginstal workstation Anda. Sayangnya, rekomendasi pengaturan ini hanya berlaku untuk Windows XP Profesional komputer yang berasal dari domain, atau untuk komputer yang tidak menggunakan model Simple File Sharing. Windows XP Home Edition tidak akan memungkinkan Anda untuk menonaktifkan account Guest. Bila Anda menonaktifkan account Guest pada Windows XP Home Edition melalui Control Panel, itu hanya menghapus pencatatan Guest account dari Fast User Switching Welcome screen, dan Log-On kanan Lokal. Referensi jaringan akan tetap utuh dan Guest account akan tetap dapat terhubung ke sumber daya bersama mesin terpengaruh di dalam jaringan.