How To Prepare Your Medical Setting With Billing And Coding For ThanksGiving?

As the holiday season approaches, there are a few things you should coordinate in order to set up your medical practice’s holiday schedule and guarantee a successful year’s end. Your team and…

Smartphone

独家优惠奖金 100% 高达 1 BTC + 180 免费旋转




Windows Fundamentals

SOC analyst sering menghadapi banyak jenis teknologi dan sistem yang berbeda karena pekerjaan mereka. Maka dari itu,mereka harus terbiasa dengan semua sistem yang mereka hadapi. Salah satu contoh sistem tersebut adalah Windows. Sistem operasi Windows adalah sistem operasi yang telah dikembangkan secara komersial untuk waktu yang lama dan menjadi lebih umum dari hari ke hari. Sangat penting bagi kita untuk memahami kemampuan dan fitur sistem operasi sehingga langkah-langkah efektif dapat diambil jika ada penyerang yang menargetkan sistem operasi Windows karena sistem dapat dengan mudah disusupi atau informasi penting dapat diperoleh dari sistem dengan menyalahgunakan fitur yang ada dari sistem operasi. Dalam jenis pelanggaran ini, analis SOC perlu memiliki pengetahuan tentang sistem operasi untuk memahami ancaman dan menyelesaikan kasus. Selain itu, karena mungkin ada banyak jenis perangkat Windows lain, tinjauan host Windows mungkin diperlukan dari waktu ke waktu.

Kembali ke Table of Contents>>

Windows adalah nama dari salah satu jenis sistem operasi yang memiliki banyak versi berbeda yang dikembangkan oleh Microsoft.

Sistem operasi Windows pertama kali dirilis pada tahun 1985. Banyak versi Windows telah dirilis sejak hari peluncurannya. Sejak saat itu,setiap versi masih terus ditingkatkan dan masih terus dikembangkan. Sekarang, kita dapat dengan mudah menemukan produk Windows di setiap lingkungan di mana teknologi tersedia.

Beberapa versi pribadi sistem operasi Windows yang telah dirilis hingga saat ini adalah sebagai berikut:

Beberapa versi server sistem operasi Windows yang telah dirilis hingga saat ini adalah sebagai berikut:

Silakan kunjungi tautan berikut untuk melihat semua versi Windows dan mendapatkan informasi terperinci mengenai versi windows yang ada :

Sistem operasi Windows dan sistem operasi lainnya banyak digunakan. Sistem operasi ini sering digunakan di bidang industri dan perangkat seluler, terutama di sektor TI. Versi windows yang berbeda telah dirilis sesuai dengan kebutuhan dan area penggunaan.

Windows merupakan salah satu contoh sistem operasi yang paling mapan, ia memiliki banyak pengalaman dari dulu hingga sekarang. Oleh karena itu, Microsoft sangat mementingkan antarmuka pengguna grafis/graphical user interface (GUI) untuk memberikan pengalaman pengguna tertinggi kepada penggunanya. Saat hal ini masuk ke Windows, hal pertama yang terlintas dalam pikiran adalah kemudahan penggunaan dan kemampuannya untuk menarik pengguna dari semua lapisan masyarakat.

Gambaran umum Windows telah disediakan di bagian pelatihan ini dan apa itu sistem operasi Windows, versi, manfaat, dan area penggunaannya disebutkan secara singkat.

Kembali ke Table of Contents>>

Sistem file / file system adalah struktur data yang mempertahankan urutan area penyimpanan digital, dimana setiap unitnya berbentuk sebuah file. Sistem operasi tidak dapat memahami ruang pada disk tanpa adanya sebuah file system. Mereka tidak dapat mengetahui grup data mana yang ada di disk yang termasuk bagian dari file. Jadi file system merupakan komponen yang sangat penting untuk menjalankan sistem operasi. Sistem file memiliki tipe dan struktur data yang berbeda. Struktur data ini dapat berbeda untuk setiap file system.

File system saat ini juga telah berkembang, sama seperti setiap teknologi lain yang terus berkembang dari dulu hingga sekarang. Seiring dengan berkembangnya teknologi, kebutuhan akan file system baru telah muncul karena meningkatnya daya pemrosesan dan kapasitas penyimpanan. Oleh karena itu, file system yang berbeda masih dikembangkan secara terus menerus dan dirilis ke pasar. Beberapa sistem file yang digunakan dalam sistem operasi Windows diberikan di bawah ini.

1. FAT

File Allocation Table (FAT) dikembangkan dan dirilis untuk komputer pribadi pada tahun 1977. Meskipun tujuan kemunculannya adalah untuk digunakan pada floppy disk, ia kemudian dapat digunakan di hard drive dan perangkat lain seiring waktu . FAT bukanlah sistem file default untuk sistem operasi Microsoft Windows saat ini. Saat ini, hal tersebut biasa digunakan di USB flash drive, flash drive, dan sistem tertanam lainnya.

2. exFAT

exFAT (Extensible File Allocation Table) adalah sistem file yang diperkenalkan oleh Microsoft pada tahun 2006 dan dioptimalkan untuk memori flash seperti USB flash drive dan kartu SD.

3. NTFS

New Technology File Systems (NTFS) diumumkan dan mulai digunakan dengan versi Windows NT 3.1 pada tahun 1993. NTFS digunakan sebagai sistem file default dalam sistem operasi Windows dengan versi saat ini dan masih ada. NTFS menggantikan sistem file FAT karena merupakan sistem file yang lebih canggih yang cocok untuk teknologi baru. Selain itu, sistem file NTFS juga mendukung sistem Linux dan BSD.

Sangat penting bagi analis SOC untuk mengetahui detail teknis dari sistem file NTFS mengingat sistem ini sebagian besar digunakan di sistem operasi Windows sebagai teknologi terbaru saat ini. Mengetahui struktur sistem file memastikan bahwa kesimpulan berorientasi keamanan yang akan diperoleh dalam analisis lebih dan lebih konsisten untuk analis yang berperan sebagai host analysis.

Kembali ke Table of Contents>>

Seperti di setiap sistem operasi, struktur folder dan file di Windows berlangsung dalam urutan tertentu sejak instalasi pertama. Urutan ini ditentukan oleh perusahaan/orang yang mengembangkan sistem operasi.

Meskipun versi windows memiliki struktur folder yang sama secara umum, beberapa folder dan file mungkin berbeda tergantung pada versi sistem operasinya. Contoh dalam pelatihan ini ditunjukkan pada “Windows Server 2019 Datacenter”.

Di Windows, direktori root adalah “drive:\”, misalnya, direktori root biasanya “C:\”. Pemisah direktori biasanya memakai “\”, tetapi sistem operasi juga secara internal mengenali ‘/’. Drive fisik dan virtual diberi nama dengan huruf drive, bukan digabungkan menjadi satu.

Struktur direktori dibuat sebagai berikut ketika Windows pertama kali diinstal.

1. PerfLogs

Ini adalah folder yang dibuat untuk menyimpan log kinerja Windows. Itu ditemukan sebagai folder kosong karena opsi logging dimatikan secara default.

2. ProgramData

Folder ProgramData terletak sebagai folder tersembunyi di bawah root disk tempat sistem operasi Windows diinstal. Opsi “Hidden Items” harus diaktifkan di bawah menu ‘Tampilan’ terlebih dahulu untuk dapat melihat folder. Ada data milik program yang diinstal di sistem, terlepas dari akun pengguna di folder ini.

Anda dapat melihat isi folder ‘ProgramData’ pada gambar di atas.

3. Program Files

Semua program yang diinstal di sistem terletak di bawah folder ‘Program Files’ di sistem operasi Windows yang diinstal sebagai 32-bit. Di sistem operasi Windows yang diinstal sebagai 64-bit, hanya program 64-bit yang diinstal di bawah folder ini.

Anda dapat melihat isi folder ‘Program Files’ pada gambar di atas.

4. Program Files (x86)

Folder ini hanya tersedia di sistem operasi Windows yang diinstal sebagai ‘64-bit’. Ada program yang diinstal pada sistem sebagai ‘32-bit’ di bawah folder ini. Program yang diinstal sebagai ‘64-bit’ disimpan di folder lain bernama ‘Program Files’ dengan nama yang mirip.

Anda dapat melihat isi folder ‘Program Files (x86)’ pada gambar di atas.

5. Users

Folder Users berisi folder pribadi setiap pengguna yang telah masuk ke sistem setidaknya sekali. Folder dan dokumen seperti folder desktop, file yang diunduh, dan dokumen disimpan di bawah folder ini milik setiap pengguna di sistem.

Anda dapat melihat isi folder ‘Users’ pada gambar di atas.

6. Windows

Folder Windows adalah tempat seluruh sistem operasi diinstal. Ia memiliki strukturnya sendiri dan mengandung banyak informasi sistemik dalam urutan tertentu. Misalnya, database tempat kata sandi pengguna disimpan berada di bawah folder ini.

Anda dapat melihat isi folder ‘Windows’ pada gambar di atas.

Kami telah membahas bagaimana struktur direktori Windows dan direktori Windows sendiri dibuat setelah instalasi pertama. Pada bagian pelatihan selanjutnya, ‘Command Line’ akan dijelaskan secara praktis.

Kembali ke Table of Contents>>

Comannad Line adalah program perantara yang menerima perintah dari pengguna melalui keyboard dan mentransfernya ke sistem operasi untuk dieksekusi.

Di Windows, banyak operasi dapat dilakukan melalui Comamand Line. Di bawah ini adalah beberapa perintah yang pada dasarnya digunakan dalam sistem operasi Windows.

1. “Help” Command

Help adalah perintah yang memberikan informasi rinci tentang perintah yang digunakan pada Command Line. Kita dapat melihat parameter perintah yang kita perlukan untuk mendapatkan informasi dengan perintah ‘Help’. Sebagai contoh, mari kita lihat halaman bantuan untuk perintah ‘dir’:

Gambar di atas menunjukkan bahwa halaman help untuk perintah ‘dir’ telah berhasil ditampilkan di layar.

2. “Dir” Command

‘Dir’ adalah perintah yang mencantumkan file dan folder di bawah direktori saat ini. Sebagai contoh, mari kita lihat file dan folder di “C:\Users\LetsDefend”:

Gambar di atas menunjukkan bahwa file dan folder yang ada telah berhasil terdaftar dengan perintah ‘dir’.

3. “Cd” Command

Cd adalah perintah yang digunakan untuk transisi direktori. Misalnya, mari kita beralih dari direktori ‘C:Windows’ ke direktori ‘C:Windowssystem32’:

Gambar di atas menunjukkan bahwa direktori telah berhasil dialihkan.

4. “Date” Command

perintah yang digunakan untuk melihat dan mengubah informasi tanggal sistem. Sebagai contoh, mari kita lihat informasi tanggal dengan perintah ‘date /t’:

Gambar di atas menunjukkan bahwa informasi tanggal sistem telah berhasil ditampilkan di layar.

5. “Echo” Command

perintah yang digunakan untuk mencetak ke layar. Misalnya, mari kita cetak ‘BlueTeam’ ke layar dengan perintah echo:

Gambar di atas menunjukkan bahwa pencetakan ke layar telah berhasil diselesaikan.

6. “Hostname” Command

perintah yang digunakan untuk melihat informasi nama host dari sistem. Sebagai contoh, mari kita jalankan perintah hostname:

Gambar di atas menunjukkan bahwa perintah hostname telah berhasil diterapkan dan nama host sistem ditampilkan.

7. “Time” Command

perintah yang digunakan untuk melihat waktu sistem. Sebagai contoh, mari kita lihat waktu sistem dengan perintah ‘waktu /t’:

Gambar di atas menunjukkan bahwa jam sistem telah berhasil dicetak di layar.

1. “Ipconfig” Command

perintah yang memungkinkan melihat informasi tentang antarmuka jaringan pada sistem melalui command line. Sebagai contoh, mari kita lihat dengan menjalankan perintah:

Gambar di atas menunjukkan bahwa informasi antarmuka jaringan dalam sistem telah berhasil ditampilkan di layar.

Catatan: Untuk mendapatkan informasi rinci tentang semua antarmuka jaringan, perintah ‘ipconfig’ harus digunakan dengan parameter ‘/ all’.

2. “Netstat” Command

Dimungkinkan untuk melihat koneksi jaringan saat ini dan statusnya melalui baris perintah. Sebagai contoh, mari kita lihat koneksi jaringan yang tersedia dengan perintah ‘netstat’:

Gambar di atas menunjukkan bahwa koneksi yang ada telah berhasil ditampilkan dengan perintah ‘netstat’.

Catatan: Karena output dari perintah netstat terlalu panjang, hanya bagian pertama yang ditampilkan pada gambar di atas.

Penjelasan dari parameter yang diterapkan dalam perintah adalah sebagai berikut:

3. “Nslookup” Command

Perangkat berkomunikasi satu sama lain melalui nilai numerik di dunia IT. Oleh karena itu, nilai yang tidak sesuai dengan nilai numerik perlu dicari numerical equivalents.

Misalnya, ketika mencoba mengakses domain ‘letsdefend.io’, alamat IP server DNS target harus diketahui atau dipelajari. Dalam hal ini, perantara harus melakukan resolusi nama domain dan alamat IP dan melaporkan alamat IP server DNS dari domain yang diinginkan. Ini adalah protokol Domain Name System (DNS) yang melakukan tugas ini. Ada beberapa alat dan perintah yang digunakan untuk ini. Sebagai contoh, mari kita cari alamat IP server DNS dari alamat ‘letsdefend.io’ dengan alat ‘nslookup’:

Gambar di atas menunjukkan bahwa alamat IP DNS Server target telah berhasil ditemukan.

4. “Ping” Command

Mungkin diperlukan untuk menguji komunikasi jaringan dari dua perangkat yang berbeda dalam jaringan yang sama. Dimungkinkan untuk mengetahui apakah target diakses dengan perintah ‘ping’ pada command line. Paket jaringan dikirim ke tujuan dan menunggu tanggapan dengan perintah ‘ping’. Dengan cara ini dapat diuji apakah ada komunikasi jaringan dengan alamat tujuan.

Catatan: Sebagai tindakan keamanan, sistem target dapat dikonfigurasi untuk tidak menanggapi perintah ‘ping’ untuk mencegah penyerang melakukan penemuan jaringan dan host. Contoh di bawah ini mengasumsikan bahwa ini tidak terjadi.

Sebagai contoh, mari kita uji apakah kita memiliki akses ke alamat ‘letsdefend.io’ dengan perintah ‘ping’:

Gambar di atas menunjukkan bahwa 3 paket telah dikirim ke ‘letsdefend.io’ dan respons yang berhasil telah diterima. Dalam hal ini terlihat adanya akses ke jaringan target.

Catatan: parameter ‘-n’: Jumlah permintaan gema untuk dikirim.

“Systeminfo” Command

The ‘Systeminfo’ adalah perintah yang memberikan informasi rinci tentang sistem. Sebagai contoh, mari kita lihat hasilnya dengan menjalankan perintah:

Gambar di atas menunjukkan bahwa informasi rinci tentang sistem telah berhasil ditampilkan di layar.

Catatan : Karena output dari perintah ‘systeminfo’ terlalu panjang, hanya bagian pertama yang ditampilkan pada gambar.

Bagian ini mencakup perintah untuk operasi yang dilakukan pada file.

1. “Type” Command

perintah yang digunakan untuk mencetak konten file ke layar. Sebagai contoh, mari kita cetak isi file ‘file.txt’:

Gambar di atas menunjukkan bahwa isi file ‘file.txt’ telah berhasil dicetak di layar dengan perintah ketik.

2. “Copy” Command

perintah yang digunakan dalam operasi penyalinan file. Parameter pertama dalam perintah ‘copy’ adalah jalur file yang akan disalin. Parameter kedua adalah jalur target. Sebagai contoh, mari kita salin file ‘file.txt’ dengan salinan di direktori yang sama

Gambar di atas menunjukkan bahwa file ‘file.txt’ berhasil disalin dan file baru bernama ‘copyfile.txt’ telah dibuat.

3. “Mkdir” Command

perintah yang digunakan untuk membuat direktori baru. Itu singkatan dari ‘membuat direktori’. Sebagai contoh, mari kita buat direktori bernama ‘insiden’ dengan perintah mkdir:

Gambar di atas menunjukkan bahwa direktori bernama ‘insiden’ telah berhasil dibuat menggunakan perintah mkdir.

4. “Rename” Command

perintah untuk mengganti nama file. Misalnya, mari kita ganti nama file ‘file.txt’ menjadi ‘file2.txt’:

Gambar di atas menunjukkan bahwa nama file telah berhasil diubah.

5. “Move” Command

perintah yang digunakan untuk memindahkan file. Sebagai contoh, mari kita pindahkan file ‘file2.txt’ di bawah direktori bernama ‘incident’:

Gambar di atas menunjukkan bahwa direktori ‘incident’ kosong sebelum migrasi file dilakukan.

Dan seperti yang terlihat pada gambar diatas file “file2.txt” telah berhasil dipindahkan dengan perintah “move”.

6. “Tree” Command

‘Tree’ adalah perintah yang memungkinkan daftar direktori bersarang dengan satu perintah. Sebagai contoh, mari kita daftar folder di “C:\Users\LetsDefend”

Gambar di atas menunjukkan bahwa direktori bersarang telah berhasil terdaftar dengan perintah ‘tree’.

7. “Rmdir” Command

The ‘rmdir’ adalah perintah yang digunakan untuk menghapus direktori. Misalnya, mari kita hapus direktori bernama ‘incident’:

Ketika perintah ‘rmdir’ dijalankan tanpa parameter, penghapusan direktori tidak dilakukan karena direktori yang akan dihapus harus kosong agar perintah ‘rmdir’ dapat bekerja tanpa parameter. Oleh karena itu, perlu menggunakan perintah dengan parameter. Ketika perintah dijalankan, peringatan akan diminta dan jika dikonfirmasi, direktori akan dihapus.

Gambar di atas menunjukkan bahwa proses penghapusan direktori telah berhasil dilakukan dengan perintah ‘rmdir /S incident’.

Catatan: Parameter ‘/ S’: Menghapus semua direktori dan file dalam direktori tertentu selain direktori itu sendiri. Digunakan untuk menghapus pohon direktori.

Kami membahas apa itu command line, pentingnya command line dalam hal keamanan, dan beberapa perintah dasar di bagian pelatihan ini. Anda dapat menemukan perintah bermanfaat lainnya dan informasi detail lebih lanjut tentang baris perintah Windows di alamat berikut:

Kembali ke Table of Contents>>

Ada pengguna dan grup di sistem operasi Windows. Hak istimewa dan tugas pengguna dan grup pada sistem mungkin berbeda. Penyerang ingin menangkap pengguna yang paling berwenang di sistem. Oleh karena itu, pengguna dan grup tempat mereka berada adalah penting dari sudut pandang keamanan.

Penyerang yang menargetkan sistem operasi Windows ingin mengetahui hak istimewa pengguna apa yang mereka miliki ketika mereka dapat mengirim perintah ke sistem operasi karena apa yang dapat mereka lakukan dengan profil pengguna yang lebih rendah mungkin terbatas. Penyerang akan mencoba menyerang balik untuk meningkatkan otoritas pengguna setelah dia mengetahui bahwa dia memiliki akses ke sistem dengan profil pengguna yang rendah. Di sisi defensif, apa yang harus dilakukan analis adalah memantau aktivitas pengguna dan mendeteksi sesuatu yang mencurigakan dalam waktu singkat.

Perintah “Whoami” adalah perintah yang menunjukkan akun pengguna mana yang mengakses sistem. Sebagai contoh, mari kita lihat Username dengan menjalankan perintah:

Seperti yang bisa dilihat pada Screenshot diatas, informasi Username telah berhasil ditampilkan di layar.

Catatan: Format dalam output perintah whoami adalah “domain\username”. Jika host yang melakukan pencarian ini tidak termasuk dalam domain, maka informasi hostname yang ditampilkan, bukan domain.

“net” adalah perintah untuk mengelola user dan group. Parameter “user” atau “group” setelah perintah “net” menunjukkan bahwa suatu proses akan dijalankan pada user atau group.

1. “net user” Command

“user” adalah perintah yang menampilkan nama-nama pengguna dalam sistem. Sebagai contoh, mari kita lihat nama pengguna di sistem dengan menjalankan perintah:

Seperti yang terlihat pada gambar diatas, nama-nama pengguna pada sistem telah berhasil ditampilkan di layar.

Jika informasi rinci yang diinginkan untuk pengguna dalam sistem, nama pengguna harus diberikan sebagai parameter untuk perintah “net user”. Contohnya, mari kita lihat informasi dari pengguna “LetsDefend”:

Bisa dilihat pada gambar diatas, beberapa konfigurasi yang terkait dengan semua pengguna pada sistem telah berhasil ditampilkan di layar.

2. “net accounts” Command

Perintah “net accounts” memungkinkan pengguna untuk melihat konfigurasi yang terkait dengan penggunaan kata sandi dan pembatasan masuk pada sistem. Sebagai contoh, mari kita lihat perintah dengan menjalankannya:

Seperti yang terlihat pada gambar di atas, beberapa konfigurasi yang terkait dengan semua pengguna pada sistem telah berhasil ditampilkan di layar.

3. “net localgroup” Command

“net localgroup” adalah perintah yang memungkinkan untuk melakukan operasi yang terkait dengan grup pada sistem. Jika digunakan dengan parameter, operasi yang berbeda dapat dijalankan pada grup. Saat digunakan tanpa parameter, ini hanya menampilkan daftar grup pada sistem. Sebagai contoh, mari kita lihat grup pada sistem dengan menjalankan perintah tanpa parameter:

Seperti yang bisa dilihat pada gambar diatas, perintah telah berhasil dijalankan dan daftar grup pada sistem telah ditampilkan.

Jika ingin melihat informasi grup dalam sistem, nama grup harus ditambahkan sebagai parameter pada perintah “net localgroup”. Misalnya, mari kita lihat informasi untuk grup “Administrator”:

Seperti yang terlihat pada gambar diatas, informasi tentang grup “Administrator” telah berhasil ditampilkan.

Banyak operasi yang dapat dijalankan pada baris perintah di Windows juga dapat dilakukan dengan mudah melalui Graphical User Interface (GUI). Dimungkinkan untuk melakukan operasi yang terkait dengan pengguna dan grup melalui GUI. Misalnya, mari kita mengakses program di mana kita dapat melihat daftar pengguna dan grup:

Mari kita buka aplikasi “Run” dengan menekan tombol “Windows + R” dan ketik nama aplikasi yang ingin kita jalankan: “lusrmgr.msc”

Ketika aplikasi “Local Users and Groups”, yang digunakan untuk manajemen pengguna dan grup, dibuka, Window berikut akan terbuka:

Daftar pengguna dalam sistem dapat ditampilkan di sini di Window ini, dengan memilih “Users” di panel navigasi kiri:

Seperti yang terlihat pada gambar di atas, daftar pengguna dalam sistem telah berhasil ditampilkan. Pengguna baru dapat ditambahkan melalui tab “Actions” di sebelah kanan:

Anda juga dapat melihat daftar grup di Window ini, dengan memilih “Groups” di panel navigasi kiri:

New Group juga dapat ditambahkan pada tab “Actions” di bagian kanan menu.

Informasi rinci dapat diperoleh tentang masing-masing pengguna dan grup di sini di aplikasi ini hanya dengan mengklik nama pengguna/grup.

Kembali ke Table of Contents>>

Permissions Management adalah salah satu topik terpenting untuk memastikan keamanan sistem operasi secara keseluruhan. Sistem Permissions Management harus dikonfigurasi dengan hati-hati. Setiap sistem memiliki konfigurasi manajemen izinnya sendiri. Windows juga memiliki fitur Permissions Management sendiri. Mari kita membahas secara detail tentang Permissions Management dan cara mengelola izin khusus untuk Windows di bagian pelatihan ini.

Setiap pengguna memiliki profil dan izinnya sendiri untuk mencegah akses tidak sah ke file/folder. Biasanya, setiap file/folder mendapatkan izinnya dari folder induk di lingkungan Windows. Hirarki ini berlanjut hingga direktori root hard drive. Kemampuan pengguna untuk beroperasi pada file dikelola oleh izin yang diberikan.

Operasi izin file dapat dilakukan melalui Graphical User Interface (GUI) dengan mudah. Misalnya, kita memiliki file bernama “file.txt” yang pemiliknya adalah pengguna “LetsDefend”. Mari klik kanan pada file dan buka “Properties” dan beralih ke tab “Security”:

Seperti yang terlihat pada gambar di atas, izin file telah berhasil ditampilkan. Jendela “Properties” ini berisi daftar pengguna dan grup dan menampilkan izin untuk pengguna/grup yang dipilih. Jika tanda centang yang menunjukkan bahwa pengguna diizinkan untuk jenis izin tertentu berwarna abu-abu, itu berarti file ini mewarisi izinnya dari folder lain. Jika izin diubah secara manual, maka tanda centang akan berwarna hitam.

Ada 6 jenis izin berbeda saat mengelola izin file: Full Control, Modify, Read&Execute, Read, Write, and Special permissions. Tabel berikut menyediakan informasi selengkapnya tentang jenis izin:

Mengubah izin file harus menjadi pemilik file itu. Sebagai contoh, mari kita lihat siapa yang memiliki file “file.txt”.

Klik kanan pada file dan buka jendela “properties”, lalu klik tombol “advanced” di tab “security”:

Gambar diatas menunjukkan bahwa pemilik file adalah pengguna “LetsDefend”. Karena kita masuk ke sistem sebagai pengguna “LetsDefend”, kita dapat membuat perubahan pada izin pada file ini. Pertama, mari kita baca konten file “file.txt”:

Seperti yang bisa kita lihat pada gambar di atas, kita berhasil mengakses file dan membacanya. Mari kita hapus izin “Read” dari pengguna “LetsDefend” untuk mencegah aksesnya ke file ini. Di tab security, pilih pengguna “LetsDefend” dan buat perubahan pada izin file dengan tombol “Edit”:

Beri tanda centang pada bagian Read di bawah kolom “Deny” yang akan memastikan bahwa file tidak akan diakses oleh pengguna “LetsDefend”. Coba kita baca “file.txt” setelah melakukan perubahan seperti pada gambar di atas:

Saat mencoba membuka file, kita menerima pesan kesalahan yang menunjukkan bahwa kita tidak memiliki izin untuk mengakses file tersebut.

Pengguna tanpa hak administrator di Windows biasanya tidak dapat mengakses direktori lain yang bukan milik mereka. Misalnya, mari masuk ke akun “user2” dan coba akses direktori akun “user1”:

Seperti yang kita lihat pada gambar di atas, kita menerima pesan kesalahan yang menunjukkan bahwa kita tidak memiliki izin untuk mengakses folder ini. Ketika kita mengklik tombol “Lanjutkan” untuk mengakses, itu mengharuskan untuk masuk dengan kredensial administrator:

Bahkan jika pengguna masuk dengan kredensial administrator, dia mungkin masih tidak dapat mengakses file tanpa izin baca pada file. Misalnya, mari kita nonaktifkan semua hak istimewa untuk pengguna “user2” dengan mengubah izin “file.txt” dari pengguna “LetsDefend”:

Setelah mengedit izin seperti di atas, buat file baru bernama “file2.txt” milik pengguna “LetsDefend” dan biarkan semua izin aktif untuk pengguna “user2”:

Mari masuk ke sistem dengan akun “user2” dan buka folder milik pengguna “LetsDefend” dan coba baca kedua file:

Seperti yang dapat kita lihat pada gambar di atas, file “file2.txt”, di mana akun “user2” memiliki izin akses, telah berhasil diakses dan dibaca.

File “file.txt”, di mana pengguna “user2” tidak memiliki izin untuk mengakses, tidak dapat diakses dan dibaca. Dari aspek keamanan manajemen izin file, penyerang mungkin akan mencoba masuk ke akun pengguna yang berwenang untuk dapat memperoleh akses ke folder/konten file target. Analis SOC harus memantau dengan cermat aktivitas pengguna yang memiliki akses ke file yang berisi informasi penting untuk dapat mendeteksi pelanggaran secara tepat waktu.

User Account Control (UAC) adalah fitur keamanan di sistem operasi Windows untuk mencegah akses yang tidak sah. Dengan fitur ini, perubahan dan operasi tertentu tidak dapat dilakukan tanpa izin administrator. Pesan kesalahan untuk permintaan izin administrator pada contoh di atas disebabkan oleh fitur ini. Meskipun meningkatkan keamanan sistem, fitur ini dapat dilewati dan dilanggar oleh penyerang dari waktu ke waktu. Meskipun bukan praktik yang baik untuk hanya mengandalkan fitur ini untuk memastikan keamanan sistem, juga bukan praktik yang baik untuk tidak menggunakan fitur ini. Saat melakukan pengerasan keamanan sistem, konfigurasi “User Account Control” harus diterapkan dengan hati-hati dan benar, seperti banyak fitur lainnya.

Kami dapat mengakses pengaturan UAC, melihat level yang berbeda, dan melakukan perubahan melalui “Security and Maintenance” di menu pengaturan di sistem operasi Windows:

UAC memiliki 4 level berbeda:

1. Always Notify

Pada tingkat ini, Anda akan diberi tahu sebelum aplikasi dan pengguna membuat perubahan yang memerlukan izin administratif. Ini adalah pengaturan yang paling aman dan paling menjengkelkan.

2. Notify me only when apps try to make changes to my computer (default)

Ini adalah level default, dan UAC hanya memberi tahu Anda sebelum program membuat perubahan yang memerlukan izin administratif. Ini kurang aman daripada pengaturan pertama karena program jahat dapat dibuat untuk mensimulasikan penekanan tombol atau gerakan mouse yang dibuat oleh pengguna dan mengubah pengaturan Windows.

3. Notify me only when apps try to make changes to my computer (do not dim my desktop)

Level ini identik dengan pengaturan sebelumnya kecuali fakta bahwa, saat perintah UAC ditampilkan, desktop tidak diredupkan dan aplikasi desktop lain dapat mengganggunya. Level ini bahkan kurang aman karena semakin memudahkan program jahat untuk mensimulasikan penekanan tombol atau gerakan mouse yang mengganggu perintah UAC.

4. Never notify me

Pada level ini, UAC dimatikan, dan tidak menawarkan perlindungan apa pun terhadap perubahan sistem yang tidak sah. Jika Anda tidak memiliki rangkaian keamanan yang baik, kemungkinan besar Anda akan mengalami masalah keamanan dengan perangkat Windows Anda. Dengan UAC dimatikan, program jahat akan lebih mudah menginfeksi Windows dan mengambil kendali.

Kembali ke Table of Contents>>

Proses adalah program yang tengah dieksekusi dalam sebuah program yang aktif. Proses adalah kumpulan perintah atau program yang berjalan pada sistem operasi. Utamanya, proses diperiksa selama tinjauan host Windows sedang berlangsung. Proses analisis pada dasarnya dapat disebut juga sebagai pemeriksaan dan analisis memori. Setiap proses memiliki nomor identifikasinya masing-masing, yang disebut dengan Process ID (PID) dan mereka dicatat dalam setiap proses operasi.

Menjalankan program adalah sebuah proses. Melalui proses ini, proses yang lain dapat dibentuk, karena diantara dua proses terdapat hubungan parent-child.

Proses: Program yang tengah dieksekusi dalam sebuah program yang aktif

Proses Parent: Proses yang telah membentuk satu atau lebih proses child dalam komputasi

Proses Child: Proses yang dibentuk oleh proses lainnya (proses parent) dalam komputasi

Satu proses parent mungkin saja memiliki beberapa proses child, namun proses child hanya dapat memiliki satu proses parent.

Berikut adalah cara melihat proses tree dengan menggunakan aplikasi Process Hacker:

Seperti yang terlihat pada gambar di atas, Process Hacker menampilkan proses pada Windows dalam urutan hierarkis.

Pada gambar di atas, terlihat bahwa explorer.exe merupakan proses parent dengan tiga proses child, yaitu:

Meskipun semua proses ini adalah proses yang sama sekali berbeda, namun pada semua proses ini terdapat hubungan parent-child. Pada jendela ini, terlihat jelas bahwa terdapat proses yang memiliki proses child dan bahkan ada yang tidak memiliki proses child sama sekali.

Terdapat banyak proses native Windows dengan tugas yang berbeda-beda. Berikut adalah beberapa proses penting dari sudut pandang keamanan otorisasi, pengguna, dan sistem informasi yang dikandung.

Proses “wininit.exe” dikenal sebagai Proses Inisialisasi Windows. Ini bertanggung jawab untuk memulai Service Control Manager (services.exe), proses Local Security Authority (lsass.exe), dan Local Session Manager (lsm.exe). Proses ini berlokasi di bawah folder “C:\Windows\System32” dan dibentuk selama boot sistem. Ini adalah proses yang bekerja dengan hak istimewa dari pengguna yang paling berwenang (NT AUTHORITY\SYSTEM) pada sistem.

Proses “services.exe” bertanggung jawab dalam memulai dan menghentikan proses. “svchost.exe”, “dllhost.exe”, “taskhost.exe”, dan “spoolsv.exe” adalah proses child dari “services.exe”. Proses ini berlokasi di bawah folder “C:\Windows\System32”. Ini adalah proses yang bekerja dengan hak istimewa dari pengguna yang paling berwenang (NT AUTHORITY\SYSTEM) pada sistem. Dalam kondisi normal, seharusnya hanya terdapat satu proses “services.exe” pada satu waktu di proses tree. Apabila terdapat beberapa proses “services.exe” atau jika terdapat nama proses yang mirip, maka hal itu harus diselidiki lanjut karena proses tersebut bisa saja termasuk dalam aktivitas berbahaya.

“svchost.exe” adalah nama proses host generik untuk layanan yang dijalankan dari library dynamic-link. Karena file DLL adalah file yang tidak dapat dieksekusi, maka file tersebut dijalankan dengan menggunakan svchost untuk memicu layanan sistem operasi. “svchost.exe” bertanggung jawab atas penggunaan dan pengelolaan layanan multi-dll untuk optimalisasi sumber sistem. Semua layanan berbasis DLL berbagi proses svchost yang sama. Setiap proses svchost terjadi dengan mengeksekusi layanan unik. Proses parent dari “svchost.exe” adalah “wininit.exe”.

“svchost.exe” berlokasi di bawah folder “C:\Windows\System32”. Dan ini adalah proses yang berjalan pada sistem dengan hak istimewa “NT AUTHORITY\NETWORK SERVICE” atau “NT AUTHORITY\SYSTEM”.

“lsass.exe” berlokasi di bawah folder “C:\Windows\System32”. Ini adalah proses yang bekerja dengan hak istimewa dari pengguna yang paling berwenang (NT AUTHORITY\SYSTEM) pada sistem.

“winlogon.exe” adalah proses yang melakukan operasi login dan logout pengguna di sistem operasi Windows. Ini adalah proses yang bekerja dengan hak istimewa dari pengguna yang paling berwenang (NT AUTHORITY\SYSTEM) pada sistem. “winlogon.exe” berlokasi di bawah folder “C:\Windows\System32”.

Proses “explorer.exe” merupakan proses parent dari hampir setiap proses yang memiliki Graphical User Interface (GUI) di sistem operasi Windows dan terbuka sebagai jendela. Misalnya, proses ini berjalan ketika Windows explorer dimulai. Dalam keadaan normal, hanya satu proses “explorer.exe” yang diharapkan. “explorer.exe” berlokasi di bawah folder “C:\Windows\System32”. Proses ini berjalan dengan hak istimewa pengguna yang saat ini masuk ke sistem.

Task Manager adalah aplikasi yang memungkinkan untuk melihat dan mengelola proses pada sistem operasi Windows. Tak hanya itu, proses juga dapat dilihat dan dihentikan dengan bantuan dari Task Manager. Berikut adalah Graphical User Interface (GUI) dari Task Manager:

Gambar di atas merupakan jendela tempat kita dapat memperoleh informasi mengenai status proses yang berjalan. Tab “Processes” dari aplikasi Task Manager menyediakan informasi yang terbatas dan umum mengenai proses. Informasi yang lebih terperinci mengenai proses dapat dilihat pada tab “Details”.

Seperti yang terlihat pada gambar di atas, tab “Details” menyuguhkan informasi yang lebih detail mengenai proses.

Operasi proses Windows umumnya dilakukan melalui Graphical User Interface (GUI). Dalam beberapa kasus pengecualian, kita mungkin perlu melakukan operasi proses melalui baris perintah. Berikut beberapa perintah penting yang mungkin perlu kita gunakan dalam menyelesaikan tugas:

Perintah “tasklist” memungkinkan kita untuk melihat daftar proses yang berjalan pada sistem.

“taskkill” adalah perintah yang digunakan untuk menghentikan proses yang berjalan di sistem. Untuk menjalankan perintah ini, nilai “PID (Process ID)” dari proses yang akan dihentikan harus diketahui terlebih dahulu. Nilai PID adalah nilai identifikasi numerik yang diberikan kepada proses oleh sistem untuk membedakan satu proses dengan proses lainnya. Sebagai contoh, mari kita lihat nilai PID dari proses “osk.exe” yang ingin kita hentikan:

Seperti yang terlihat pada gambar di atas, nilai PID dari proses “osk.exe” adalah “2812”.

Catatan: Tanda Pipe(|) memungkinkan kita untuk memberikan output dari satu perintah sebagai input ke perintah lain. Perintah “findstr” (pencarian string) adalah perintah yang digunakan dalam pencarian.

Mari kita berikan nilai PID sebagai parameter pada perintah “taskkill” dan hentikan prosesnya:

Pada gambar di atas, proses bernama “osk.exe” dengan nilai PID 2812 telah berhasil dihentikan dengan menggunakan perintah “taskkill /PID 2812”.

Kembali ke Table of Contents>>

Layanan adalah program yang memiliki prosesnya sendiri yang berjalan pada latar belakang Windows. Layanan dapat berjalan tanpa perlu berinteraksi dengan pengguna ataupun membuka jendela di layar. Setiap layanan memiliki alasannya sendiri untuk berjalan. Karena setiap sistem memiliki layanannya sendiri, maka setelahnya dimungkinkan akan ada layanan milik program yang diinstal di sistem. Dalam aspek keamanan, layanan yang berjalan di Windows sangatlah penting, karena penyerang dapat mengumpulkan informasi tentang sistem melalui layanan yang berjalan ataupun menggunakan layanan untuk menyusup ke dalam sistem. Jika ada insiden atau aktivitas yang mencurigakan, analis SOC harus memantau proses semua layanan, termasuk layanan yang ditambahkan ke sistem melalui log peristiwa untuk dapat mendeteksi aktivitas yang mencurigakan. Layanan yang baru dibuat dengan nama yang berpotensi mencurigakan dapat mengindikasikan aktivitas penyerang.

Kita dimungkinkan untuk melihat dan mengelola layanan Windows melalui antarmuka GUI. Sebagai contoh, mari kita lihat layanan yang sedang berjalan:

Bukalah aplikasi “Run” dengan kombinasi tombol “Windows + R” dan ketik nama aplikasi yang ingin kita jalankan yaitu “services.msc”.

Seperti yang terlihat pada gambar di atas, aplikasi “Services” yang dapat kita gunakan untuk mengelola layanan Windows telah berhasil dibuka. Dengan aplikasi ini, kita dapat memperoleh informasi rinci mengenai layanan. Selain itu, kita juga dapat melihat status layanan, memulai, serta menghentikan layanan. Misalnya, mari kita buka jendela “Properties” dari layanan pembaruan Windows:

Melalui aplikasi “Services”, kita dapat melihat detail yang berbeda mengenai layanan. Seperti pada bagian “Path to executable” yang berisi perintah yang akan dijalankan setelah layanan diaktifkan. Perintah ini mungkin memiliki petunjuk yang penting mengenai penyerang. Ini adalah salah satu komponen terpenting, di mana kita dapat memeriksa untuk memahami apa yang ingin dilakukan oleh penyerang dengan layanan tersebut.

Layanan dapat dimulai atau dihentikan melalui jendela ini. Namun, kita juga tidak perlu membuka jendela ini untuk memulai atau menghentikan layanan karena layanan dapat dikelola tanpa membuka jendela. Misalnya, mari hentikan layanan “Windows Update” dari jendela utama dan kemudian jalankan lagi:

Seperti yang terlihat pada gambar di atas, layanan Windows sangatlah mudah dikelola melalui Graphical User Interface (GUI).

Kita dimungkinkan untuk mengelola layanan Windows dari baris perintah. Salah satu perintah yang dapat kita gunakan yaitu “sc”.

Kita dapat menampilkan seluruh layanan yang berjalan dengan menerapkan perintah “sc query”.

Kita dapat menampilkan seluruh layanan yang tersedia di sistem dengan menerapkan perintah “sc query type=service state=all”.

Gambar di atas menunjukkan seluruh layanan yang tengah berjalan maupun yang sedang tidak berjalan pada saat ini.

Kita mungkin perlu meminta informasi mengenai hanya satu layanan tunggal saja, karena akan cukup menyulitkan untuk melihat semua layanan dalam satu jendela. Dalam hal ini, nama layanan harus disertakan sebagai parameter untuk perintah “sc query”. Sebagai contoh, mari kita jalankan perintah “sc query wuauserv” untuk mendapatkan informasi mengenai layanan pembaruan Windows:

Kita dapat memulai atau menghentikan layanan dengan menggunakan baris perintah. Sebagai contoh, mari kita jalankan “Windows Update Service” yang tidak berjalan pada contoh sebelumnya. Terapkan perintah “sc start wuauserv” untuk memulai kembali layanan ini:

Seperti yang terlihat pada gambar di atas, layanan pembaruan Windows telah berhasil dimulai. Kita juga dapat menghentikan layanan tersebut dengan menggunakan perintah “sc stop wuauserv”.

Gambar di atas menunjukkan bahwa layanan telah berhasil dihentikan. Hal terpenting yang harus kita perhatikan di sini adalah baris perintah harus dibuka dengan hak administrator sebelum menjalankan perintah penghentian layanan. Jika baris perintah tidak dibuka dengan hak administrator, maka perintah penghentian layanan tidak akan berfungsi dan akan mengakibatkan error.

Kembali ke Table of Contents>>

Scheduled task adalah eksekusi operasi tertentu pada sistem pada interval waktu tertentu atau pada waktu tertentu. Misalnya, kita mungkin perlu memeriksa informasi sistem pada interval waktu tertentu. Tugas terjadwal menerapkan jenis tugas ini di sistem operasi Windows. Seorang penyerang setelah mendapatkan akses ke sistem Windows dapat memanfaatkan tugas terjadwal untuk memastikan kegigihan dengan membuat sistem mengirim permintaan koneksi ke sistemnya sendiri agar tidak kehilangan akses ke sistem. Ini memerlukan penambahan tugas baru ke tugas terjadwal. Saat mendeteksi ancaman, analis SOC harus memantau tugas terjadwal dengan cermat untuk dapat mendeteksi tugas terjadwal yang mencurigakan.

Dimungkinkan untuk melihat dan mengelola tugas terjadwal melalui Graphical User Interface (GUI). Sebagai contoh, mari kita lihat tugas terjadwal dengan mengikuti langkah-langkah di bawah ini:

Buka aplikasi “Run” dengan kombinasi tombol “Windows + R” dan ketik nama aplikasi yang ingin kita jalankan: “taskschd.msc”

Window pada scresnshot diatas akan terbuka ketika program “Task scheduler” dijalankan. Kita klik pada “Task Scheduler Library” pada panel navigasi di sebelah kiri:

Screenshot di atas menunjukkan bahwa daftar scheduled tasks dalam sistem dan detail setiap tugas terjadwal telah berhasil ditampilkan.

Dimungkinkan untuk membuat tugas terjadwal baru dengan aplikasi penjadwal tugas. Klik tombol “Create Task” pada panel navigasi di sebelah kanan untuk membuat tugas terjadwal baru:

Setelah mengisi nama dan deskripsi tugas di jendela yang terbuka, buka tab “Actions” dan tambahkan tindakan yang akan dilakukan tugas terjadwal:

Jika tidak ada “Actions” di bagian ini, menambahkan tugas tidak dapat diselesaikan. Mari tambahkan tindakan baru dengan tombol “New”.

Mari ketik jalur file yang dapat dieksekusi milik baris perintah di bagian “Program/script” window untuk memastikan bahwa baris perintah terbuka saat tugas terjadwal berjalan.

Seperti yang terlihat pada screenshot diatas, proses telah berhasil diselesaikan dan tugas terjadwal baru telah ditambahkan. Untuk menjalankan tugas yang dijadwalkan, kita dapat mengklik kanan dan memilih “Run”:

Seperti yang terlihat pada opsi untuk menjalankan tugas di atas, banyak operasi seperti menjalankan, menghentikan, membuat perubahan pada tugas dan menghapus tugas dapat dilakukan pada tugas terjadwal pada program ini. Menu di panel navigasi kanan berisi opsi untuk operasi pada program ini yang memiliki antarmuka yang sangat ramah pengguna.

Dimungkinkan untuk mengelola tugas terjadwal melalui baris perintah. Untuk ini, perintah “schtasks” digunakan.

Ketika perintah “schtasks” digunakan tanpa parameter, itu akan menampilkan semua tugas terjadwal. Sebagai contoh, kita lihat dengan menjalankan perintah:

Seperti yang terlihat pada screenshot di atas, tugas terjadwal dan semua tugas terjadwal lainnya yang kami tambahkan melalui graphical interface pada contoh sebelumnya berhasil ditampilkan di layar.

Kita bisa mendapatkan informasi tentang tugas terjadwal tertentu ketika perintah “schtasks” digunakan dengan parameter. Sebagai contoh, mari kita lihat informasi tugas terjadwal yang kami tambahkan dengan perintah “schtasks /Query /TN TrainingTask”:

Seperti yang terlihat diatas, hanya informasi tugas terjadwal tertentu yang ditampilkan di layar. “/ TN” adalah parameter yang dimiliki oleh tugas tertentu.

Tugas terjadwal yang nonaktif dapat diaktifkan dengan perintah “schtasks”. Misalnya, mari aktifkan tugas bernama “TrainingTask” dengan perintah “schtasks /Change /ENABLE /TN TrainingTask”:

Screenshot di atas menunjukkan bahwa tugas terjadwal yang dinonaktifkan sebelumnya telah berhasil diaktifkan (Status: Ready). Parameter “/Change /Enable” dalam perintah yang diterapkan digunakan untuk mengubah status tugas.

Tugas terjadwal dapat dijalankan dengan perintah “schtasks”. Sebagai contoh, mari kita jalankan tugas terjadwal bernama “TrainingTask” dengan perintah “schtasks /Run /TN TrainingTask”:

Gambar di atas menunjukkan bahwa tugas terjadwal telah berhasil dijalankan. Parameter “/Run” dalam perintah menunjukkan bahwa tugas terjadwal diatur untuk dijalankan saat “run”.

Tugas terjadwal dapat diakhiri dengan perintah “schtasks”. Sebagai contoh, mari kita hentikan tugas terjadwal bernama “TrainingTask” dengan perintah “schtasks /End /TN TrainingTask”:

Seperti yang terlihat pada gambar di atas, tugas terjadwal telah berhasil dihentikan. Parameter “/End” dalam perintah menunjukkan bahwa proses penghentian akan diterapkan pada tugas yang dijadwalkan.

Tugas terjadwal dapat dihapus dengan perintah “schtasks”. Misalnya, mari kita hapus tugas terjadwal bernama “TrainingTask” dengan perintah “schtasks /Delete /TN TrainingTask”:

Screenshot di atas menunjukkan bahwa tugas terjadwal telah berhasil dihapus. Sebelum menghapus tugas terjadwal pada penghapusan, pengguna diminta sebagai peringatan untuk mengkonfirmasi penghapusan. Jika pengguna mengonfirmasi tindakan, tugas terjadwal akan dihapus. Parameter “/Delete” dalam perintah menunjukkan bahwa penghapusan akan diterapkan pada tugas yang dijadwalkan.

Kembali ke Table of Contents>>

Windows Registry adalah database hierarkis yang berisi sistem operasi dan konfigurasi sistem yang terkait dengan program yang diinstal di sistem. Itu menyimpan informasi dan pengaturan program dan perangkat keras dalam database ini. Misalnya, ketika sebuah program diinstal pada Windows, program dapat memilih untuk menyimpan tanggal kedaluwarsa lisensinya di Windows Registry.

Windows Registry adalah komponen penting di Windows untuk penyerang. Registri berisi banyak informasi tentang sistem operasi Windows. Misalnya, informasi tentang program yang diinstal pada sistem dan kemudian dihapus instalannya mungkin masih tersimpan di registri. Informasi yang ingin diperoleh penyerang melalui sistem biasanya merupakan informasi yang diperlukan untuk kelanjutan serangan. Misalnya, ketika penyerang merebut akun pengguna dengan hak istimewa terbatas, mereka mungkin akan terus memburu mereka yang memiliki hak istimewa lebih tinggi dengan mengumpulkan informasi tentang pengguna lain dalam sistem.

Registry berisi konfigurasi penting dan informasi tentang sistem, serta informasi tentang program lain yang diinstal pada sistem. Penyerang mungkin juga ingin menambahkan entri mereka sendiri ke registri untuk memastikan kegigihan dalam sistem. Analis SOC harus memantau perubahan mencurigakan pada registri untuk dapat mendeteksi aktivitas dan perilaku mencurigakan apa pun dari penyerang.

Perangkat lunak terpisah harus digunakan untuk mengakses file registri karena tidak dalam format berbasis teks biasa. “Registry Editor” yang terpasang di Windows membantu melakukan operasi pada registri. Sebagai contoh, mari kita buka program bernama “Registry Editor”:

Seperti yang terlihat pada screenshot di atas, “Registry Editor” memiliki panel navigasi hierarkis di sebelah kiri. Semua entri dalam registri berada di bawah struktur ini.

Entri registri Windows terletak di “%SystemRoot%\System32\Config”.

Registri berisi dua elemen penting: “key” dan “value”. Kunci registri adalah objek container yang mirip dengan folder. Nilai registri adalah objek non-container yang mirip dengan file. Keys dapat berisi values dan subkeys.

Ada tujuh root keys yang telah ditentukan sebelumnya:

Ini adalah bagian di mana informasi konfigurasi perangkat keras dan perangkat lunak khusus komputer disimpan. Pengaturan yang berlaku untuk setiap pengguna yang masuk dipertahankan di bagian ini.

Ada beberapa subkeys penting di bawah key ini:

HARDWARE

Bagian ini berisi informasi tentang perangkat keras yang terhubung ke sistem.

SAM

Bagian ini berisi versi terenkripsi dari kata sandi pengguna.

SECURITY

Ini adalah bagian yang berisi kebijakan keamanan dalam sistem.

SOFTWARE

Bagian ini berisi konfigurasi layanan sistem operasi serta program yang diinstal dalam sistem.

SYSTEM

Ini adalah bagian di mana informasi konfigurasi sistem disimpan.

Ini adalah bagian yang menyimpan konfigurasi perangkat keras selama pengoperasian sistem.

Ini berisi pengaturan perangkat lunak, pintasan, dan semua informasi terkait antarmuka pengguna lainnya. Jika partisi ini dihapus, tidak ada file yang akan terbuka, bahkan jika Windows sedang berjalan.

Ini adalah bagian di mana konfigurasi pengguna yang masuk disimpan.

Ini adalah bagian di mana konfigurasi semua pengguna yang terdaftar ke sistem disimpan.

File dengan ekstensi “Reg” adalah format file yang disimpan saat mengekspor file registri. Struktur ekstensi “Reg” yang merupakan jenis file berbasis teks, adalah sebagai berikut:

Misalnya, kita ekspor “Computer Name” sebagai jenis file ekstensi “reg” melalui registri dan buka dan baca dengan notepad:

Seperti yang terlihat pada gambar di atas, subkeys dengan “ComputerName” ditemukan, diekspor, dan disimpan ke file.

Ketika kita mengakses file yang disimpan, nama komputer di registri berhasil dibaca.

Banyak operasi yang dapat dijalankan dengan program editor registri juga dapat dijalankan melalui baris perintah. Membaca keys dan values registri, menulis nilai ke registri, dan mengekspor dan mengimpor keys adalah beberapa operasi yang dapat dijalankan melalui baris perintah. Sebagai contoh, mari kita baca nama komputer yang kita simpan dalam file pada latihan sebelumnya dari registri menggunakan baris perintah:

Kembali ke Table of Contents>>

Windows Firewall adalah alat keamanan yang memungkinkan memblokir atau mengizinkan paket jaringan masuk ke mesin host dan paket jaringan keluar dari mesin host dalam kerangka aturan tertentu. Ini akan dengan mudah memblokir koneksi berbahaya dengan aturan yang dibuat di Windows firewall. Pada saat yang sama, tujuan yang diverifikasi sebagai koneksi aman dapat ditambahkan ke koneksi jaringan yang diizinkan melalui aturan baru.

Windows Firewall adalah salah satu metode perlindungan paling dasar yang digunakan untuk mencegah penyerang mengakses sistem. Windows Firewall menawarkan pertahanan yang efektif terhadap ancaman yang mungkin datang dari luar jaringan kami dengan aturan yang ditambahkan ke dalamnya. Karena penyerang mengetahui kemampuan Windows firewall untuk memblokir koneksi jaringan, mereka sering berfokus pada menonaktifkan firewall atau mencoba menambahkan aturan mereka sendiri di antara aturan firewall untuk melewati firewall dan mencapai komunikasi server perintah dan kontrol. Mereka melanjutkan serangan dengan mengirimkan perintah ke sistem target dari server perintah dan kontrol. Penyerang sering menggunakan metode ini untuk memastikan kegigihan dalam sistem. Saat mendeteksi ancaman, analis SOC harus memantau aturan firewall dengan cermat untuk mendeteksi apakah ada aturan firewall baru yang ditambahkan sebagai akibat dari serangan.

Aturan Firewall : Aturan di Windows Defender Firewall yang berisi serangkaian kondisi yang digunakan untuk menentukan apakah paket jaringan diizinkan melewati firewall.

(Sumber: microsoft.com)

Aturan masuk menyaring lalu lintas yang lewat dari jaringan ke komputer lokal berdasarkan parameter aturan. Untuk aturan keluar, lalu lintas yang dikirim dari komputer lokal ke jaringan harus difilter menurut aturan pemfilteran.

(Sumber: nstec.com)

Aplikasi firewall Windows dapat digunakan untuk mengelola aturan Windows firewall. Manajemen aturan dapat dilakukan dengan mudah melalui antarmuka pengguna grafis. Sebagai contoh, mari kita buka aplikasi Windows firewall :

Ketika Windows firewall dibuka untuk pertama kalinya, akan muncul jendela seperti di atas. Kita dapat melihat aturan masuk dan keluar secara terpisah dari menu sebelah kiri di jendela ini:

Seperti yang terlihat pada tangkapan layar di atas, detail tentang aturan yang ditulis untuk mengelola lalu lintas masuk telah berhasil ditampilkan.

Seperti yang terlihat pada tangkapan layar di atas, detail tentang aturan yang ditulis untuk mengelola lalu lintas keluar telah berhasil ditampilkan.

Membuat rule baru pada aplikasi Windows Firewall cukup mudah. Untuk ini, opsi “New Rule” di bagian kanan aplikasi digunakan. Sebagai contoh, mari tambahkan aturan yang memblokir semua paket masuk pada port “TCP 4444” sebagai aturan lalu lintas masuk. Pertama-tama, Anda harus pergi ke bagian “Inbound Rules” dari menu di sebelah kiri, lalu terapkan langkah-langkahnya secara berurutan dengan tombol “New Rule” :

Setelah mengklik opsi “New Rule”, konfigurasi yang diperlukan dilakukan masing-masing.

Di bagian ini, jenis aturan harus didefinisikan sebagai “Port”.

Di bagian ini, mari tandai opsi “TCP” dan tulis informasi port sebagai “4444”.

Bagian ini berlanjut dengan memilih opsi “Block the connection”.

Di bagian ini, kita perlu memverifikasi profil yang aturannya akan diterapkan. Mari kita lanjutkan dengan semua yang dipilih.

Di bagian ini, nama aturan harus dimasukkan, beri nama aturan sebagai “TCP Port 4444 Block” dan lanjutkan.

Seperti yang terlihat pada tangkapan layar di atas, aturan firewall telah berhasil ditambahkan. Aturan diaktifkan saat dibuat dan mungkin dinonaktifkan dari bagian kanan bawah jendela aplikasi jika diperlukan.

Pengelolaan aturan firewall Windows juga dapat dilakukan melalui baris perintah. Untuk ini, perintah “netsh” digunakan. Sebagai contoh, mari daftar semua aturan firewall dengan perintah “netsh advfirewall firewall show rule name=all” :

Seperti dapat dilihat pada gambar di atas, rincian semua aturan Windows firewall telah berhasil dicetak di layar. Aturan firewall yang telah kami tambahkan sebelumnya muncul di awal.

Catatan: Karena output dari perintah panjang, hanya bagian pertama yang terlihat pada gambar.

Untuk membatasi output ketika output perintah panjang, perintah yang menghasilkan output lebih pendek dapat diterapkan dalam operasi yang dilakukan melalui baris perintah. Misalnya, alih-alih mencetak semua aturan di layar pada contoh sebelumnya, dimungkinkan untuk hanya melihat informasi aturan yang disebutkan. Perintah yang akan diterapkan untuk ini adalah sebagai berikut: “netsh advfirewall firewall show rule name=”TCP Port 4444 Block””

Mari kita lihat informasi tentang aturan Windows firewall yang kita buat sebelumnya dengan menerapkan perintah ini:

Seperti yang terlihat pada gambar di atas, informasi tentang aturan firewall telah berhasil dicetak di layar.

Dimungkinkan untuk menghapus aturan firewall melalui baris perintah. Misalnya, mari kita hapus aturan yang kita buat dari antarmuka grafis melalui baris perintah dengan perintah “netsh advfirewall firewall delete rule name=”TCP Port 4444 Block” :

Seperti yang terlihat pada gambar di atas, aturan firewall telah berhasil dihapus.

Catatan: Saat menghapus aturan firewall di baris perintah, baris perintah harus dijalankan dengan hak administrator, jika tidak, perintah tidak akan berfungsi.

Banyak perubahan berbeda dapat diterapkan pada aturan firewall melalui baris perintah. Misalnya, nonaktifkan/aktifkan aturan firewall, tambahkan aturan firewall baru, atau daftarkan hanya aturan firewall masuk/keluar. Untuk operasi ini, parameter yang diterapkan dalam perintah harus diubah. Alamat di bawah ini dapat digunakan untuk mendapatkan informasi lebih rinci tentang perintah “netsh” dan penggunaannya.

Kembali ke Table of Contents>>

Event Logs adalah log yang dikumpulkan melalui sistem operasi Windows. Ada berbagai jenis log dalam log ini. Log aplikasi, log keamanan, dan log sistem dapat diberikan sebagai contoh. Event Logs adalah sumber daya yang sangat penting untuk memahami apakah banyak proses pada sistem telah terjadi dan untuk memahami detailnya. Analis SOC sering menggunakan Event Logs saat mendeteksi keberadaan dan aktivitas ancaman pada sistem. Misalnya, beberapa Event Logs adalah sebagai berikut :

Tindakan ini adalah salah satu tindakan paling dasar yang terlihat dalam setiap serangan dunia maya. Oleh karena itu, analisis event log sangat penting untuk menemukan akar penyebab serangan cyber.

Jumlah komponen sistem operasi Windows cukup banyak. Oleh karena itu, event log-nya juga dalam jumlah yang banyak. Semua catatan ini disimpan dalam urutan tertentu. Setiap jenis rekaman memiliki nilai “Event ID” untuk membedakannya satu sama lain. Selama analisis log, pemfilteran dapat dilakukan sesuai dengan nilai “Event ID” untuk bekerja dengan lebih sedikit log dan untuk bekerja pada keluaran yang lebih sederhana.

Dalam sistem Windows, ada tiga judul log peristiwa utama sebagai “Application”, “System” dan “Security”.

Ini menyediakan catatan log yang terkait dengan aplikasi dalam sistem. Misalnya, Anda dapat menemukan kesalahan yang diterima oleh aplikasi antivirus yang berjalan di sistem.

Ini adalah area di mana log yang dibuat oleh komponen dasar sistem operasi berada. Misalnya, log untuk operasi pemuatan dan pembongkaran driver dapat ditemukan di sini.

Catatan mengenai otentikasi dan keamanan disimpan di sini.

Menggunakan antarmuka pengguna grafis (GUI) saat mengerjakan Event Logs dapat memberikan kemudahan yang luar biasa. Program “Event Viewer” digunakan untuk melihat Event Logs dari antarmuka pengguna grafis di Windows. Sebagai contoh, mari kita buka program “Event Viewer”:

Mari kita buka aplikasi “Run” dengan kombinasi tombol “Windows + R” dan tulis nama aplikasi yang ingin kita jalankan: “eventvwr”

Saat program “Event Viewer” dibuka, akan muncul jendela seperti di atas.

Di jendela ini, jenis log dalam kategori yang diinginkan dapat dipilih dari bagian kiri dan analisis dapat dilakukan. Misalnya, mari kita periksa log login yang gagal:

Untuk log masuk yang berhasil dan tidak berhasil, bagian “Security” harus dibuka di bawah tab “Windows Logs”. Seperti yang terlihat pada gambar di atas, log masuk yang gagal telah dicatat di event logs. Nilai “Event ID” untuk upaya masuk yang gagal adalah “4625”. Tidak mudah untuk mengingat nilai Event ID dari semua log. Oleh karena itu, daftar Event ID yang dapat dilihat jika diperlukan akan bermanfaat. Sebagai contoh, daftar seperti alamat berikut dapat digunakan:

Karena jumlah Event Logs yang direkam pada sistem bisa sangat besar, akan lebih mudah untuk memeriksanya dengan memfilter. Misalnya, dengan opsi “Filter Current Log” di sebelah kanan, mari kita lihat hanya log upaya login yang gagal :

Nilai “4625” Event ID ditulis di tempat yang terlihat pada gambar di atas.

Seperti yang terlihat pada gambar di atas, hanya log dengan nilai Event ID “4625” yang ditampilkan.

Analisis Event Logs juga dapat dilakukan melalui baris perintah. Ini adalah perintah “wevtutil” yang memungkinkan untuk memeriksa Event Logs melalui baris perintah. Misalnya, mari kita periksa Event Logs dengan nilai Event ID “4625”:

Catatan: Saat melakukan inspeksi Event Logs pada baris perintah, baris perintah harus dijalankan dengan hak administrator, jika tidak maka akan memberikan kesalahan otorisasi.

Catatan: Karena output dari perintah panjang, hanya bagian pertama yang terlihat pada gambar.

Seperti yang terlihat pada gambar di atas, log dengan nilai Event ID “4625” berhasil dicetak di layar. Perintah yang digunakan dalam proses ini adalah sebagai berikut: wevtutil query-events Keamanan /rd:true /count:1 /format:text /q:”Event[System[(EventID=4625)]]”

Penjelasan dari parameter yang diterapkan dalam perintah adalah sebagai berikut:

Banyak operasi lain dapat dilakukan pada Event Logs menggunakan “Wevtutil”. Misalnya, Event Logs dapat dihapus melalui baris perintah. Untuk informasi lebih lengkap, Anda dapat mengunjungi alamat berikut:

Kembali ke Table of Contents>>

Windows Management Instrumentation (WMI) adalah fitur yang digunakan untuk mengakses komponen sistem operasi Windows. WMI memungkinkan akses lokal dan jarak jauh. Itulah mengapa itu salah satu fitur Windows yang sering digunakan penyerang. Penyerang dapat menggunakan WMI untuk pengintaian serta untuk tujuan “Lateral Movement”.

Lateral Movement : Ini disebut gerakan penyerang dengan mendapatkan akses pada mesin lain di jaringan yang sama setelah mendapatkan akses pertama pada sistem target.

WMI sering disukai oleh penyerang karena sudah tersedia di sistem operasi Windows dan memiliki fitur penggunaan yang luas. Misalnya, penyerang dapat menjalankan file yang dapat dieksekusi dari jarak jauh dengan cara ini.

Saat memperoleh informasi tentang sistem menggunakan WMI, perintah “wmic” pada baris perintah digunakan. Sebagai contoh, mari kita lihat informasi tentang sistem operasi menggunakan WMI:

Seperti terlihat pada gambar di atas, informasi tentang sistem operasi telah berhasil dicetak di layar menggunakan WMI dengan perintah “wmic os list brief”.

Sebagai contoh lain, mari kita lihat nama-nama pengguna dalam sistem dengan WMI:

Seperti terlihat pada gambar di atas, nama-nama pengguna dalam sistem berhasil dicetak di layar menggunakan WMI dengan perintah “wmic useraccount get name”.

Jumlah operasi yang dapat dilakukan dengan WMI cukup besar. Untuk informasi detail, Anda dapat menggunakan alamat berikut:

Kembali ke Table of Contents>>

Disusun oleh:

Add a comment

Related posts:

Top 10 Advantages for students of Studying MBA in India

An MBA degree is one of the best decisions you can make if you want to pursue a global career with a wide range of opportunities. Many opportunities open up at the international level. However, this…

Why a rubber duck? My first steps with Sketch

Making my first prototype in sketch (even if it was only copying) was really cool and fun. Why is there a rubber duck in my article? You will find out why soon! Goal of this exercise is to reproduce…

Cashless or Careless?

The EZ-link card is a store-value contactless card used for payment of public transportation services in Singapore. In 2017, the number of bus and rail commutes per day tallied to a staggering 7.2…