Â
b. Disable Account Administrator Bawaan Windows (Default)
Secara Default Windows memiliki account dengan Previlege Administrators dengan nama Administrator, account ini tidak dapat dihapus, namun dapat dinon aktifkan, disable Account ini.
Account Administrator jika diaktifkan akan mempermudah pelaku melakukan brute force password atas account tersebut.
c. Hindari menggunakan Remote Desktop Windows
Bekerja secara remot merupakan kebutuhan penting bagi Developer dan Admin Server, Namun hal ini menimbulkan celah security jika tidak hati-hati dalam melaksanakannya.
Upayakan untuk pekerjaan Remote meremote Server tidak menggunakan Remote Desktop Windows, dan Disable Fitur ini dan pastikan tidak ada satupun user account yang dapat login via remote desktop
Banyak Kasus kebobolan server widnows melalui cara mengambil alih windows via remote desktop
2. MENGAMANKAN JARINGAN
Gunakan Firewall untuk mengamankan jaringan, firewall dapat menggunakan yang open source jika terbatas budget, intinya Firewall harus minimal dapat mendeteksi dan memblock jika terjadi serangan brute force attack dan SQL Injection.
Menggunakan firewall ini juga dapat mengurangi beban server dalam menangkis serangan dari luar.
3. RAJIN MEMERIKSA SERVER
Administrator Sistem harus rajin memantau kondisi server diantaranya :
- Memantau Kondisi Fisik Perangkat Keras
- Memantau Kondisi beban Prosessor, Kondisi Storage, Memory Free & Used
- Memantau Event Viewer
- Memantau Firewall dan Router
- Memantau Proses Backup
- Mengupdate Sistem Operasi, dll
4. MENGAMANKAN REMOTE SERVER
Seperti yang telah disampaikan, remote server adalah kebutuhan pekerajaan di era 4.0 ini, semua dilakukan dari jarak jauh agar mempercepat waktu dan menghemat biaya, untuk itu perlu dilakukan pengamanan, saya menyebutnya SERVER REMOTE DMZ (Demiliterisasi Zone), dengan topologi seperti berikut :
       Â
Server DMZ ketika diremote oleh user terbatas hanya sebagai Guest sehingga tidak dapat menginstal aplikasi, mematikan service antivirus, menghapus log dsb, di Server DMZ dipersiapkan aplikasi remote khusus lagi untuk masuk ke Server Utama, dan di server DMZ Â di install aplikasi perekam desktop (CCTV).
V. KENAPA SERANGAN PDN Â MEMATIKAN DAN BEREFEK LUAS
Berikut adalah Gambaran topologi serderhana PDN menurut Analisa saya :
Dengan topologi ini memang dapat menghemat pengadaan server, menghemat tempat, menghemat Listrik, dsb namun yang terjadi dalam case PDN ini adalah MAIN SERVER terkena serangan dan File-File Image Virtual Machine semuanya di Encrypted, sehingga semua VM tidak dapat berjalan, hal ini akan berbeda efeknya jika semua tenant menggunakan server on promise (server fisik).
Dan kenapa jadi mematikan, saya rasa karena telat penanganannya, Ketika terdeteksi sistem di tenant mulai tidak berjalan, harusnya segera di cek server dan jangan ragu mematikan paksa server, toh para tenant juga sudah tidak dapat mengakses ke server.
VI. KESIMPULAN
Berdasarkan analisa saya, saya menyimpulkan kalau pertama kali serangan bukan kepada windows defender, melainkan melalui jalur Port dan Aplikasi REMOTE DESKTOP Windows, yang mana jalur ini diaktifkan oleh pengelola Admin Server dalam memantau dan memilihara server, dengan brute Force Attack, dengan user name yang  mudah diketahui maka password serumit apapun dapat didapatkan dengan mudah, setelah Hacker dapat Password tentu dia dapat masuk tanpa diketahui oleh firewall dan dapat mematikan semua pertahanan di server, bahkan sampai mengganti password server itu sendiri.Â
Terkait PDN yang sudah terenkripsi oleh ransomware, masih ada satu peluang terakhir tanpa harus mencari dekriptor atau membayar tebusan untuk menyelamatkan datanya dengan menggunakan Aplikasi Disk Recovery, memang akan memakan waktu yang cukup lumayan mengingat data dan storage yang besar.
VII. PENUTUP
Demikian Analisa dan pandangan saya terhadap kasus serangan PDN semoga kejadian serupa tidak terjadi Kembali dan dapat diatasi jika terjadi serangan, jujur serangan terhadap PDN sangat memalukan buat Negara kita dimata Negara Lain.
Terima Kasih.
#ransomware