File Services Hardening - SMB Packet Digital Signing
Di antara langkah-langkah dalam melakukan hardening untuk File Services, di antaranya menggunakan Server Core Installation dari windows Server 2008, melakukan Digitally sign communications, mempertimbangkan untuk menghapus berbagai administrative shares dan juga mempertimbangkan penggunaan enkripsi untuk drive dan file.
Lalu untuk Digitally sign communication, seperti apa langkah-langkah yang harus dilakukan?
Protokol SMB menyediakan basis untuk Microsoft File and Print Sharing, dan juga pada banyak operasi jaringan lainnya, seperti Remote Windows Administration. Untuk menghindari terdapatnya kemungkinan serangan (man-in-the-middle attack) yang memodifikasi paket-paket SMB disaat dalam perjalanan, protocol SMB mendukung SMB packet digital signing. Kita dapat mengkonfigurasi setting dari Group Policy untuk Microsoft network server: Digitally sin communication (always) pada lokasi berikut di dalam Group Policy Editor:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Seting policy ini menentukan apakah SMB packet signing harus dinegosiasikan terlebih dahulu sebelum komunikasi dengan SMB Client lebih jauh diizinkan. Seting untuk Microsoft network server: Digitally sign communication (always) di set Disabled secara default di Windows Server 2008.
Ok, semoga dapat bermanfaat.