sedang aktif dipakai oleh sistem operasi Windows. Dikunci ama Microsoft, bung !
Untuk itu pada pembahasan ini anggap saja kita telah mempunyai file copyan tersebut, dan dapat melihatnya dengan program RFV. Hehehe … cari gampangnya ya?. ..?
Masalah bagaimana kita dapat mendapatkan copy SAM akan kita bahas nanti. Sabar dong…. Untuk saat ini anggap saja kita telah punya file-file tersebut.
Oke ! Sekarang , kita aktifkan program RFV dan klik File dan memilih Open…
Gambar : memilih open
Jendela Open akan muncul dan arahkanlah ke folder dimana data-data file registry hives telah kita simpan. Sebagai contoh, misalnya, saya simpan di folder CONFIG. Lalu memilih SAM lalu klik Open.
Gambar : memilih SAM
Data-data file SAM akan segera terpampang di hadapan kita. Seperti terlihat pada gambar.
Gambar : SAM dilihat dengan program RFV
Untuk dapat melihat informasi Security-nya klik Tools, dan pilih Security Record Explorer. Atau klik iconnya yang ada pada toolbar nomor dua dari sebelah kanan.
Gambar : security record explorer
Begitu kita pilih maka akan tampil jendela security record explorer. Lihat gambar.
Gambar : tampilan security explorer
Bagian panel kiri berisi data offset yang menunjukkan letak dari data keamanan yang sedang dibaca. Sedangkan bagian panel kanan merupakan bagian yang menerangkan apa yang terjadi dengan offset tersebut. Pada tab Affected keys menunjukkan subkey yang ditangani oleh offset tersebut. Pada contoh adalah : SAM yang merupakan path key dan berada pada offset 000020.
Informasi yang, mungkin, kurang penting, bisa kita abaikan adalah :
• Usage Counter menerangkan seberapa sering data offset tersebut dipakai.
• Record size merupakan ukuran dari data pada offset.
• Previous Record offset menunjukkan offset sebelumnya.
• Next Record Offset menunjukkan data offset record berikutnya.
Informasi yang penting untuk kita cermati adalah :
• Owner SID. Menunjukkan SID sipembuat/pemilik subkey tersebut. Pada contoh pemiliknya adalah S-1-5-32-544. dari tabel sakti (bab 3) kita mendapatkan info, bahwa SID tersebut mewakili administrator built-in.
• Group SID. Menunjukkan SID Grup data tersebut. SID yang menguasainya adalah S-1-5-18. Dari tabel sakti didapat info bahwa SID tersebut mewakili Local System.
• Number of SACL ACEs. Menunjukkan jumlah ACE record dari SACL (system access control list). Pada contoh terlihat 0. Artinya tidak ada data alias subkey tersebut tidak sedang diawasi (diaudit).
• Number of DACL ACEs. Menunjukkan jumlah ACE record dari DACL. Pada contoh adalah 4. menunjukkan bahwa terdapat 4 data Discretionary Access Control List.
Untuk membuktikan kebenaran data tersebut, sekarang kita klik Tab SACL. Dan ternyata memang kosong ! alias subkey tersebut tidak sedang diaudit.
Gambar : sacl kosong
Sekarang kita lihat DACL. Klik tab DACL. Maka akan terlihat 4 data yang disebutkan pada bagian keterangan tadi.
Gambar : isi dacl
• Type menunjukkan jenis akses yang dapat dikondisikan..
• Permission menunjukkan ijin apa yang diberikan.
• SID menunjukkan SID yang dapat memakainya.
Sebagai contoh, cara pembacaan data pada record pertama, adalah sebagai berikut :
ACCESS_ALLOWED 000F003F S-1-5-18 S-1-5-32-544
• Type yang diperbolehkan adalah : ACCESS_ALLOWED. Artinya account tersebut dapat mengakses komputer.
• Permission yang diberikan adalah 000F003F. permission ini menunjukkan full control. Kok tahu ? nanti saya beritahu …?
• SID yang dikenai aturan ini adalah : S-1-5-18. alias local system. (jika ragu buka tabel contekan SID)
Untuk pembacaan record kedua adalah sama saja dengan record pertama, hanya saja yang dikenai aturan ini adalah SID yang berbeda, yaitu SID S-1-5-32-544. alias SID built-in Administrator.
Oke ! Sekarang kita lihat record ketiga dengan data sebagai berikut :
ACCESS_ALLOWED 00020019 S-1-1-0
• Type yang diperbolehkan adalah : ACCESS_ALLOWED. Artinya account tersebut dapat mengakses komputer.
• Permission yang diberikan adalah 00020019. permission ini menunjukkan Read (READ_CONTROL). Jadi account ini hanya bisa membaca saja. SID yang dikenai aturan ini adalah : S-1-1-0. alias Everyone.
Untuk record keempat sama saja dengan record ketiga hanya saja yang dikenai aturan ini adalah SID yang berbeda, yaitu SID S-1-5-12. alias SID Restricted Code.
Oh ya… jika ingin detail dari permission, maka klik data yang diinginkan. Misalnya kita klik data record pertama. Ternyata pada detail keterangan permission keluar data :
DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER.
Artinya permission memberikan hak kepada account tersebut untuk menghapus, membaca, menulis DAC, dan ia adalah pemilik/pembuatnya. Tentu sekarang Sampeyan tahu bukan? bahwa kepeningan-kepeningan pembahasan di depan ternyata berharga untuk menganalisis data !
Gambar : detail permission
Contoh lain, misalnya kita klik data record ketiga. Ternyata pada detail keterangan permission keluar data :
READ_CONTROL.
Artinya permission memberikan hak kepada account tersebut hanya bisa membaca saja.
Gambar : detail permission
Untuk memperlancar cara membaca, kita lihat satu offset data lagi ya? (juga sekalian buku ini biar lebih tebal…? ). Klik offset kedua : 000178. maka data-data akan segera berubah seperti pada gambar . Silahkan dicermati terlebih dulu…
Gambar : isi offset 178
Informasi yang bisa kita dapatkan adalah :
• Usage Counter menerangkan bahwa subkey ini telah digunakan sebanyak 18.
• Record size alias ukuran datanya adalah 100 bytes. Previous Record offset menunjukkan offset sebelumnya adalah 003F60. Next Record Offset menunjukkan data offset record berikutnya adalah 000078.
• Owner SID. SID pembuat subkey tersebut adalah S-1-5-32-544 alias administrator built-in.
• Group SID. SID Grup data tersebut adalah S-1-5-18 alias Local System.
• Number of SACL ACEs. Menunjukkan jumlah 0. artinya tidak ada data audit.
• Number of DACL ACEs. Menunjukkan jumlah 2. Ini berarti bahwa terdapat 2 data Discretionary Access Control List.
Jika kita klik tab Affected key, maka akan terlihat deretan subkey yang ditangani oleh offset ini. Cukup banyak !
Gambar : permission
Jika kita klik tab DACL, maka akan terlihat dua data. Kita lihat data pertama:
ACCESS_ALLOWED 000F003F S-1-5-18
• Type yang diperbolehkan adalah : ACCESS_ALLOWED. Artinya account tersebut dapat mengakses komputer.
• Permission yang diberikan adalah 000F003F. permission ini menunjukkan full control. SID yang dikenai aturan ini adalah : S-1-5-18. alias local system.
Kita lihat record kedua dengan data sebagai berikut :
ACCESS_ALLOWED 00060000 S-1-5-32-544
• Type yang diperbolehkan adalah : ACCESS_ALLOWED. Artinya account tersebut dapat mengakses komputer.
• Permission yang diberikan adalah 00060000. permission ini menunjukkan Read ( READ_CONTROL) dan WRITE_DAC. Jadi account bisa membaca dan menulis.
• SID yang dikenai aturan ini adalah : S-1-5-32-544 alias Administrator built-in.
Kita lihat lagi data lainnya. Tampilannya adalah sebagai berikut.
Gambar : tab contoh lainnya
Jika kita klik tab DACL, maka akan terlihat beberapa data. Kita lihat data ketiga :
ACCESS_ALLOWED 00020019 S-1-1-0
• Type yang diperbolehkan adalah : ACCESS_ALLOWED. Artinya account tersebut dapat mengakses komputer.
• Permission yang diberikan adalah 00020019. Permission ini menunjukkan bahwa ia hanya mampu membaca data saja !
• SID yang dikenai aturan ini adalah : S-1-1-0. alias EveryOne.
Begitulah lebih kurang cara membaca dan melakukan analisis singkat data keamanan Windows.
Note : [Remake BDRW:MKWXP-19]
Tri Amperiyanto
Tidak ada komentar:
Posting Komentar