Panduan Konfigurasi Langkah demi langkah Fitur AppLocker di Windows Server 2008 R2
Pengantar Singkat Tentang AppLocker
Windows AppLocker merupakan fitur baru di Windows 7 dan Windows Server 2008 R2 yang menggantikan fitur Software Restriction Policies. AppLocker memiliki kemampuan baru dan juga extentions yang menurunkan administrative overhead
dan membantu administrator untuk mengontrol user dalam mengakses dan
menggunakan file-file seperti file .exe, scripts, Windows Installer
files (.msi dan .msp files), dan DLL.
Dengan menggunakan AppLocker, kita dapat:- Mendefinisikan berbagai rule/aturan berdasarkan atribut-atribut file yang diperoleh dari digital signature, termasuk publisher, product name, file name, dan file version. Sebagai contorh kita dapat membuat aturan yang mentargetkan ke suatu file tertentu dengan versi tertentu ***. Catatan penting: AppLocker rules menentukan file-file mana yang diperbolehkan untuk dijalankan. File-file yang tidak termasuk di dalamnya tidak diperbolehkan untuk dijalankan.
- Menerapkan aturan (rule) terhadap suatu security group atau user tertentu. Catatan: Kita tidak dapat menerapkan rule dalam AppLocker untuk zona Internet, komputer tertentu, atau berbagai registry path.
- Membuat pengecualian untuk file-file .exe. Sebagai contoh, kita dapat membuat sebuah aturan yang mengizinkan seluruh proses Windows untuk berjalan kecuali Regedit.exe.
- Menggunakan audit-only mode untuk mengindentifikasi file-file yang tidak diizinkan untuk dijalankan jika ternyata terdapat pengaruh dari policy.
- Melakukan impor dan ekspor aturan (Import and export rules).
Beberapa pertimbangan dalam penggunaan AppLocker ini antara lain:
- Secara default, AppLocker rules tidak mengizinkan user untuk membuka atau menjalankan file-file yang tidak secara spesifik diizinkan. Administrator harus selalu melakukan update daftar dari berbagai aplikasi yang diizinkan.
- Terdapat penurunan performa karena terdapat pengecekan secara run time.
- Karena AppLocker mirip dengan mekanisme Group Policy, administrator harus juga memahami cara pembuatan Group Policy dan deployment-nya.
- AppLocker rules tidak dapat digunakan untuk mengelola komputer-komputer yang menggunakan sistem operasi sebelum generasi Windows 7.
Jika AppLocker rules didefinisikan di dalam GPO, maka
hanya rule/aturan tersebut saja yang akan diterapkan. Untuk memastikan
interoperabilitas antara Software Restriction Policies rules dan AppLocker rules, maka definisikanlah Software Restriction Policies rules dan AppLocker rules pada GPO yang berbeda.
Saat terdapat AppLocker rule di-set ke Audit only,
maka aturan tersebut tidak diberlakukan. Ketika terdapat user
menjalankan aplikasi yang terdapat pada rule tersebut, aplikasi tersebut
dibuka dan dapat dijalankan secara normal, dan informasi tentang
aplikasi tersebut ditambahkan ke AppLocker event log.
Petunjuk Konfigurasi Applocker
Komputer yang digunakan
Pada artikel ini penulis menggunakan satu komputer
dengan sistem operasi Windows Server 2008 R2 Enterprise Edition, yang
dikonfigurasi menjadi domain controller dengan nama host: DC01 dan nama domain: wirecat.com.
Menjalankan service AppIDSvc
Sebelum kita melakukan konfigurasi Applocker, kita harus menjalankan service tertentu, yaitu service Application Identity yang secara default service ini tidak dalam kondisi start, kita lakukan dengan tahapan sebagai berikut.
1. Logon ke DC01 sebagai Administrator2. Buka snap-in Services dengan cara klik Start> Administrative Tools, kemudian pilih Services. Lalu pada window Services, klik ganda pada Application Identity. Lihat pada gambar berikut ini.
3. Lalu pada kotak dialog Application Identity Properties (Local Computer), pada Startup type: pilih Automatic. Kemudian pada bagian Service status: klik Start, lalu klik Apply dan OK.
Dengan demikian service Application Identity telah berjalan.
Membuat user account baru untuk keperluan uji Applocker
Langkah selanjutnya adalah kita memerlukan satu user account sebagai pengujian Applocker ini nantinya, oleh karena itu kita buat user account dengan nama TestAppLocker, dan kita jadikan member dari group Backup Operators, agar user ini dapat melakukan logon ke domain controller secara interaktif (tanpa harus mengubah policy di level default domain controller policy untuk user right logon locally). User account baru ini kita buat di kontainer Users1. Buka snap-in Active Directory Users and Computers, kemudian klik-kanan Users, pilih New User.
2. Lalu isikan pada bagian FirstName:TestAppLocker, dengan membiarkan Initials dan Lastnamenya dikosongkan.
3. Kemudian isikan passwordnya, dan bersihkan tanda cek pada pilihan User must change password at next logon. Kemudian klik Next.
4. Dan klik Finish untuk mengakhiri proses ini.
5. Selanjutnya kita bisa memeriksa user account yang baru saja kita buat tersebut pada snap-in Active Directory Users and Computers.
Tahapan selanjutnya adalah menjadikan user account tadi sebagai anggota dari group Backup Operators (hal ini ditujukan untuk pengujian saja, dimana user ini dapat melakukan logon locally ke domain controller, sebagai alternatif lainnya dari pengubahan Default Domain Controller Policy).
Menjadikan TestApplocker sebagai anggota dari group Backup Operators.
1. Masih dalam kondisi logon ke DC01 sebagai Administrator, klik-kanan user account TestAppLocker, kemudian pilih Add to a group…
2. Kemudian muncul kotak dialog Select Groups seperti berikut ini.
3. Kemudian klik tombol Advanced…, akan muncul kotak dialog seperti berikut ini. Kemudian klik Find Now.
4. Setelah kita klik Find Now, cari pada bagian Search results: Backup Operators. Kemudian klik OK.
5. Setelah itu, akan muncul kotak dialog Select Groups dengan isian pada bagian Enter the object names to select (examples): telah terisi Backup Operators. Kemudian klik OK.
6. Kemudian akan muncul konfirmasi berikut ini. Klik OK.
Mengubah Policy pada Default Domain Controller Policy
1. Buka snap-in Group Policy Management dengan cara klik Start>Administrative Tools>Group Policy Management.
2. Setelah window dari Group Policy Management muncul, pada bagian Domains, klik ganda pada nama_domain (wirecat.com) lalu buka kontainer Domain Controllers, dan klik-kanan pada Default Domain Controller Policy, kemudian pilih Edit….Perhatikan pada gambar berikut ini.
3. Kemudian pada Group Policy Management Editor, pada bagian Computer Configuration, buka Windows Settings, kemudian buka Security Settings, lalu buka Application Control Policies, dan buka Applocker. Perhatikan pada gambar berikut ini. Pada bagian Applocker, terdapat Executable rules, Windows Installer Rules, dan Script Rules.
4. Dan kalau kita periksa, telah terdapat 3 default rule yang diterapkan pada default domain policy ini.
5. Kita tambahkan satu role lagi. Klik-kanan pada Executable Rules, dan pilih New Rule…
6. Setelah itu akan muncul halaman wizard Before You Begin. Klik Next.
7. Kemudian pada halaman Permissions, pada bagian Action: pilih deny. Kemudian pada bagian User or group: klik tombol Select, dan pastikan pilih user account TestAppLocker. Kemudian klik Next.
8. Kemudian pada halaman Conditions, pilih Path dan bacalah deskripsi tentang Path ini, kemudian klik Next.
9. Kemudian pada halaman Path, pada bagian Path: arahkan ke file executable, misalkan pada contoh ini adalah file WINWORD.EXE dari aplikasi MS Office Professional 2007, untuk aplikasi MS Word. Lihat pada gambar berikut ini untuk lebih jelasnya. Kemudian klik Next.
10. Setelah itu, kita akan menjumpai halaman Exceptions. Kita tidak membuat pengecualian untuk rule ini, jadi kita lanjut saja dengan klik Next.
11. Kemudian pada halaman Name and Description, kita dapat menambahkan kata-kata pada bagian Description, dan hal ini bersifat optional, jadi bisa dikosongkan. Selanjutnya klik Create.
12. Hasilnya dapat kita lihat kembali pada window Group Policy Management Editor seperti tampak pada gambar berikut ini.
13. Kita tutup dulu window Group Policy Management Editor. Kemudian buka command prompt, dan jalankan perintah gpupdate /force untuk mempercepat proses update dari perubahan policy yang baru saja kita lakukan.
Pengujian Konfigurasi AppLocker
1. Log off sebagai Administrator, dan logon sebagai user TestAppLocker
2. Kemudian klik Start> All Programs> Microsoft Office> Microsoft Office Word 2007
3. Jika seting konfigurasi AppLokcer dilakukan dengan benar, maka akan muncul pesan error seperti tampak pada gambar berikut ini, yang menunjukkan bahwa user TestAppLocker tidak diizinkan untuk menggunakan aplikasi Microsoft Word. Klik OK.
Catatan: Untuk aplikasi client server, perlu diperhatikan masalah penentuan path (lihat pada langkah 8 pada tahapan Mengubah Policy pada Default Domain Controller Policy, dan pada langkah nomor 9, harus ditentukan path yang tepat yang mengarah pada lokasi dari aplikasi yang terpasang dan di-share pada application server.
……Semoga dapat memberikan manfaat……
Tidak ada komentar:
Posting Komentar