Security Policy – Memblokir Ekstensi Tertentu pada Drive Tertentu

Security Policy – Memblokir Ekstensi Tertentu pada Drive Tertentu

Posted by Afsal | On: Sep 24 2011

Sedikit berbagi buat teman-teman yang ingin melakukan konfigurasi pada Security Policy bawaan windows. Mungkin ada yang bertanya, apa sih fungsinya??? Jika ada yang pernah mencoba menggunakan aplikasi Anti Executable produksi Faronics yang merupakan satu induk perusahaan dengan aplikasi Deep Freeze. Fungsinya adalah untuk memblokir file-file yang berekstensi .exe, hanya saja pada aplikasi Anti Executable tersebut cuma memblokir file .exe saja, sedangkan dengan menggunakan tool Security Policy bawaan windows bisa memblokir ekstensi-ekstensi file apa saja yang ingin kita blokir (contohnya: .exe, .vbs, .vb, .reg, .air, .bat, .dat, .rar, .zip, .mkv, dllsb). Konfigurasi dengan menggunakan tool Security Policy ini bisa digunakan di PC Client warnet. Fungsinya yah tentu saja untuk membatasi akses daripada user-user yang nakal. Contoh kasus:

1. Ada user yang nakal ingin menginfeksi komputer client di warnet dengan menanamkan virus yang biasanya sudah berekstensi .exe atau .vbs atau mungkin tanpa sengaja sang user tersebut mencolok flashdisknya dan mengklik file yang sudah terinfeksi virus.
2. Ada user yang ingin menanamkan keyloger pada komputer client di warnet dengan maksud untuk mencuri data-data sensitif, misalnya ID login dan password orang lain.
3. Ada user yang ingin menjebol deep freeze pc client dengan menggunakan aplikasi anti deep freeze.
4. Ada user yang ingin mengutak-atik registry pc client dengan mengklik file berekstensi .reg, .bat, dllsb yang sudah disetting terlebih dahulu codingnya.
5. Dan contoh-contoh kasus yang lainnya.

Nah untuk mengatasi hal tersebut bisa dengan melakukan konfigurasi pada tool Security Policy bawaan windows, gak perlu menggunakan software-software segala. Berikut langkah-langkah konfigurasinya:
1. Klik “Start” lalu pilih “Run”.


2. Ketik “secpol.msc”.


3. Klik kanan pada “Software Restriction Policies” lalu pilih “Create New Policies”.

4. Klik “Software Restriction Policies”, lalu di jendela sebelah kanan pada kolom “Object Type” double klik “Designated File Types”.


5. Nah pada bagian ini silahkan masukkan ekstensi-ekstensi file yang ingin diblokir pada kolom “File extension” (contohnya ekstensi .vbs, .air, .zip, dllsb) lalu klik tombol “Add”. Jika sudah selesai memasukkan ekstensi-ekstensi yang ingin diblokir, terakhir klik tombol “OK”.

Catatan: Untuk ekstensi .exe, .reg, .scr, .bat, dllsb secara default sudah tersimpan, silahkan lihat di list “Ekstension”nya untuk ekstensi-ekstensi yang secara default sudah tersimpan. Ekstensi yang tersimpan bisa juga dihapus.

 

6. Setelah selesai memasukkan ekstensi-ekstensi file yang ingin diblokir, kemudian klik kanan pada “Additional Rules” dan pilih “New Path Rule…” seperti gambar di bawah ini.

7. Pada kolom “Security level:” pilih “Disallowed”. Lalu klik tombol “Browse…” untuk memilih di drive-drive mana saja ekstensi-ekstensi file yang sudah dimasukkan tadi untuk diblok.

8. Kemudian dipilih satu per satu drive-drive mana saja yang ingin diblok ekstensi-ekstensi filenya yang sudah dimasukkan tadi, lalu klik tombol “OK”. Contoh: Drive “E” seperti gambar di bawah.

Catatan: Perlu diperhatikan!!! Drive C jangan diblok, karena di drive C tersimpan semua aplikasi-aplikasi dan file system windows. Bahaya kalo Drive C-nya di blok juga, windowsnya gak bakalan bisa jalan. Kalo saya sih biasanya konfigurasi warnet-warnet teman, pada drive Dnya juga tidak saya blokir karena pada Drive D saya menyimpan game-game. Tetapi pada drive D-nya nanti bakalan saya kunci menggunakan Winlock sehingga tidak bisa diakses, tetapi game-gamenya masih tetap bisa dijalankan.


9. Setelah “Path” atau drivenya sudah dipilih dan pada “Security level”nya sudah terpilih “Disallowed” lalu klik tombol “OK” seperti gambar di bawah.


10. Nantinya daftar drive yang diblokir bakalan bertambah seperti gambar di bawah.

11. Ulangi dari langkah ke-6 untuk menambah daftar drive yang ingin diblokir, lalu kembali klik tombol “OK”.

Catatan: Untuk mempermudah dan mempercepat memasukkan daftar drive yang ingin diblokir, biasanya saya langsung mengetikkannya secara manual drive yang ingin diblokir pada kolom “Path” (“F:\” , “G:\” , “H:\” dan seterusnya sampai “Z:\”). Kenapa banyak sekali sampai drive Z??? Yah untuk mengantisipasi, barangkali saja nantinya bakalan dicolok Flashdisk banyak-banyak, HDD External, DVD Drive, dllsb.


12. Setelah langkah di atas dilakukan, maka hasilnya akan seperti gambar di bawah ini.


13. Jika komputernya terhubung dalam suatu jaringan LAN/WLAN yang dimana menggunakan sharing drive/folder (biasanya pada Warnet), ulangi kembali langkah ke-6 dan ke-7 di atas. Lalu pilih “My Network Places” – “Entire Network” – “Microsoft Windows Network” – “Workgroup (workgroup name)” – Computer Name yang ada pada jaringan tersebut, lalu pilih drive/folder yang di sharing pada jaringan tersebut (Pada contoh gambar di bawah ini yang disharing adalah Drive E). Kemudian klik tombol “OK”.

14. Maka nama “Path”nya (“\\Bochaok-c6c4f5a\E”) akan seperti gambar di bawah ini.

Catatan: “\\Bochaok-c6c4f5a\E” merupakan “Computer Name” dari PC Client yang dipilih tadi.


15. Berikutnya untuk mengantisipasi jika kedepannya nanti bakalan ditambah drive/folder yang akan disharing pada PC Client yang lain yang masih dalam satu jaringan tersebut, maka nama drive/folder yang tertulis pada kolom “Path” dihapus (pada contoh di atas adalah yang semula “\\Bochaok-c6c4f5a\E” dihapus Drive E-nya menjadi “\\Bochaok-c6c4f5a\”). Maka nantinya akan seperti gambar dibawah ini.
Catatan: Nantinya logikanya akan seperti ini: Semua ekstensi-ekstensi file yang sudah diseleksi sebelumnya untuk diblokir yang ada pada drive/folder yang disharing pada komputer dengan “Computer Name” “Bochaok-c6c4f5a” jika dieksekusi, maka file tersebut akan terblokir.

16. Ulangi kembali langkah di atas untuk memblokir drive-drive/folder-folder yang disharing dalam satu jaringan, jadi nantinya hasilnya akan seperti gambar di bawah ini.

Catatan: “\\Vheny-PC01\” sampai “\\Vheny-PC10\” merupakan “Computer Name” dalam satu jaringan yang akan diblokir.


17. Ulangi langkah ke-6 dan ke-7. Kali ini adalah untuk memblokir ekstensi-ekstensi file yang sudah dimasukkan tadi yang tersimpan di “Desktop”. Setelah memilih “Desktop” lalu klik tombol “OK”.


18. Setelah itu klik tombol “OK” seperti gambar di bawah ini.


19. Jika “Desktop” dimasukkan dalam daftar blokir, maka kebanyakan shortcut yang ada pada “Desktop” yang dimana mengarah ke aplikasi-aplikasi yang ada akan ikut terblokir juga. Jadi untuk mengizinkan shortcut-shortcut dari aplikasi-aplikasi yang ada tersebut untuk bisa dijalankan, maka ikuti langkah-langkah berikut:
Buka “Windows Explorer” – pilih “Drive C” – “Documents and Settings” – “All Users” – “Desktop”, lalu “Drag and Drop” shortcut-shortcut dari aplikasi yang ingin diizinkan untuk dijalankan nantinya ke dalam folder “Desktop” tersebut. Pada contoh gambar di bawah saya mendrag and drop Shortcut dari game Rohan Online Indonesia ke dalam folder “Desktop”.
Catatan: Drag and Dropnya harus ke dalam folder “Desktop” yang ada pada user “All Users”.


Konfigurasi di atas biasa saya gunakan pada warnet-warnet teman yang menggunakan sistem operasi Windows XP. Bisa juga digunakan pada Windows 7, adapun pengaturannya agak sedikit berbeda, tapi gak terlalu jauh-jauh amat kok bedanya :p
Semoga tutorial ini dapat bermanfaat dan selamat mencoba