Mengelola Kebijakan Pembatasan Perangkat Lunak

Topik untuk profesional TI ini berisi prosedur cara mengelola kebijakan kontrol aplikasi menggunakan Kebijakan Pembatasan Perangkat Lunak (SRP) yang dimulai dengan Windows Server 2008 dan Windows Vista.

Introduction

Kebijakan Pembatasan Perangkat Lunak (SRP) adalah fitur berbasis Kebijakan Grup yang mengidentifikasi program perangkat lunak yang berjalan di komputer di domain, dan mengontrol kemampuan program tersebut untuk dijalankan. Anda menggunakan kebijakan pembatasan perangkat lunak untuk membuat konfigurasi yang sangat terbatas untuk komputer, di mana Anda hanya mengizinkan aplikasi yang diidentifikasi secara khusus untuk dijalankan. Ini terintegrasi dengan Microsoft Active Directory Domain Services dan Kebijakan Grup tetapi juga dapat dikonfigurasi pada komputer yang berdiri sendiri. Untuk informasi selengkapnya tentang SRP, lihat Kebijakan Pembatasan Perangkat Lunak.

Dimulai dengan Windows Server 2008 R2 dan Windows 7 , Windows AppLocker dapat digunakan alih-alih atau dalam konser dengan SRP untuk sebagian strategi kontrol aplikasi Anda.

Topik ini berisi:

• Untuk membuka Kebijakan Pembatasan Perangkat Lunak

• Untuk membuat kebijakan pembatasan perangkat lunak baru

• Untuk menambahkan atau menghapus jenis file yang ditunjuk

• Untuk mencegah kebijakan pembatasan perangkat lunak diterapkan ke administrator lokal

• Untuk mengubah tingkat keamanan default kebijakan pembatasan perangkat lunak

• Untuk menerapkan kebijakan pembatasan perangkat lunak ke DLL

Untuk informasi tentang cara menyelesaikan tugas tertentu menggunakan SRP, lihat yang berikut ini:

• Menentukan Daftar Izinkan-Tolak dan Inventarifikasi Aplikasi untuk Kebijakan Pembatasan Perangkat Lunak

• Bekerja dengan Aturan Kebijakan Pembatasan Perangkat Lunak

• Gunakan Kebijakan Pembatasan Perangkat Lunak untuk Membantu Melindungi Komputer Anda Dari Virus Email

Untuk membuka Kebijakan Pembatasan Perangkat Lunak

• Untuk komputer lokal Anda

• Untuk domain, situs, atau unit organisasi, dan Anda berada di server anggota atau di stasiun kerja yang bergabung ke domain

• Untuk domain atau unit organisasi, dan Anda berada di pengontrol domain atau di stasiun kerja yang menginstal Alat Administrasi Server Jarak Jauh

• Untuk situs, dan Anda berada di pengontrol domain atau di stasiun kerja yang menginstal Alat Administrasi Server Jarak Jauh

Untuk komputer lokal Anda

1. Buka Pengaturan Keamanan Lokal.

2. Di pohon konsol, klik Kebijakan Pembatasan Perangkat Lunak.

   Where?

   • Pengaturan Keamanan/Kebijakan Pembatasan Perangkat Lunak

Note

Untuk melakukan prosedur ini, Anda harus menjadi anggota grup Administrator pada komputer lokal, atau Anda harus didelegasikan otoritas yang sesuai.

Untuk domain, situs, atau unit organisasi, dan Anda berada di server anggota atau di stasiun kerja yang bergabung ke domain

1. Buka Konsol Manajemen Microsoft (MMC).

2. On the File menu, click Add/Remove Snap-in, and then click Add.

3. Klik Editor Objek Kebijakan Grup Lokal, lalu klik Tambahkan.

4. Di Pilih Objek Kebijakan Grup, klik Telusuri.

5. Di Telusuri Objek Kebijakan Grup, pilih Objek Kebijakan Grup (GPO) di domain, situs, atau unit organisasi yang sesuai-atau buat yang baru, lalu klik Selesai.

6. Click Close, and then click OK.

7. Di pohon konsol, klik Kebijakan Pembatasan Perangkat Lunak.

   Where?

   • Objek Kebijakan Grup [ComputerName] Kebijakan/Konfigurasi Komputer atau

     Konfigurasi Pengguna/Pengaturan Windows/Pengaturan Keamanan/Kebijakan Pembatasan Perangkat Lunak

Note

Untuk melakukan prosedur ini, Anda harus menjadi anggota grup Admin Domain.

Untuk domain atau unit organisasi, dan Anda berada di pengontrol domain atau di stasiun kerja yang menginstal Alat Administrasi Server Jarak Jauh

1. Buka Konsol Manajemen Kebijakan Grup.

2. Di pohon konsol, klik kanan Objek Kebijakan Grup (GPO) yang ingin Anda buka kebijakan pembatasan perangkat lunaknya.

3. Click Edit to open the GPO that you want to edit. You can also click New to create a new GPO, and then click Edit.

4. Di pohon konsol, klik Kebijakan Pembatasan Perangkat Lunak.

   Where?

   • Objek Kebijakan Grup [ComputerName] Kebijakan/Konfigurasi Komputer atau

     Konfigurasi Pengguna/Pengaturan Windows/Pengaturan Keamanan/Kebijakan Pembatasan Perangkat Lunak

Note

Untuk melakukan prosedur ini, Anda harus menjadi anggota grup Admin Domain.

Untuk situs, dan Anda berada di pengontrol domain atau di stasiun kerja yang menginstal Alat Administrasi Server Jarak Jauh

1. Buka Konsol Manajemen Kebijakan Grup.

2. Di pohon konsol, klik kanan situs yang ingin Anda atur Kebijakan Grupnya.

   Where?

   • Active Directory Sites and Services [Domain_Controller_Name.Domain_Name]/Sites/Site

3. Klik entri di Tautan Objek Kebijakan Grup untuk memilih Objek Kebijakan Grup (GPO) yang sudah ada, lalu klik Edit. You can also click New to create a new GPO, and then click Edit.

4. Di pohon konsol, klik Kebijakan Pembatasan Perangkat Lunak.

   Where

   • Objek Kebijakan Grup [ComputerName] Kebijakan/Konfigurasi Komputer atau

     Konfigurasi Pengguna/Pengaturan Windows/Pengaturan Keamanan/Kebijakan Pembatasan Perangkat Lunak

Note

• Untuk melakukan prosedur ini, Anda harus menjadi anggota grup Administrator pada komputer lokal, atau Anda harus didelegasikan otoritas yang sesuai. Jika komputer bergabung ke domain, anggota grup Admin Domain mungkin dapat melakukan prosedur ini.
• To set policy settings that will be applied to computers, regardless of which users log on to them, click Computer Configuration.
• To set policy settings that will be applied to users, regardless of which computer they log on to, click User Configuration.

Untuk membuat kebijakan pembatasan perangkat lunak baru

1. Buka Kebijakan Pembatasan Perangkat Lunak.

2. On the Action menu, click New Software Restriction Policies.

Warning

• Kredensial administratif yang berbeda diperlukan untuk melakukan prosedur ini, tergantung pada lingkungan Anda:

  • If you create new software restriction policies for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
  • Jika Anda membuat kebijakan pembatasan perangkat lunak baru untuk komputer yang bergabung ke domain, anggota grup Admin Domain dapat melakukan prosedur ini.

• Jika kebijakan pembatasan perangkat lunak telah dibuat untuk Objek Kebijakan Grup (GPO), perintah Kebijakan Pembatasan Perangkat Lunak Baru tidak muncul di menu Tindakan . Untuk menghapus kebijakan pembatasan perangkat lunak yang diterapkan ke GPO, di pohon konsol, klik kanan Kebijakan Pembatasan Perangkat Lunak, lalu klik Hapus Kebijakan Pembatasan Perangkat Lunak. Saat Anda menghapus kebijakan pembatasan perangkat lunak untuk GPO, Anda juga menghapus semua aturan kebijakan pembatasan perangkat lunak untuk GPO tersebut. Setelah menghapus kebijakan pembatasan perangkat lunak, Anda dapat membuat kebijakan pembatasan perangkat lunak baru untuk GPO tersebut.

Untuk menambahkan atau menghapus jenis file yang ditunjuk

1. Buka Kebijakan Pembatasan Perangkat Lunak.

2. Di panel detail, klik ganda Tipe File yang Ditunjuk.

3. Lakukan salah satu hal berikut ini:

   • Untuk menambahkan jenis file, di Ekstensi nama file, ketik ekstensi nama file, lalu klik Tambahkan.

   • Untuk menghapus tipe file, di Tipe file yang ditunjuk, klik tipe file, lalu klik Hapus.

Note

• Kredensial administratif yang berbeda diperlukan untuk melakukan prosedur ini, tergantung pada lingkungan tempat Anda menambahkan atau menghapus jenis file yang ditunjuk:

  • If you add or delete a designated file type for your local computer: Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
  • Jika Anda membuat kebijakan pembatasan perangkat lunak baru untuk komputer yang bergabung ke domain, anggota grup Admin Domain dapat melakukan prosedur ini.

• Mungkin perlu untuk membuat pengaturan kebijakan pembatasan perangkat lunak baru untuk Objek Kebijakan Grup (GPO) jika Anda belum melakukannya.

• Daftar jenis file yang ditunjuk dibagikan oleh semua aturan untuk Konfigurasi Komputer dan Konfigurasi Pengguna untuk GPO.

Untuk mencegah kebijakan pembatasan perangkat lunak diterapkan ke administrator lokal

1. Buka Kebijakan Pembatasan Perangkat Lunak.

2. In the details pane, double-click Enforcement.

3. Di bawah Terapkan kebijakan pembatasan perangkat lunak untuk pengguna berikut, klik Semua pengguna kecuali administrator lokal.

Warning

• Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
• Mungkin perlu untuk membuat pengaturan kebijakan pembatasan perangkat lunak baru untuk Objek Kebijakan Grup (GPO) jika Anda belum melakukannya.
• Jika umum bagi pengguna untuk menjadi anggota grup Administrator lokal di komputer mereka di organisasi Anda, Anda mungkin tidak ingin mengaktifkan opsi ini.
• Jika Anda menentukan pengaturan kebijakan pembatasan perangkat lunak untuk komputer lokal Anda, gunakan prosedur ini untuk mencegah administrator lokal menerapkan kebijakan pembatasan perangkat lunak. Jika Anda mendefinisikan pengaturan kebijakan pembatasan perangkat lunak untuk jaringan Anda, filter pengaturan kebijakan pengguna berdasarkan keanggotaan dalam grup keamanan melalui Kebijakan Grup.

Untuk mengubah tingkat keamanan default kebijakan pembatasan perangkat lunak

1. Buka Kebijakan Pembatasan Perangkat Lunak.

2. In the details pane, double-click Security Levels.

3. Klik kanan tingkat keamanan yang ingin Anda atur sebagai default, lalu klik Atur sebagai default.

Caution

In certain directories, setting the default security level to Disallowed can adversely affect your operating system.

Note

• Kredensial administratif yang berbeda diperlukan untuk melakukan prosedur ini, tergantung pada lingkungan tempat Anda mengubah tingkat keamanan default kebijakan pembatasan perangkat lunak.
• Mungkin perlu untuk membuat pengaturan kebijakan pembatasan perangkat lunak baru untuk Objek Kebijakan Grup (GPO) ini jika Anda belum melakukannya.
• Di panel detail, tingkat keamanan default saat ini ditunjukkan oleh lingkaran hitam dengan tanda centang di dalamnya. Jika Anda mengklik kanan tingkat keamanan default saat ini, perintah Atur sebagai default tidak muncul di menu.
• Aturan kebijakan pembatasan perangkat lunak dibuat untuk menentukan pengecualian ke tingkat keamanan default. When the default security level is set to Unrestricted, rules can specify software that is not allowed to run. When the default security level is set to Disallowed, rules can specify software that is allowed to run.
• At installation, the default security level of software restriction policies on all files on your system is set to Unrestricted.

Untuk menerapkan kebijakan pembatasan perangkat lunak ke DLL

1. Buka Kebijakan Pembatasan Perangkat Lunak.

2. In the details pane, double-click Enforcement.

3. Di bawah Terapkan kebijakan pembatasan perangkat lunak ke yang berikut ini, klik Semua file perangkat lunak.

Note

• Untuk melakukan prosedur ini, Anda harus menjadi anggota grup Administrator pada komputer lokal, atau Anda harus didelegasikan otoritas yang sesuai. Jika komputer bergabung ke domain, anggota grup Admin Domain mungkin dapat melakukan prosedur ini.
• Secara default, kebijakan pembatasan perangkat lunak tidak memeriksa pustaka tautan dinamis (DLL). Memeriksa DLL dapat mengurangi performa sistem, karena kebijakan pembatasan perangkat lunak harus dievaluasi setiap kali DLL dimuat. Namun, Anda dapat memutuskan untuk memeriksa DLL jika Anda khawatir menerima virus yang menargetkan DLL. If the default security level is set to Disallowed, and you enable DLL checking, you must create software restriction policies rules that allow each DLL to run.