Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Topik ini menjelaskan kebijakan pembatasan perangkat lunak, kapan dan cara menggunakan fitur ini, perubahan apa yang telah diterapkan dalam rilis sebelumnya, dan menyediakan tautan ke sumber daya tambahan untuk membantu Anda membuat dan menyebarkan kebijakan pembatasan perangkat lunak yang dimulai dengan Windows Server 2008 dan Windows Vista.
Pendahuluan
Kebijakan pembatasan perangkat lunak memberi administrator mekanisme berbasis Kebijakan Grup untuk mengidentifikasi perangkat lunak dan mengontrol kemampuannya untuk berjalan di komputer lokal. Kebijakan ini dapat digunakan untuk melindungi komputer yang menjalankan sistem operasi Microsoft Windows (dimulai dengan Windows Server 2003 dan Windows XP Professional) dari konflik yang diketahui dan melindungi komputer dari ancaman keamanan seperti virus berbahaya dan program kuda Troya. Anda juga dapat menggunakan kebijakan pembatasan perangkat lunak untuk membuat konfigurasi yang sangat terbatas untuk komputer, di mana Anda hanya mengizinkan aplikasi yang diidentifikasi secara khusus untuk dijalankan. Kebijakan pembatasan perangkat lunak terintegrasi dengan Microsoft Active Directory dan Kebijakan Grup. Anda juga dapat membuat kebijakan pembatasan perangkat lunak pada komputer yang berdiri sendiri.
Kebijakan pembatasan perangkat lunak adalah kebijakan kepercayaan, yang merupakan peraturan yang ditetapkan oleh administrator untuk membatasi skrip dan kode lain yang tidak sepenuhnya dipercaya untuk dijalankan. Ekstensi Kebijakan Pembatasan Perangkat Lunak ke Editor Kebijakan Grup Lokal menyediakan satu antarmuka pengguna di mana pengaturan untuk membatasi penggunaan aplikasi dapat dikelola di komputer lokal atau di seluruh domain.
Prosedur
Skenario penggunaan kebijakan pembatasan perangkat lunak
Pengguna bisnis berkolaborasi dengan menggunakan email, pesan instan, dan aplikasi peer-to-peer. Ketika kolaborasi ini meningkat, terutama dengan penggunaan Internet dalam komputasi bisnis, begitu juga ancaman dari kode berbahaya, seperti cacing, virus, dan ancaman pengguna atau penyerang berbahaya.
Pengguna mungkin menerima kode bermusuhan dalam banyak formulir, mulai dari file yang dapat dieksekusi Windows asli (file .exe), hingga makro dalam dokumen (seperti file .doc), hingga skrip (seperti file .vbs). Pengguna atau penyerang berbahaya sering menggunakan metode rekayasa sosial untuk membuat pengguna menjalankan kode yang berisi virus dan cacing. (Rekayasa sosial adalah istilah untuk mengelabui orang untuk mengungkapkan kata sandi mereka atau beberapa bentuk informasi keamanan.) Jika kode tersebut diaktifkan, kode tersebut dapat menghasilkan serangan penolakan layanan pada jaringan, mengirim data sensitif atau privat ke Internet, menempatkan keamanan komputer dalam risiko, atau merusak konten hard disk drive.
Organisasi dan pengguna TI harus dapat menentukan perangkat lunak mana yang aman untuk dijalankan dan mana yang tidak. Dengan sejumlah besar dan formulir yang dapat diambil kode bermusuhan, ini menjadi tugas yang sulit.
Untuk membantu melindungi komputer jaringan mereka dari kode bermusuhan dan perangkat lunak yang tidak diketahui atau tidak didukung, organisasi dapat menerapkan kebijakan pembatasan perangkat lunak sebagai bagian dari strategi keamanan mereka secara keseluruhan.
Administrator dapat menggunakan kebijakan pembatasan perangkat lunak untuk tugas-tugas berikut:
Tentukan apa itu kode tepercaya
Mendesain Kebijakan Grup yang fleksibel untuk mengatur skrip, file yang dapat dieksekusi, dan kontrol ActiveX
Kebijakan pembatasan perangkat lunak diberlakukan oleh sistem operasi dan oleh aplikasi (seperti aplikasi pembuatan skrip) yang mematuhi kebijakan pembatasan perangkat lunak.
Secara khusus, administrator dapat menggunakan kebijakan pembatasan perangkat lunak untuk tujuan berikut:
Tentukan perangkat lunak mana (file yang dapat dieksekusi) yang dapat dijalankan pada komputer klien
Mencegah pengguna menjalankan program tertentu pada komputer bersama
Tentukan siapa yang bisa menambahkan penerbit tepercaya ke komputer klien
Atur cakupan kebijakan pembatasan perangkat lunak (tentukan apakah kebijakan memengaruhi semua pengguna atau subset pengguna di komputer klien)
Cegah file yang dapat dieksekusi berjalan di komputer lokal, unit organisasi (OU), situs, atau domain. Ini akan sesuai jika Anda tidak menggunakan kebijakan pembatasan perangkat lunak untuk mengatasi potensi masalah dengan pengguna berbahaya.
Perbedaan dan perubahan fungsionalitas
Tidak ada perubahan fungsionalitas di SRP untuk Windows Server 2012 dan Windows 8.
Versi yang didukung
Kebijakan Pembatasan Perangkat Lunak hanya dapat dikonfigurasi pada dan diterapkan ke komputer yang menjalankan setidaknya Windows Server 2003, termasuk Windows Server 2012 , dan setidaknya Windows XP, termasuk Windows 8.
Catatan
Edisi tertentu dari sistem operasi klien Windows yang dimulai dengan Windows Vista tidak memiliki Kebijakan Pembatasan Perangkat Lunak. Komputer yang tidak dikelola dalam domain menurut Kebijakan Grup mungkin tidak menerima kebijakan terdistribusi.
Membandingkan fungsi kontrol aplikasi dalam Kebijakan Pembatasan Perangkat Lunak dan AppLocker
Tabel berikut membandingkan fitur dan fungsi fitur Kebijakan Pembatasan Perangkat Lunak (SRP) dan AppLocker.
| Fungsi kontrol aplikasi | SRP | AppLocker |
|---|---|---|
| Cakupan | Kebijakan SRP dapat diterapkan ke semua sistem operasi Windows yang dimulai dengan Windows XP dan Windows Server 2003. | Kebijakan AppLocker hanya berlaku untuk Windows Server 2008 R2, Windows Server 2012 , Windows 7, dan Windows 8. |
| Pembuatan kebijakan | Kebijakan SRP dipertahankan melalui Kebijakan Grup dan hanya administrator GPO yang dapat memperbarui kebijakan SRP. Administrator di komputer lokal dapat mengubah kebijakan SRP yang ditentukan dalam GPO lokal. | Kebijakan AppLocker dipertahankan melalui Kebijakan Grup dan hanya administrator GPO yang dapat memperbarui kebijakan. Administrator di komputer lokal dapat mengubah kebijakan AppLocker yang ditentukan dalam GPO lokal. AppLocker mengizinkan penyesuaian pesan kesalahan untuk mengarahkan pengguna ke halaman Web untuk mendapatkan bantuan. |
| Pemeliharaan kebijakan | Kebijakan SRP harus diperbarui dengan menggunakan snap-in Kebijakan Keamanan Lokal (jika kebijakan dibuat secara lokal) atau Konsol Manajemen Kebijakan Grup (GPMC). | Kebijakan AppLocker dapat diperbarui dengan menggunakan snap-in Kebijakan Keamanan Lokal (jika kebijakan dibuat secara lokal), atau GPMC, atau cmdlet AppLocker Windows PowerShell. |
| Aplikasi kebijakan | Kebijakan SRP didistribusikan melalui Kebijakan Grup. | Kebijakan AppLocker didistribusikan melalui Kebijakan Grup. |
| Mode penegakan | SRP berfungsi dalam "mode daftar tolak" di mana administrator dapat membuat aturan untuk file yang tidak ingin mereka izinkan di Perusahaan ini sedangkan sisa file diizinkan untuk dijalankan secara default. SRP juga dapat dikonfigurasi dalam "mode daftar izinkan" sehingga secara default semua file diblokir dan administrator perlu membuat aturan izinkan untuk file yang ingin mereka izinkan. |
AppLocker secara default berfungsi dalam "mode izinkan daftar" di mana hanya file-file yang diizinkan untuk dijalankan yang ada aturan izin yang cocok. |
| Jenis file yang dapat dikontrol | SRP dapat mengontrol jenis file berikut: - File Eksekusi SRP tidak dapat mengontrol setiap jenis file secara terpisah. Semua aturan SRP berada dalam satu kumpulan aturan. |
AppLocker dapat mengontrol jenis file berikut: - File Eksekusi AppLocker mempertahankan kumpulan aturan terpisah untuk masing-masing dari lima jenis file. |
| Jenis file yang ditunjuk | SRP mendukung daftar jenis file yang dapat diperluas yang dianggap dapat dieksekusi. Administrator dapat menambahkan ekstensi untuk file yang harus dianggap dapat dieksekusi. | AppLocker tidak mendukung ini. AppLocker saat ini mendukung ekstensi file berikut: - Dapat dieksekusi (.exe, .com) |
| Jenis aturan | SRP mendukung empat jenis aturan: -Hash |
AppLocker mendukung tiga jenis aturan: -Hash |
| Mengedit nilai hash | SRP memungkinkan administrator untuk menyediakan nilai hash kustom. | AppLocker menghitung nilai hash itu sendiri. Secara internal menggunakan hash SHA1 Authenticode untuk Portable Executables (Exe and Dll) dan Windows Installers dan hash file datar SHA1 untuk sisanya. |
| Dukungan untuk tingkat keamanan yang berbeda | Dengan administrator SRP dapat menentukan izin yang dapat dijalankan aplikasi. Jadi, administrator dapat mengonfigurasi aturan sedih sehingga notepad selalu berjalan dengan izin terbatas dan tidak pernah dengan hak istimewa administratif. SRP di Windows Vista dan beberapa tingkat keamanan yang didukung sebelumnya. Pada Windows 7 daftar tersebut dibatasi hanya untuk dua tingkat: Tidak diizinkan dan Tidak Dibatasi (Pengguna Dasar diterjemahkan ke Tidak Diizinkan). |
AppLocker tidak mendukung tingkat keamanan. |
| Mengelola aplikasi Paket dan Penginstal aplikasi paket | Tidak bisa | .appx adalah jenis file valid yang dapat dikelola AppLocker. |
| Menargetkan aturan ke pengguna atau sekelompok pengguna | Aturan SRP berlaku untuk semua pengguna di komputer tertentu. | Aturan AppLocker dapat ditargetkan ke pengguna tertentu atau sekelompok pengguna. |
| Dukungan untuk pengecualian aturan | SRP tidak mendukung pengecualian aturan | Aturan AppLocker dapat memiliki pengecualian yang memungkinkan administrator membuat aturan seperti "Izinkan semuanya dari Windows kecuali untuk Regedit.exe". |
| Dukungan untuk mode audit | SRP tidak mendukung mode audit. Satu-satunya cara untuk menguji kebijakan SRP adalah dengan menyiapkan lingkungan pengujian dan menjalankan beberapa eksperimen. | AppLocker mendukung mode audit yang memungkinkan administrator menguji efek kebijakan mereka di lingkungan produksi nyata tanpa memengaruhi pengalaman pengguna. Setelah puas dengan hasilnya, Anda dapat mulai memberlakukan kebijakan. |
| Dukungan untuk mengekspor dan mengimpor kebijakan | SRP tidak mendukung impor/ekspor kebijakan. | AppLocker mendukung impor dan ekspor kebijakan. Ini memungkinkan Anda membuat kebijakan AppLocker pada komputer sampel, mengujinya lalu mengekspor kebijakan tersebut dan mengimpornya kembali ke GPO yang diinginkan. |
| Penegakan aturan | Secara internal, penegakan aturan SRP terjadi dalam mode pengguna yang kurang aman. | Secara internal, aturan AppLocker untuk Exes dan Dll diberlakukan dalam mode kernel yang lebih aman daripada memberlakukannya dalam mode pengguna. |
Persyaratan sistem
Kebijakan pembatasan perangkat lunak hanya dapat dikonfigurasi pada dan diterapkan ke komputer yang menjalankan setidaknya Windows Server 2003, dan setidaknya Windows XP. Kebijakan Grup diperlukan untuk mendistribusikan Objek Kebijakan Grup yang berisi kebijakan pembatasan perangkat lunak.
Komponen dan arsitektur kebijakan pembatasan perangkat lunak
Kebijakan pembatasan perangkat lunak menyediakan mekanisme untuk sistem operasi dan aplikasi yang mematuhi kebijakan pembatasan perangkat lunak untuk membatasi eksekusi runtime program perangkat lunak.
Pada tingkat tinggi, kebijakan pembatasan perangkat lunak terdiri dari komponen berikut:
API kebijakan pembatasan perangkat lunak. Antarmuka Pemrograman Aplikasi (API) digunakan untuk membuat dan mengonfigurasi aturan yang merupakan kebijakan pembatasan perangkat lunak. Ada juga API kebijakan pembatasan perangkat lunak untuk mengkueri, memproses, dan memberlakukan kebijakan pembatasan perangkat lunak.
Alat manajemen kebijakan pembatasan perangkat lunak. Ini terdiri dari ekstensi Kebijakan Pembatasan Perangkat Lunak dari snap-in Editor Objek Kebijakan Grup Lokal, yang digunakan administrator untuk membuat dan mengedit kebijakan pembatasan perangkat lunak.
Sekumpulan API dan aplikasi sistem operasi yang memanggil API kebijakan pembatasan perangkat lunak untuk memberikan penegakan kebijakan pembatasan perangkat lunak saat runtime.
Direktori Aktif dan Kebijakan Grup. Kebijakan pembatasan perangkat lunak bergantung pada infrastruktur Kebijakan Grup untuk menyebarluaskan kebijakan pembatasan perangkat lunak dari Direktori Aktif ke klien yang sesuai, dan untuk cakupan dan pemfilteran penerapan kebijakan ini ke komputer target yang sesuai.
Authenticode dan WinVerify Trust API yang digunakan untuk memproses file yang dapat dieksekusi yang ditandatangani.
Pemantau Peristiwa. Fungsi yang digunakan oleh kebijakan pembatasan perangkat lunak mencatat peristiwa ke log Pemantau Peristiwa.
Set Kebijakan Yang Dihasilkan (RSoP), yang dapat membantu dalam mendiagnosis kebijakan efektif yang akan diterapkan ke klien.
Untuk informasi selengkapnya tentang arsitektur SRP, cara SRP mengelola aturan, proses, dan interaksi, lihat Cara Kerja Kebijakan Pembatasan Perangkat Lunak di Pustaka Teknis Windows Server 2003.
Praktik terbaik
Jangan ubah kebijakan domain default.
- Jika Anda tidak mengedit kebijakan domain default, Anda selalu memiliki opsi untuk menerapkan kembali kebijakan domain default jika ada yang salah dengan kebijakan domain yang disesuaikan.
Buat Objek Kebijakan Grup terpisah untuk kebijakan pembatasan perangkat lunak.
- Jika Anda membuat Objek Kebijakan Grup (GPO) terpisah untuk kebijakan pembatasan perangkat lunak, Anda dapat menonaktifkan kebijakan pembatasan perangkat lunak dalam keadaan darurat tanpa menonaktifkan kebijakan domain Anda lainnya.
Jika Anda mengalami masalah dengan pengaturan kebijakan yang diterapkan, mulai ulang Windows dalam Mode Aman.
- Kebijakan pembatasan perangkat lunak tidak berlaku ketika Windows dimulai dalam Mode Aman. Jika Anda secara tidak sengaja mengunci stasiun kerja dengan kebijakan pembatasan perangkat lunak, hidupkan ulang komputer dalam Mode Aman, masuk sebagai administrator lokal, ubah kebijakan, jalankan gpupdate, mulai ulang komputer, lalu masuk secara normal.
Berhati-hatilah saat menentukan pengaturan default Tidak Diizinkan.
Ketika Anda menentukan pengaturan default Tidak Diizinkan, semua perangkat lunak tidak diizinkan kecuali untuk perangkat lunak yang telah diizinkan secara eksplisit. File apa pun yang ingin Anda buka harus memiliki aturan kebijakan pembatasan perangkat lunak yang memungkinkannya terbuka.
Untuk melindungi administrator agar tidak mengunci diri dari sistem, ketika tingkat keamanan default diatur ke Tidak Diizinkan, empat aturan jalur registri secara otomatis dibuat. Anda dapat menghapus atau mengubah aturan jalur registri ini; namun, ini tidak disarankan.
Untuk keamanan terbaik, gunakan daftar kontrol akses bersama dengan kebijakan pembatasan perangkat lunak.
- Pengguna mungkin mencoba menghindari kebijakan pembatasan perangkat lunak dengan mengganti nama atau memindahkan file yang tidak diizinkan atau dengan menimpa file yang tidak dibatasi. Akibatnya, disarankan agar Anda menggunakan daftar kontrol akses (ACL) untuk menolak pengguna akses yang diperlukan untuk melakukan tugas-tugas ini.
Uji pengaturan kebijakan baru secara menyeluruh di lingkungan pengujian sebelum menerapkan pengaturan kebijakan ke domain Anda.
Pengaturan kebijakan baru mungkin bertindak berbeda dari yang semula diharapkan. Pengujian mengurangi kemungkinan mengalami masalah saat Anda menyebarkan pengaturan kebijakan di seluruh jaringan Anda.
Anda dapat menyiapkan domain pengujian, terpisah dari domain organisasi Anda, untuk menguji pengaturan kebijakan baru. Anda juga dapat menguji pengaturan kebijakan dengan membuat GPO pengujian dan menautkannya ke unit organisasi pengujian. Ketika Anda telah menguji pengaturan kebijakan dengan pengguna uji secara menyeluruh, Anda dapat menautkan GPO pengujian ke domain Anda.
Jangan atur program atau file ke Tidak Diizinkan tanpa menguji untuk melihat apa efeknya. Pembatasan pada berkas tertentu dapat berdampak serius pada pengoperasian komputer atau jaringan Anda.
Informasi yang dimasukkan salah atau kesalahan pengetikan dapat mengakibatkan pengaturan kebijakan yang tidak berfungsi seperti yang diharapkan. Menguji pengaturan kebijakan baru sebelum menerapkannya dapat mencegah perilaku tak terduga.
Filter pengaturan kebijakan pengguna berdasarkan keanggotaan dalam grup keamanan.
Anda dapat menentukan pengguna atau grup yang tidak ingin Anda terapkan pengaturan kebijakannya dengan mengosongkan kotak centang Terapkan Kebijakan Grup dan Baca , yang terletak di tab Keamanan dari kotak dialog properti untuk GPO.
Ketika izin Baca ditolak, pengaturan kebijakan tidak diunduh oleh komputer. Akibatnya, lebih sedikit bandwidth yang digunakan dengan mengunduh pengaturan kebijakan yang tidak perlu, yang memungkinkan jaringan berfungsi lebih cepat. Untuk menolak izin Baca, pilih Tolak untuk kotak centang Baca , yang terletak di tab Keamanan dari kotak dialog properti untuk GPO.
Jangan tautkan ke GPO di domain atau situs lain.
- Menautkan ke GPO di domain atau situs lain dapat mengakibatkan performa yang buruk.
Sumber Daya Tambahan:
| Jenis konten | Referensi |
|---|---|
| Perencanaan | Referensi Teknis Kebijakan Pembatasan Perangkat Lunak |
| Operasi | Mengelola Kebijakan Pembatasan Perangkat Lunak |
| Pemecahan Masalah | Pemecahan Masalah Kebijakan Pembatasan Perangkat Lunak (2003) |
| Keamanan |
Ancaman dan Penanggulangan Untuk Polisi Pembatasan Perangkat Lunak (2008) Ancaman dan Penanggulangan Untuk Polisi Pembatasan Perangkat Lunak (2008 R2) |
| Alat dan pengaturan | Alat dan Pengaturan Kebijakan Pembatasan Perangkat Lunak (2003) |
| Sumber daya komunitas | Penguncian Aplikasi dengan Kebijakan Pembatasan Perangkat Lunak |