Andik Susilo Blog's : AppLocker, Security

Windows 7 Defense Technology

Andik susilo — Tue, 09 Feb 2010 02:16:52 GMT

Malware (malicious sofware) adalah program yang sangat berbahaya bagi pengguna komputer. Virus computer, Worms, Trojan horse, rootkits dan spyware adalah beberapa contoh dari malware. Aplikasi-aplikasi tersebut memunkinkan mencuri data anda tanpa sepengetahuan anda atau tanpa permisi.

Karena itu Windows 7 di bangun dan di lengkapi dengan keamanan yang cukup baik untuk melindunginya dari serangan malware. Anda bisa menggunakan Group Policy untuk melawan malware agar tidak menginveksi komputer anda.

IE 8 yang di tanamkan pada Windows 7 juga di lengkapi dengan fitur keamanan yang lebih, hal ini untuk mencegah dari instalasi software yang tidak di inginkan, meningkatkan keamanan ketika anda melakukan transaksi.

Berikut Windows 7 Defense Technology yang dapat di gunakan untuk menghalau malware :

· Action Center

· User Account Control (UAC)

· Biometric Security

· Windows Defender

· Malicious Software Removal Tool

· Windows Firewall

· AppLocker

Use AppLocker to restrict applications to a single version (only allowing version 8.0 or above)

Andik susilo — Sat, 06 Feb 2010 16:35:18 GMT

Pada lingkungan enterprise penyeragaman versi aplikasi itu merupakan hal yang sangat penting. Jangan sampai user masih menggunakan versi aplikasi yang berbeda-beda hal itu bisa menyebabkan masalah di kemudian hari dan susah untuk memonitoringnya. Dari sisi keamanan, biasanya aplikasi yang masih menggunakan versi awal mempunyai banyak bug yang dapat di exploitasi, dari sisi data, contohnya aplikasi database dengan menggunakan aplikasi yang berbeda versi bisa berakibat tidak konsistennya data karena itu penyeragaman versi aplikasi perlu di lakukan.

Walaupun perusahaan sudah mengeluarkan kebijakan untuk menggunakan versi aplikasi yang sudah di tentukan, kadang user *** keberatan untuk berpindah ke versi aplikasi yang terbaru. Alasan mereka masih terbiasa menggunakan versi aplikasi yang lama dan belum terbiasa dengan versi aplikasi yang terbaru. Kalau keadaanya seperti itu seorang Sysadmin harus ‘memaksa’ user tersebut agar menggunakan versi yang terbaru. Untuk itu seorang Sysadmin bisa menggunakan AppLocker untuk memaksa seorang user untuk segera menggunakan versi aplikasi yang terbaru. Dengan melakukan penyeragaman aplikasi akan memudahkan sysadmin dalam melakukan manajemen dan update aplikasi.

Sebagai contoh saya akan menggunakan AppLocker untuk ‘memaksa’ user agar hanya bisa menggunakanIE versi 8 ke atas.

Buka Group Policy Editor, ketikan gpedit.msc pada start run kemudian enter. Masuk ke Computer Configuration – Windows Setting – Security Setting – Application Control Policy – Applocker kemudian klik kanan pada Exebtable Rules pilih Create New Rule… kemudian next

Karena ingin melakukan pembatasan berdasarkan versi dari aplikasi pilih Publisher lalu Next.

Selanjutnya pilih aplikasi yang akan anda batasi, pada contoh saya akan memabatasi user agar hanya dapat menggunakan Internet Explorer versi 8.0 ke atas

Jika sudah selesai tinggal klik tombol create.

Restrict the use of Portable Software from the Windows server 2008 r2 Part 2

Andik susilo — Thu, 28 Jan 2010 16:15:05 GMT

Melanjutkan artikel saya sebelumnya 'Restrict the use of Portable Software from the Windows server 2008 r2 Part 1 ' selanjutnya kita akan melakukan editing GPO untuk menambahkan Rules AppLocker guna membatasi user agar tidak bisa menjalankan aplikasi portable.

Klik kanan pada DisablePortableSoft GPO kemudian pilih edit

Mungul halaman Group Policy Management Editor pilih Computer Configuration- Windows Setings – Security Settings – Application Control Policy – Applocker kemudian klik kanan pada Executable Rules pilih Create New Rules

Untuk membatasi user agar tidak bisa menjalankan Portable Software, kita akan menolak semua aplikasi yang di jalankan di luar folder Program file dan Windows. Dimana folder Program Files merupakan folder aplikasi-aplikasi kita terinstall dan folder Windows merupakan folder system berada. Ok, pada jendela Permission ini pilih Deny dan pada User or Grpups pilih Groups GroupBDG yang telah kita buat tadi.

Pada bagian Condition kita pilih Path karena kita akan membatasi berdasarkan path dari folder aplikasi tersebut

Pada bagian Path ketikan * yang merupakan root folder

Pada bagia Exceptions, pada Add Exceptions pilih Path dan tambahkan filder Program files dan Windows seperti terlihat pada gambar di bawah.

Pada bagian Name and Description, beri keterangan daru Rules ini.

Setelah rules tercipta akan terlihat seperti gambar di bawah.

Untuk melakukan Push down policy ke komputer client buka comand prompt lalu ketikan gpupdate /force

Kemudian login dari komputer client yang telah melakukan join domain dengan user yang telah kita buat tadi. Kemudian buka Windows Explorer dan jalankan salah satu portable software, jika muncuk seperti pada gambar di bawah, berarti kita telah berhasil membatasi user agar tidak menajalankan Portable Software.

Restrict the use of Portable Software from the Windows server 2008 r2 Part 1

Andik susilo — Thu, 28 Jan 2010 15:49:59 GMT

Hampir semua aplikasi memungkinkan untuk di buat portable (untuk menjalankan apalikasi tanpa menginstallnya terlebih dahulu), yang jadi masalah tidak semua aplikasi portable tersebut bersih dari Virus, Worm, Spyware dan aplikasi jahat lainnya yang dapat mengakibatkan komputer crash atau juga jaringan menjadi lambat. Selain itu demi produktifitas karyawan perusahaan melarang karyawan untuk menginstall atau juga menjalankan aplikasi-aplikasi di luar policy perusahaan. Dengan menggunakan AppLocker seorang sistem administrator dapat membatasi user untuk menginstall atau juga menjalankan aplikasi di luar policy perusahaan (Program File dan Windows folder).

Pada artikel ini saya akan membahas bagaimana membatasi user yang menggunakan Windows 7 yang telah melakukan Join domain pada Windows Server 2008 r2 agar tidak bisa menjalankan aplikasi portable.

Buka Active Directory Users and Computer dari Start – Administrative Tools kemudian pilih Active Directory Users and Computer , Buat OU (Organitation Unit) = BandungOU kemudian buat child UO untuk user = UserBDG dan ou untuk computer = ComputerOU

Setelah tercipta UO bandung, child UserBDG dan ComputerBDG pindahkan computer client Windows 7 yang telah melakukan Join Domain ke OU ComputerBDG seperti terlihat pada gambar di bawah. Kemudian bikin satu user, user ini yang akan kita pakai untuk melakukan login pada komputer client dan mencoba menajalankan Portable Software.

Setelah pembuatan user selesai, Buat satu groups = GroupBDG kemudian tambahan user (chelsea allana) pada Groups tersebut seperti terlihat pada gambar di Bawah.

Setelah urusan OU, User dan Grouop selesai selanjutnya untuk membuat Group Policy Object (GPO), buka Group Policy manajement dari Start – Administrative Tools Kemudian pilih Group Policy Management.

Setelah Group Policy Management terbuka buat satu GPO, klik kanan pada BandungOU kemudian pilih Create a GPO in this domain, and link it here…

Kemudian beri nama GPO tersebut dengan DisableProtableSoft

Sampai di sini pembuatan GPO sudah selesai, selanjutnya kita akan melakukan pengeditan GPO untuk menambahkan Rules untuk membatasi user menjalankan portable software. Besambung ke bagian 2.

Export / Import AppLocker Policy.

Andik susilo — Thu, 21 Jan 2010 04:14:59 GMT

Melanjutkan artikel saya sebelumnya tentang Applocker, Windows AppLocker menyediakan fasilitas untuk melakukan Export dan Import Policy/Rules dalam sebuah file XML. Dengan adanya fasilitas ini anda bisa melakukan backup terhadap rules AppLocker atau juga memindahkan rules dari satu komputer ke komputer yang lain. Hal ini tentu memberikan kemudahan dan juga kenyaman bagi seorang sysadmin dalam mengelola AppLocker.

Untuk melakukan Export dan Import AppLocker pada Windows 7.

1. Untuk meleakukan Export policy, ketikan Local Security Policy pada Instant search kemudian Enter. Kemudian pilih Application Control Policies – Klik kanan pada AppLocker kemudian pilih Export Policy.

2. Beri nama file XML kemudian klik Save.

Selanjutnya kita akan mencoba melakuka Import Policy / rules. Untuk melihat perbedaanya kita akan menghapus policy yang sudah ada. Klik kanan pada Applocker pilih Clear Policy.

Semua rules akan hilang seperti terlihat pada gambar di bawah ini

3. Selanjutnya untuk melakukan Import Policy, Klik kanan pada AppLocker pilih Import Policy.

4. Cari file hasil Export (backup) kemudian pilih Open.

5. Hasilnya akan terlihat seperti gambar di bawah, rules telah kembali seperti semula.

Create Executable Default Rules (Applocker)

Andik susilo — Tue, 19 Jan 2010 01:35:20 GMT

Applocker mempunyai sebuah default rules, default rules ini tidak akan tercipta kecuali kita menciptakannya sendiri atau ketika membuat rules untuk yang pertama kali. Pada artikel berikut ini saya akan coba mengulas bagaimana menciptakan default rules dan mempelajari rulesnya.

Untuk menciptakan default rules, ketika Local Security Policy pada Instant search kemudian Enter. Kemudian pilih Application Control Policies – Applocker Executable Rules – Create Default Rules.

Secara otomatis akan tercipta 3 rules seperti terlihat pada gambar di bawah.

Ok, selanjutnya kita akan mencoba membongkar rules-rules tersebut agak kita tahu fungsi dari rules-rules tersebut. Kita mulai dari yang paling atas All files located in the Program file Folder. Klik 2 kali pada rules.

Pada tab general terlihat pada opsi action terpilih allow yang artinya mengijinkan dan pada groups terdapat Everyone, jadi pada rules tersebut semua user (Everyone) di ijinkan untuk menjalankan aplikasi(executable).

Selanjutnya pada tab Path, path berisi %PROGRAMFILES%\*, path merujuk pada folder ‘Program file’ yang merupakan folder dimana setiap aplikasi yang kita intsall akan masuk ke dalam folder tersebut.

Jadi Rules ini berarti: Semua user di ijinkan untuk menjalankan aplikasi yang terdapat pada folder ‘Program Files’.

Untuk rules yang ke 2 All files located in the Windows folder, klik 2 kali pada rules tersebut.

Selanjutnya pada tab Path, path berisi %WINDIR%\*, path menunjuk ke folder ‘Windows’ yang merupakan folder di mana aplikasi-aplikasi seperti notepad, paint, calculator dll berada.

Jadi Rules ini berarti: Semua user di ijinkan untuk menjalankan aplikasi yang terdapat pada folder ‘Windows’.

Untuk Rules ke 3 All files, klik 2 kali pada rules tersebut.

Pada tab general terlihat pada opsi action terpilih allow yang artinya mengijinkan dan pada groups terdapat BUILTIN\Administrator, jadi pada rules tersebut semua user pada groups Administrator di ijinkan untuk menjalankan aplikasi(executable).

Selanjutnya pada tab Path, path berisi *, path menunjuk pada ‘semua folder’ atau root folder, jadi semua aplikasi dapat di jalankan oleh user yang berada pada Groups Administrator.

Jadi Rules ini berarti : Semua user di ijinkan untuk menjalankan semua aplikasi.

Maka default Rules ini dapat di artikan :

Semua User (everyone) di ijinkan menjalankan aplikasi yang terdapat pada folder Programs Files dan Windows.
Semua user yang terdapat pada groups Administrator di ijinkan menjalankan semua aplikasi.
User di luar Groups administrator tidak di ijinkan menjalankan aplikasi di luar folder ‘Programs Files’ dan ‘Windows’

Default rules ini bisa di pakai untuk membatasi pengguna dengan prifilege user agar tidak menjalankan aplikasi portable atau juga menginstall aplikasi (.exe). Anda bisa menggunakan Applocker dan juga UAC untuk membuat Windows 7 anda menjadi jauh lebih aman.

Jangan Bandel dengan pakai Portable

Andik susilo — Sun, 17 Jan 2010 15:24:20 GMT

“Jangan Bandel dengan pakai Portable” merupakan artikel yang saya tulis untuk tabloid pc plus, pada artikel tersebut saya memaparkan bagaimana kita sebagai seorang sysadmin mencegah user untuk tidak menjalankan aplikasi portable. Aplikasi portable merupakan salah satu cara yang di gunakan user ‘nakal’ untuk menghindari policy perusahaan yang membatasi user agar tidak menginstall aplikasi di luar kebijakaan perusahaan.

Perusahaan mempunyai alasan yang kuat untuk tidak mengijinkan user menginstall aplikasi di luar kebijakan kantor antara lain :

Aplikasi portable rawan di susupi virus, spyware, maleware dan program jahat lainnya
Mencegah komputer dan juga network terinveksi virus, spyware, maleware dan program jahat lainnya.
Tak ingin data perusahaan bocor keluar.
Meningkatkan produktifitas karyawan.
Mencegah rusaknya aplikasi utama di karenakan aplikasi portable
dll

What's New in AppLocker Windows 2008 Server R2

Andik susilo — Sun, 27 Dec 2009 15:41:08 GMT

AppLocker adalah fitur baru yang terdapat pada Windows 7 dan Windows 2008 server R2, AppLocker ini adalah pengganti dari Software Restriction Policies yang terdapat pada sistem operasi sebelumnya. Dengan AppLocker sistem administrator dapat mengontrol bagaimana pengguna dapat mengakses dan menggunakan file, seperti . Exe file, script, Windows Installer file (. MSI dan. Msp), dan DLL antara lain :

Membatasi jumlah dan jenis file yang bisa di jalankan oleh user dengan mencegah di jalankannya aplikasi unlicensed atau malicious dan membatasi ActiveX controls yang terinstall.
User hanya dapat menjalankan aplikasi-aplikasi yang di setujui oleh perusahaan.
Mengurangi bocornya data-data perusahaan dari unauthorized software seperti spyware dan maleware.
Sistem administrator bisa memanfaatkan Group Policy Object untuk melakukan manajemen AppLocker.

Applocker dapat menetapkan aturan-aturan berdasarkan digital signature, publisher, nama produk, nama file dan versi dari file, penugasan aturan bisa berdasrkan security group atau secara individu, membuat pengecualian untuk file .exe, menggunakan audit-only mode untuk mengidentifikasi file yang tidak di ijinkan untuk di jalankan dan untuk mempermudah administrasi terdapat fasilitas untuk import dan export rules.

Secara default AppLocker rules tidak memperbolehkan pengguna untuk menajalankan file apapun yang tidak di ijinkan karena itu sistem administrator harus selalu meng-update daftar aplikasi-aplikasi apa saja yang boleh di jalankan. Mungkin, ketika AppLocker di aplikasikan (hanya aplikasi yang di perbolehkan oleh perusahaan) user akan banyak mengeluh karena tidak semua aplikasi (kecuali aplikasi yang di bolehkan) bisa di jalankan tetapi dengan berjalannya waktu user akan mulai memahami policy perusahaan dan user akan mengerti. Untuk mengaplikasikan AppLocker kepada semua user dalam domain sistem administrator bisa memanfaatkan group policy. Ingat! AppLocker hanya bisa di jalankan pada Windows 7 dan Windows 2008 server R2 jika di dalam domain masih ada sistem operasi di bawahnya anda bisa menggunakan Software Restriction Policies.

Restrict users to run Portable Applications on Windows 7

Andik susilo — Sat, 26 Dec 2009 16:41:54 GMT

Hampir semua aplikasi memungkinkan untuk di buat portable (untuk menjalankan apalikasi tanpa menginstallnya terlebih dahulu), yang jadi masalah tidak semua aplikasi portable tersebut bersih dari Virus, Worm, Spyware dan aplikasi jahat lainnya yang dapat mengakibatkan komputer crash atau juga jaringan menajdi lambat. Selain itu demi produktifitas karyawan perusahaan melarang karyawan untuk menginstall atau juga menjalankan aplikasi-aplikasi di luar policy perusahaan. Dengan menggunakan AppLocker seorang sistem administrator dapat membatasi user untuk menginstall atau juga menjalankan aplikasi di luar policy perusahaan (Program File dan Windows folder).

Pada video tutorial saya kali ini, memperlihatkan bagaimana membatasai seorang user untuk menjalankan aplikasi-aplikasi portbale dan melakukan exception(pengecualian) untuk Folder ‘Programs Files’ dan ‘Windows’ yang biasanya menjadi default folder untuk aplikasi-aplikasi yang semestinya dengan menggunakan AppLocker.

(Please visit the site to view this media)

Applocker: Prohibit run application by user

Andik susilo — Wed, 16 Dec 2009 10:04:00 GMT

Ketika komputer di gunakan lebih dari 1 orang (user) kita perlu melakukan administrasi agar aplikasi-aplikasi tersebut tidak di gunakan oleh user yang tidak berhak. Hal itu tidak lain untuk mencegah user lain tidak sengaja melakukan perusakan data atau juga merubah seting-seting pada aplikasi. Fitur ini bisa di implementasi baik pada lingkungan kantor atau juga rumah.

Windows 7 di lengkapi dengan AppLocker yang bisa di gunakan untuk melakukan pembatasan terhadap aplikasi yang boleh di jalankan oleh user. Berikut ini video bagaimana membatasi seorang user agar tidak bisa menjalankan aplikasi Notepad. Pada video ini Notepad hanya sebagai contoh, mungkin anda bisa menyesuaikan aplikasi-aplikasi apa saja yang akan anda batasi.

(Please visit the site to view this media)

AppLocker: Prohibit execution or Instalation file from certain folder

Andik susilo — Tue, 15 Dec 2009 13:40:35 GMT

Kadang kala kita perlu untuk membatasi seorang user untuk menjalankan atau menginstall aplikasi pada suatu folder terntentu. Hal ini juga dapat mencegah seorang user untuk menjalankan apliaksi portable (aplikasi yang tidak memerlukan instalasi) yang biasanya di larang oleh perusahaan, perusahaan hanya menginstall aplikasi-aplikasi yang memang sesuai dengan pekerjaan kantor.

Selain hal di atas, pembatasan aplikasi apa saja yang boleh di install tidak lain untuk mencegar penyebaran maleware, spyware dan aplikasi-aplikasi berbahaya lainnya. Artikel ini merupakan sambungan dari artikel saya terdahulu Windows 7 applocker. Berikut saya akan mencontohkan pembatasan aplikasi agar tidak dapat dan di jalankan atau di install :

Buka Local Security Policy Editor dari Instant Search ketikan Local Security policy kemudian tekan enter.

Pilih Application control policy kemduian klik AppLocker klik kanan pada Executable Rules kemudian pilih Create New Rule..

Karen untuk melakukan pembatasan makan pilih pilihan Deny lalu Next.

Untuk melakukan pembatasan berdasarkan folder (path) pilih pilihan Path lalu Next.

Klik pada tombol Browse folder… kemudian pilih folder yang akan di batasi kilik Ok lalu Next. Pada contoh ini saya menggunakan folder ‘Fishbowl-facebook’.

Hasilnya seperti terlihat pada gambar di bawah!

Muncul halaman Exception, anda bisa melakukan pengecualian bedasarkan Publisher, Path atau juga File hash, jika tidak ada lalu Next.

Selanjutnya untuk mengisikan deskripsi dari Rules tersebut lalu Next.

Gambar di bawah menunjukan bahwa penambahan Rules telah berhasil.

Untuk mengecek apakah pembatasan ini sudah berhasil buka Windows Explorer kemudian coba untuk menjalankan File .exe pada Folder ‘Fishbowl-facebook’. Ternyata Rules telah bekerja dengan memunculkan peringatan seperti terlihat pada gambar di bawah.

Jika setelah anda menambahkan Rules pembatsan ternyata masih belum muncul pop up peringatan di atas anda perlu untuk menjalankan service Application Indentity. Buka Services ketikan Services pada Instant Search kemudian enter, lalu klik kanan pada Application Indentity pilih Start. Anda juga bisa untuk menjalankan service Application Indentity pada saat komputer di nyalakan dengan memilih properties ubah Startup Type ke Automatic.

Windows 7 Applocker

Andik susilo — Sat, 04 Apr 2009 02:01:00 GMT

Applocker (Software Restriction Policies) merupakan fitur terbaru di Windows 7 yang berguna untuk untuk mengontrol/membatasi aplikasi-aplikasi yang tidak sesuai dengan standar / policy perusahaan. Melihat cara settignya dari Group Policy (GPO) fitur ini bisa managemen dari server. Biasanya sebuah perusahaan yang besar yang mempunyai standar aplikasi yang ketat pada Linkungan Desktop. Seringkali user mengintsall apliaksi-apliaksi dari berbagai sumber bisa dari rumah, peer to peer, email atau juga dari internet yang kadang tidak di sadari file-file tersebut selain mengandung malware atau spyware versi dari aplikasi tersebut bisa tidak sesuai dengan ketentuan perusahaan, hal ini bisa ngakibatkan aplikasi-apliaksi pokok(utama) yang seharusnya berjalan normal tidak bisa berjalan dengan semestinya. Karena itu Applocker sangat cocok utnuk mengontrol konsistensi aplikasi-apliaksi apa saj yang boleh di install, bisa berdasarkan publishernya atau juga dari versi aplikasinya. Applocker mendukung 3 tipe aturan yaitu Path Rules, File Hash Rules dan Publisher Rules.

Path Rules tipe ini di gunakan untuk membatasi eksekusi aplikasi dari directory path tertentu. Contohnya kita bisa membatasi user hanya bisa menjalankan aplikasi dari Program Files, mungkin hal ini sangat cocok untuk membatasi semakin banyaknya penggunaaan apliaksi portable (tidak perlu di install dan bisa di jalankan dari USB storage). Kelemahan dari tipe ini kita user harus menjalankan suatu aplikasi yang terdapat di Server.

Hash Rules tipe ini cryptographic hash dari file executable untuk mengidentifikasi keabsahan dari suatu program.

Publisher Rules tipe ini di gunakan untuk mengenali aplikasi berdasarkan Digital Signature yang di keluarkan oleh publishernya. ketika apalikasi di jalankan Applocker akan membandingkan Certificates yang ada di Software Restriction Policy. Jika certificate di temukan/cocok aplikasi akan running dan jika sebaliknya akan muncul pemberirtahuan.

Publisher Roles mempunyai banyak untuk membatasi suatu program berdasarkan dari publishernya misal Microsoft selain itu juga bisa berdasarkan dari nama produk seperti Internet Explorer bisa juda dari nama filenya iexplore.exe lebih konkrit lagi bisa berdasarkan dari versi aplikasinya misal cersi 8.0.0.0.