Daripada mencari-cari titik yang perlu diamankan, Anda bisa menggunakan template sekuriti untuk membuat policy sekuriti untuk komputer atau jaringan Anda. Dengantemplate sekuriti, Anda bisa mengonï¬gurasi sekumpulansetting sekuriti dari satu tempat kemudian mengaplikasikan setting tersebut ke sejumlah komputer. Template menempatkan banyak setting sekuriti dalam satu template sehingga pengaturan sekuriti bisa jauh lebih mudah. Namun sayang, masih saja ada administrator yang bahkan belum pernah mendengar template sekuriti karena template sekuriti merupakan partner dalam menyelesaikan masalah. Untuk membuat dan mengimplementasikan template digunakan beragam tool. Pertama, Anda gunakan template sekuriti untuk membuat dan mengedit template. Kemudian Anda gunakan Security Conï¬guration And Analysis atau Group Policy Console untuk mengimplementasikan template. Pada artikel ini, kita akan lihat bagaimana menggunakan tool tersebut, diawali dengan membuat Microsoft Management Console (MMC) yang akan kita gunakan untuk mengedit template, dan terakhir mengimplementasikan template pada jaringan.Template sekuriti mempunyai berbagai kategori setting yang berbeda. Berikut adalah masing-masing kategori yang diikuti dengan setting yang bisa Anda tentukan di dalamnya:Account Policies—Password Policy, Account Lockout Policy, dan Kerberos Policy; Local Policies—Audit Policy, User Rights Assignmnet, dan Security Options; Event Log—Application, System, dan Security Event Log; Restricted Groups—Daftar group yang terkena larangan; Registry—Permission ke registry; serta File system—Permission ke ï¬le dan folder.Template sekuriti sebenarnya tidak lebih dari ï¬le teks dengan ekstension .inf. Anda bisa meng-copy mereka, mengedit, dan lain-lain. File tersebut mirip dengan ï¬le INI. Andabisa membuat template sekuriti dari nol, atau mengubah template yang sudah disediakan. Kita pasti cenderung memilih cara kedua karena sebagian besar sudah dilakukan untuk Anda. Perlu diingat bahwa hanya grup Administrators yang bisa mengubah folder default template sekuriti, %SystemRoot%\Security\Templates, hanya administrator yang bisa mengedit dan mengimplementasikan template sekuriti.
Membuat Security Management Console
Untuk membuat pekerjaan Anda lebih mudah, buat MMC yang menyertakan semua tool yang akan Anda perlukan untuk mengedit, menganalisis, dan mengimplementasikan template sekuriti. Klik Start, Run, dan kemudian ketik mmc, dan klik OK. Pada menu File, klik Add/Remove Snap-in. Pada kotak dialog
Add/Remove Snap-in, klik Add. Pada kotak dilaog Add Standalone Snap-in, pilih Security Templates, dan kemudian klik Add. Pilih Security Conï¬guration and Analysis, dan klik Add. Klik Close, dan kemudian klik OK. Setelah membuat console, simpan ke ï¬le supaya bisa diakses dengan cepat. Pada menu File, klik Save. Kami sarankan beri nama Template.msc. MMC menyimpan ï¬le Anda di folder Administrative Tools. Untuk membukanya lagi, klik Start, All Programs, Administrative Tools, dan kemudian Templates (atau nama yang Anda beri).
Memilih Template Sekuriti
Windows datang dengan beberapa template sekuriti, sehingga pada umumnya Anda tidak perlu membuat template baru karena Anda bisa mengubah salah satu template yang sudah disediakan dan menyimpannya ke ï¬le berbeda. Template tersebut menyediakan titik awal untuk mengimplementasikan policy sekurit dalam berbagai skenario yang berbeda, apakah meliputi satu, seratus, atau ribuan komputer. Secara default, template sekuriti yang tersedia di %SystemRoot%\Security\Templates adalah Default security (Setup security.inf). Template ini berisi setting security default yang diimplementasikan pada waktu Anda menginstalasi Windows. Ini meliputi permission ke sistem ï¬le dan registry. Jika Anda membutuhkan informasi tentang permission default operating system, Anda akan menemukannya di sini. Anda bisa menggunakan template ini untuk mengembalikan komputer ke setting sekuriti Windows yang asli dengan mengimplementasikannya menggunakan Security Conï¬guration and Analysis, tetapi jangan menggunakan Group Policy. Compatible (Compatws.inf). Template ini berisi setting sekuriti yang melonggarkan larangan ke grup User supaya bisa menjalankan aplikasi turunan. Ini lebih baik daripada memindahkan user dari grup Users ke Power Users, atau yang lebih berbahaya, grup Administrator. Template ini mengubah permission ke system ï¬le dan registry yang diberikan ke grup Users supaya mereka bisa menjalankan aplikasi turunan dan aplikasi lain yang tidak disertiï¬kasi untuk Windows. Template ini juga mengasumsikan bahwa administrator tidak ingin user dimasukkan ke grup Power Users, jadi user dipindah dari Power Users ke grup Users. Template ini hanya berlaku untuk workstation, jadi jangan diimplementasikan ke server. DC Security (DC Security.inf). Template ini dibuat pada waktu server di-promote kedomain controller. Ia menunjukkan sekuriti default untuk ï¬le, registry, dan service sistem. Jika Anda mengimplementasikan template, setting diset ke nilai default. Namun, template bisa menimpa permission pada ï¬le, key registry, dan service sistem baru yang dibuat oleh program lain.Secure (Secure*.inf). Template ini memperketat sekuriti. Securedc.inf untuk domain controller, dan Securews.inf untuk workstation. Template ini menggunakan password, lockout, dan audit yang kuat. Template juga membatasi pengguna LAN Manager dan Windows NT LAN Manager (NTLM) dengan mengonfigurasi Windows supaya hanya mengirim NTLM versi 2 (NTLMv2) dan mengonï¬gurasi server supaya menolak respon LAN Manager.Terakhir, template ini menolak user anonymous dengan tidak memperbolehkan mereka melihat nama account, share, dan Secure Identifiers (SID). Tes template ini dengan saksama sebelum mengimplementasikannya. Highly Secure (Hisec*.inf). Template ini merupakan superset dari template sebelumnya, dan mereka memberlakukan larangan yang lebih ketat. Hisecdc.inf untuk domain controller, dan Hisecws.inf untuk workstation. Template ini mengeset tingkat enkripsi dan penandaan (signing) yang dibutuhkan Windows untuk otentikasi dan perpindahan data. Template juga menghapus semua anggota grup Power Users dan memastikan hanya grup Domain Admin dan Administrator lokal yang menjadi anggota grup Administrators lokal. Tes template ini untuk memastikan kompatibilitas dengan infrastruktur dan aplikasi Anda karena hanya aplikasi yang disertiï¬ kasi yang bisa berjalan setelah template ini diimplementasikan. System root security (Rootsec.inf). Template ini mengatur permission root ke sistem ï¬le Windows. Template tidak berisi permission registry. Ia memberlakukan permission ke root %SystemDrive%. Anda bias mengimplementasikan template ini untuk mengembalikan permission ke root drive sistem atau mengimplementasikan permission yang sama ke volume lain. No Terminal Server User ID (Notssid.inf). Template ini menghapus Terminal Server SID yang tidak perlu dari sistem ï¬le dan registry pada waktu menjalankan Terminal Server dalam application compatibility mode. Jika bisa, jalankan Terminal Server dalam full security mode, di mana Terminal Server SID sama sekali tidak digunakan. Sebagian besar template sekuriti ini bersifat incremental. Mereka mengubah setting sekuriti default atau eksisting. Selain template sekuriti Setup, mereka tidak mengonï¬ gurasi setting sekuriti default sebelum mengubah konï¬gurasi sekuriti komputer. Selain itu, Anda tidak bisa menggunakan template sekuriti untuk mengamankan Windows jika menggunakan sistem ï¬le FAT. Anda bisa melihat template-template tersebut dalam MMC Anda. Pada panel kiri console, klik ganda template sekuriti untuk membukanya. Secara default, template ada di C:\WINDOWS\security\templates, seperti yang ditunjukkan di bahwa node template sekuriti Anda. Namun, Anda bias menambahkan path baru. Klik kanan Security Template, dan kemudian klik New Template Search Path. Anda akan melihat path yang lama dan path yang baru di bawah Security Template. Jika Anda ingin menghapus path dari Security Template, klik kanan, dan kemudian klik Delete.
Membuat Template Sekuriti Sendiri
Cara sulit untuk membuat template sekuriti adalah dengan memulainya dari nol. Pada Security Templates, klik kanan folder tempat Anda ingin membuat template baru, dan kemudian klik New Template. Pada kotak Template Name, ketik nama template yang baru, dan pada kotak Description, ketik keterangan singkat tentang template yang baru, dan klik OK. Pada panel sebelah kiri, klik ganda template sekuriti yang baru untuk membukanya. Pilih area sekuriti, misalnya Registry, dan atur setting sekuritinya pada panel sebelah kanan. Itulah cara sulit membuat template sekuriti, dan sebaiknya Anda tidak melakukan itu. Pertama, terlalu banyak memakan tenaga. Kedua, rentan terhadap kesalahan. Cara terbaik untuk membuat template sekuriti adalah dari template yang sudah disediakan, simpan ke ï¬le yang baru, dan kemudian edit. Sebagai contoh, Anda bisa mulai dengan template Compatws.inf dan mengubahnya sesuai keperluan supaya aplikasi turunan bisa bekerja. Pada Security Templates, klik ganda C:\WINDOWS\security\templates. Klik kanan template yang ingin diubah, klik Save As, ketik nama yang baru, dan klik Save. Pada panel sebelah kanan, klik ganda template sekuriti yang baru untuk membukanya, Pilih area sekuriti, misalnya Registry, dan atur setting sekuritinya pada panel sebelah kanan. Sebagai contoh, kita lihat bagaimana mengonï¬gurasi sekuriti registry pada template. Pada panel kiri Security Templates, klik ganda template Anda, dan kemudian klik Registry. Anda akan melihat daftar key registry pada panel sebelah kanan. Untuk memasukkan suatu key ke dalam daftar, klik kanan Registry, dan kemudian klik Add Key. Karena daftar sudah mencakup semua HKEY_LOCAL_MACHINE (HKLM), beri pengecualian ke setting untuk HKLM\SOFTWARE dan HKLM\SYSTEM. Untuk mengedit setting key, klik ganda key, dan kemudian pilih salah satu opsi berikut: Conï¬gure This Key Then atau Do Not Allow Permissions On This Key To Be Replaces. Pilih opsi kedua jika Anda tidak ingin mengonï¬gurasi permission key atau subkey. Jika memilih opsi pertama, pilih salah satu hal berikut:Propagate Inheritable Permission To All Subkeys. Subkey dari key mewarisi setting sekuriti key, dengan asumsi setting sekuriti subkey tidak memblokir warisan. Jika terjadi konflik, permission subkey menimpa permission yang mereka warisi dari parent key.Replace Existing Permissions On All Subkeys With Inheritable Permissions. Permission key menimpa semua permission subkey. Dengan kata lain, setiap permission subkey akan identik dengan permission parent key. Jika Anda memilih opsi ini dan mengimplementasikan template, perubahan akan permanen kecuali jika Anda mengubahnya dengan mengimplementasikan template yang berbeda ke registry. Untuk mengedit permission yang ingin diimplementasikan oleh template ke key, klik Edit Security. Anda bisa menambah dan mengurangi grup. Anda bisa memperbolehkan atau menolak permission untuk berbagai user dan grup supaya bisa melakukan beragam tugas. Anda bisa mengaudit akses user dan grup ke key. Anda juga bisa mengubah kepemilikan key. Pada waktu mengimplementasikan template ke komputer atau melalui Group Policy, key menerima permission yang Anda buat pada kotak dialog ini.
Menganalisis Konï¬gurasi Komputer
Setelah membuat template, Anda bisa menggunakannya untuk menganalisis konfigurasi sekuriti komputer. Dengan Security Conï¬guration and Analysis, Anda bisa membandingkan
Status: konï¬gurasi sekuriti komputer yang sekarang dengan setting yang dibuat pada template. Anda bisa menggunakan tool ini untuk mengubah konï¬gurasi komputer, misalnya pada waktu troubleshooting masalah. Anda juga bisa melihat dan memastikan tingkat sekuriti.Untuk menganalisis komputer sekuriti mengunakan Security Conï¬guration and Analysis: klik kanan Security Conï¬guration and Analysis yang Anda masukkan sebelumnya ke console pada waktu membuat Security Management Console, dan kemudian klik Open Database. Pada kotak dialog Open Database, lakukan salah satu hal berikut: Untuk membuat database baru, ketik nama database yang baru pada kotak File Name, dan klik Open (jika Anda belum punya database); Untuk membuka database analisis eksisting, ketik nama databases eksisting pada kotak File Name, dan klik Open. Klik kanan Security Conï¬guration and Analysis, klik Analyze Computer Now, dan kemudian terima path default ï¬le log atau tentukan path yang baru. Security Conï¬guration and Analysis membandingkan sekuriti komputer saat sekarang dengan database. Jika Anda mengimpor beberapa template ke dalam database (yang bisa dilakukan dengan mengklik kanan Conï¬guration and Analysis dan kemudian klik Import Template), mereka akan digabungkan untuk membuat satu template. Jika terjadi konflik, template terakhir yang Anda masukkan akan lebih diutamakan (last in, ï¬rst out). Setelah Security Conï¬ guration and Analysis menganalisis komputer, ia menampilkan hasil yang bisa Anda browse. Pengaturan hasil analisis tersebut sama dengan template sekuriti. Perbedaannya adalah Security Conï¬guration and Analysis menampilkan
indikator-indikator yang menunjukkan apakah setting yang sekarang sesuai atau tidak sesuai dengan setting yang ditentukan pada template. Apa yang kita lakukan terhadap perbedaan antara database analisis dan setting komputer? Pertama Anda bisa meng-update database dengan mengklik ganda setting registry dan mengklik Edit Security. Database akan di-update, tetapi tidak dengan template. Selain itu, setting komputer juga tidak diubah. Anda juga bisa mengimpor template yang lebih sesuai untuk komputer atau template (yang sudah di-update) ke dalam database dan kemudian menganalisisnya lagi. Untuk menghindari masalah pada waktu menggabungkan template, buat database baru
jika Anda menggunakan template baru atau yang sudah di-update.
Mengubah Konï¬gurasi Komputer
Setelah membuat template sekuriti dan memveriï¬kasinya dengan menganalisis komputer menggunakan Security Conï¬ guration and Analysis, kita bisa mengimplementasikannya ke komputer. Klik kanan Security Conï¬guration and Analysis, dan kemudian klik Open Database. Pada kotak dialog Open Database, lakukan salah satu hal berikut: Untuk membuat database baru, ketik nama database yang baru pada kotak File Name, dan klik Open. Lalu pada kotak dialog Import Template, klik template, dan klik Open; Untuk membuat database eksisting, ketik nama database eksisting pada kotak File Name, dan klik Open. Jika Anda mengubah database tanpa meng-update template yang digunakan, pastikan Anda membuka database eksisting. Klik kanan Security Configuration and Analysis, klik Conï¬gure Computer Now, dan kemudian terima path default ï¬ le log atau tentukan yang baru.
Mengimplementasikan Template Sekuriti pada Jaringan
Kita telah melihat bagaimana mengimplementasikan template sekuriti pada komputer secara manual. Itu tidak masalah jika untuk satu komputer, tetapi bagaimana jika Anda ingin mengimplementasikan template sekuriti ke beberapa komputer pada jaringan? Untuk mengimplementasikan template ke jaringan, gunakan Group Policy. Buat Group Policy Object baru, dan kemudian edit. Pada Group Policy Object Editor, klik kanan Security Settings, dan klik Import Policy. Klik template yang ingin Anda implementasikan, dan kemudian klik Open. Langkahnya hanya sesederhana itu, tetapi sebaiknya jangan langsung dilakukan. Untuk mengimplementasikan template sekuriti ke jaringan membutuhkan perencanaan yang matang. Pertama, Anda harus mengidentiï¬kasi template yang diperlukan jaringan. Kemudian Anda harus mengidentifikasi template sekuriti mana yang akan digunakan ke suatu komputer. Sebagai contoh, jika bagian penjualan menggunakan aplikasi turunan yang mengharuskan grup User mempunyai kontrol penuh terhadap key registry tertentu, catat dan tes template sekuriti, dan impor template ke dalam GPO yang Anda peruntukan buat bagian penjualan. Idealnya, template sekuriti sudah diperhitungkan sejak tahap awal perencanaan. Yang kadang terjadi (kecuali jika direncanakan dengan baik) adalah template sekuriti digunakan sebagai selang pemadam untuk mematikan api yang terjadi akibat kurangnya pengamatan dan perencanaan.
(Dikutip dari You are not allowed to view links.
Register or
Login)
Topic: WINDOWS TEMPLETE SECURITY (Read 520 times)
July 02, 2010, 01:28:26 PM