Software Restriction Policy (SRP)
SRP merupakan salah satu fasilitas bawaan pada windows XP Professional, maupun Win7 Business Ultimate yang dapat digunakan untuk membatasi keaktifkan executable berdasarkan path tertentu.
Fasilitas SRP dapat diaktifkan dengan menjalanlkan Group Policy Editor "gpedit.msc" pada fasilitas run, sesaat keaktifkan pada GPEDIT, lakukan expand terhadap node Local Computer Policy, Windows Settings, Software Restriction Policies
Pada jendela sebelah kanan akan ditampilkan bahwa "No Software Restriction Policies Defined", sehingga anda perlu membuat kebijakan baru dengan klik pada menu "Action", dan perintah "Create New Policies"
Sesaat setelah dibuat kebijakan baru, maka pada jendela sebelah kanan akan memiliki tampilan sebagai berikut:
Pada awalnya kita perlu membuat aturan path-path mana saja yang tidak dibatasi seperti C:\Windows, C:\Program Files, dst. Untuk membuat aturan tersebut, double klik pada Additional Rules, dan klik kanan serta pilih "New Path Rule"
Selanjutnya akan muncul dialog "New Path Rule", dan lakukan browse ke folde default instalasi Windows, Program files, serta Desktop dan Start Programs
Selanjutnya tambahkan path-path lainnya, sehingga tampilan menjadi sebagai berikut (dapat berbeda untuk anda, karena Windows saya terinstalasi di D:)
Pastikan semua path telah benar, dan security level adalah Unrestricted, jika salah dapat beresiko fatal dimana sistim anda terkunci tanpa bisa menjalankan executable apapun.
Kemudian pada jendela sebelah kiri, klik pada node Software Restriction Policies, dan klik kanan pada Enforcement, dan pilih Properties, sehingga akan ditampilkan dialog "Enforcement Properties"
Menurut pengalaman penulis, sebaiknya dipilih opsi "All Software files except libraries (such as DLLs), karena ada beberapa user mengeluhkan aplikasi mereka tidak berfungsi.
Kemudian langkah terakhir adalah klik pada node "Security Level" pada jendela sebelah kiri, dan klik kanan pada "Disallowed" pada jendela sebelah kanan, dan pilih "Set as default".
Dan anda akan ditanyakan konfirmasi
Klik pada yes, dan tampilan akhir adalah sebagai berikut
Tanpa menutup jendela Group Policy Editor, lakukan percobaan pengaktifan beberapa aplikasi dari menu start, maupun shortcut pada desktop anda untuk memastikan aplikasi standar anda berjalan. Kemudian dilakukan uji coba menjalankan executable dari lokasi tidak standard lainnya seperti flashdisk maupun cdrom, sehingga muncul pesan adanya pembatasan software oleh administrator.
Dengan demikian berarti setting yang ada lakukan telah benar, dan berarti komputer anda berada pada kondisi pengaktifan executable secara terbatas pada path yang telah ditentukan.
Dengan kondisi terbatas ini berarti komputer anda terbebas dari berbagai malware autorun ataupun yang memanfaatkan kelemahan cplink pada Windows.
Selamat tinggal era malware autorun.
Tidak ada komentar:
Posting Komentar