ANALISIS DAN PERANCANGAN DOMAIN KONTROLER ACTIVE DIRECTORY (Studi Kasus: PT. MSV Pictures)

ANALISIS DAN PERANCANGAN DOMAIN KONTROLER ACTIVE DIRECTORY (Studi Kasus: PT. MSV Pictures)

ANALISIS DAN PERANCANGAN DOMAIN KONTROLER
MENGGUNAKAN ACTIVE DIRECTORY
(Studi Kasus: PT. MSV Pictures)
JUDUL
NASKAH PUBLIKASI
diajukan oleh
Ahmad Sa’di
09.11.3030
Kepada
SEKOLAH TINGGI MENAJEMEN INFORMATIKA DAN KOMPUTER
AMIKOM YOGYAKARTA
YOGYAKARTA
2013
NASK AH PUBLIK ASI
ANALYSIS AND DESIGN DOMAIN CONTROLLER USING
THE ACTIVE DIRECTORY
(CASE STUDY: PT. MSV PICTURES)
ANALISIS DAN PERANCANGAN DOMAIN KONTROLER MENGGUNAKAN
ACTIVE DIRECTORY
(Studi Kasus: PT. MSV Pictures)
ABSTRACT
The data filming The Legend Of Ajisaka owned by PT. MSV PICTURES or data
other film projects undertaken jointly fit the job description of each department, be shared
in a network and does not have a security policy to protect its data. There is no control
over when the employee or user operate the computer, especially when access to file or
send a file to a directory of their own PC or server.
Utilizing Active Directory Domain Controller is an attempt to create a security policy
to optimize data access policy for the right job based on department organization, will
provide a high authority in each Lead Department, and pursue the creation and
procedural controls when using the computer in administrator mode.
Active Directory Domain Controller can create convidentiality, availability, integrity
of data on the server. And gives control to the user when using a computer, set the install
or uninstall the application, change the IP address and all processes that require
administrator mode, only the user who has been given the authority to run the
administrator mode to the main permissions, settings, install and uninstall applications or
programs. Thus creating a track record of all the changes on the client computer and the
server.
Keywords: Security
Menagement.
policy
,
Domain
Controller, Active
Directory, Centralized
1.
Pendahuluan
Data merupakan aset penting yang sangat berharga bagi kelangsungan hidup
suatu organisasi atau bisnis. Keamanan data secara tidak langsung dapat memastikan
kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari
kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan
di-sharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan baik dari
faktor internal maupun pihak eksternal yang tidak diinginkan.
Survei yang dilakukan oleh InfoWatch Analytical Center, diunggah di situs
http://securelist.com pada salah satu hasil survei tim tersebut menyebutkan, dari 410
perusahaan antara 2 Januari dan 2 Maret 2007 terjadi pencurian data sebesar (78%),
ancaman yang terjadi dari pelanggaran keamanan internal maupun eksternal
menghasilkan, (45%) terjadi di eksternal dan (55%) terjadi di interternal.
Dari survey diatas dapat diambil beberapa kesimpulan
bahwa pencurian data
berada posisi pertama (78%) dan pelanggaran keamanan yang paling berisiko yaitu dari
faktor internal (55%).
Kejadian diatas dapat menjadi pelajaran bagi PT. MSVPICTURES. Pada saat ini
Data pembuatan film The Legend Of Ajisaka yang dimiliki oleh PT. MSV PICTURES
maupun data proyek-proyek film lain yang dikerjakan bersama-sama sesuai job
description masing-masing departemen, di-share dalam satu jaringan dan belum memiliki
security policy
untuk melindungi data-data tersebut. Belum ada kontrol terhadap
karyawan atau user ketika mengoperasikan komputer, akses file atau terutama saat kirim
file ke direktori PC sendiri atau server..
2.
Landasan Teori
2.1
Domain Controller
Domain Controller adalah komputer yang menjalankan Windows Server yang
menyimpan replikasi dari direktori domain (database domain lokal). Karena domain dapat
berisi satu atau lebih domain kontroler, setiap Domain Controller dalam domain, memiliki
replikasi domain lengkap dari sebuah directory. Domain Controller juga mengotentikasi
user logon sebagai upaya dan menjaga security policy domain[1].
2.2
Active Directory
Active Directory adalah layanan direktori termasuk dalam keluarga Windows
Server. Active Directory meliputi direktori, yang menyimpan informasi tentang sumber
1
Utama, I., 2008, Menguasai Active Directory & Jaringan Windows Server 2008,Jakarta, Elex
Media Komputindo, hal. 15
1
daya jaringan, serta semua layanan yang membuat informasi yang tersedia dan berguna.
[2]
Tujuannya adalah untuk menyediakan servis otentikasi dan otorisasi secara
terpusat untuk komputer berbasis Windows. Active Directory memuat informasi mengenai
komputer, user, grup, printer dan network resource lainnya yang bisa diakses user dan
aplikasi. Active Directory menyediakan cara yang konsisten untuk penamaan, pencarian,
akses, pengelolaan dan keamanan object-object tersebut.
2.3
Keamanan Informasi
Menurut Napoleon Sanchez Jr., Keamanan informasi terdiri dari perlindungan
terhadap aspek-aspek Confidentiality, Integrity, Availability.[3] Berikut penjabaran ketiga
komponen tersebut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang
berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada
ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan
informasi serta metode prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak atau user yang diotorisasi dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana
diperlukan).
Gambar 2.1 Elemen-elemen keamanan informasi
2
Spealman, J., and Kurt Hudson, 2004, Planning, Implementing, and Maintaining Microsoft
Windows server 2003 Active Directory Infrastrukture, Washington: Microsoft Press, hal. 5
3
Jr., Sanchez Napoleon. Information security based on Information Security Management System
(BS ISO/IEC 27001:2005), 2013, hal. 6
2
2.4
Ancaman Keamanan Data dan Sistem Informasi
Dalam hal keamanan data, ancaman berarti orang yang berusaha memperoleh
akses-akses ilegal terhadap jaringan komputer maupun resource di jaringan yang dimiliki
seolah-seolah ia memiliki otoritas terhadap akses ke jaringan komputer.
Dalam hal ini ada 4 (empat) aspek ancaman terhadap keamanan data yaitu:
1. Interupsi / interruption
Merupakan ancaman terhadap availability, yaitu data dan informasi yang berada
dalam sistem komputer dirusak atau dibuang, sehingga menjadi tidak ada dan tidak
berguna. Contoh: Harddisk yang dirusak, memotong line komunikasi atau kabel
komunikasi.
2. Intersepsi / Interception
Merupakan Pihak tak diotorisasi dapat mengakses sumber daya. Hal ini
merupakan ancaman terhadap kerahasiaan. Pihak tak diotorissasi dapat berupa orang /
program komputeer. Contoh: Penyadapan, mengkopi file tanpa diotorisasi.
3. Modifikasi / modification
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya.
Merupakan ancaman terhadap integritas. Contoh: Mengubah nilai file, mengubah
program, memodifikasi pesan.
4. Fabrikasi / fabrication
Pihak tak diotorisasi menyisipkan atau memasukkan object-object palsu ke sistem.
Merupakan ancaman terhadap integritas. Contoh: Memasukkan pesan palsu ke jaringan,
menambah record file.
Menurut Alexey Dolya, Survei dilakukan oleh InfoWatch Analytical Center yang di
unggah di situs http://securelist.com pada salah satu hasil survei tim tersebut
menyebutkan, dari 410 perusahaan antara 2 Januari dan 2 Maret 2007 terjadi pencurian
data sebesar (78%), kelalaian karyawan (65%), virus (49%), hacker (41%) dan sabotase
(15%).[4]
Hasil survei tersebut dapat dilihat dalam gambar berikut:
Gambar 2. 2 Grafik Persentase Ancaman sistem informasi
4
Dolya,A. http://www.securelist.com/en/analysis/204791935/Internal_IT_Threats in_Europe_2006
diakses pada tanggal 2 januari 2013
3
(Sumber:http://securelist.com/en/analysis/204791935/Internal_IT_Threats_in_Europe_20
06)
Dari entitas pada gambar 2.18 penulis membagi menjadi dua kategori dasar
ancaman internal dan ancaman eksternal.
 Ancaman eksternal
: Virus, Hacker, Spam.
 Ancaman Internal
: Pencurian, Sabotase, Kelalaian, Penipuan.
Survei yang dilakukan oleh InfoWatch Analytical Center meyebutkan juga bahwa
ancaman yang terjadi dari pelanggaran keamanan internal maupun eksternal
menghasilkan (55%) terjadi di internal dan (45%) terjadi di eksternal.
Gambar 2. 3 Persentase perbandingan pelanggaran internal dan eksternal
(Sumber:http://securelist.com/en/analysis/204791935/Internal_IT_Threats_in_Europe_2006)
2.5
Sharing dan Security
Sharing merupakan salah satu fasilitas dimana data diijinkan atau diperbolehkan
diakses komputer lain dalam sistem jaringan, dengan ijin pengguna komputer yang
melakukan sharing.[5]
Security merupakan fasilitas manajemen pembatasan pemakai atau pengguna
pada data yang dilakukan sharing.
2.6
Security policy
Secuity policy
adalah sebuah dokumen atau rencana yang mempunyai tujuan
keamanan organisasi , risiko terhadap incident, tingkat otoritas anggota, ditunjuk
koordinator keamanan dan tim, tanggung jawab untuk setiap anggota tim, dan tanggung
jawab bagi setiap karyawan. Selain itu, menentukan bagaimana menangani pelanggaran
keamanan. (CompTIA Network+, Dean, T., 2009, hal 524)
3.
6
Analisis dan Perancangan Sistem
Observasi
Kegiatan
observasi
dilakukan
di
lingkungan
PT.
MSVPICTURES
untuk
mempelajari visi, misi, tujuan dan strategi, serta mengamati dan mendokumentasi
infrastuktur yang dimiliki mulai bulan Januari hingga April 2013, objek ini dijadikan contoh
5
6
Anonim., 2010, Panduan Lengkap Windows Server 2008, Yogyakarta: Andi Offset, hal 93
Dean, Tamata, 2009, CompTIA Network+, 2009 In Depth, hal. 524
4
studi kasus implementasi security policy menggunakan Domain Controller Active
Directory.
3.1
Analisis Masalah
Agar mendapatkan solusi yang tepat, perlu diadakan analisis masalah dari sistem
yang berjalan saat ini.
Beberapa dari masalah-masalah tersebut :
3.1.1 User dan Komputer Client
1. Belum ada tingkatan privillage user di setiap user computer .
2. User tidak ada kendali dalam menginstall aplikasi, keadaan seperti ini dapat
memicu terserang virus maupun malware.
3. Interface network tidak ada control, keadaan ini memicu penggantian IP address
dan terjadi duplikasi IP address. Akibatnya diskonek terhadap akses jaringan.
4. Beberapa komputer tidak ada otoritas user logon ketika mengakses komputer.
5. Tidak ada kontrol mode administrator.
3.1.2 Keadaan User Mengakses File ke Data Center
Share folder yang diterjadi ditiap departemen belum ada otoritas file, artinya
mempunyai hak akses satu sama lain sama. Misal, leader dan member departemen
Production diizinkan melihat semua isi folder dari pekerjaannya tetapi yang berhak
mendelete file hanya leader production, anggota hanya bisa read dan write. Departemen
production otoritas terhadap file pekerjaan departemen lain hanya read atau list folder,
tidak diizikankan mendelete file atau merubah file.
Idealnya Untuk para lead departemen mempunyai wewenang mendelete,
memodifikasi file pekerjaan yang ada di directory kerja masing- masing departemen.
Anggota dari tiap departemen hanya diperkenankan read, list folder dan diberikan izin
merefisi perbaikan file kerjaannya. Departemen lain hanya bisa melihat file atau
membaca file tetapi tidak diizinkan untuk memodifikasi.
3.1.3 Observasi Jam Kerja
Mulai Jam Kerja
09:00 WIB
Selesai Jam Kerja
Rentang 18:00 WIB. Tapi keadaannya sampai jam
Waktu
22.00/Dapat teguran dari SATPAM
Gambar 2. 4 Observasi jam kerja
3.1.4 Media Penyimpanan Portabel
1. Port USB yang digunakan hanya tiga dari jumlah yang tersedia yaitu input keyboard,
mouse, dan digital drawing Wacom. Perlu ada kebijakan disable port yang tidak
digunakan, guna menghindari penggandaan data.
2. Penggunaan CD/DVD room belum terkontrol oleh IT Support.
5
3.2
Solusi Dan prosedur
MAIN SERVER
REPOSITORY
DATA RENDER
COMPOSITE
Amikom 1 Mbps
ISP TE 2 Mbps
RB 750G
Core
SERVER FARM
INTERNET
10.10.10.254
INTRANET
Repository
10.1.1.254
10.1.1.1
Server
Active Directory
Server Farm
10.1.1.253
Proxy Server
10.10.10.1
Distribution
Swicth 3com
10.1.1.252
Data Center
Cisco 2960G
Access
Ruang
2.2.3
Ruang
2.2.2
Ruang
2.2.4
Ruang
2.2.5
Data Render
Management
Composite
192.168.1.0/24
10.1.1.0/24
Gambar 3. 1 Topology Network
A
XH
Dept.
Dept.
Art
Simulation
B
C
G
A
Dept.
Dept.
ITSimulation
Support
H
X
B
D
A
X
H
E
C
G
F
Dept.
Producsion
B
C
G
F
D
B
E
C
D
E
A
A
H
F
Dept.
Dept.
Composit
Simulation
A
B
D
F
D
C
F
E
H
E
Dept.
Dept.
SetDress
Simulation
A
B
G
F
C
G
D
E
XH
Dept.
Caracter Asset
B
XH
Dept.
Dept.
Simulation
Simulation
B
G
X
X
X
C
F
D
X
E
Gambar 3. 2 Hak akses data
6
X
C
G
A
F
D
E
A
H
B
G
C
G
Dept.
Lighting
H
F
D
E
X
3.2.1 Proses Otentikasi User AD Terhadap Resource Di Jaringan
Validasi, Apakah User Ika
3 Terdaftar di Database Active
Directory (AD) Domain
SERVER
AD
Proses Otentikasi
4
User Ika Berhasil
Request Log on meminta akses
2 ke data center dan Resource di
Jaringan
1 User Ika login
User Ika Berhak
Mengakses File di Data
5 Center sesuai dengan
Hak Akssesnya dan
Resource yang Ada Di
Jaringan
Ika
Didik
Gambar 3. 3 Proses otentikasi user Active Directory
1. User Ika melakukan login di komputernya.
2. Request Log On, meminta akses ke Data Center dan resource yanf ada
dijaringan.
3. Validasi, apakah user Ika ada di database sever Active Directory.
4. Jika ada maka proses login berhasil, jika tidak maka akan ditolak.
5. User ika berhak menggunakan resorce yang ada dijaringan dan file yang ada di
data center berserta hak akses yang melekat di user Ika.
Proses tersebut juga berlaku untuk semua user yang ada seperti Didik, Ika dan
yang lain.
3.2.2 Policy User Terhadap Data
1. Data yang tersimpan di server, pendistribusianya tepat sasaran kepada user
yang berhak atau yang diberi otoritas.
2. Dilarang memindahkan, mentransfer, memfotocopy, atau menyalin data yang
ada di dalam server datacenter untuk kepentingan yang tidak berhubungan
dengan pekerjaan.
3. Dilarang membocorkan dalam bentuk apapun data yang dimiliki MSV Pictures.
4. Transfer data dari dan ke dalam perangkat dan fasilitas pengolahan data dan
informasi perusahaan dengan menggunakan removable media hanya boleh
dilakukan oleh IT support.
5. Kerahasiaan data
harus dijaga oleh setiap karyawan yang diberikan akses,
dilarang meletakkan username dan password aplikasi yang penting secara
sembarangan (misalnya catatan ditempel pada monitor).
7
Start
User menginginkan
copy file
Izin ke Kepala
Production
Apakah
Mendapat izin/
surat izin
Ya
Apakah data
bersifat rahasia
Tidak
Datanglah ke Koor
IT Support / yang
mewakili
Apakah
User punya
wewenang data
tersebut
Ya
Tidak
Ya
Tidak
Copy file
End
Gambar 3. 4 Prosedure copy file
3.2.3 Prosedure Install Aplikasi
1. IT support menginventarisir kebutuhan software yang digunakan disetiap departemen
untuk keperluan kerja saja.
2. User tidak berhak menginstall aplikasi apapun dikomputer sendiri maupun dikomputer
rekan kerja
3. User yang menginginkan tambahan aplikasi harap datang ke IT support.
4. IT Support berhak menolak menginstallkan aplikasi jikalau aplikasi tersebut tidak
berhubungan dengan kerja atau karena membahayakan bagikomputer sendiri
maupun komputer yang ada di jaringan.
Start
User menginginkan
install aplikasi
User datang ke IT
Support
Reject
Ya
Apakah
aplikasi terkait
dengan
pekerjaan
Apakah
aplikasinya
membahayakan
Tidak
IT Support berhak
menolak menginstall
Aplikasi
Ya
Tidak
IT Support install
aplikasi
End
Gambar 3. 5 Prosedur install aplikasi
3.2.4 Connection Policy.
1. Server datacenter dan server repository hanya dapat diakses pada jam kerja
yaitu dari jam 09.00 sampai dengan 18.00.
8
2. Bila user kerja lembur dan ingin terkoneksi dengan data center user harap lapor
atau konfirmasi kepada admin jaringan atau IT support, agar akses ke server
dibukakan oleh admin.
Start
User menginginkan
akses ke server
Tidak
Apakah
pada jam yang
dialokasikan user
tersebut
User tidak dapat
mengakses server
Apakah User
Menginginkan
lembur
Tidak
Ya
Ya
Datang atau
konfirmasi ke admin
jaringan
User dapat
mengakses server
(Berupa data dg
policy access)
Admin jaringan
membuat alokasi
waktu akses server
kepada user lembur
End
Gambar 3. 6 Prosedure akses server terhadap alokasi waktu
3.2.5 Prosedure komputer client dan Penggunaanya
1. Port usb yang tidak terpakai harus didisable. Dan perangkat yang telah terpasang di
lem tembak, agar user tidak memanfaatkan untuk kepentingan copy file.
2. User tidak punya otoritas mengganti ip address. Hak penuh dimiliki oleh administrator
jaringan MSV Pictures.
3.
User tidak diperkenankan menyimpan data pekerjaanya di drive C:\
4. Trobel hardware maupun software segera lapor ke IT support dapat melalui chating
local maupun datang langsung ke ruang IT support.
5.
Komputer jika ditinggal pergi harus dilakukan log out
3.2.6 Keamanan dan kerahasiaan username dan password
1. Seluruh karyawan harus menjaga kerahasiaan username dan password miliknya
atau milik orang lain yang dipercayakan kepadanya.
2. Username
dan
password
masing-masing
karyawan
tidak
diperkenankan
diberitahukan kepada siapapun yang tidak berkepentingan, kecuali mendapat ijin dari
atasan.
3. Password harus diganti secara berkala oleh user.
4.
Implementasi Dan Pembahasan
4.1
Uji Security Dan Authorization Folder and File
Share dan security permission data perlu dilakukan, guna menetapkan siapa yang
berhak dan tidak berhak terhadap data. Dan seberapa berhak user menggunakan data
9
pada ruang lingkup kerjanya.Artinya hal tersebut menerapkan bagian dari elemen
kemanan informasi yaitu Convidentiality, Integrity dan Availability.
Tabel 4.1 Tabel hasil yang diharapkan
No
1
2
3
4
5
6
Nama
Pengujian
Menguji
penetapan
kebijakan Data
Departemen
Tujuan
Menguji
penetapan
kebijakan Data
Departemen
Menguji
penetapan
kebijakan Data
Departemen
Menguji
penetapan
kebijakan Data
Departemen
Menguji
penetapan
kebijakan Data
Departemen
Pendistribusian
data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
Pendistribusian
data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
Pendistribusian
data tepat
sasaran
Pendistribusian
data tepat
sasaran
Pendistribusian
data tepat
sasaran
Menguji
penetapan
kebijakan Data
Departemen
Skenario
Pendistribusian
data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
Menetapkan
Share Permission
dan Security
permission
Menetapkan
Share Permission
dan Security
permission
Menetapkan
Share Permission
dan Security
permission
Hasil Yang
Diharapkan
Dapat Paste, Save
dan Dapat Delete
Pekerjaan di Folder
Kerja"
Dapat Paste, Save,
Edit Pekerjaanya
tetapi tidak diizinkan
delete Pekerjaan di
Folder Kerja
Permited Read,
Denied To Change
The Contents Of The
File
Dilarang Mencopy,
Mendelete, Drag
Folder Dan File
Diizinkan Melihat Isi
Folder Tetapi Unauthorized hanya
dapat Lihat Isi File
Departemen
Manajemen dapat
mengakses data, Unauthorized Dilarang
Masuk
Kepada
Lead
Departemen
Member
Departemen
User Unauthorized
Atau Others
Departemen
User Unauthorized
Atau Others
Departemen
User Unauthorized
Atau Others
Departemen
Departemen
Manajemen
dan
Departemen
Lainnya
4.1.1 Menetapkan Share Dan Security permission Departemen
4.1.1.1
Menetapkan Share Permission Departemen
Pada contoh ini penulis menerapkan di Departemen Character dan beberapa
folder yang dikususkan untuk file yang sifatnya membutuhkan security tinggi. Jadi
bagaimana menetapkan kebijakan kepada Lead Character atau Lead Departemen,
Member Character atau member Departemen dan Penetapan kebijakan kepada
Departemen lainnya terhadap data yang dimiliki oleh Departemen Character atau
departemen-departemen lainnya.
Tabel 4. 2 Pengujian data Departemen Character
No
Nama Pengujian
Tujuan
Skenario
1
Menguji penetapan
kebijakan Data
Departemen
Character
Pendistribusia
n data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
2
Menguji penetapan
kebijakan Data
Departemen
Character
Pendistribusia
n data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
3
Menguji penetapan
kebijakan Data
Departemen
Character
Pendistribusia
n data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
10
Hasil Yang
Diharapkan
Dapat Paste, Save
dan Dapat Delete
Pekerjaan di Folder
Kerja"
Dapat Paste, Save,
Edit Pekerjaanya
tetapi tidak diizinkan
delete Pekerjaan di
Folder Kerja
Permited Read,
Denied To Change
The Contents Of
The File
Kepada
Lead
Departemen
Caharacter
Member
Departemen
Character
User Unauthorized
Atau Others
Departement
Tabel 4. 3 Penetapan Security permission secara teknis
Folder
Security
Permission
Drive E:\
Full Control
Data Asset2
R+LF
COJ
R+LF
Asset
R+LF
Character
Raks
Human
Elder
Creatures_Animals
Kepada
Administrator (MSV\Administrator)
Domain Users (MSV\Domain users) atau Seluruh Departemen MSV)
Administrator & Domain Users (MSV\Domain users) atau Seluruh
Organisasi unit MSV)
Administrator & Domain Users (MSV\Domain users) atau Seluruh
Departemen MSV)
R+W+X+M
Lead Character ([email protected])
R+W+X
Members Character
R+W+X+M
Lead Character ([email protected])
R+W+X
Members Character
R+W+X+M
Lead Character ([email protected])
R+W+X
Members Character
R+W+X+M
Lead Character ([email protected])
R+W+X
Members Character
R+W+X+M
Lead Character ([email protected])
Members Character
R+W+X
Keterangan: R:Read; LF: List Folder Contents; W:Write; X:Execute; M:Modify
Tabel 4. 4 Hasil yang didapat penerapan share dan security permission
Nama Pengujian
Tujuan
Skenario
Menguji
penetapan
kebijakan Data
Departemen
Pendistribusia
n data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
Menguji
penetapan
kebijakan Data
Departemen
Pendistribusia
n data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
Menguji
penetapan
kebijakan Data
Departemen
Pendistribusia
n data tepat
sasaran
Menetapkan
Share Permission
dan Security
permission
Hasil Yang
Diharapkan
Dapat Paste, Save
dan Dapat Delete
Pekerjaan di
Folder Kerja"
Dapat Paste,
Save, Edit
Pekerjaanya tetapi
tidak diizinkan
delete Pekerjaan
di Folder Kerja
Permited Read,
Denied To Change
The Contents Of
The File
Kepada
Lead
Departemen
OK
Member
Departemen
OK
User Unauthorized
Atau Others
Departemen
OK
4.1.2 Macam-macam Hak Akses Yang Diterapkan
4.1.2.1
Dapat ,Save, Read, Edit Dapat Delete Pekerjaan Di Folder Kerja
Tabel 4. 5 Penetapan hak akses
4.1.2.2
Dapat Paste, Save, Edit Pekerjaan, Tetapi Denied delete Pekerjaan
Tabel 4. 6 Penetapan hak akses
11
Hasil
Didapat
4.1.2.3
Permited Read, Denied To ChangeThe Contents Of The File
Hal ini diterapkan kepada non-member dari sebuah departemen, bahwa nonmember hanya diberikan izin membaca, melihat isi file, tetapi tidak diberi izin mengubah
konten dari file tersebut.
Tabel 4. 7 Penetapan hak akses
Permited
Membaca
Denied
Melihat File
Merubah Konten
Tabel 4.8 Share permission
Nama
Folder
Group
or Users
Blh Read Tdk
Blh Mengubah
Isi Data
Domain user
(MSV\Domain Users)
Share
Permission
Read
Keterangan
Change
Share
Permission
diterapkan
“Change” supaya authorized users
dapat men-save pekerjaanya atau
dapat mem-paste pekerjaanya
Tabel 4.9 Security permission
Nama Folder
Group or Users
Blh Read Tdk Blh
Mengubah Isi
Data
Domain user
(MSV\Domain
Users)
4.1.2.4
Keterangan
Security permission
List Folder
Content
Security
permission
ini
diterapkan kepada semua user
client AD yang un-authorized
Read
Dilarang Mencopy, Mendelete, Drag Folder Dan File
Tabel 4.10 Penetapan share permission
Nama Folder
Group or Users
Blh Read Tdk Blh
Mengubah Isi Data
Domain user
(MSV\Domain Users)
Share Permission
Read
Change
Keterangan
Share
Permission
diterapkan
“Change” supaya authorized users
dapat men-save pekerjaanya atau
dapat mem-paste pekerjaanya
Tabel 4.11 Penetapan security permission
Nama Folder
Group or Users
Security
permission
Keterangan
Blh Read Tdk Blh
Mengubah Isi Data
Domain user
(MSV\Domain Users)
List Folder Content
Security
permission
ini
diterapkan kepada semua
user client AD yang unauthorized
4.1.2.5
Diizinkan Melihat Isi Folder Tetapi Unpermited Lihat Isi File
Tabel 4.12 Penetapan share permission
Nama Folder
Group or Users
Blh Read Tdk Blh
Mengubah Isi Data
Domain user
(MSV\Domain Users)
Share Permission
Read
Change
Keterangan
Share Permission diterapkan
Change supaya authorized users
dapat mesave
Tabel 4.13 Penetapan security permission
Nama Folder
Group or Users
Security
12
Keterangan
permission
Blh
Read
Tdk
Mengubah Isi Data
4.1.2.6
Blh
Domain user
(MSV\Domain Users)
List Folder
Content
Security
permission
ini
diterapkan kepada semua
user client
AD yang unauthorized
Users Un-authorized Dilarang Masuk
Users un-authorized tidak diberikan izin untuk masuk di folder Departemen
Menagement, folder ini hanya boleh diakses oleh user dari Departemen Menagement.
Gambar 4.1 Security permission folder departemen Menagement
4.1.3 Hasil menerapkan Beberapa Hak Akses
Tabel 4. 14 Hasil menerapkan Beberapa Hak Akses
Nama
Pengujian
Tujuan
Menguji
penetapan
kebijakan Data
Departemen
Pendistribusian
data
tepat
sasaran
Menguji
penetapan
kebijakan Data
Departemen
Pendistribusian
data
tepat
sasaran
Menguji
penetapan
kebijakan Data
Departemen
Pendistribusian
data
tepat
sasaran
4.2
Hasil Yang
Diharapkan
Kepada
Dilarang Mencopy,
Mendelete,
Drag
Folder Dan File
User
Unauthorized
Atau
Others
Departemen
OK
Diizinkan Melihat Isi
Folder Tetapi Unauthorized
hanya
dapat Lihat Isi File
User
Unauthorized
Atau
Others
Departemen
OK
Departemen
Manajemen
dapat
mengakses
data,
Un-authorized
Dilarang Masuk
Departemen
Manajemen
dan
Departemen
Lainnya
OK
Skenario
Menetapkan
Share
Permission
dan Security
permission
Menetapkan
Share
Permission
dan Security
permission
Menetapkan
Share
Permission
dan Security
permission
Hasil
Didapat
Pengendalian Account Lockout Threshold
Pengendalian account lockout threshold ini bertujuan untuk membantu mencegah
attacker dari menerka password pengguna dan mengurangi keberhasilan seranganserangan dalam jaringan.
Gambar 4. 2 Account Lockout threshold
13
4.3
Uji Autoritas Service Mode Administrator
Install aplikasi, merubah IP, dan segala aktifitas yang memerlukan run
administrator merupakan wewenang Administrator (IT Staff), jadi ketika client user AD
menghendaki install aplikasi, trobel shoting network membutuhkan account Administrator
AD. Hal ini dapat menjadikan control terhadap object.
Gambar 4.3 Control autoritas service administrator
4.4
Penerapan Maping Drive Menggunakan Group Policy Object (GPO)
Group policy memberikan kemudahan dalam menerapkan policy secara group.
Pada contoh ini penulis membuat GPO mapping drive. Stey by stepnya dibawah ini.
 Script MapingDrive Public dan Departemen tertentu
4.5
@echo off
net use
net use
net use
net use
@echo “Ini
Pause
* /delete /yes
M: “\\10.1.1.253\Movie” /PERSISTENT:YES
S: “\\10.1.1.253\Software” /PERSISTENT:YES
T: “\\10.1.1.253\Temporary” /PERSISTENT:YES
MapDrive Public terimakasih”
@echo off
net use
net use
net use
net use
@echo "Ini
Pause
* /delete /yes
X: "\\10.1.1.253\Data Asset" /PERSISTENT:YES
Y: "\\10.1.1.253\Production" /PERSISTENT:YES
Z: "\\10.1.1.253\Data Asset2"/PERSISTENT:YES
MapDrive Departemen terimakasih"
Monitoring Active Directory
1. Monitoring track record jaringan Active Directory menggunakan Lepide Auditor
Active Directory dan Lepide Auditor file server, software ini ada versi free edition.
Ditampilkan beberapa gambar grafik dibawah ini.
14
Gambar 4.4 Grafik kondisi Logon Failur, Object Modified, Password Reset
 Objects Modified
Grafik tersebut hasil dari monitoring perubahan pada object. Hal ini terjadi pada
user atau group. Perubahan ini misal perubahan nama user [email protected]
menjadi [email protected] atau men-delete sebuah group misal Dept.Character.
Gambar 4.5 Realtime monitoring Modified Object
Grafik pada gambar 4.60 menginformasikan terjadi realtime modified object yaitu
create user ika eliza ([email protected]), delete user [email protected] , delete kemudian
create group Dep_Animasi.
4.6
Pengendalian Eksternal Storage
Pengendalian eksternal storage difungsikan untuk mencegah bocornya aset data
PT. MSV PICTURES dari karyawan yang tidak bertanggung jawab. Misal melaui
Flashdisk maupun melalui CD maupun DVD.
Pada contoh ini, penulis menerapkan kebijakan access denied removable storage
di Departemen Character dengan cara di enable. Konfigurasinya seperti berikut:
15
Gambar 4. 6 Memilih All Removable Storage classes: Deny all Access
Uji sistem, masukkan Flashdisk atau CD aatu DVD di komputer Client, kemudian
coba kopi file kemudian akses Flashdisk atau CD atau DVD.
Gambar 4. 7 Akses USB dan CD di Denied
4.7
Pengendalian Waktu Login Client Active Directory
Logon Hours berguna untuk mengendalikan user mengakses ke server. Dengan
batasan waktu yang telah ditentukan. Pada screenshot ini dari jam 07.00 – 18.00 WIB.
Gambar 4. 8 Batasan waktu login user AD
User Active Directory [email protected], penulis tetap batasan penggunaan account
dari jam 07.00 WIB sampai dengan jam 18.00 WIB.
16
Kesimpulan
5.
1. Administrator jaringan dalam mengelola obyek-obyek yang ada dijaringan yaitu
berupa data, user, komputer, dapat dimanajemen terpusat di server Active
Directory
2. Dapat mengoptimalkan security policy terhadap hak akses data berdasarkan
departemen masing-masing, Jadi dapat menciptakan convidentiality, integrity,
availability data di server.
3. Active Directory dapat mengontrol karyawan atau user menggunakan account
dan mengakses data ke server. Hal ini dapat mendorong terciptanya prosedural
jika menghendaki penggunaan account dan akses data di server
4. Fitur Group Policy Menagement pada Domain Controller Active Directory dapat
membantu mencegah tindakan Attacker dari menduga-duga password pengguna
dan mengurangi keberhasilan serangan dalam jaringan.
5. Domain Controller server Active Directory dapat mengontrol aktifitas karyawan
atau user ketika menggunakan komputer.
6. Active Directory dapat membantu mencegah bocornya aset data melalui USB
Flashdisk atau CD atau DVD dari Departmen yang telah ditetapkan kebijakan
Disable Eksternal Storage atau dari user yang unauthorized.
DAFTAR PUSTAKA
Anonim. 2010. Panduan Lengkap Windows Server 2008. Yogyakarta: Andi Offset
Dean, Tamara. 2009. CompTIA Network+. Canada: Course Technology PTR
Lammle, Todd. 2005. CCNA Study Guide. Diterjemahkan S’to, Jakarta: PT. Elex Media
Komputindo
Jr., Sanchez Napoleon. 2013. Information security based on Information Security
Management System (BS ISO/IEC 27001:2005), Badan Standarisasi Internasional
Spealman, Jill., and Kurt Hudson. 2004. Planning, Implementing and Maintaining
Microsoft Windows server 2003 Active Directory Infrastructure. Washington :
Microsoft Press
Utama, Irwin. 2008. Menguasai Active Directory & Jaringan Windows Server 2008.
Jakarta: Elex Media Komputindo
Dolya,
Alexey.
2007.
Internal
IT
Threats
in
Europe
2006.
http://www.securelist.com/en/analysis/204791935/Internal_IT_Threats_in_Europe_
2006. Diakses 2 januari 2013
17