ANALISIS DAN PERANCANGAN DOMAIN KONTROLER ACTIVE DIRECTORY (Studi Kasus: PT. MSV Pictures)
Transkrypt
ANALISIS DAN PERANCANGAN DOMAIN KONTROLER ACTIVE DIRECTORY (Studi Kasus: PT. MSV Pictures)
ANALISIS DAN PERANCANGAN DOMAIN KONTROLER MENGGUNAKAN ACTIVE DIRECTORY (Studi Kasus: PT. MSV Pictures) JUDUL NASKAH PUBLIKASI diajukan oleh Ahmad Sa’di 09.11.3030 Kepada SEKOLAH TINGGI MENAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA YOGYAKARTA 2013 NASK AH PUBLIK ASI ANALYSIS AND DESIGN DOMAIN CONTROLLER USING THE ACTIVE DIRECTORY (CASE STUDY: PT. MSV PICTURES) ANALISIS DAN PERANCANGAN DOMAIN KONTROLER MENGGUNAKAN ACTIVE DIRECTORY (Studi Kasus: PT. MSV Pictures) ABSTRACT The data filming The Legend Of Ajisaka owned by PT. MSV PICTURES or data other film projects undertaken jointly fit the job description of each department, be shared in a network and does not have a security policy to protect its data. There is no control over when the employee or user operate the computer, especially when access to file or send a file to a directory of their own PC or server. Utilizing Active Directory Domain Controller is an attempt to create a security policy to optimize data access policy for the right job based on department organization, will provide a high authority in each Lead Department, and pursue the creation and procedural controls when using the computer in administrator mode. Active Directory Domain Controller can create convidentiality, availability, integrity of data on the server. And gives control to the user when using a computer, set the install or uninstall the application, change the IP address and all processes that require administrator mode, only the user who has been given the authority to run the administrator mode to the main permissions, settings, install and uninstall applications or programs. Thus creating a track record of all the changes on the client computer and the server. Keywords: Security Menagement. policy , Domain Controller, Active Directory, Centralized 1. Pendahuluan Data merupakan aset penting yang sangat berharga bagi kelangsungan hidup suatu organisasi atau bisnis. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan baik dari faktor internal maupun pihak eksternal yang tidak diinginkan. Survei yang dilakukan oleh InfoWatch Analytical Center, diunggah di situs http://securelist.com pada salah satu hasil survei tim tersebut menyebutkan, dari 410 perusahaan antara 2 Januari dan 2 Maret 2007 terjadi pencurian data sebesar (78%), ancaman yang terjadi dari pelanggaran keamanan internal maupun eksternal menghasilkan, (45%) terjadi di eksternal dan (55%) terjadi di interternal. Dari survey diatas dapat diambil beberapa kesimpulan bahwa pencurian data berada posisi pertama (78%) dan pelanggaran keamanan yang paling berisiko yaitu dari faktor internal (55%). Kejadian diatas dapat menjadi pelajaran bagi PT. MSVPICTURES. Pada saat ini Data pembuatan film The Legend Of Ajisaka yang dimiliki oleh PT. MSV PICTURES maupun data proyek-proyek film lain yang dikerjakan bersama-sama sesuai job description masing-masing departemen, di-share dalam satu jaringan dan belum memiliki security policy untuk melindungi data-data tersebut. Belum ada kontrol terhadap karyawan atau user ketika mengoperasikan komputer, akses file atau terutama saat kirim file ke direktori PC sendiri atau server.. 2. Landasan Teori 2.1 Domain Controller Domain Controller adalah komputer yang menjalankan Windows Server yang menyimpan replikasi dari direktori domain (database domain lokal). Karena domain dapat berisi satu atau lebih domain kontroler, setiap Domain Controller dalam domain, memiliki replikasi domain lengkap dari sebuah directory. Domain Controller juga mengotentikasi user logon sebagai upaya dan menjaga security policy domain[1]. 2.2 Active Directory Active Directory adalah layanan direktori termasuk dalam keluarga Windows Server. Active Directory meliputi direktori, yang menyimpan informasi tentang sumber 1 Utama, I., 2008, Menguasai Active Directory & Jaringan Windows Server 2008,Jakarta, Elex Media Komputindo, hal. 15 1 daya jaringan, serta semua layanan yang membuat informasi yang tersedia dan berguna. [2] Tujuannya adalah untuk menyediakan servis otentikasi dan otorisasi secara terpusat untuk komputer berbasis Windows. Active Directory memuat informasi mengenai komputer, user, grup, printer dan network resource lainnya yang bisa diakses user dan aplikasi. Active Directory menyediakan cara yang konsisten untuk penamaan, pencarian, akses, pengelolaan dan keamanan object-object tersebut. 2.3 Keamanan Informasi Menurut Napoleon Sanchez Jr., Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek Confidentiality, Integrity, Availability.[3] Berikut penjabaran ketiga komponen tersebut: 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak atau user yang diotorisasi dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). Gambar 2.1 Elemen-elemen keamanan informasi 2 Spealman, J., and Kurt Hudson, 2004, Planning, Implementing, and Maintaining Microsoft Windows server 2003 Active Directory Infrastrukture, Washington: Microsoft Press, hal. 5 3 Jr., Sanchez Napoleon. Information security based on Information Security Management System (BS ISO/IEC 27001:2005), 2013, hal. 6 2 2.4 Ancaman Keamanan Data dan Sistem Informasi Dalam hal keamanan data, ancaman berarti orang yang berusaha memperoleh akses-akses ilegal terhadap jaringan komputer maupun resource di jaringan yang dimiliki seolah-seolah ia memiliki otoritas terhadap akses ke jaringan komputer. Dalam hal ini ada 4 (empat) aspek ancaman terhadap keamanan data yaitu: 1. Interupsi / interruption Merupakan ancaman terhadap availability, yaitu data dan informasi yang berada dalam sistem komputer dirusak atau dibuang, sehingga menjadi tidak ada dan tidak berguna. Contoh: Harddisk yang dirusak, memotong line komunikasi atau kabel komunikasi. 2. Intersepsi / Interception Merupakan Pihak tak diotorisasi dapat mengakses sumber daya. Hal ini merupakan ancaman terhadap kerahasiaan. Pihak tak diotorissasi dapat berupa orang / program komputeer. Contoh: Penyadapan, mengkopi file tanpa diotorisasi. 3. Modifikasi / modification Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan ancaman terhadap integritas. Contoh: Mengubah nilai file, mengubah program, memodifikasi pesan. 4. Fabrikasi / fabrication Pihak tak diotorisasi menyisipkan atau memasukkan object-object palsu ke sistem. Merupakan ancaman terhadap integritas. Contoh: Memasukkan pesan palsu ke jaringan, menambah record file. Menurut Alexey Dolya, Survei dilakukan oleh InfoWatch Analytical Center yang di unggah di situs http://securelist.com pada salah satu hasil survei tim tersebut menyebutkan, dari 410 perusahaan antara 2 Januari dan 2 Maret 2007 terjadi pencurian data sebesar (78%), kelalaian karyawan (65%), virus (49%), hacker (41%) dan sabotase (15%).[4] Hasil survei tersebut dapat dilihat dalam gambar berikut: Gambar 2. 2 Grafik Persentase Ancaman sistem informasi 4 Dolya,A. http://www.securelist.com/en/analysis/204791935/Internal_IT_Threats in_Europe_2006 diakses pada tanggal 2 januari 2013 3 (Sumber:http://securelist.com/en/analysis/204791935/Internal_IT_Threats_in_Europe_20 06) Dari entitas pada gambar 2.18 penulis membagi menjadi dua kategori dasar ancaman internal dan ancaman eksternal. Ancaman eksternal : Virus, Hacker, Spam. Ancaman Internal : Pencurian, Sabotase, Kelalaian, Penipuan. Survei yang dilakukan oleh InfoWatch Analytical Center meyebutkan juga bahwa ancaman yang terjadi dari pelanggaran keamanan internal maupun eksternal menghasilkan (55%) terjadi di internal dan (45%) terjadi di eksternal. Gambar 2. 3 Persentase perbandingan pelanggaran internal dan eksternal (Sumber:http://securelist.com/en/analysis/204791935/Internal_IT_Threats_in_Europe_2006) 2.5 Sharing dan Security Sharing merupakan salah satu fasilitas dimana data diijinkan atau diperbolehkan diakses komputer lain dalam sistem jaringan, dengan ijin pengguna komputer yang melakukan sharing.[5] Security merupakan fasilitas manajemen pembatasan pemakai atau pengguna pada data yang dilakukan sharing. 2.6 Security policy Secuity policy adalah sebuah dokumen atau rencana yang mempunyai tujuan keamanan organisasi , risiko terhadap incident, tingkat otoritas anggota, ditunjuk koordinator keamanan dan tim, tanggung jawab untuk setiap anggota tim, dan tanggung jawab bagi setiap karyawan. Selain itu, menentukan bagaimana menangani pelanggaran keamanan. (CompTIA Network+, Dean, T., 2009, hal 524) 3. 6 Analisis dan Perancangan Sistem Observasi Kegiatan observasi dilakukan di lingkungan PT. MSVPICTURES untuk mempelajari visi, misi, tujuan dan strategi, serta mengamati dan mendokumentasi infrastuktur yang dimiliki mulai bulan Januari hingga April 2013, objek ini dijadikan contoh 5 6 Anonim., 2010, Panduan Lengkap Windows Server 2008, Yogyakarta: Andi Offset, hal 93 Dean, Tamata, 2009, CompTIA Network+, 2009 In Depth, hal. 524 4 studi kasus implementasi security policy menggunakan Domain Controller Active Directory. 3.1 Analisis Masalah Agar mendapatkan solusi yang tepat, perlu diadakan analisis masalah dari sistem yang berjalan saat ini. Beberapa dari masalah-masalah tersebut : 3.1.1 User dan Komputer Client 1. Belum ada tingkatan privillage user di setiap user computer . 2. User tidak ada kendali dalam menginstall aplikasi, keadaan seperti ini dapat memicu terserang virus maupun malware. 3. Interface network tidak ada control, keadaan ini memicu penggantian IP address dan terjadi duplikasi IP address. Akibatnya diskonek terhadap akses jaringan. 4. Beberapa komputer tidak ada otoritas user logon ketika mengakses komputer. 5. Tidak ada kontrol mode administrator. 3.1.2 Keadaan User Mengakses File ke Data Center Share folder yang diterjadi ditiap departemen belum ada otoritas file, artinya mempunyai hak akses satu sama lain sama. Misal, leader dan member departemen Production diizinkan melihat semua isi folder dari pekerjaannya tetapi yang berhak mendelete file hanya leader production, anggota hanya bisa read dan write. Departemen production otoritas terhadap file pekerjaan departemen lain hanya read atau list folder, tidak diizikankan mendelete file atau merubah file. Idealnya Untuk para lead departemen mempunyai wewenang mendelete, memodifikasi file pekerjaan yang ada di directory kerja masing- masing departemen. Anggota dari tiap departemen hanya diperkenankan read, list folder dan diberikan izin merefisi perbaikan file kerjaannya. Departemen lain hanya bisa melihat file atau membaca file tetapi tidak diizinkan untuk memodifikasi. 3.1.3 Observasi Jam Kerja Mulai Jam Kerja 09:00 WIB Selesai Jam Kerja Rentang 18:00 WIB. Tapi keadaannya sampai jam Waktu 22.00/Dapat teguran dari SATPAM Gambar 2. 4 Observasi jam kerja 3.1.4 Media Penyimpanan Portabel 1. Port USB yang digunakan hanya tiga dari jumlah yang tersedia yaitu input keyboard, mouse, dan digital drawing Wacom. Perlu ada kebijakan disable port yang tidak digunakan, guna menghindari penggandaan data. 2. Penggunaan CD/DVD room belum terkontrol oleh IT Support. 5 3.2 Solusi Dan prosedur MAIN SERVER REPOSITORY DATA RENDER COMPOSITE Amikom 1 Mbps ISP TE 2 Mbps RB 750G Core SERVER FARM INTERNET 10.10.10.254 INTRANET Repository 10.1.1.254 10.1.1.1 Server Active Directory Server Farm 10.1.1.253 Proxy Server 10.10.10.1 Distribution Swicth 3com 10.1.1.252 Data Center Cisco 2960G Access Ruang 2.2.3 Ruang 2.2.2 Ruang 2.2.4 Ruang 2.2.5 Data Render Management Composite 192.168.1.0/24 10.1.1.0/24 Gambar 3. 1 Topology Network A XH Dept. Dept. Art Simulation B C G A Dept. Dept. ITSimulation Support H X B D A X H E C G F Dept. Producsion B C G F D B E C D E A A H F Dept. Dept. Composit Simulation A B D F D C F E H E Dept. Dept. SetDress Simulation A B G F C G D E XH Dept. Caracter Asset B XH Dept. Dept. Simulation Simulation B G X X X C F D X E Gambar 3. 2 Hak akses data 6 X C G A F D E A H B G C G Dept. Lighting H F D E X 3.2.1 Proses Otentikasi User AD Terhadap Resource Di Jaringan Validasi, Apakah User Ika 3 Terdaftar di Database Active Directory (AD) Domain SERVER AD Proses Otentikasi 4 User Ika Berhasil Request Log on meminta akses 2 ke data center dan Resource di Jaringan 1 User Ika login User Ika Berhak Mengakses File di Data 5 Center sesuai dengan Hak Akssesnya dan Resource yang Ada Di Jaringan Ika Didik Gambar 3. 3 Proses otentikasi user Active Directory 1. User Ika melakukan login di komputernya. 2. Request Log On, meminta akses ke Data Center dan resource yanf ada dijaringan. 3. Validasi, apakah user Ika ada di database sever Active Directory. 4. Jika ada maka proses login berhasil, jika tidak maka akan ditolak. 5. User ika berhak menggunakan resorce yang ada dijaringan dan file yang ada di data center berserta hak akses yang melekat di user Ika. Proses tersebut juga berlaku untuk semua user yang ada seperti Didik, Ika dan yang lain. 3.2.2 Policy User Terhadap Data 1. Data yang tersimpan di server, pendistribusianya tepat sasaran kepada user yang berhak atau yang diberi otoritas. 2. Dilarang memindahkan, mentransfer, memfotocopy, atau menyalin data yang ada di dalam server datacenter untuk kepentingan yang tidak berhubungan dengan pekerjaan. 3. Dilarang membocorkan dalam bentuk apapun data yang dimiliki MSV Pictures. 4. Transfer data dari dan ke dalam perangkat dan fasilitas pengolahan data dan informasi perusahaan dengan menggunakan removable media hanya boleh dilakukan oleh IT support. 5. Kerahasiaan data harus dijaga oleh setiap karyawan yang diberikan akses, dilarang meletakkan username dan password aplikasi yang penting secara sembarangan (misalnya catatan ditempel pada monitor). 7 Start User menginginkan copy file Izin ke Kepala Production Apakah Mendapat izin/ surat izin Ya Apakah data bersifat rahasia Tidak Datanglah ke Koor IT Support / yang mewakili Apakah User punya wewenang data tersebut Ya Tidak Ya Tidak Copy file End Gambar 3. 4 Prosedure copy file 3.2.3 Prosedure Install Aplikasi 1. IT support menginventarisir kebutuhan software yang digunakan disetiap departemen untuk keperluan kerja saja. 2. User tidak berhak menginstall aplikasi apapun dikomputer sendiri maupun dikomputer rekan kerja 3. User yang menginginkan tambahan aplikasi harap datang ke IT support. 4. IT Support berhak menolak menginstallkan aplikasi jikalau aplikasi tersebut tidak berhubungan dengan kerja atau karena membahayakan bagikomputer sendiri maupun komputer yang ada di jaringan. Start User menginginkan install aplikasi User datang ke IT Support Reject Ya Apakah aplikasi terkait dengan pekerjaan Apakah aplikasinya membahayakan Tidak IT Support berhak menolak menginstall Aplikasi Ya Tidak IT Support install aplikasi End Gambar 3. 5 Prosedur install aplikasi 3.2.4 Connection Policy. 1. Server datacenter dan server repository hanya dapat diakses pada jam kerja yaitu dari jam 09.00 sampai dengan 18.00. 8 2. Bila user kerja lembur dan ingin terkoneksi dengan data center user harap lapor atau konfirmasi kepada admin jaringan atau IT support, agar akses ke server dibukakan oleh admin. Start User menginginkan akses ke server Tidak Apakah pada jam yang dialokasikan user tersebut User tidak dapat mengakses server Apakah User Menginginkan lembur Tidak Ya Ya Datang atau konfirmasi ke admin jaringan User dapat mengakses server (Berupa data dg policy access) Admin jaringan membuat alokasi waktu akses server kepada user lembur End Gambar 3. 6 Prosedure akses server terhadap alokasi waktu 3.2.5 Prosedure komputer client dan Penggunaanya 1. Port usb yang tidak terpakai harus didisable. Dan perangkat yang telah terpasang di lem tembak, agar user tidak memanfaatkan untuk kepentingan copy file. 2. User tidak punya otoritas mengganti ip address. Hak penuh dimiliki oleh administrator jaringan MSV Pictures. 3. User tidak diperkenankan menyimpan data pekerjaanya di drive C:\ 4. Trobel hardware maupun software segera lapor ke IT support dapat melalui chating local maupun datang langsung ke ruang IT support. 5. Komputer jika ditinggal pergi harus dilakukan log out 3.2.6 Keamanan dan kerahasiaan username dan password 1. Seluruh karyawan harus menjaga kerahasiaan username dan password miliknya atau milik orang lain yang dipercayakan kepadanya. 2. Username dan password masing-masing karyawan tidak diperkenankan diberitahukan kepada siapapun yang tidak berkepentingan, kecuali mendapat ijin dari atasan. 3. Password harus diganti secara berkala oleh user. 4. Implementasi Dan Pembahasan 4.1 Uji Security Dan Authorization Folder and File Share dan security permission data perlu dilakukan, guna menetapkan siapa yang berhak dan tidak berhak terhadap data. Dan seberapa berhak user menggunakan data 9 pada ruang lingkup kerjanya.Artinya hal tersebut menerapkan bagian dari elemen kemanan informasi yaitu Convidentiality, Integrity dan Availability. Tabel 4.1 Tabel hasil yang diharapkan No 1 2 3 4 5 6 Nama Pengujian Menguji penetapan kebijakan Data Departemen Tujuan Menguji penetapan kebijakan Data Departemen Menguji penetapan kebijakan Data Departemen Menguji penetapan kebijakan Data Departemen Menguji penetapan kebijakan Data Departemen Pendistribusian data tepat sasaran Menetapkan Share Permission dan Security permission Pendistribusian data tepat sasaran Menetapkan Share Permission dan Security permission Pendistribusian data tepat sasaran Pendistribusian data tepat sasaran Pendistribusian data tepat sasaran Menguji penetapan kebijakan Data Departemen Skenario Pendistribusian data tepat sasaran Menetapkan Share Permission dan Security permission Menetapkan Share Permission dan Security permission Menetapkan Share Permission dan Security permission Menetapkan Share Permission dan Security permission Hasil Yang Diharapkan Dapat Paste, Save dan Dapat Delete Pekerjaan di Folder Kerja" Dapat Paste, Save, Edit Pekerjaanya tetapi tidak diizinkan delete Pekerjaan di Folder Kerja Permited Read, Denied To Change The Contents Of The File Dilarang Mencopy, Mendelete, Drag Folder Dan File Diizinkan Melihat Isi Folder Tetapi Unauthorized hanya dapat Lihat Isi File Departemen Manajemen dapat mengakses data, Unauthorized Dilarang Masuk Kepada Lead Departemen Member Departemen User Unauthorized Atau Others Departemen User Unauthorized Atau Others Departemen User Unauthorized Atau Others Departemen Departemen Manajemen dan Departemen Lainnya 4.1.1 Menetapkan Share Dan Security permission Departemen 4.1.1.1 Menetapkan Share Permission Departemen Pada contoh ini penulis menerapkan di Departemen Character dan beberapa folder yang dikususkan untuk file yang sifatnya membutuhkan security tinggi. Jadi bagaimana menetapkan kebijakan kepada Lead Character atau Lead Departemen, Member Character atau member Departemen dan Penetapan kebijakan kepada Departemen lainnya terhadap data yang dimiliki oleh Departemen Character atau departemen-departemen lainnya. Tabel 4. 2 Pengujian data Departemen Character No Nama Pengujian Tujuan Skenario 1 Menguji penetapan kebijakan Data Departemen Character Pendistribusia n data tepat sasaran Menetapkan Share Permission dan Security permission 2 Menguji penetapan kebijakan Data Departemen Character Pendistribusia n data tepat sasaran Menetapkan Share Permission dan Security permission 3 Menguji penetapan kebijakan Data Departemen Character Pendistribusia n data tepat sasaran Menetapkan Share Permission dan Security permission 10 Hasil Yang Diharapkan Dapat Paste, Save dan Dapat Delete Pekerjaan di Folder Kerja" Dapat Paste, Save, Edit Pekerjaanya tetapi tidak diizinkan delete Pekerjaan di Folder Kerja Permited Read, Denied To Change The Contents Of The File Kepada Lead Departemen Caharacter Member Departemen Character User Unauthorized Atau Others Departement Tabel 4. 3 Penetapan Security permission secara teknis Folder Security Permission Drive E:\ Full Control Data Asset2 R+LF COJ R+LF Asset R+LF Character Raks Human Elder Creatures_Animals Kepada Administrator (MSV\Administrator) Domain Users (MSV\Domain users) atau Seluruh Departemen MSV) Administrator & Domain Users (MSV\Domain users) atau Seluruh Organisasi unit MSV) Administrator & Domain Users (MSV\Domain users) atau Seluruh Departemen MSV) R+W+X+M Lead Character ([email protected]) R+W+X Members Character R+W+X+M Lead Character ([email protected]) R+W+X Members Character R+W+X+M Lead Character ([email protected]) R+W+X Members Character R+W+X+M Lead Character ([email protected]) R+W+X Members Character R+W+X+M Lead Character ([email protected]) Members Character R+W+X Keterangan: R:Read; LF: List Folder Contents; W:Write; X:Execute; M:Modify Tabel 4. 4 Hasil yang didapat penerapan share dan security permission Nama Pengujian Tujuan Skenario Menguji penetapan kebijakan Data Departemen Pendistribusia n data tepat sasaran Menetapkan Share Permission dan Security permission Menguji penetapan kebijakan Data Departemen Pendistribusia n data tepat sasaran Menetapkan Share Permission dan Security permission Menguji penetapan kebijakan Data Departemen Pendistribusia n data tepat sasaran Menetapkan Share Permission dan Security permission Hasil Yang Diharapkan Dapat Paste, Save dan Dapat Delete Pekerjaan di Folder Kerja" Dapat Paste, Save, Edit Pekerjaanya tetapi tidak diizinkan delete Pekerjaan di Folder Kerja Permited Read, Denied To Change The Contents Of The File Kepada Lead Departemen OK Member Departemen OK User Unauthorized Atau Others Departemen OK 4.1.2 Macam-macam Hak Akses Yang Diterapkan 4.1.2.1 Dapat ,Save, Read, Edit Dapat Delete Pekerjaan Di Folder Kerja Tabel 4. 5 Penetapan hak akses 4.1.2.2 Dapat Paste, Save, Edit Pekerjaan, Tetapi Denied delete Pekerjaan Tabel 4. 6 Penetapan hak akses 11 Hasil Didapat 4.1.2.3 Permited Read, Denied To ChangeThe Contents Of The File Hal ini diterapkan kepada non-member dari sebuah departemen, bahwa nonmember hanya diberikan izin membaca, melihat isi file, tetapi tidak diberi izin mengubah konten dari file tersebut. Tabel 4. 7 Penetapan hak akses Permited Membaca Denied Melihat File Merubah Konten Tabel 4.8 Share permission Nama Folder Group or Users Blh Read Tdk Blh Mengubah Isi Data Domain user (MSV\Domain Users) Share Permission Read Keterangan Change Share Permission diterapkan “Change” supaya authorized users dapat men-save pekerjaanya atau dapat mem-paste pekerjaanya Tabel 4.9 Security permission Nama Folder Group or Users Blh Read Tdk Blh Mengubah Isi Data Domain user (MSV\Domain Users) 4.1.2.4 Keterangan Security permission List Folder Content Security permission ini diterapkan kepada semua user client AD yang un-authorized Read Dilarang Mencopy, Mendelete, Drag Folder Dan File Tabel 4.10 Penetapan share permission Nama Folder Group or Users Blh Read Tdk Blh Mengubah Isi Data Domain user (MSV\Domain Users) Share Permission Read Change Keterangan Share Permission diterapkan “Change” supaya authorized users dapat men-save pekerjaanya atau dapat mem-paste pekerjaanya Tabel 4.11 Penetapan security permission Nama Folder Group or Users Security permission Keterangan Blh Read Tdk Blh Mengubah Isi Data Domain user (MSV\Domain Users) List Folder Content Security permission ini diterapkan kepada semua user client AD yang unauthorized 4.1.2.5 Diizinkan Melihat Isi Folder Tetapi Unpermited Lihat Isi File Tabel 4.12 Penetapan share permission Nama Folder Group or Users Blh Read Tdk Blh Mengubah Isi Data Domain user (MSV\Domain Users) Share Permission Read Change Keterangan Share Permission diterapkan Change supaya authorized users dapat mesave Tabel 4.13 Penetapan security permission Nama Folder Group or Users Security 12 Keterangan permission Blh Read Tdk Mengubah Isi Data 4.1.2.6 Blh Domain user (MSV\Domain Users) List Folder Content Security permission ini diterapkan kepada semua user client AD yang unauthorized Users Un-authorized Dilarang Masuk Users un-authorized tidak diberikan izin untuk masuk di folder Departemen Menagement, folder ini hanya boleh diakses oleh user dari Departemen Menagement. Gambar 4.1 Security permission folder departemen Menagement 4.1.3 Hasil menerapkan Beberapa Hak Akses Tabel 4. 14 Hasil menerapkan Beberapa Hak Akses Nama Pengujian Tujuan Menguji penetapan kebijakan Data Departemen Pendistribusian data tepat sasaran Menguji penetapan kebijakan Data Departemen Pendistribusian data tepat sasaran Menguji penetapan kebijakan Data Departemen Pendistribusian data tepat sasaran 4.2 Hasil Yang Diharapkan Kepada Dilarang Mencopy, Mendelete, Drag Folder Dan File User Unauthorized Atau Others Departemen OK Diizinkan Melihat Isi Folder Tetapi Unauthorized hanya dapat Lihat Isi File User Unauthorized Atau Others Departemen OK Departemen Manajemen dapat mengakses data, Un-authorized Dilarang Masuk Departemen Manajemen dan Departemen Lainnya OK Skenario Menetapkan Share Permission dan Security permission Menetapkan Share Permission dan Security permission Menetapkan Share Permission dan Security permission Hasil Didapat Pengendalian Account Lockout Threshold Pengendalian account lockout threshold ini bertujuan untuk membantu mencegah attacker dari menerka password pengguna dan mengurangi keberhasilan seranganserangan dalam jaringan. Gambar 4. 2 Account Lockout threshold 13 4.3 Uji Autoritas Service Mode Administrator Install aplikasi, merubah IP, dan segala aktifitas yang memerlukan run administrator merupakan wewenang Administrator (IT Staff), jadi ketika client user AD menghendaki install aplikasi, trobel shoting network membutuhkan account Administrator AD. Hal ini dapat menjadikan control terhadap object. Gambar 4.3 Control autoritas service administrator 4.4 Penerapan Maping Drive Menggunakan Group Policy Object (GPO) Group policy memberikan kemudahan dalam menerapkan policy secara group. Pada contoh ini penulis membuat GPO mapping drive. Stey by stepnya dibawah ini. Script MapingDrive Public dan Departemen tertentu 4.5 @echo off net use net use net use net use @echo “Ini Pause * /delete /yes M: “\\10.1.1.253\Movie” /PERSISTENT:YES S: “\\10.1.1.253\Software” /PERSISTENT:YES T: “\\10.1.1.253\Temporary” /PERSISTENT:YES MapDrive Public terimakasih” @echo off net use net use net use net use @echo "Ini Pause * /delete /yes X: "\\10.1.1.253\Data Asset" /PERSISTENT:YES Y: "\\10.1.1.253\Production" /PERSISTENT:YES Z: "\\10.1.1.253\Data Asset2"/PERSISTENT:YES MapDrive Departemen terimakasih" Monitoring Active Directory 1. Monitoring track record jaringan Active Directory menggunakan Lepide Auditor Active Directory dan Lepide Auditor file server, software ini ada versi free edition. Ditampilkan beberapa gambar grafik dibawah ini. 14 Gambar 4.4 Grafik kondisi Logon Failur, Object Modified, Password Reset Objects Modified Grafik tersebut hasil dari monitoring perubahan pada object. Hal ini terjadi pada user atau group. Perubahan ini misal perubahan nama user [email protected] menjadi [email protected] atau men-delete sebuah group misal Dept.Character. Gambar 4.5 Realtime monitoring Modified Object Grafik pada gambar 4.60 menginformasikan terjadi realtime modified object yaitu create user ika eliza ([email protected]), delete user [email protected] , delete kemudian create group Dep_Animasi. 4.6 Pengendalian Eksternal Storage Pengendalian eksternal storage difungsikan untuk mencegah bocornya aset data PT. MSV PICTURES dari karyawan yang tidak bertanggung jawab. Misal melaui Flashdisk maupun melalui CD maupun DVD. Pada contoh ini, penulis menerapkan kebijakan access denied removable storage di Departemen Character dengan cara di enable. Konfigurasinya seperti berikut: 15 Gambar 4. 6 Memilih All Removable Storage classes: Deny all Access Uji sistem, masukkan Flashdisk atau CD aatu DVD di komputer Client, kemudian coba kopi file kemudian akses Flashdisk atau CD atau DVD. Gambar 4. 7 Akses USB dan CD di Denied 4.7 Pengendalian Waktu Login Client Active Directory Logon Hours berguna untuk mengendalikan user mengakses ke server. Dengan batasan waktu yang telah ditentukan. Pada screenshot ini dari jam 07.00 – 18.00 WIB. Gambar 4. 8 Batasan waktu login user AD User Active Directory [email protected], penulis tetap batasan penggunaan account dari jam 07.00 WIB sampai dengan jam 18.00 WIB. 16 Kesimpulan 5. 1. Administrator jaringan dalam mengelola obyek-obyek yang ada dijaringan yaitu berupa data, user, komputer, dapat dimanajemen terpusat di server Active Directory 2. Dapat mengoptimalkan security policy terhadap hak akses data berdasarkan departemen masing-masing, Jadi dapat menciptakan convidentiality, integrity, availability data di server. 3. Active Directory dapat mengontrol karyawan atau user menggunakan account dan mengakses data ke server. Hal ini dapat mendorong terciptanya prosedural jika menghendaki penggunaan account dan akses data di server 4. Fitur Group Policy Menagement pada Domain Controller Active Directory dapat membantu mencegah tindakan Attacker dari menduga-duga password pengguna dan mengurangi keberhasilan serangan dalam jaringan. 5. Domain Controller server Active Directory dapat mengontrol aktifitas karyawan atau user ketika menggunakan komputer. 6. Active Directory dapat membantu mencegah bocornya aset data melalui USB Flashdisk atau CD atau DVD dari Departmen yang telah ditetapkan kebijakan Disable Eksternal Storage atau dari user yang unauthorized. DAFTAR PUSTAKA Anonim. 2010. Panduan Lengkap Windows Server 2008. Yogyakarta: Andi Offset Dean, Tamara. 2009. CompTIA Network+. Canada: Course Technology PTR Lammle, Todd. 2005. CCNA Study Guide. Diterjemahkan S’to, Jakarta: PT. Elex Media Komputindo Jr., Sanchez Napoleon. 2013. Information security based on Information Security Management System (BS ISO/IEC 27001:2005), Badan Standarisasi Internasional Spealman, Jill., and Kurt Hudson. 2004. Planning, Implementing and Maintaining Microsoft Windows server 2003 Active Directory Infrastructure. Washington : Microsoft Press Utama, Irwin. 2008. Menguasai Active Directory & Jaringan Windows Server 2008. Jakarta: Elex Media Komputindo Dolya, Alexey. 2007. Internal IT Threats in Europe 2006. http://www.securelist.com/en/analysis/204791935/Internal_IT_Threats_in_Europe_ 2006. Diakses 2 januari 2013 17