Teknik Blokir Semua File Executable Dan Script Di Suatu Drive

Diposkan oleh Stephanus Vincent di 05.30 . Rabu, 27 Oktober 2010

Label: Tips n' Trick

Virus computer yang tersebar sekarang umumnya berupa file executable (*.exe, *.scr;
*.com;*.pif) dan file script (seperti *.vbs dan *.bat), bagaimanakah caranya supaya file-file ini
tidak dapat dijalankan oleh kita dalam suatu drive termasuk di flashdisk sehingga computer kita
tetap aman dari serangan virus karena mungkin saja file virus tersebut menggunakan ikon seperti
file dokumen ataupun ikon folder?

Dengan teknik ini, anda dapat memblok semua file script dan executable dalam suatu drive,
sehingga tidak ada kemungkinan salah menjalankan program / script yang menyamar seperti file
data. Contohnya saat anda mencolokan flashdisk bervirus menjadi drive e, dan drive tersebut
telah diblok script dan executablenya sebelumnya, maka sekalipun anda klik berulang kali file
virus tersebut, tetap saja file virus tersebut tidak dapat dijalankan.

Kekurangannya adalah teknik ini tidak pandang bulu semua file executable dan script non virus
juga tidak dapat dijalankan, jadi berhati-hatilah !!!! Jangan sampai menset blokir di drive system
Windows.

Caranya :

1. Buka Control Panel

2. Pilih Administrative Tools

3. Pilih Local Security Policy

4.Selanjutnya pilih Software Restriction Policies, klik kanan padanya pilih Create New Policies

5. Maka akan terbentuk beberapa object baru di samping kanan.

6. Pilih Additional Rules, dan klik kanan

7. Pilih New Path Rules

8. Masukkan alamat drive yang ingin diblokir semua script dan executablenya, misalnya e:\,

Untuk Security Level, jika anda pilih Unrestricted berarti blokir terbuka dan semua file di drive
tersebut dapat dijalankan, tetapi jika Disallowed maka semua file executable dan script tidak
dapat dijalankan, hanya file data seperti doc, xls, jpg dan lain-lainnya yang dapat dijalankan
secara normal.

Selanjutnya Appy dan OK.

Pada kompie saya, semua drive untuk data dan flashdisk diblokir, hanya system windows dan
CD rom yang dibiarkan terbuka, bahkan folder My Documents saya pun diblokir supaya jika ada
file virus yang masuk ke sana, tidak akan dapat dijalankan, kecuali blokir ini dibuka terlebih
dahulu, entah dengan mengubah properties path blokiran menjadi Unrestricted ataupun dengan
menghapusnya dari system Local Security tersebut.

Demikian tutorial ini semoga berguna. Jika kita gunakan secara luas maka teknik ini akan
mematikan penyebaran banyak virus executable dan script (*.vbs, *.js, *.bat; *.hta; *.wsf dll),
tetapi tidak menutup kemungkinan penyebaran virus macro dan virus html, karena file data
seperti document word dan html tetap dapat bekerja.

(http://stephanusvincent.blogspot.com/2010/10/teknik-blokir-semua-file-executable-
dan.html )

Aktifkan / Group Policy Objects Nonaktifkan Lokal

In a non-networked environment (or in a networked environment that does not have a

domain controller), the local Group Policy object's settings are more important, because they
are not overwritten by other Group Policy objects. Dalam lingkungan non-jaringan (atau
dalam lingkungan jaringan yang tidak mempunyai kontroler domain), Kebijakan Grup lokal
obyek pengaturan yang lebih penting, karena mereka tidak ditimpa oleh lain objek
Kebijakan Grup. You can open the Group Policy snap-in to edit the local Group Policy object
that is stored on your local computer. Anda dapat membuka Group Policy snap-in untuk
mengedit objek Kebijakan Grup lokal yang disimpan di komputer lokal Anda. Click Group
Policy to open the local Group Policy object. Klik Kebijakan Grup untuk membuka objek
Kebijakan Grup lokal. This tweak allows you to disable Local Group Policy Objects. Tweak ini
memungkinkan Anda untuk menonaktifkan Grup Perda Objek.

[Start] [Run] [Regedit] [Start] [Run] [Regedit]

Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System Registry
Key: HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System
[ In most cases, this registry key is not present and will need to be created ] [Dalam
kebanyakan kasus, ini kunci registri tidak hadir dan akan perlu dibuat]
Modify/Create the Value Data Type(s) and Value Name(s) as detailed below. Modifikasi / Buat
Value Data Type (s) dan Nama Nilai (s) sebagai berikut.
Data Type: DWORD Value // Value Name: DisableGPO Data Type: DWORD Value / / Nama
Nilai: DisableGPO
Setting for Value Data: [0 = Default (Enabled) / 1 = Disabled] Setting untuk Value Data: [0 =
Default (Diaktifkan) / 1 = Disabled]
Exit Registry and Reboot Keluar Registry dan Reboot

(http://translate.google.co.id/translate?
hl=id&u=http://www.theeldergeek.com/enable_disable_local_group_policy.htm )
Security windows XP tanpa software

Ini saya tulis berdasarkan pengalaman saya mengkonfigurasi windows xp di warnet saya kelola
dan sampai hari ini sistem operasi xp di klien belum ada yang crash.

Diketahui :
- OS Pc klien : Windows XP professional service pack 2 (9 unit)
- Jumlah partisi : 2 partisi, dimana C:\ adalah filesystem dan D:\ adalah data
- Software : saya anggap disini sudah terinstall semua (feature update dimatikan kecuali
AntiVirus)

Back Up terlebih dahulu pada regedit, caranya buka regedit dan di File pilig export

LANGKAH-LANGKAH

SETING START MENU

1. Buka menu start/start menu (disini start menu yang dimaksud adalah komputer klien) lalu
klik kanan di tempat kosong lalu pilih properties atau cara alternatif lain buka control panel/[b]
lalu klik icon [b]Taskbar and Start Menu.
2. Gambar seperti dibawah akan terlihat, lalu pilih costumize.. lalu OK
3. Pada tab General Pilih Small Icon, pada Numbers of programs on Start menu beri nilai 0,
ceklist programs show on Start menu (pilih 2 program yang akan ditampilkan default pada Start
menu)
4. Pada tab Advanced hilangkan ceklist pada opsi

-Enabling dragging and dropping

-Help and support
-Pavorites menu
-Network connections/Don't display this item
-Printers and Faxes
-Run commands
-System Administrative Tools/Don't display this item
-Set Programs Access and Defaults

5. Hilangkan juga ceklist pada List my most recently opened documents dan
klik tombol Clear List lalu OK.

6. Buka Start menu/All Programs cari item atau icon yang akan ditampilkan, contoh
microsoft world, exel,powerpoint,paint, adobe reader, billing client, dll (atur
sedemikian rupa penempatannya dan serasikan pada komputer berikutnya) lalu klik
kanan dan pilih Pin to Start menu sesuaikan dengan kebutuhan umum klien.
7. Masuk ke control panel buka item/icon System pindah ke tab Advanced pada
Performance klik Settings lalu pilih Adjust for best performance lalu kosongkan
semua opsinya kecuali ceklist pada opsi

-Use visual styles on windows and buttons

-Use drop shadows for icon labels on the dekstop

B. LARANG INSTALL SOFTWARE PADA KLIEN

1. Pada komputer klien; sebelumnya pindahkan dulu pacth atau sumber My

Documents yang default/standar nya di partisi C:\ (file system) ke partisi D:\ (Data).
Caranya klik kanan pada My Documents di menu explorer lalu pilih properties lalu
masukan/ketikan D:\ dan OK.
2. Buka Control Panel lalu klik item Administrative Tools lalu buka Local
Security Policy lalu klik kanan pada Software Rectriction Policies lalu pilih
Create New Policies.
3. Kemudian buka Additional Rules di Software Rectriction Policies/Additional
Rules dan klik kanan di tempat kosongnya lalu pilih New Pach Rule.
4. Kotak dialog seperti berikut akan muncul, klik browse untuk
mengarahkan/menunjuk folder/partisi mana yang akan di larang jika user akan
menginstall software atau bisa juga ketik langsung pada nama partisinya, saran
penulis cukup ketik D:\ pada kotak isian Path: lalu pada Security Level: pilih menu
dropdown Disallowed lalu OK, ulangi lalu masukan lagi dan ketik drive E:\ sampai
G:\ or sebanyak-banyaknya untuk mencegah install dari usb,MMC, dan cd-room
karena jika ada device baru akan membentuk nama lokasi suatu drive device.
Tambahan : masukan juga lokasi semua folder yang dishare dalam my network
places
5. Kesimpulannya ketika user menjalankan installers software dengan format file
.exe (executable) di partisi yang sudah ditentukan diatas maka akan secara
otomatis ditolak. Jadi ini intinya hanya melarang format file .exe dijalankan tapi
masih bisa di copykan ke drive lain misal usb jika user memang berniat hanya
download software saja.

C. SETING REGEDIT

1. Karena RUN sudah tidak ada di start menu, dari keyboard ketikan berbarengan
Windows+R lalu ketik regedit

2. BakUp terlebih dahulu untuk amannya, caranya masuk ke menu file pada regedit
lalu export (export nya ke plasdisk atau folder share di pc operator saja supaya
aman)

3.Langkah seting; buka My Computer\HKEY_CURRENT_USER\Control Panel\Desktop,

rubah nilai berikut :
-HungAppTimeout, ubah nilainya menjadi 1000
-MenuShowDelay, ubah nilainya menjadi 50
-WaitToKillAppTimeout, ubah nilainya menjadi 1000

ulangi pada My Computer\HKEY_USER\.DEFAULT\Control Panel\Desktop

4. Buka My
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersi
on\Policies\Explorer lalu buat beberapa dword baru, caranya klik kanan pada
area kosong lalu pilih New lalu DWORD Value lalu namai dword yang dibuat
tersebut. Dword rekomendasi yang saya sarankan adalah seperti list berikut :

- ClassicShell, beri nilai 1 (untuk menampilkan tampilan klasik hirarki menu

explorer)
- ClearRecentDocOnExit, beri nilai 1 (membersihkan history dokument yang telah
dibuka)
- ConfirmFileDelete, beri nilai 1 (untuk menghilangkan opsi pertanyaan ulang
penghapusan)
- LockTaskbar, beri nilai 1 (untuk mengunci taksbar)
- NoAutoUpdate, beri nilai 1 (untuk menon-aktifkan update otomatis windows)
- NoClose, beri nilai 1 (untuk menghilangkan tombol shutdown start menu)
- NoDesktopCleanupWizard, beri nilai 1 (menghilangkah wizard cleanup desktop)
- NoDrives, isikan nilai 4 (untuk menyembunyikan partisi C:\ default partisi system
xp)
- NoFolderOptions, beri nilai 1 (menghilangkan Folder Option)
- NoManageMyComputerVerb, beri nilai 1 (menghilangkan Map Network Drive)
- NoNetConnectDisconnect, beri nilai 1 (menghilangkan Disconnect Network Drive)
- NoRecentDocsHistory, beri nilai 1 (hampir sama seperti ClearRecentDocOnExit)
- NoRecentDocsNetHood, beri nilai 1 (menghilangkan recent dokumen di menu
dropdown)
- NoResolveSearch, beri nilai 1 (menghilangkan opsi kotak search)
- NoSaveSettings, beri nilai 1
- NoSharedDocument, beri nilai 1 (hilangkan folder shared document,disable dulu
sharenya)
- NoSearchButton, beri nilai 1 (hilangkan icon search)
- NoSMBallonTip, beri nilai 1 (hilangkan tips viewing)
- NoStartMenuMorePrograms, isikan 1 (hilangkan All Program menu start)
- NoTrayContextMenu, beri nilai 1 (hilangkan klik kanan pada start menu)
- NoUserNameInStartMenu, beri nilai 1 (hilangkan nama komputer di start menu)
- NoViewOnDrive, beri nilai 1 (hilangkan view di drive)
- NoWelcomeScreen, beri nilai 1 (hilangkan teks welcome pada saat logon)
- StartMenulogoff, beri nilai 1 (hilangkan tombol logoff)

5. Disable Task Manager, Buka My

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersi
on\Policies klik kanan policies lalu pilih New lalu pilih Key maka akan muncul
folder baru pada turunan Policies tadi, namai folder baru itu dengan nama
[/b]System[/b] (perhatikan ejaan). Jika sudah masuk ke Sytem (nama folder yang
baru saja dibuat) lalu buat dword baru kemudian namai DisableTaskmgr dan
berikan nilai 1.

6. Buka My Computer\HKEY_CLASSES_ROOT\Directory\Background\shellex,
pada folder shellex rename/ubah nama menjadi shellex_ncuptea, fungsinya ialah
dimana kebiasaan klien membuat folder-folder baru untuk file-filenya baik di
desktop dan di my documents dan memusingkan dalam hal maintenance nantinya,
berikut screenshoot hasilnya.

menjadi

7. Hilangkan icon tangan pada folder yang di share, Buka My

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersi
on\Policies\Network, klik 2 kali pada script file “ (Default) di kanannya lalu
hapus/kosongkan teks ntshrui.dll lalu [/b]OK[/b]

D. SETING GPEDIT

1. Sekarang konfigurasi gpedit.msc, karena pada Start menu sudah tidak ada
menu Run sebab Start menu sudah diamankan dari langkah diatas, maka gunakan
shortcut keyboard dan tekan logo Windows+R lalu ketikan gpedit.msc.

2. Masih pada gpedit.msc; buka Local Computer Policy lalu Computer

Configuration lalu Administrative Templates lalu System. Cara memakainya
ialah dengan meng-klik 2 kali pada opsi yang ada lalu pilih enabled dan OK,
berikut opsi yang wajib di enable :

-Turn off Windows Update device driver search prompt

-Download missing COM components
-Turn off autoplay (pilih removable dan cd-room)
-Remove Boot / Shutdown / logon / logoff status messages

3. Local Computer Policy/Computer Configuration/Administrative

Templates/System Restore, Enablekan pada opsi :

-Turn off System Restore

-Turn off Configuration

4. Local Computer Policy/Computer Configuration/Administrative

Templates/Error Reporting, Enablekan pada opsi :

-Display Error Notification

-Configure Error Reporting

5. Limit Bandwidth pada masing-masing PC Klien secara manual

Local Computer Policy/Computer Configuration/Administrative
Templates/Network/QoS Packet Schedullers lalu pilih dan klik 2 kali Limit
Reservable Bandwidth lalu pilih enabled dan beri nilai 20 (ini nilai lumrahnya)
pada Bandwidth limit (%) {semakin kecil nilainya semakin besar bandwith bisa
load/muat}.

6. Masih pada gpedit.msc;

Local Computer Policy/User Configuration/Administrative
Templates/System lalu enablekan berikut ini seperti langkah diatas.

-Prevent access to the command prompt (dropdownnya pilih Yes)

-Prevent acces to registry editing tools (dropdownnya pilih Yes)
-Turn off Autoplay (dropdownnya pilih All drive)
-Download missing COM components
-Turn off Windows Update device driver search prompt

7. Larang ganti wallpapers

Local Computer Policy/User Configuration/Administrative
Templates/Desktop/Active Destop lalu enablekan pada opsi Enable Active
Desktop. Pada Active Desktop Wallpaper klik 2 kali lalu pilih enabled dan
dikotak Wallpaper Name masukan teks seperti ini
C:\WINDOWS\Web\Wallpaper\Windows XP.jpg lalu pada Wallpaper Style pilih
Center lalu OK sesudahnya.
8. Dari trik regedit diatas drive C:\ sudah hilang/sembunyi dari menu eplorer akan
tetapi drive C:\ tersebut masih bisa diakses dari meng-klik kanan icon pada desktop
lalu find target atau bisa dari menu Run, untuk menghindari hal tersebut masuk
ke Local Computer Policy/User Configuration/Administrative
Templates/Windows Components/Windows Explorer, pilih Prevent access to
drives from My Computer lalu pilih Enable lalu pada opsi dropdown nya pilih
Restrict A,B and C drives only kemudian OK.

9.Larangan masuk ke control panel

Local Computer Policy/Computer Configuration/Administrative
Templates/Control Panel, pilih dan enablekan Prohibit access to control
panel.

Catatan :

*Perubahan pada regedit diatas sudah di praktekan pada komputer untuk beberapa
warnet, diluar dari perubahan diatas penulis tidak bertanggung jawab atas crash
nya windows.

*Perhatikan ejaan tulisan dalam setiap dword, dan nilai nya karena salah sedikitpun
fungsi atau hasilnya tidak akan nampak.

*Untuk mendisable sementara perubahan beberapa opsi dari regedit isikan nilai 0

*Logout untuk melihat perubahan atau supaya lebih yakinnya restart saja.

*Opsi-opsi pada gpedit.msc merantai ke regedit

*Opsi-opsi pada gpedit.msc sebenarnya masih banyak lagi lebih dari yang penulis
sarankan diatas, namun karena perubahan gpedit ini nantinya menambahkan juga
secara otomatis ke regedit dan jika itu 1 perintah yang sama baik di regedit dan
gpedit tertimpa maka opsi perintah yang kita pilih tidak akan bekerja.

*Untuk atau melakukan tambahan installasi software silahkan taruh terlebih dulu
mentahan softwarenya ke drive C:\, karena drive C: sudah di lock maka untuk
membukanya disable opsi pada Prevent access to drives from My Computer pada
trik gpedit diatas kemudian masuk ke run dan ketikan C: atau klik kanan pada icon
desktop lalu find target.

*Untuk masuk ke regedit ialah kebalikan dari point Prevent acces to registry editing
tools di gpedit.msc

*Untuk masuk ke command prompt kebalikan dari point Prevent access to the
command prompt di gpedit.msc
Untuk lengkapnya dari mulai Seting LAN sederhana saya dengan model jaringan
peer to peer (berbagi) sampai security xp seperti diatas bisa di download DISINI
dalam bentuk PDF.

Tambahan :

Cegah install software dari browser (khusus mozilla firefox)

1. Sebelumnya pastikan plugin/addons yang dibutuhkan sudah terinstall.

2. Buka firefox, Pada kotak url browser mozilla ketikan about:config

3. Cari xpinstall.enabled

4. Sorot pada list teks xpinstall.enabled lalu klak-klik saja disitu sehingga rubah
seperti brkt yg penting di nilainya false aja.
5. Close or restart firefox, sekarang coba tes dengan melakukan install pengaya.
(http://www.cikonet.co.cc/2010/09/security-windows-xp-tanpa-software.html )