Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part I)
Jika kita ingin mengimplementasikan fitur-fitur security dan control baru yang ada di Windows Server 2008 untuk mengamankan komunikasi antara application server dengan workstation, atau antara sekelompok user ketika berada di corporate network untuk mengakses suatu application management dimana aplikasi ini menggunakan port number tertentu. User-user ini harus dapat mengakses application management tersebut baik ketika berada di corporate network maupun ketika berada di client site. Untuk keperluan seperti ini kita dapat menggunakan WFAS.
Penggunaan Windows Firewall with Advanced Security dapat kita manfaatkan untuk mengamankan komunikasi bagi user yang mengakses suatu aplikasi di corporate network dan juga menyediakan sarana untuk user yang sama ketika user tersebut berada di client site.
Bayangkan jika perusahaan /organisasi kita menggunakan suatu aplikasi yang terhubung ke port 3432 pada tiap komputer client. Kita harus memastikan bahwa aplikasi ini berfungsi saat user berada pada corporate network dan dimana server-server yang menjalankan aplikasi ini yang dapat data diakses melalui port number tersebut, dan dapat diakses ketika user berada pada client site. Kita juga harus memastikan tidak semua computer client dapat mengakses, hanyalah suatu group computer saja yang dapat melakukan koneksi ke server aplikasi tersebut.
Dalam artikel berikut, saya menggunakan:
- Satu PC running Windows Server 2008 Standard edition, yang juga berfungsi sebagai domain controller dan dns server, dengan nama komputer : DC01.
- Satu PC running windows Vista Ultimate, sebagai workstation dari domain, dengan nama komputer : Vista01
- Nama domain yang digunakan: wirecat.com
- Dua Global Group, yaitu High Security Server dan High Security Workstations dimana masing-masing memiliki member DC01 dan Vista01
- Satu Domain User Account, yaitu John Doe, dengan logon name: Johnd
Membuat Public Policy untuk Roaming Users
Dari computer domain controller, dengan menggunakan Group Policy Management Editor, buat OU baru dengan nama Roaming Computers, kemudian membuat GPO dengan nama Roaming Computers WFAS Policy.
Mengkonfigurasi Windows Firewall with Advanced Security (WFAS)
Pada bagian ini, saya melakukan konfigurasi seting untuk WFAS untuk tiga profile berbeda—Domain, Private, and Public. Dengan mengkonfigurasi Block (default) baik pada profile Domain dan Private, kita dapat memastikan bahwa hanya protocol-protocol infrastruktur jaringan saja seperti ICMP yang akan diterima oleh komputer-komputer ini. Ini artinya juga semua aplikasi lainnya tidak dapat berfungsi. Dengan mengkonfigurasi Block all connections pada profile public, kita memastikan tidak ada koneksi yang diizinkan, termasuk protocol infrastruktur seperti ICMP, terhadap komputer-komputer ini. User masih dapat memilih profile mana yang akan mereka pakai nantinya.
Caranya :
1. Dari komputer domain controller, buka kembali Group Policy Editor, pada bagian Computer Configuration, buka Policies, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.
2. Klik Windows Firewall with Advanced Security - LDAP://<DN>,dan kemudian pada bagian Overview, klik Windows Firewall Properties.
3. Kemudian, pada tab Domain Profile, untuk seting State sebagai berikut: (Firewall state: On(recommended), Inbound connections: Block (default), Outbound connections (Allow (default)).
Kemudian pada tab Private Profile, setingnya sebagai berikut:
Pada tab Public Profile, setingnya sebagai berikut:
Membuat inbound rule untuk management application pada domain profile
Pada tahapan berikutnya, kita akan membuat suatu inbound rule untuk mengizinkan management application melakukan koneksi ke komputer-komputer. Rule ini diterapkan hanya pada domain profile, untuk memastikan bahwa management application diproteksi saat komputer ini dikoneksikan ke private atau public network.
- Pada Group Policy Management Editor, pada bagian navigasi , buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik Inbound Rules.
- Pada menu Action, klik New Rule.
- Buat sebuah inbound rule baru dengan parameter sebagai berikut:
| Setting | Values |
| Rule Type | Port |
| Protocol and Ports | TCP 3432 |
| Action | Allow the connection if it is secure |
| Users and Computers | Only allow connections from these computers: Wirecat\High Security Servers |
| Profile | Domain only |
| Name | Allow Management Application (Secure) |
Sebelumnya, pada domain controller kita bisa membuat sebuah group (global group) yang berisi komputer-komputer yang menjalankan management application. Dalam kasus ini, saya menggunakan nama group-nya High Security Servers, seperti ketika diisikan pada bagian User and Computers seperti pada gambar berikut:
…to be continued………………………………………………………….