Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part II)
artikel berikut merupakan kelanjutan dari artikel sebelumnya di sini.
Membuat Firewall exemption untuk domain administrators
Pada bagian berikutnya, kita perlu untuk membuat sebuah firewall exemption untuk domain administrators. Exemption ini akan memastikan bahwa seluruh koneksi yang berasal dari goup komputer tertentu diizinkan, dan tidak terpengaruh oleh inbound firewall rules. Rule ini harus dikonfigurasi secara hati-hati, karena rule ini diproses sebelum rule-rule lain baik yang bersifat block maupun deny.
Kita bisa melihat bahwa saat kita memberikan tanda cek pada check box Override block rules kita perlu untuk menyediakan nama group dari komputer yang diizinkan dalam menggunakan rule ini.
- Pada Group Policy Management Editor, pada menu Action, klik New Rule.
- Buat sebuah inbound rule baru dengan parameter sebagai berikut, dan kemudian tutup Group Policy Management Editor.
| Setting | Values |
| Rule Type | Custom |
| Program | All Programs |
| Protocol and Ports | Any |
| Scope | Any |
| Action | Allow the connection if it is secure: Override block rules |
| Users and Computers | Wirecat\High Security Workstations |
| Profile | Domain only |
| Name | Secure Workstation Override |
Verifikasi apakah Roaming user policy telah sukses diterapkan.
Untuk mengecek apakah Roaming user policy telah sukses diterapkan, kita perlu memindahkan computer client account ke OU Roaming Computers.
Jalankan langkah berikut sebagai administrator pada komputer domain controller.
1. Klik Start, Administrative Tools, dan kemudian klik Active Directory Users and Computers.
2. Pada Active Directory Users and Computers, buka Wirecat, dan buka Computers.
3. Klik –kanan pada nama computer client, klik Move, dan pada kotak dialog Move, klik Roaming Computers, dan kemudian klik OK.
Langkah selanjutnya, kita melakukan beberapa langkah berikut dari komputer client. Jalankan perintah berikut dengan menggunakan account domain administrator.
4. Beralih ke komputer client (Vista01).
5. Log on ke domain sebagai Domain Administrator, Wirecat\Administrator.
6. Klik menu Start, dan pada Start Search box, ketikkan cmd kemudian ENTER.
7. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force
8. Klik Start, dan pada Start Search box, ketikkan WF.msc dan kemudian klik OK.
9. Pada Windows Firewall with Advanced Security, klik Monitoring.
10. Pastikan bahwa Domain Profile is Active ditampilkan pada bagian atas dari bagian Monitoring.
11. Klik View active firewall rules.
12. Pastikan bahwa Allow Management Application (Secure) and Secure Workstation Override rules telah ada dalam daftar, lihat gambar berikut.
13. Tutup Windows Firewall with Advanced Security.
Konfigurasi domain isolation menggunakan WFAS
Pada bagian berikut, kita akan mengkonfigurasi sebuah Windows Firewall with Advanced Security (WFAS) policy di default domain policy. Secara default, saat WFAS di-enable maka WFAS ini akan menahan fungsi inbound connections dalam jumlah yang banyak sekali. Ini artinya saat WFAS di-enable pada computer seperti domain controller, rule-rule yang mengizinkan inbound connections harus dibuat secara manual.
Jalankan langkah-langkah konfigurasi berikut pada komputer yang menjadi domain controller dengan log on sebagai domain Administrator.
1. Kembali ke komputer domain controller.
2. Buka Group Policy Management.
3. Pada Group Policy Management, dalam panel navigasi, klik Wirecat, dan kemudian klik Default Domain Policy.
4. Pada menu Action klik Edit.
5. Pada Group Policy Management Editor pada Computer Configuration, buka Policies, buka Windows Settings, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.
6. Klik Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian pada bagian Overview, klik Windows Firewall Properties.
7. Pada kotak dialog Windows Firewall with Advanced Security, pada tab Domain Profile , buatlah beberapa perubahan konfigurasi sebagai berikut (lihat table) dan kemudian pada bagian Settings, klik Customize.
| Setting | Values |
| Firewall State | On (recommended) |
| Inbound connections | Block (default) |
| Outbound connections | Allow (default) |
8. Pada pada kotak dialog Customize Settings for the Domain Profile, pada Rule merging, pada pilihan Apply local firewall rules, klik No, pada plihan Apply local connections security rules list, klik No, dan kemudian klik OK.
9. Klik OK untuk menutup kotak dialog Windows Firewall with Advanced Security – LDAP://<DN>.
10. Pada Group Policy Object Editor, buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik pada Inbound Rules.
11. Dari menu Action, klik New Rule.
12. Buatlah sebuah inbound rule baru dengan parameter sebagai berikut :
| Setting | Values |
| Rule Type | Custom |
| Program | All programs |
| Protocol and Ports | Any |
| Scope | Any |
| Action | Allow the connection |
| Profile | Domain only |
| Name | Allow all traffic |
13. Pada Group Policy Object Editor, dalam panel navigasi, klik Connection Security Rules.
14. Pada menu Action, klik New Rule.
15. Buatlah sebuah connection security rule baru dengan parameter sebagai berikut:
| Setting | Values |
| Rule Type | Isolation |
| Requirements | Request authentication for inbound and outbound connections |
| Authentication Method | Default |
| Profile | Domain only |
| Name | Request connection security |
16. Tutup Group Policy Management Editor.
17. Tutup Group Policy Management.
Penerapan seting-seting Group Policy baru
Pada bagian ini, kita lakukan refreshing Group Policy pada komputer domain controller secara manual.
1. Klik Start, dan kemudian klik Command Prompt.
2. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force
Pengujian domain isolation policy
Pada bagian ini, kita akan secara manual meakukan refreshing Group Policy pada komputer client. Kita kemudian menggunakan fungsi monitoring yang built-in dari WFAS management console untuk memverifikasi bahwa IPsec security associations sedang dibuat antara client dan DC.
1. Kembali gunakan komputer Vista01.
2. Klik Start menu, dan pada Start Search box, ketikkan cmd dan kemudian ENTER.
3. Pada command prompt, ketikkan perintah berikut dan tekan ENTER. Gpupdate /force. Log off, dan kemudian log on sebagai Wirecat\JohnD.
4. Pada Start menu, pada Start Search, ketikkan WF.msc dan kemudian tekan ENTER.
5. Pada kotak dialog User Account Control, klik Continue.
6. Pada Windows Firewall with Advanced Security, klik Inbound Rules. Verifikasi bahwa Allow all traffic adalah rule yang paling pertama ada pada daftar.
7. Pada Windows Firewall with Advanced Security, klik Connection Security Rules. Verifikasi bahwa Request connection security merupakan satu-satunya rule yang terdaftar.
8. Klik Start, dan pada Start Search box, ketikkan \\DC01\sysvol dan kemudian tekan ENTER.
9. Kembali buka Windows Firewall with Advanced Security, dan pada panel navigasi buka Monitoring, buka Security Associations, dan kemudian klik Quick Mode.
10. Lakukan review terhadap content dari panel Quick Mode. Klik-ganda pada quick mode security association yang terlihat untuk melihat detailnya.
----------------Semoga bermanfaat-----------------------------