Membatasi Akses File Sharing Windows 11 dengan Firewall

Menerapkan pembatasan akses file sharing berbasis alamat IP adalah strategi esensial untuk memperkuat pertahanan jaringan dari ancaman ransomware, malware, serta penyusupan tanpa izin.

File sharing lewat protokol SMB (Server Message Block) memudahkan kolaborasi data di jaringan lokal. Namun, kemudahan ini membuka celah keamanan kritis. Setiap perangkat dalam satu subnet berpotensi mengakses, memodifikasi, atau mengenkripsi folder yang Anda bagikan. Windows 11 menyediakan fitur berbagi yang aktif setelah network discovery dihidupkan. Oleh karena itu, diperlukan filter akses ketat di tingkat jaringan. Teknik whitelist IP melalui Windows Defender Firewall membatasi akses file sharing hanya kepada alamat tepercaya. Metode ini menggantikan ketergantungan pada kata sandi yang mudah bocor dengan identitas jaringan yang sulit dipalsukan.

Prasyarat Sistem dan Persiapan Jaringan

Sebelum memulai, pastikan seluruh komputer berada dalam satu subnet jaringan lokal. Alamat IP statis sangat direkomendasikan untuk server dan klien. Penggunaan DHCP memang praktis, tetapi berpotensi memutus koneksi saat masa sewa alamat berakhir dan perangkat memperoleh alamat baru. Anda juga memerlukan hak administrator pada PC yang bertindak sebagai server file. Pastikan Windows Defender Firewall dalam keadaan aktif dan tidak ditimpa oleh perangkat lunak keamanan pihak ketiga. Layanan Server dan Workstation juga perlu berjalan normal agar protokol SMB dapat berfungsi.

Baca juga: Cara Blokir Aplikasi Mengakses Internet di Windows Firewall

Mekanisme Kerja dan Risiko SMB

Protokol SMB beroperasi pada application-layer dan umumnya menggunakan port TCP 445 untuk komunikasi langsung. Jalur ini sering menjadi vektor serangan siber. Sebagai contoh, worm WannaCry menyebar melalui kerentanan SMBv1. Meskipun Windows 11 telah menonaktifkan SMBv1 secara default, mengaktifkan file sharing tanpa filter IP tetap berbahaya. Serangan brute force atau penyebaran ransomware dari perangkat terinfeksi di dalam jaringan internal masih mungkin terjadi. Dengan whitelist IP, Anda menciptakan perimeter keamanan mikro. Hanya paket data dari alamat yang terdaftar yang dapat mencapai port layanan file. Teknik ini sangat efektif untuk memisahkan akses antar departemen atau direktori game di LAN party.

Langkah 1: Mengaktifkan Fitur File Sharing

Konfigurasi awal memerlukan aktivasi fitur berbagi pada sistem operasi. Ikuti prosedur ini untuk menyiapkan fondasi sebelum masuk ke lapisan keamanan:

1. Buka Settings dengan menekan tombol (WIN + I).
2. Navigasikan ke Network & internet, lalu pilih Advanced network settings.
3. Di bawah bagian More settings, klik Advanced sharing settings.
4. Pada segmen Private network, aktifkan sakelar Network discovery dan File and printer sharing.

Selanjutnya, nonaktifkan proteksi kata sandi untuk menyederhanakan pengujian. Dengan cara ini, filtrasi murni berdasarkan identitas jaringan tanpa terhambat maslah kredensial.

5. Gulir ke bagian All Networks dan pilih opsi Turn off password protected sharing.
6. Klik tombol Save changes untuk menerapkan konfigurasi.

Langkah 2: Prosedur Sharing Folder Spesifik

Setelah layanan aktif, Anda harus memilih direktori lokal yang akan diekspos ke jaringan. Prosedur ini menggabungkan izin tingkat sistem berkas (NTFS) dan izin berbagi (Share Permissions) untuk memastikan kompatibilitas maksimal.

1. Buka File Explorer dan temukan folder target yang akan dibagikan.
2. Klik kanan folder tersebut, lalu pilih Properties dari menu konteks.
3. Beralihlah ke tab Sharing dan klik tombol Advanced Sharing.
4. Beri tanda centang pada kotak Share this folder. Anda dapat menyesuaikan Share name agar lebih mudah dikenali.
5. Klik tombol Permissions untuk mengelola hak akses tingkat jaringan.

Pada jendela Permissions, berikan izin penuh (Full Control) atau setidaknya Read kepada grup Everyone. Tujuannya mencegah blokir ganda. Aturan firewall nantinya yang akan menyaring akses, sehingga izin ini memastikan klien yang lolos filter tidak terhambat oleh penolakan izin di tingkat sistem.

Langkah 3: Menguji Konektivitas Awal

Sebelum menerapkan filter, validasi bahwa folder sudah dapat diakses oleh klien lain. Gunakan perangkat kedua di jaringan dan ketikkan jalur UNC (Universal Naming Convention) pada address bar File Explorer.

\\192.168.1.100

Ganti alamat IP tersebut dengan alamat lokal milik PC server Anda. Jika muncul folder yang dibagikan, konfigurasi dasar telah berhasil. Catat alamat IP klien yang akan diberi akses eksklusif sebelum melanjutkan ke tahap keamanan.

Konfigurasi Inti: Membatasi Akses file sharing dengan Firewall

Inti dari strategi keamanan ini adalah memblokir seluruh lalu lintas SMB masuk secara global. Setelah itu, dibuat pengecualian spesifik untuk alamat IP tepercaya. Metode ini memastikan setiap pemindaian port 445 dari perangkat asing langsung ditolak secara otomatis. Pendekatan ini jauh lebih aman dibandingkan hanya mengandalkan autentikasi pengguna.

1. Memblokir Aturan Default File and Printer Sharing

Langkah pertama adalah menonaktifkan aturan izin yang terlalu luas yang disediakan oleh sistem operasi secara bawaan. Dengan menonaktifkan aturan ini, Anda menutup total akses jaringan ke sumber daya bersama.

1. Buka Control Panel, lalu navigasikan ke System and Security > Windows Defender Firewall.
2. Klik menu Allow an app or feature through Windows Defender Firewall pada panel kiri.

3. Klik tombol Change settings untuk mengaktifkan mode edit. Anda memerlukan hak administrator pada tahap ini.
4. Gulir ke bawah pada daftar, lalu cari entri File and Printer Sharing serta File and Printer Sharing over SMBDirect.
5. Hapus semua tanda centang pada kedua entri tersebut di semua profil jaringan (Private, Public, dan Domain). Tindakan ini akan memblokir semua koneksi masuk ke folder sharing.

2. Membuat Aturan Whitelist IP Khusus (Inbound Rule)

Setelah blokade global aktif, kita perlu membuat “pintu rahasia” yang hanya bisa dilalui oleh alamat tertentu. Proses ini dilakukan melalui Windows Defender Firewall with Advanced Security. Anda akan membuat aturan masuk (inbound rule) khusus yang mengizinkan koneksi TCP pada port 445 hanya dari daftar IP yang telah ditentukan.

1. Pada halaman utama Windows Defender Firewall, pilih Advanced settings di panel kiri.
2. Pilih node Inbound Rules, kemudian klik kanan padanya dan pilih New Rule.

3. Pada Rule Type, pilih Custom untuk mendapatkan kontrol penuh atas paket data. Klik Next.
4. Pada bagian Program, aktifkan pilihan All programs. Klik Next.
5. Pada langkah Protocol and Ports, lakukan pengaturan berikut:
   • Protocol type: TCP
   • Local port: Specific Ports, dan isikan nomor 445.
   Lanjutkan dengan klik Next.

Tahap paling krusial adalah menentukan daftar putih pada pengaturan Scope. Ketelitian dalam memasukkan alamat IP sangat penting agar tidak terjadi kesalahan konfigurasi.

6. Pada langkah Scope, cari bagian Which remote IP addresses does this rule apply to?.
7. Pilih opsi These IP addresses dan klik tombol Add.
8. Masukkan alamat IP spesifik dari PC atau server yang diizinkan untuk mengakses file sharing. Anda dapat menambahkan satu alamat IP tunggal atau satu blok subnet menggunakan notasi CIDR.
9. Klik Next pada langkah Action dan pastikan opsi Allow the connection yang terpilih.
10. Pada langkah Profile, biarkan semua profil (Domain, Private, Public) tercentang, lalu klik Next.
11. Beri nama aturan ini dengan deskriptif, contoh: Allow_SMB_Trusted_IPs. Klik Finish.

Prioritas Aturan: Pastikan aturan Allow yang baru Anda buat berada di urutan atas daftar Inbound Rules. Windows memproses aturan secara hierarkis, sehingga aturan blokir dapat menimpa aturan izin jika penempatannya lebih tinggi.

Verifikasi dan Troubleshooting Pasca Konfigurasi

Setelah aturan selesai dibuat, pengujian wajib dilakukan dari dua sisi. Coba akses folder sharing dari perangkat klien yang alamat IP-nya terdaftar dalam whitelist. Koneksi seharusnya berjalan lancar tanpa kendala berarti. Selanjutnya, cobalah akses dari perangkat lain yang tidak terdaftar. Sistem harus menampilkan pesan kegagalan seperti “Windows cannot access…” atau permintaan kredensial yang gagal.

Beberapa masalah umum yang mungkin muncul antara lain kegagalan koneksi akibat cache DNS atau NetBIOS yang kedaluwarsa. Anda dapat membersihkannya melalui perintah ipconfig /flushdns pada Command Prompt. Jika perangkat menggunakan lebih dari satu antarmuka jaringan, pastikan aturan firewall diterapkan pada profil jaringan yang tepat. Selain itu, cek kembali apakah terdapat aturan blokir lain yang mungkin bentrok. Untuk keamanan yang lebih dalam, integrasikan teknik ini dengan enkripsi SMBv3 guna mencegat penyadapan data saat transit.

Studi Kasus dan Implementasi Profesional

Dalam lingkungan profesional, teknik whitelist IP ini sangat berguna untuk membatasi akses file sharing ke server sensitif. Sebagai contoh, tim pengembang cukup membagikan folder build hanya ke komputer CI/CD (Continuous Integration/Continuous Deployment) dengan IP spesifik. Server keuangan juga dapat diisolasi agar hanya staf tertentu yang terhubung langsung. Di ranah gamer, admin server dapat menerapkan metode ini untuk mencegah pemain biasa mengakses file konfigurasi server yang rentan dimanipulasi.

Metode yang dijelaskan merupakan bagian dari strategi pertahanan berlapis (defense in depth). Meskipun efektif, seorang administrator sistem tidak boleh hanya mengandalkan filter IP semata. Aktifkan selalu audit log pada Windows untuk memonitor percobaan akses ilegal. Anda dapat mempelajari lebih lanjut mengenai arsitektur keamanan protokol jaringan melalui dokumentasi resmi Microsoft SMB Overview atau panduan Windows Firewall Configuration Guide.