Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào.
Giới thiệu AppLocker Trong giới thiệu cho bạn lý sách hạn chế phần mềm lại tỏ khơng hiệu AppLocker giúp bạn khắc phục vấn đề Giới thiệu Tính Windows mang tên AppLocker tính tạo với mong muốn khắc phục yếu điểm sách hạn chế phần mềm phiên Windows trước Loạt giới thiệu cho bạn lý sách hạn chế phần mềm lại tỏ không hiệu AppLocker giúp bạn Trong vài phiên Windows hệ gần đây, muốn hạn chế ứng dụng mà người dùng trước phép chạy, bạn có cách thực sử dụng sách hạn chế phần mềm (Software Restriction Policies), tiện ích nhóm thứ ba chẳng hạn Parity Bit9 Tuy nhiên vấn đề việc sử dụng sách hạn chế phần mềm chúng hoạt động thực không tốt Mặc dù khóa máy trạm người dùng sách hạn chế phần mềm việc tạo sách lại khơng đơn giản chút với người dùng Trong Windows Vista Windows Server 2008, Microsoft thực thay đổi nhỏ sách hạn chế phần mềm Trong phiên này, Microsoft bổ sung kiểu rule mang tên “network zone rule” rule coi mức bảo mật Basic User Trong Windows 7, Microsoft thiết kế lại sách hạn chế phần mềm Tính thiết kế mang tên AppLocker Không mong đợi AppLocker tồn diện giải pháp khóa chặn desktop nhóm thứ ba, nhiên cải thiện nhiều so với sách hạn chế phần mềm trước Những thiếu sót sách hạn chế phần mềm Trước đánh giá AppLocker, bạn cần hiểu chút sách hạn chế phần mềm trước Hơn AppLocker hỗ trợ kiểu rule tương tự sách phần mềm có, phần giới thiệu cho bạn rule sách hạn chế phần mềm Các sách hạn chế phần mềm được tạo nên từ nhiều kiểu rule khác Bạn tạo rule như: certificate rule, hash rule, path rule, internet Zone rule, network zone rule Certificate Rule Certificate rule rule quan trọng số rule cung cấp Rule cho phép bạn đồng ý từ chối ứng dụng dựa chữ ký số Tuy nhiên vấn đề kiểu rule sách hạn chế phần mềm giới thiệu lần đầu Windows XP, không đánh chữ ký số mã ứng dụng họ Thậm chí bạn thấy hãng phần mềm thường không gắn kèm chữ ký số vào ứng dụng họ Một vấn đề khác với rule chứng chúng có phạm vi lớn Nếu cho phép ứng dụng ký Microsoft tất ứng dụng Microsoft cho phép trừ bạn tạo rule riêng với mức ưu tiên cao để khóa số ứng dụng khơng mong muốn Microsoft Hash Rule Kiểu rule thứ hai sách hạn chế phần mềm hỗ trợ hash rule Ý tưởng rule Windows tạo hash file thực thi, sử dụng hash để nhận diện ứng dụng Có thể nói ý tưởng hash rule tốt thời điểm giới thiệu, nhiên ngày chúng khơng cịn mang tính thực tiễn Bất chịu tránh nhiệm cho việc tổ chức hợp lệ bên tổ chức biết chúng bị oanh tạc vá với tốc độ báo động Bất thời điểm bạn vá lỗi ứng dụng, hash thay đổi file thay thế, sau render hash rule tồn lỗi thời trước Path Rule Path rule kiểu rule yếu Chúng cho phép khóa ứng dụng dựa đường dẫn ứng dụng cài đặt Đây đường dẫn hệ thống file đường dẫn registry Vấn đề phát sinh với kiểu rule là, người đủ thẩm quyền cài đặt ứng dụng họ có đủ quyền để chuyển ứng dụng sang location khác để tránh bị ảnh hưởng rule Internet Zone Rule Internet zone rule ví dụ mang tính kinh điển ý tưởng tốt thực thi cách nghèo nàn Về ý tưởng phía sau rule ngăn chặn người dùng download cài đặt ứng dụng từ Internet Tuy nhiên có số vấn đề với cách thức làm việc bên chúng Đâu tiên Internet zone rule áp dụng cho file MSI (các gói phần mềm cài đặt Windows) Vấn đề Internet zone rule áp dụng thời điểm file download Điều có nghĩa người dùng download file ZIP có chứa ứng dụng Internet zone rule khơng ngăn chặn việc cài đặt ứng dụng Network Zone Rule Network zone rule tương tự Internet zone rule, ngoại trừ việc kiểm tra Internet zone mà file download, chúng kiểm tra location mạng, nơi file tồn Cho ví dụ, bạn tạo sách phép người dùng chạy ứng dụng cài đặt máy tính nội Tuy nhiên vấn đề lớn kiểu rule trước sử dụng, ứng dụng phải nằm mạng bạn Vấn đề quan trọng Trong phần giới thiệu số thiếu sót rule trước đây, nhiên trung tâm thực vấn đề lại liên quan đến thật sách hạn chế phần mềm thiết kế để khóa chặn kiểu ứng dụng khác Lý lại vấn đề lớn có số vô hạn ứng dụng không thẩm định để sử dụng mạng, nhiên lại có số hữu hạn ứng dụng thẩm định Chính việc cho phép tập cụ thể ứng dụng dễ dàng nhiều việc khóa số lượng lớn ứng dụng không rõ Những điểm yếu khắc phục AppLocker với số tính khác Kết luận Trong phần này, giới thiệu cho bạn số sách hạn chế phần mềm hạn chế chúng Trong phần hai loạt bài, tiếp tục giới thiệu cho bạn AppLocker cách khắc phục hạn chế Trong phần hai này, giới thiệu cho bạn số vấn đề cần giải trước tạo rule AppLocker Giới thiệu Mặc dù AppLocker mạnh sách hạn chế phần mềm Software Restriction Policies tồn số vấn đề mà bạn cần biết trước tạo rule AppLocker Trong phần thứ hai chúng tơi giải thích cho bạn vấn đề Trong phần trước loạt bài, giới thiệu cho bạn biết rằng, Microsoft giới thiệu sách hạn chế phần mềm (Software Restriction Policies) Windows XP nhằm cho phép quản trị viên kiểm soát ứng dụng người dùng phép chạy, ứng dụng khơng Trong q trình làm việc với hệ điều hành nhiều năm, sách hạn chế phần mềm lộ số thiếu sót Tuy nhiên với phát hành Windows 7, Microsoft cố gắng khắc phục thiếu sót thơng qua tíng mang tên AppLocker Khả tương thích Mặc dù AppLocker phiên tính Software Restriction Policies AppLocker lại khơng có khả tương thích với Software Restriction Policies Nếu bạn định nghĩa Software Restriction Policies bên Group Policy Object, sách tiếp tục làm việc, chí bạn nâng cấp máy tính lên Windows Mặc dù vậy, bạn định nghĩa sách AppLocker bên Group Policy Object chứa sách hạn chế phần mềm máy tính chạy Windows bỏ qua sách hạn chế phần mềm, áp dụng sách AppLocker Một khía cạnh khác, Group Policy Object gồm có sách Software Restriction Policies AppLocker máy tính chạy Windows XP Vista bỏ qua sách AppLocker sử dụng Software Restriction Policies Điều xảy tính AppLocker không tồn hệ điều hành kế thừa Một số hạn chế Mặc dù AppLocker cung cấp cải thiện lớn so với Software Restriction Policies có số hạn chế định Hạn chế lớn AppLocker người dùng có đặc quyền quản trị viên máy tính họ AppLocker dễ dàng bị phá vỡ Microsoft khuyên không nên cung cấp đặc quyền quản trị viên cho người dùng, nhiên giới thực, hành động không tránh khỏi Thêm vào đó, có số ứng dụng khơng hoạt động trừ người dùng nắm tồn quyền kiểm soát hệ thống Nếu bạn muốn sử dụng AppLocker người dùng bạn có đặc quyền quản trị viên, bạn nên xem xét liệu cung cấp cho người dùng quyền điều khiển quản trị viên máy tính họ Có lẽ bạn cung cấp cho người dùng tồn quyền điều khiển thư mục mà khơng thực cung cấp cho họ đặc quyền quản trị viên đầy đủ Tuy nhiên phương pháp lúc làm việc tốt số ứng dụng yêu cầu người dùng có khả thay đổi registry thành phần khác hệ điều hành Nếu người dùng yêu cầu quyền truy cập quản trị viên hệ thống, bạn loại bỏ cách khóa cơng cụ quản trị Cho ví dụ, bạn tạo rule để khóa số thứ Registry Editor Windows PowerShell Nếu bạn cố gắng sử dụng phương pháp này, bạn phải ý khơng cấu hình rule mang tính tồn cục Thêm vào đó, nhân viên trợ giúp yêu cầu truy cập vào công cụ quản trị khác để họ khắc phục số vấn đề với máy tính người dùng Các chiến lược AppLocker Mặc dù AppLocker hỗ trợ số kiểu rule tương tự Software Restriction Policies, nhiên cách mà AppLocker sử dụng khác so với bạn biết Trong thực tế, bạn dễ tự mắc phải rắc rối khơng hiểu cách làm việc AppLocker Chính khuyên bạn nên quan tâm đến đề cập phần Để sử dụng AppLocker an toàn, bạn phải hiểu triết lý Microsoft đằng sau rule AppLocker Triết lý xoay quanh ý tưởng rằng, có số ứng dụng đặc biệt bạn sử dụng tổ chức Ngược lại, có số khơng xác định ứng dụng mà tổ chức không sử dụng Cho ví dụ, số ứng dụng bạn không cho phép sử dụng tổ chức gồm ứng dụng như: video game, malware, phần mềm mạng ngang hàng Quan điểm nên chọn nhiều ứng dụng mà bạn không muốn người dùng chạy chọn ứng dụng mà người dùng cho sử dụng Với quan điểm đó, dễ dàng cung cấp cho Windows danh sách trắng ứng dụng phép so với việc phải khóa ứng dụng mà bạn muốn ngăn chặn người dùng sử dụng Đây triết lý Microsoft đằng sau cách rule AppLocker làm việc Điều dẫn đến khái niệm đằng sau rule AppLocker Các rule AppLocker tổ chức thành sưu tập Mặc dù tạo tuyên bố từ chối, rule AppLocker coi chế cho việc cho phép đặc quyền thứ (nhớ rằng, hồn tồn dễ dàng việc cho phép phần mềm sử dụng cấm phần mềm khơng sử dụng) Lúc tiến vào đến phần quan trọng Lưu ý, bạn tạo nhiều rule đơn sưu tập rule Windows tự động thừa nhận bạn muốn ngăn chặn chạy thứ Đây khái niệm quan trọng cần phải nhớ chắn bạn muốn người dùng chạy Microsoft Office Internet Explorer, bạn tạo rule phép họ thực điều Trong hồn cảnh đó, bạn từ chối quyền mà người dùng chạy thứ, gồm có hệ điều hành Windows Tuy nhiên bạn dễ bị khóa vơ tình người dùng với Windows rule AppLocker tạo không cách Đây thứ mà nhắm đến nhiều phần sau loạt Thứ cuối muốn giới thiệu từ chối Như giới thiệu trước, chúng tơi đề cập rằng, hồn tồn ngăn chặn người dùng có đặc quyền quản trị viên hệ thống việc chạy cơng cụ quản trị, nhiên bạn tạo ngoại lệ cho nhân viên trợ giúp Về vấn đề giới thiệu chi tiết cho bạn phần sau loạt bài, cịn lúc chúng tơi chỉ việc thiết lập kiểu cấu hình Với cách AppLocker làm việc, từ chối truy cập cho người công cụ quản trị Thay vào đó, phải cho phép người có quyền truy cập vào file hệ thống Windows Từ đây, bổ sung từ chối cho công cụ quản trị để áp dụng cho nhóm người dùng (mọi người trừ nhân viên trợ giúp) Bạn thực thứ cho nhân viên trợ giúp chọ có quyền truy cập đến cơng cụ quản trị viên mà bạn cho phép truy cập file hệ thống Windows Kết luận Trong phần hai này, giới thiệu cho bạn vấn đề dễ vơ tình mắc phải q trình khóa chặn sử dụng rule AppLocker Qua rút kinh nghiệm đó, chúng tơi giới thiệu phương pháp khác để khắc phục nhược điểm Trong phần loạt này, giới thiệu cho bạn cách tạo rule AppLocker ... yếu khắc phục AppLocker với số tính khác Kết luận Trong phần này, giới thiệu cho bạn số sách hạn chế phần mềm hạn chế chúng Trong phần hai loạt bài, tiếp tục giới thiệu cho bạn AppLocker cách... bạn AppLocker cách khắc phục hạn chế Trong phần hai này, giới thiệu cho bạn số vấn đề cần giải trước tạo rule AppLocker Giới thiệu Mặc dù AppLocker mạnh sách hạn chế phần mềm Software Restriction... bạn cần biết trước tạo rule AppLocker Trong phần thứ hai chúng tơi giải thích cho bạn vấn đề Trong phần trước loạt bài, giới thiệu cho bạn biết rằng, Microsoft giới thiệu sách hạn chế phần mềm