GiớithiệuvềAppLocker
Trong bài này chúng tôi sẽ giớithiệu cho các
bạn lý do tại sao các chính sách hạn chế phần
mềm lại tỏ ra không hiệu quả và AppLocker có
thể giúp bạn khắc phục vấn đề đó như thế nào.
Giới thiệu
Tính năng mới của Windows 7 mang tên AppLocker là một tính năng
được tạo ra với mong muốn sẽ khắc phục được các yếu điểm trong các
chính sách hạn chế phần mềm trong các phiên bản Windows trước
đây. Loạt bài này chúng tôi sẽ giớithiệu cho các bạn lý do tại sao các
chính sách hạn chế phần mềm lại tỏ ra không mấy hiệu quả và
AppLocker có thể giúp bạn những gì.
Trong một vài phiên bản Windows thế
hệ gần đây, nếu muốn hạn chế
các ứng dụng nào mà người dùng trước đây được phép chạy, bạn chỉ
có cách thực hiện là sử dụng chính sách hạn chế phần mềm (Software
Restriction Policies), hoặc tiện ích của một nhóm thứ ba nào đó chẳng
hạn như Parity
của Bit9. Tuy nhiên vấn đề đối với việc sử dụng chính
sách hạn chế phần mềm là chúng hoạt động thực sự không tốt. Mặc dù
có thể khóa các máy trạm của người dùng bằng chính sách hạn chế
phần mềm nhưng việc tạo các chính sách lại rất không hề đơn giản
chút nào với người dùng.
Trong Windows Vista và Windows Server 2008, Microsoft chỉ thực hiện
những thay đổi nhỏ trong chính sách hạn chế phần mềm. Trong các
phiên bản này, Microsoft đã bổ sung một kiểu rule mới mang tên
“
network zone rule” và rule này được coi như một mức bảo mật mới
Basic User.
Trong Windows 7, Microsoft đã thiết kế lại các chính sách hạn chế
phần mềm. Tính năng được thiết kế mới này cũng mang một tên mới
là AppLocker. Không mong đợi AppLocker sẽ toàn diện như các giải
pháp khóa chặn desktop của các nhóm thứ ba, tuy nhiên nó đã cải
thiện được khá nhiều so với chính sách hạn chế phần mềm trước kia.
Những thiếu sót của chính sách hạn chế phần mềm
Trước khi có thể đánh giá AppLocker, bạn cần hiểu một chút về chính
sách hạn chế phần mềm trước kia. Hơn nữa AppLocker vẫn hỗ trợ các
kiểu rule tương tự như các chính sách phần mềm vẫn có, chính vì vậy
trong phần dưới đây chúng tôi sẽ giớithiệu cho các bạn về các rule của
chính sách hạn chế phần mềm.
Các chính sách hạn chế phần mềm được được tạo nên từ nhiều kiểu
rule khác nhau. Bạn có thể tạo các rule như: certificate rule, hash rule,
path rule, internet Zone rule, và network zone rule.
Certificate Rule
Certificate rule là rule quan trọng nhất trong số các rule được cung
cấp. Rule này cho phép bạn đồng ý hoặc từ chối các ứng dụng dựa
trên chữ ký số của nó. Tuy nhiên vấn đề đối với kiểu rule này là khi
các chính sách hạn chế phần mềm được giớithiệu lần đầu trong
Windows XP, hầu như không ai đánh chữ ký số trên mã ứng dụng của
họ. Thậm chí hiện nay bạn cũng thấy các hãng phần mềm th
ường
không gắn kèm chữ ký số vào các ứng dụng của họ.
Một vấn đề khác với các rule về chứng chỉ này là chúng có một phạm
vi quá lớn. Nếu cho phép các ứng dụng được ký bởi Microsoft thì tất cả
các ứng dụng của Microsoft sẽ được cho phép trừ khi bạn tạo một rule
riêng với mức ưu tiên cao hơn để khóa một số ứng dụng không mong
muốn nào đó của Microsoft.
Hash Rule
Ki
ểu rule thứ hai các chính sách hạn chế phần mềm hỗ trợ là hash
rule. Ý tưởng của rule này là Windows có thể tạo một hash các file
thực thi, và sử dụng hash đó để nhận diện ứng dụng. Có thể nói rằng
về ý tưởng thì hash rule rất tốt ở thời điểm được giới thiệu, tuy nhiên
ngày nay chúng không còn mang tính thực tiễn. Bất cứ ai chịu tránh
nhiệm cho việc tổ chức sự hợp lệ bên trong một t
ổ chức cũng đều biết
rằng chúng bị oanh tạc bởi những bản vá với một tốc độ báo động. Bất
cứ thời điểm nào bạn vá lỗi một ứng dụng, hash sẽ thay đổi các file đã
được thay thế, sau đó render các hash rule tồn tại lỗi thời trước đây.
Path Rule
Path rule là một trong những kiểu rule yếu hơn. Chúng cho phép hoặc
khóa các ứng dụng dựa trên đường dẫn ứng dụng được cài đặt. Đây có
thể một đường dẫn hệ thống file hoặc đường dẫn registry. Vấn đề phát
sinh với kiểu rule này là, nếu một người nào đó đủ thẩm quyền cài đặt
ứng dụng thì họ sẽ có đủ quyền để chuyển ứng dụng đó sang một
location khác để tránh bị ảnh hưởng bởi rule này.
Internet Zone Rule
Internet zone rule là các ví dụ mang tính kinh điển về ý tưởng tốt
nhưng được thực thi một cách nghèo nàn. Về ý tưởng cơ bản phía sau
rule này là ngăn chặn người dùng download và cài đặt ứng dụng t
ừ
Internet. Tuy nhiên có một số vấn đề với cách thức làm việc bên trong
của chúng.
Đâu tiên đó là Internet zone rule chỉ áp dụng cho các file MSI (các gói
phần mềm cài đặt của Windows). Vấn đề tiếp theo là Internet zone
rule chỉ áp dụng tại thời điểm file được download. Điều này có nghĩa
rằng nếu người dùng download một file ZIP có chứa ứng dụng thì
Internet zone rule sẽ không ngăn chặn việc cài đặt ứng dụng này.
Network Zone Rule
Network zone rule cũng tương t
ự như Internet zone rule, ngoại trừ việc
kiểm tra Internet zone mà file đó được download, chúng kiểm tra
location mạng, nơi file đó tồn tại. Cho ví dụ, bạn có thể tạo một chính
sách để chỉ cho phép người dùng chạy các ứng dụng đã được cài đặt
trên máy tính nội bộ. Tuy nhiên vấn đề lớn đối với kiểu rule này là
trước khi nó có thể được sử dụng, ứng dụng phải nằm ở đâu đó trên
mạng của bạn.
Vấn
đề quan trọng nhất
Trong phần này chúng tôi đã giớithiệuvề một số thiếu sót trong các
rule trước đây, tuy nhiên trung tâm thực sự của vấn đề lại liên quan
đến sự thật rằng các chính sách hạn chế phần mềm được thiết kế để
khóa chặn các kiểu ứng dụng khác nhau. Lý do tại sao đây lại là một
vấn đề lớn là vì có một số vô hạn các ứng dụng không được th
ẩm định
để sử dụng trên mạng, tuy nhiên lại có một số hữu hạn các ứng dụng
được thẩm định. Chính vì vậy việc cho phép một tập cụ thể các ứng
dụng sẽ dễ dàng hơn nhiều việc khóa một số lượng lớn các ứng dụng
không rõ. Những điểm yếu này sẽ được khắc phục trong AppLocker và
cùng với đó là một số tính năng khác nữa.
Kết luận
Trong phần này, chúng tôi đã giớithiệu cho các bạn một số chính sách
hạn chế phần mềm và những hạn chế của chúng. Trong phần hai của
loạt bài, chúng tôi sẽ tiếp tục giớithiệu cho các bạn vềAppLocker và
cách nó khắc phục các hạn chế đó như
thế nào.
Trong phần hai này, chúng tôi sẽ giớithiệu cho các bạn một số
vấn đề cần được giải quyết trước khi tạo các rule của
AppLocker.
Giới thiệu
Mặc dù AppLocker mạnh hơn các chính sách hạn chế phần mềm
Software Restriction Policies nhưng nó vẫn tồn tại một số vấn
đề mà các bạn cần biết trước khi tạo rule AppLocker. Trong
phần thứ hai này chúng tôi sẽ giải thích cho các bạn về
các vấn
đề này.
Trong phần trước của loạt bài, chúng tôi đã giớithiệu cho các
bạn biết rằng, Microsoft đã giớithiệu các chính sách hạn chế
phần mềm (Software Restriction Policies) trong Windows XP
nhằm cho phép các quản trị viên có thể kiểm soát ứng dụng nào
người dùng được phép chạy, ứng dụng nào không. Trong quá
trình làm việc với hệ điều hành này nhiều năm, các chính sách
hạn chế phần mềm này đã bộ lộ một số thiếu sót. Tuy nhiên với
phát hành Windows 7, Microsoft đã cố gắng khắc phục những
thiếu sót này thông qua một tíng năng mới mang tên
AppLocker.
Khả năng tương thích
Mặc dù AppLockervề cơ bản là một phiên bản mới của tính
năng Software Restriction Policies nhưng AppLocker l
ại không
có khả năng tương thích với Software Restriction Policies. Nếu
bạn hiện đã định nghĩa Software Restriction Policies bên trong
một Group Policy Object, khi đó các chính sách này sẽ tiếp tục
làm việc, thậm chí bạn nâng cấp các máy tính lên Windows 7.
Mặc dù vậy, nếu bạn định nghĩa các chính sách AppLocker bên
trong Group Policy Object đã chứa các chính sách hạn chế phần
mềm thì các máy tính đang chạy Windows 7 sẽ bỏ qua các
chính sách hạn chế phần mềm, chỉ áp dụng các chính sách của
AppLocker.
Một khía cạnh khác, nếu Group Policy Object gồm có các chính
sách của Software Restriction Policies và AppLocker thì các
máy tính đang chạ
y Windows XP và Vista sẽ bỏ qua các chính
sách AppLocker và chỉ sử dụng Software Restriction Policies.
Điều này xảy ra là vì tính năng AppLocker không tồn tại trong
các hệ điều hành kế thừa.
Một số hạn chế
Mặc dù AppLocker cung cấp một cải thiện lớn so với Software
Restriction Policies nhưng nó vẫn có một số hạn chế nhất định.
Hạn chế lớn nhất của AppLocker là nếu người dùng có các đặc
quyền quản trị viên trên các máy tính c
ủa họ thì AppLocker có
thể dễ dàng bị phá vỡ.
Microsoft đã khuyên không nên cung cấp các đặc quyền quản
trị viên cho người dùng, tuy nhiên trong thế giới thực, hành
động này đôi khi không tránh khỏi. Thêm vào đó, có một số ứng
dụng sẽ không hoạt động đúng trừ khi người dùng nắm toàn
quyền kiểm soát hệ thống.
Nếu bạn muốn sử dụng AppLocker nhưng người dùng của bạn
có các đặc quyền quản trị viên, khi đó bạn nên xem xét liệu có
thể cung cấp cho người dùng quyền điều khiển của quản trị viên
trên các máy tính của họ. Có lẽ bạn có thể cung cấp cho người
dùng toàn quyền điều khiển trên các thư mục mà không thực sự
cung cấp cho họ các đặc quyền quản trị viên đầy đủ. Tuy nhiên
phương pháp này không phải lúc này cũng làm việc tốt vì một
số ứng dụng yêu cầu người dùng có khả năng thay đổi registry
hoặc các thành phần khác của hệ điều hành.
Nếu người dùng yêu cầu quyền truy cập quản trị viên đối với hệ
thống, bạn có thể loại bỏ bằng cách khóa các công cụ quản trị.
Cho ví dụ, bạn có thể tạo một rule để khóa một số thứ như
Registry Editor hoặc Windows PowerShell. Nếu bạn cố gắng sử
dụng phương pháp này, bạn phải chú ý không cấu hình rule
mang tính toàn cục. Thêm vào đó, các nhân viên trợ giúp sẽ yêu
cầu sự truy cập vào các công cụ quản trị khác nhau để họ có thể
khắc phục một số vấn đề với các máy tính người dùng.
Các chiến lược AppLocker cơ bản
Mặc dù AppLocker hỗ trợ một số kiểu rule cơ bản tương tự như
Software Restriction Policies, tuy nhiên cách cơ bản mà
AppLocker sử dụng khá khác so với những gì bạn đã biết. Trong
thực tế, bạn rất dễ tự mắc phải rắc rối nếu không hiểu cách làm
việc của AppLocker. Chính vì vậ
y chúng tôi khuyên các bạn nên
quan tâm đến những gì được đề cập trong phần này.
Để sử dụng AppLocker an toàn, bạn phải hiểu triết lý cơ bản của
Microsoft đằng sau các rule của AppLocker. Triết lý này xoay
quanh ý tưởng rằng, có một số ứng dụng đặc biệt sẽ được bạn
sử dụng trong tổ chức. Ngược lại, cũng có một số không xác
định các ứng dụng mà các tổ chức không sử dụng. Cho ví dụ,
một số ứng dụng bạn có thể không được cho phép sử dụng
trong tổ chức có thể gồm các ứng dụng như: video game,
malware, phầ
n mềm mạng ngang hàng và
Quan điểm ở đây là nên chọn nhiều ứng dụng mà bạn không
muốn người dùng chạy hơn là chọn các ứng dụng mà người
dùng được cho là sử dụng. Với quan điểm đó, chúng ta sẽ dễ
dàng cung cấp cho Windows một danh sách trắng các ứng dụng
được phép so với việc phải khóa các ứng dụng mà bạn muốn
ngăn chặn người dùng sử dụng. Đây là triết lý của Microsoft
đằng sau cách các rule của AppLocker làm việc.
Điều này dẫn chúng ta đến khái niệm đầu tiên đằng sau các rule
AppLocker. Các rule của AppLocker được tổ chức thành các bộ
sưu tập. Mặc dù có thể tạo một tuyên bố từ chối, nhưng các rule
của AppLocker luôn được coi như một cơ chế cho việc cho phép
đặc quyền đối với một thứ gì đó (nhớ rằng, hoàn toàn dễ dàng
đối với việc cho phép phần mềm được sử dụng hơn là cấm phần
mềm nào đó không được sử dụng). Lúc này chúng ta đã tiến vào
đến phần quan trọng. Lưu ý, nếu bạn tạo quá nhiều rule đơn
trong một bộ sưu tập rule thì Windows sẽ tự động thừa nhận
rằng bạn muốn ngăn chặn chạy mọi thứ.
Đây là một khái niệm rất quan trọng cần phải nhớ vì chắc chắn
bạn sẽ muốn người dùng của mình có thể chạy Microsoft Office
và Internet Explorer, vì vậy bạn tạo một rule để cho phép họ
thực hiện điều đó. Trong hoàn cảnh đó, bạn đã từ chối các
quyền mà người dùng chạy mọi thứ, gồm có hệ điều hành
Windows. Tuy nhiên bạn cũng rất dễ có thể bị khóa vô tình một
người dùng nào đó với Windows bởi các rule AppLocker được
tạo không đúng cách. Đây là thứ mà chúng tôi sẽ nhắm đến
nhiều trong các phần sau của loạt bài.
Thứ cuối cùng chúng tôi muốn giớ
i thiệu là về sự từ chối. Như
những gì được giớithiệu trước, chúng tôi đã đề cập ở trên rằng,
hoàn toàn có thể ngăn chặn người dùng có các đặc quyền quản
trị viên đối với hệ thống trong việc chạy các công cụ quản trị,
tuy nhiên bạn có thể tạo một ngoại lệ cho nhân viên trợ giúp.
Về vấn đề này chúng tôi sẽ giớithiệu chi tiết cho các bạ
n trong
các phần sau của loạt bài, còn lúc này chúng tôi chỉ chỉ ra việc
thiết lập kiểu cấu hình này.
Với cách là AppLocker làm việc, chúng ta không thể từ chối truy
cập cho mọi người đối với các công cụ quản trị. Thay vào đó,
chúng ta sẽ phải cho phép mọi người có quyền truy cập vào các
file hệ thống của Windows. Từ đây, chúng ta có thể bổ sung sự
từ chối cho các công cụ quản trị để áp dụng cho một nhóm
người dùng nào đó (mọi người trừ nhân viên trợ giúp). Bạn
không phải thực hiện bất cứ thứ gì cho nhân viên trợ giúp vì chọ
có quyền truy cập đến các công cụ quản trị viên mà bạn đã cho
phép bất cứ ai cũng có thể truy cập các file hệ thống của
Windows.
Kết luận
Trong phần hai này, chúng tôi đã giớithiệu cho các bạn một
vấn đề dễ vô tình mắc phải trong quá trình khóa chặn sử dụng
bằng các rule của AppLocker. Qua rút kinh nghiệm đó, chúng
tôi đã giớithiệu một phương pháp khác để khắc phục các nhược
điểm này. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ
giới thiệu cho các bạn cách tạo các rule AppLocker.
. Giới thiệu về AppLocker
Trong bài này chúng tôi sẽ giới thiệu cho các
bạn lý do tại sao các chính sách. sẽ tiếp tục giới thiệu cho các bạn về AppLocker và
cách nó khắc phục các hạn chế đó như
thế nào.
Trong phần hai này, chúng tôi sẽ giới thiệu cho các