Giới thiệu về AppLocker Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào. Giới thiệu Tính năng mới của Windows 7 mang tên AppLocker là một tính năng được tạo ra với mong muốn sẽ khắc phục được các yếu điểm trong các chính sách hạn chế phần mềm trong các phiên bản Windows trước đây. Loạt bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không mấy hiệu quả và AppLocker có thể giúp bạn những gì. Trong một vài phiên bản Windows thế hệ gần đây, nếu muốn hạn chế các ứng dụng nào mà người dùng trước đây được phép chạy, bạn chỉ có cách thực hiện là sử dụng chính sách hạn chế phần mềm (Software Restriction Policies), hoặc tiệ n ích của một nhóm thứ ba nào đó chẳng hạn như Parity của Bit9. Tuy nhiên vấn đề đối với việc sử dụng chính sách hạn chế phần mềm là chúng hoạt động thực sự không tốt. Mặc dù có thể khóa các máy trạm của người dùng bằng chính sách hạn chế phần mềm nhưng việc tạo các chính sách lại rất không hề đơn giản chút nào với người dùng. Trong Windows Vista và Windows Server 2008, Microsoft chỉ thực hiện những thay đổi nhỏ trong chính sách hạn chế phần mềm. Trong các phiên bản này, Microsoft đã bổ sung một kiểu rule mới mang tên “network zone rule” và rule này được coi như một mức bảo mật mới Basic User. Trong Windows 7, Microsoft đã thiết kế lại các chính sách hạn chế phần mềm. Tính năng được thiết kế mới này cũng mang một tên mới là AppLocker. Không mong đợi AppLocker sẽ toàn diện như các giải pháp khóa chặn desktop của các nhóm thứ ba, tuy nhiên nó đã cải thiện được khá nhiều so với chính sách hạn chế phần mề m trước kia. Những thiếu sót của chính sách hạn chế phần mềm Trước khi có thể đánh giá AppLocker, bạn cần hiểu một chút về chính sách hạn chế phần mềm trước kia. Hơn nữa AppLocker vẫn hỗ trợ các kiểu rule tương tự như các chính sách phần mềm vẫn có, chính vì vậy trong phần dưới đây chúng tôi sẽ giới thiệu cho các bạn về các rule của chính sách hạn chế phần mềm. Các chính sách hạn chế phần mềm được được tạo nên từ nhiều kiểu rule khác nhau. Bạn có thể tạo các rule như: certificate rule, hash rule, path rule, internet Zone rule, và network zone rule. Certificate Rule Certificate rule là rule quan trọng nhất trong số các rule được cung cấp. Rule này cho phép bạn đồng ý hoặc từ chối các ứng dụng dựa trên chữ ký số của nó. Tuy nhiên vấn đề đối với kiểu rule này là khi các chính sách hạn chế phần mềm được giới thiệu lần đầu trong Windows XP, hầu như không ai đánh chữ ký số trên mã ứng dụng của họ. Thậm chí hiện nay bạn cũng thấy các hãng phần mềm thường không gắn kèm chữ ký số vào các ứng dụng của họ. Một vấn đề khác với các rule về chứng chỉ này là chúng có một phạm vi quá lớn. Nếu cho phép các ứng dụng được ký bởi Microsoft thì tất cả các ứng dụng của Microsoft sẽ được cho phép trừ khi bạn tạo một rule riêng với mức ưu tiên cao hơn để khóa một số ứng dụng không mong muốn nào đó của Microsoft. Hash Rule Kiểu rule thứ hai các chính sách hạn chế phần mềm hỗ trợ là hash rule. Ý tưởng của rule này là Windows có thể tạo một hash các file thực thi, và sử dụng hash đó để nhận diện ứng dụng. Có thể nói rằng về ý tưởng thì hash rule rất tốt ở thời điểm được giới thiệu, tuy nhiên ngày nay chúng không còn mang tính thực tiễn. Bất cứ ai chịu tránh nhiệm cho việc tổ chức sự hợp lệ bên trong một tổ chức cũng đều biết rằng chúng bị oanh tạc bởi những bản vá với một tốc độ báo động. Bất cứ thời điểm nào bạn vá lỗi một ứng dụng, hash sẽ thay đổi các file đã được thay thế, sau đó render các hash rule tồn tại lỗi thời trước đây. Path Rule Path rule là một trong những kiểu rule yếu hơn. Chúng cho phép hoặc khóa các ứng dụng dựa trên đường dẫn ứng dụng được cài đặt. Đây có thể một đường dẫn hệ thống file hoặc đường dẫn registry. Vấn đề phát sinh với kiểu rule này là, nếu một người nào đó đủ thẩm quyền cài đặt ứng dụng thì họ sẽ có đủ quyền để chuyển ứng dụng đó sang một location khác để tránh bị ảnh hưởng bởi rule này. Internet Zone Rule Internet zone rule là các ví dụ mang tính kinh điển về ý tưởng tốt nhưng đượ c thực thi một cách nghèo nàn. Về ý tưởng cơ bản phía sau rule này là ngăn chặn người dùng download và cài đặt ứng dụng từ Internet. Tuy nhiên có một số vấn đề với cách thức làm việc bên trong của chúng. Đâu tiên đó là Internet zone rule chỉ áp dụng cho các file MSI (các gói phần mềm cài đặt của Windows). Vấn đề tiếp theo là Internet zone rule chỉ áp dụng tại thời điểm file được download. Điều này có nghĩa rằng nếu người dùng download một file ZIP có chứa ứng dụng thì Internet zone rule sẽ không ngăn chặn việc cài đặt ứng dụng này. Network Zone Rule Network zone rule cũng tương tự như Internet zone rule, ngoại trừ việc kiểm tra Internet zone mà file đó được download, chúng kiểm tra location mạng, nơi file đó tồn tại. Cho ví dụ, bạn có thể tạo một chính sách để chỉ cho phép người dùng chạy các ứng dụng đã được cài đặt trên máy tính nội bộ. Tuy nhiên vấn đề lớn đối với kiểu rule này là trước khi nó có thể được sử dụng, ứng dụng phải nằm ở đâu đó trên mạng của bạn. Vấn đề quan trọng nhất Trong phần này chúng tôi đã giới thiệu về một số thiếu sót trong các rule trước đây, tuy nhiên trung tâm thực sự của vấn đề lại liên quan đến sự thật rằng các chính sách hạn chế phần mềm được thiết kế để khóa chặn các kiểu ứng dụng khác nhau. Lý do tại sao đây lại là một vấn đề lớn là vì có một số vô hạn các ứng dụng không được thẩm định để sử dụng trên mạng, tuy nhiên lại có một số hữu hạn các ứng dụng được thẩm định. Chính vì vậy việc cho phép một tập cụ thể các ứng dụng sẽ dễ dàng hơn nhiều việc khóa một số lượng lớn các ứng dụng không rõ. Những điểm yếu này sẽ được khắc phục trong AppLocker và cùng với đó là một số tính năng khác nữa. Kết luận Trong phần này, chúng tôi đã giới thiệu cho các bạn một số chính sách hạn chế phần mềm và những hạn chế của chúng. Trong phần hai của loạt bài, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về AppLocker và cách nó khắc phục các hạn chế đó như thế nào. Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn một số vấn đề cần được giải quyết trước khi tạo các rule của AppLocker. Mặc dù AppLocker mạnh hơn các chính sách hạn chế phần mềm Software Restriction Policies nhưng nó vẫn tồn tại một số vấn đề mà các bạn cần biết trước khi tạo rule AppLocker. Trong phần thứ hai này chúng tôi sẽ giải thích cho các bạn về các vấn đề này. Trong phần trước của loạt bài, chúng tôi đã giới thiệu cho các bạn biết rằng, Microsoft đã giới thiệu các chính sách hạn chế phần mềm (Software Restriction Policies) trong Windows XP nhằm cho phép các quản trị viên có thể kiểm soát ứng dụng nào người dùng được phép chạy, ứng dụng nào không. Trong quá trình làm việc với hệ điều hành này nhiều năm, các chính sách hạn chế phần mềm này đã bộ lộ một số thiếu sót. Tuy nhiên với phát hành Windows 7, Microsoft đã c ố gắng khắc phục những thiếu sót này thông qua một tíng năng mới mang tên AppLocker. Khả năng tương thích Mặc dù AppLocker về cơ bản là một phiên bản mới của tính năng Software Restriction Policies nhưng AppLocker lại không có khả năng tương thích với Software Restriction Policies. Nếu bạn hiện đã định nghĩa Software Restriction Policies bên trong một Group Policy Object, khi đó các chính sách này sẽ tiếp tục làm việc, thậm chí bạn nâng cấp các máy tính lên Windows 7. Mặc dù vậy, nếu bạn định nghĩa các chính sách AppLocker bên trong Group Policy Object đã chứa các chính sách hạn chế phần mềm thì các máy tính đang chạy Windows 7 sẽ bỏ qua các chính sách hạn chế phần mềm, chỉ áp dụng các chính sách của AppLocker. Một khía cạnh khác, nếu Group Policy Object gồm có các chính sách của Software Restriction Policies và AppLocker thì các máy tính đang chạy Windows XP và Vista sẽ bỏ qua các chính sách AppLocker và chỉ sử dụng Software Restriction Policies. Điều này xảy ra là vì tính năng AppLocker không tồn tại trong các hệ điều hành kế thừa. Một số hạn chế Mặc dù AppLocker cung cấp một cải thiện lớn so với Software Restriction Policies nhưng nó vẫn có một số hạn chế nhất định. Hạn chế lớn nhất của AppLocker là nếu người dùng có các đặc quyền quản trị viên trên các máy tính của họ thì AppLocker có thể dễ dàng bị phá vỡ. Microsoft đã khuyên không nên cung cấp các đặc quyền quản trị viên cho người dùng, tuy nhiên trong thế giới thực, hành động này đôi khi không tránh khỏi. Thêm vào đó, có một số ứng dụng sẽ không hoạt động đúng trừ khi người dùng nắm toàn quyền kiểm soát hệ thống. Nếu bạn muốn sử dụng AppLocker nhưng người dùng của bạn có các đặc quyền quản trị viên, khi đó bạn nên xem xét liệu có thể cung cấp cho người dùng quyền điều khiển của quản trị viên trên các máy tính của họ. Có lẽ bạn có thể cung cấp cho người dùng toàn quyền điều khiển trên các thư mục mà không thực sự cung cấp cho họ các đặc quyền quản trị viên đầy đủ . Tuy nhiên phương pháp này không phải lúc này cũng làm việc tốt vì một số ứng dụng yêu cầu người dùng có khả năng thay đổi registry hoặc các thành phần khác của hệ điều hành. Nếu người dùng yêu cầu quyền truy cập quản trị viên đối với hệ thống, bạn có thể loại bỏ bằng cách khóa các công cụ quản trị. Cho ví dụ, bạn có thể tạo một rule để khóa một số thứ như Registry Editor hoặc Windows PowerShell. Nếu bạn cố gắng sử dụng phương pháp này, bạn phải chú ý không cấu hình rule mang tính toàn cục. Thêm vào đó, các nhân viên trợ giúp sẽ yêu cầu sự truy cập vào các công cụ qu ản trị khác nhau để họ có thể khắc phục một số vấn đề với các máy tính người dùng. Các chiến lược AppLocker cơ bản Mặc dù AppLocker hỗ trợ một số kiểu rule cơ bản tương tự như Software Restriction Policies, tuy nhiên cách cơ bản mà AppLocker sử dụng khá khác so với những gì bạn đã biết. Trong thực tế, bạn rất dễ tự mắc phải rắc rối nếu không hiểu cách làm việc của AppLocker. Chính vì vậy chúng tôi khuyên các bạn nên quan tâm đến những gì được đề cập trong phần này. Để sử dụng AppLocker an toàn, bạn phải hiểu triết lý cơ bản của Microsoft đằng sau các rule của AppLocker. Triết lý này xoay quanh ý tưởng rằng, có một số ứng dụng đặc biệt sẽ được bạn sử dụng trong tổ chức. Ngược lại, cũng có một số không xác định các ứng dụng mà các tổ chức không sử dụng. Cho ví dụ, một số ứng dụng bạn có thể không được cho phép sử d ụng trong tổ chức có thể gồm các ứng dụng như: video game, malware, phần mềm mạng ngang hàng và Quan điểm ở đây là nên chọn nhiều ứng dụng mà bạn không muốn người dùng chạy hơn là chọn các ứng dụng mà người dùng được cho là sử dụng. Với quan điểm đó, chúng ta sẽ dễ dàng cung cấp cho Windows một danh sách trắng các ứng dụng được phép so với việc phải khóa các ứng dụng mà bạn muốn ngăn chặn người dùng sử dụng. Đây là triết lý của Microsoft đằng sau cách các rule của AppLocker làm việc. Điều này dẫn chúng ta đến khái niệm đầu tiên đằng sau các rule AppLocker. Các rule của AppLocker được tổ chức thành các bộ sưu tập. Mặc dù có thể tạo một tuyên bố từ chối, nhưng các rule của AppLocker luôn được coi như một cơ chế cho việc cho phép đặc quyền đối với một thứ gì đó (nhớ rằng, hoàn toàn dễ dàng đối với việc cho phép phần mềm được sử dụng hơn là cấm phầ n mềm nào đó không được sử dụng). Lúc này chúng ta đã tiến vào đến phần quan trọng. Lưu ý, nếu bạn tạo quá nhiều rule đơn trong một bộ sưu tập rule thì Windows sẽ tự động thừa nhận rằng bạn muốn ngăn chặn chạy mọi thứ. Đây là một khái niệm rất quan trọng cần phải nhớ vì chắc chắn bạn sẽ muốn người dùng của mình có thể chạy Microsoft Office và Internet Explorer, vì vậy bạn tạo một rule để cho phép họ thực hiện điều đó. Trong hoàn cảnh đó, bạn đã từ chối các quyền mà người dùng chạy mọi thứ, gồm có hệ điều hành Windows. Tuy nhiên bạn cũng rất dễ có thể bị khóa vô tình m ột người dùng nào đó với Windows bởi các rule AppLocker được tạo không đúng cách. Đây là thứ mà chúng tôi sẽ nhắm đến nhiều trong các phần sau của loạt bài. Thứ cuối cùng chúng tôi muốn giới thiệu là về sự từ chối. Như những gì được giới thiệu trước, chúng tôi đã đề cập ở trên rằng, hoàn toàn có thể ngăn chặn người dùng có các đặc quyền quản trị viên đối với hệ thống trong việc chạy các công cụ quản trị, tuy nhiên bạn có thể tạo một ngoại lệ cho nhân viên trợ giúp. Về vấn đề này chúng tôi sẽ giới thi ệu chi tiết cho các bạn trong các phần sau của loạt bài, còn lúc này chúng tôi chỉ chỉ ra việc thiết lập kiểu cấu hình này. Với cách là AppLocker làm việc, chúng ta không thể từ chối truy cập cho mọi người đối với các công cụ quản trị. Thay vào đó, chúng ta sẽ phải cho phép mọi người có quyền truy cập vào các file hệ thống của Windows. Từ đây, chúng ta có thể bổ sung sự từ chối cho các công cụ quản trị để áp dụng cho một nhóm người dùng nào đó (mọi người trừ nhân viên trợ giúp). Bạn không phải thực hiện bất cứ thứ gì cho nhân viên trợ giúp vì chọ có quyền truy cập đến các công cụ quản trị viên mà bạn đã cho phép bất cứ ai cũng có thể truy cập các file hệ thống của Windows. Kết luận Trong phần hai này, chúng tôi đã giới thiệu cho các bạn một vấn đề dễ vô tình mắc phải trong quá trình khóa chặn sử dụng bằng các rule của AppLocker. Qua rút kinh nghiệm đó, chúng tôi đã giới thiệu một phương pháp khác để khắc phục các nhược điểm này. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách tạo các rule AppLocker.  . Giới thiệu về AppLocker Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách. tôi sẽ tiếp tục giới thiệu cho các bạn về AppLocker và cách nó khắc phục các hạn chế đó như thế nào. Trong phần hai này, chúng tôi sẽ giới thiệu cho các