- Folder Redirectio n: Cho phép gửi lại (redirect) các thư mục đặc biệt như
4.2.Các chính sách giới hạn phần mềm
Chính sách giới hạn phần mềm (Software Restriction Policies - SRP) cho phép chúng ta quy định những phần mềm nào được phép chạy và không được phép chạy trên nền máy trạm.
hay tất cả người dùng trên một máy tính cụ thể nào đó. Để sử dụng SRP chúng ta tìm đến nút sau trong công cụ GPOE:
Computer Configuration Windows Settings Security Settings Software Restriction Policies
Nhấn chuột phải vào mục Software Restriction Policies và chọn New Software Restriction Policies:
Cũng như tất cả các chính sách khác, RSP cũng chỉ tác dụng từ mức OU trở lên, do đó chúng ta cần gom tất cả các tài khoản người dùng hay máy tính cần hạn chế vào trong một OU nhất định và cho GPO liên kết đến nó.
4.2.1. Các quy tắc giới hạn phần mềm
Có 4 quy tắc để cho phép hoặc ngăn chặn phần mềm: Hash, Path, Certificate, Internet Explorer zone. Để tạo mới một quy tắc, chúng ta nhấn chuột phải vào mục Additional Rules và tạo mới:
Mặc định, trong muc Additional Rules có 4 quy tắc path được thiết lập sẵn cho phép truy cập đến 4 vùng then chốt của Registry. Các quy tắc này cho phép hệ điều hành thiết lập trong Registry ngay cả khi tuỳ chọn Disallowed được sử dụng trong mục Security Levels.
- Hash: Trong thuật ngữ ngành
khoa học máy tính, một “Hash value” (Giá trị băm) là một đại diện số mà có thể định danh duy nhất cho một file thay cho tên của file đó. Khi ta đổi tên một file chẳng hạn từ doom.exe sang gloom.exe thì các bit 1, 0 bên trong file đó hoàn toàn không thay đổi. Giá trị Hash là như vậy, nó gắn với từng file. Tuy nhiên, nếu ta thay đổi file đó, làm cho thứ tự các bit 1, 0 thay đổi thì giá trị Hash sẽ thay đổi theo. Quy tắc Hash rất
hữu dụng đối với các file có phần mở rộng là exe hoặc dll.
- Path: Sử dụng quy tắc này chúng ta có thể cho phép một ứng dụng được phep chạy hay không dựa trên vị trí của chúng trên đĩa cứng. Các biến môi trường phổ biến nhất là : %HOMEDRIVE%, %HOMEPATH%, %USERPROFILE%, %WINDIR%, %APP DATA%, %PROGRAMFILES% và %TEMP%.
Ngoài ra quy tắc Path có thể ngăn chặn thi hành một loại file nào đó. VD như nếu ta thiết lập vô hiệu hoá các file có tên là *.vb* thì tất cả các file Visual Basic sẽ không thể chạy được.
- Certificate: Dùng quy tắc này chúng ta có thể đánh dấu các ứng dụng của mình.
- Internet Explorer zone: Sử dụng quy tắc này chúng ta có thể hạn chế người
dùng tải về các ứng dụng ở một số vùng cụ thể trên Internet, tuy nhiên điểm hạn chế là nó chỉ ngăn người dùng tải về các chương trình ở dạng cài đặt (.msi). Ví dụ:
Ta sử dụng quy tắc Hash để không cho người dùng chơi Solitaire trong Windows XP. Tại cửa sổ Default Domain Policy, tạo mới Software Restriction Policies, chọn New Hash rule. Tìm đến file sol.exe bằng đường dẫn:
\\client01\c$\windows\system32\sol.exe
Chọn mức bảo mật là Disallowed.
Bây giờ khi người dùng đăng nhập vào máy trạm và chơi Solitaire sẽ bị báo lỗi sau:
4.2.2. SRP và Digital Signatures
Đối với các chương trình ứng dụng có Digital Signatures (chữ ký số) như các phần mềm thuộc bộ Microsoft Office chẳng hạn thì để chính sách giới hạn phần mềm có tác dụng chúng ta phải thiết lập thêm một chính sách nữa là :
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
Chính sách này có thể tìm thấy tại:
Computer Configuration Windows Settings Security Settings Local Policies Security Options
Các phần mềm không có chữ ký số thì không cần phải thiết lập chính sách này, ngoài ra đối với các file như *.VBS hay *.MSI thì dù có chữ ký số cũng không cần thiét lập chính sách trên.
4.2.3. Sửa lỗi SRP Chúng ta có 2 cách chính:
4.2.3.1. Kiểm tra trong Registry
Nếu các chính sách giới hạn không phát huy tác dụng, chúng ta cần logoff khỏi hệ thống, sau đó đăng nhập lại tại máy trạm với tài khoản Administrator của miền.
Truy cập vào Registry, tại cửa sổ Registry tìm đến mục sau:
KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ CodeIdentifiers (adsbygoogle = window.adsbygoogle || []).push({});
Tìm đến nút Hashes, chúng ta sẽ thấy phần mềm bị giới hạn tai đây.
Lưu ý: Một điều là các file hệ thống sẽ thay đổi cùng với các gói dịch vụ (Service packs), do đó nếu phần mềm bị giới hạn nằm trong các file này có thể bị thay đổi hash sau khi cập nhật gói dịch vụ nên số hash trên máy chủ và máy trạm sẽ khác nhau. Chúng ta cần cập nhật lại chính sách để số hash được đồng nhất.
4.2.3.2. Tạo nhật ký theo dõi
Chúng ta có thể tạo một nhật ký để có thể xử lý sự cố xảy ra với SRP:
Tại mục CodeIdentifiers đường dẫn trên trong Registry, tạo một New String value, đặt tên là log, đặt giá trị là C:\log.txt.
Từ bây giờ mỗi khi có một ứng dụng chạy, file log sẽ ghi lại sự kiện kèm theo giải thích tại sao chương trình chạy được hay không chạy được.