Chính sách giới hạn phần mềm (Software Restriction Policies - SRP) cho phép chúng ta quy định những phần mềm nào được phép chạy và không được phép chạy trên nền máy trạm.
Chúng ta có thể áp dụng giới hạn phần mềm đối với một số người dùng cụ thể hay tất cả người dùng trên một máy tính cụ thể nào đó. Để sử dụng SRP chúng ta tìm đến nút sau trong công cụ GPOE:
Restriction Policies
Nhấn chuột phải vào mục Software Restriction Policies và chọn New Software
Restriction Policies:
Cũng như tất cả các chính sách khác, RSP cũng chỉ tác dụng từ mức OU trở lên, do đó chúng ta cần gom tất cả các tài khoản người dùng hay máy tính cần hạn chế vào trong một OU nhất định và cho GPO liên kết đến nó.
4.2.1. Các quy tắc giới hạn phần mềm
Có 4 quy tắc để cho phép hoặc ngăn chặn phần mềm: Hash, Path, Certificate, Internet Explorer zone. Để tạo mới một quy tắc, chúng ta nhấn chuột phải vào mục Additional Rules và tạo mới:
Mặc định, trong muc Additional Rules có 4 quy tắc path được thiết lập sẵn cho phép truy cập đến 4 vùng then chốt của Registry. Các quy tắc này cho phép hệ điều hành thiết lập trong Registry ngay cả khi tuỳ chọn Disallowed được sử dụng trong mục Security Levels.
- Hash: Trong thuật ngữ ngành khoa học máy tính, một “Hash value” (Giá trị băm) là
một đại diện số mà có thể định danh duy nhất cho một file thay cho tên của file đó. Khi ta đổi tên một file chẳng hạn từ doom.exe sang gloom.exe thì các bit 1, 0 bên trong file đó hoàn toàn không thay đổi. Giá trị Hash là như vậy, nó gắn với từng file. Tuy nhiên, nếu ta thay đổi file đó, làm cho thứ tự các bit 1, 0 thay đổi thì giá trị Hash sẽ thay đổi theo. Quy tắc Hash rất hữu dụng đối với các file có phần mở rộng là exe hoặc dll.
là : %HOMEDRIVE%, %HOMEPATH%, %USERPROFILE%, %WINDIR%, %APPDATA%, %PROGRAMFILES% và %TEMP%.
Ngoài ra quy tắc Path có thể ngăn chặn thi hành một loại file nào đó. VD như nếu ta thiết lập vô hiệu hoá các file có tên là *.vb* thì tất cả các file Visual Basic sẽ không thể chạy được.
- Certificate: Dùng quy tắc này chúng ta có thể đánh dấu các ứng dụng của mình.
- Internet Explorer zone: Sử dụng quy tắc này chúng ta có thể hạn chế người
dùng tải về các ứng dụng ở một số vùng cụ thể trên Internet, tuy nhiên điểm hạn chế là nó chỉ ngăn người dùng tải về các chương trình ở dạng cài đặt (.msi). Ví dụ:
Ta sử dụng quy tắc Hash để không cho người dùng chơi Solitaire trong Windows XP. Tại cửa sổ Default Domain Policy, tạo mới Software Restriction Policies, chọn New Hash rule. Tìm đến file sol.exe bằng đường dẫn:
\\client01\c$\windows\system32\sol.exe
Ta có được cửa sổ sau:
Chọn mức bảo mật là Disallowed.
4.2.2. SRP và Digital Signatures
Đối với các chương trình ứng dụng có Digital Signatures (chữ ký số) như các phần mềm thuộc bộ Microsoft Office chẳng hạn thì để chính sách giới hạn phần mềm có tác dụng chúng ta phải thiết lập thêm một chính sách nữa là :
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
Chính sách này có thể tìm thấy tại:
Computer Configuration Windows Settings Security Settings Local Policies
Security Options
Các phần mềm không có chữ ký số thì không cần phải thiết lập chính sách này, ngoài ra đối với các file như *.VBS hay *.MSI thì dù có chữ ký số cũng không cần thiét lập chính sách trên.
4.2.3. Sửa lỗi SRP
Chúng ta có 2 cách chính:
4.2.3.1. Kiểm tra trong Registry
Nếu các chính sách giới hạn không phát huy tác dụng, chúng ta cần logoff khỏi hệ thống, sau đó đăng nhập lại tại máy trạm với tài khoản Administrator của miền.
Truy cập vào Registry, tại cửa sổ Registry tìm đến mục sau:
KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ CodeIdentifiers
Tìm đến nút Hashes, chúng ta sẽ thấy phần mềm bị giới hạn tai đây.
4.2.3.2. Tạo nhật ký theo dõi
Chúng ta có thể tạo một nhật ký để có thể xử lý sự cố xảy ra với SRP:
Tại mục CodeIdentifiers đường dẫn trên trong Registry, tạo một New String
value, đặt tên là log, đặt giá trị là C:\log.txt.
Từ bây giờ mỗi khi có một ứng dụng chạy, file log sẽ ghi lại sự kiện kèm theo giải thích tại sao chương trình chạy được hay không chạy được.