Giới thiệu về AppLocker – Phần 1
Giới thiệu
Mặc dù AppLocker mạnh hơn các chính sách hạn chế
phần mềm Software Restriction Policies nhưng nó vẫn tồn tại một số vấn
đề mà các bạn cần biết trước khi tạo rule AppLocker. Trong phần thứ hai
này chúng tôi sẽ giải thích cho các bạn về các vấn đề này.
Trong
phần trước của loạt bài, chúng tôi đã giới thiệu cho các bạn biết rằng,
Microsoft đã giới thiệu các chính sách hạn chế phần mềm (Software
Restriction Policies) trong Windows XP nhằm cho phép các quản trị viên
có thể kiểm soát ứng dụng nào người dùng được phép chạy, ứng dụng nào
không. Trong quá trình làm việc với hệ điều hành này nhiều năm, các
chính sách hạn chế phần mềm này đã bộ lộ một số thiếu sót. Tuy nhiên
với phát hành Windows 7, Microsoft đã cố gắng khắc phục những thiếu sót
này thông qua một tíng năng mới mang tên AppLocker.
Khả năng tương thích
Mặc dù AppLocker về cơ bản là một phiên bản mới của
tính năng Software Restriction Policies nhưng AppLocker lại không có
khả năng tương thích với Software Restriction Policies. Nếu bạn hiện đã
định nghĩa Software Restriction Policies bên trong một Group Policy
Object, khi đó các chính sách này sẽ tiếp tục làm việc, thậm chí bạn
nâng cấp các máy tính lên Windows 7. Mặc dù vậy, nếu bạn định nghĩa các
chính sách AppLocker bên trong Group Policy Object đã chứa các chính
sách hạn chế phần mềm thì các máy tính đang chạy Windows 7 sẽ bỏ qua
các chính sách hạn chế phần mềm, chỉ áp dụng các chính sách của
AppLocker.
Một khía cạnh khác, nếu Group Policy Object gồm có
các chính sách của Software Restriction Policies và AppLocker thì các
máy tính đang chạy Windows XP và Vista sẽ bỏ qua các chính sách
AppLocker và chỉ sử dụng Software Restriction Policies. Điều này xảy ra
là vì tính năng AppLocker không tồn tại trong các hệ điều hành kế thừa.
Một số hạn chế
Mặc dù AppLocker cung cấp một cải thiện lớn so với
Software Restriction Policies nhưng nó vẫn có một số hạn chế nhất định.
Hạn chế lớn nhất của AppLocker là nếu người dùng có các đặc quyền quản
trị viên trên các máy tính của họ thì AppLocker có thể dễ dàng bị phá
vỡ.
Microsoft đã khuyên không nên cung cấp các đặc quyền
quản trị viên cho người dùng, tuy nhiên trong thế giới thực, hành động
này đôi khi không tránh khỏi. Thêm vào đó, có một số ứng dụng sẽ không
hoạt động đúng trừ khi người dùng nắm toàn quyền kiểm soát hệ thống.
Nếu bạn muốn sử dụng AppLocker nhưng người dùng của
bạn có các đặc quyền quản trị viên, khi đó bạn nên xem xét liệu có thể
cung cấp cho người dùng quyền điều khiển của quản trị viên trên các máy
tính của họ. Có lẽ bạn có thể cung cấp cho người dùng toàn quyền điều
khiển trên các thư mục mà không thực sự cung cấp cho họ các đặc quyền
quản trị viên đầy đủ. Tuy nhiên phương pháp này không phải lúc này cũng
làm việc tốt vì một số ứng dụng yêu cầu người dùng có khả năng thay đổi
registry hoặc các thành phần khác của hệ điều hành.
Nếu người dùng yêu cầu quyền truy cập quản trị viên
đối với hệ thống, bạn có thể loại bỏ bằng cách khóa các công cụ quản
trị. Cho ví dụ, bạn có thể tạo một rule để khóa một số thứ như Registry
Editor hoặc Windows PowerShell. Nếu bạn cố gắng sử dụng phương pháp
này, bạn phải chú ý không cấu hình rule mang tính toàn cục. Thêm vào
đó, các nhân viên trợ giúp sẽ yêu cầu sự truy cập vào các công cụ quản
trị khác nhau để họ có thể khắc phục một số vấn đề với các máy tính
người dùng.
Các chiến lược AppLocker cơ bản
Mặc dù AppLocker hỗ trợ một số kiểu rule cơ bản
tương tự như Software Restriction Policies, tuy nhiên cách cơ bản mà
AppLocker sử dụng khá khác so với những gì bạn đã biết. Trong thực tế,
bạn rất dễ tự mắc phải rắc rối nếu không hiểu cách làm việc của
AppLocker. Chính vì vậy chúng tôi khuyên các bạn nên quan tâm đến những
gì được đề cập trong phần này.
Để sử dụng AppLocker an toàn, bạn phải hiểu triết lý
cơ bản của Microsoft đằng sau các rule của AppLocker. Triết lý này xoay
quanh ý tưởng rằng, có một số ứng dụng đặc biệt sẽ được bạn sử dụng
trong tổ chức. Ngược lại, cũng có một số không xác định các ứng dụng mà
các tổ chức không sử dụng. Cho ví dụ, một số ứng dụng bạn có thể không
được cho phép sử dụng trong tổ chức có thể gồm các ứng dụng như: video
game, malware, phần mềm mạng ngang hàng và...
Quan điểm ở đây là nên chọn nhiều ứng dụng mà bạn
không muốn người dùng chạy hơn là chọn các ứng dụng mà người dùng được
cho là sử dụng. Với quan điểm đó, chúng ta sẽ dễ dàng cung cấp cho
Windows một danh sách trắng các ứng dụng được phép so với việc phải
khóa các ứng dụng mà bạn muốn ngăn chặn người dùng sử dụng. Đây là
triết lý của Microsoft đằng sau cách các rule của AppLocker làm việc.
Điều này dẫn chúng ta đến khái niệm đầu tiên đằng
sau các rule AppLocker. Các rule của AppLocker được tổ chức thành các
bộ sưu tập. Mặc dù có thể tạo một tuyên bố từ chối, nhưng các rule của
AppLocker luôn được coi như một cơ chế cho việc cho phép đặc quyền đối
với một thứ gì đó (nhớ rằng, hoàn toàn dễ dàng đối với việc cho phép
phần mềm được sử dụng hơn là cấm phần mềm nào đó không được sử dụng).
Lúc này chúng ta đã tiến vào đến phần quan trọng. Lưu ý, nếu bạn tạo
quá nhiều rule đơn trong một bộ sưu tập rule thì Windows sẽ tự động
thừa nhận rằng bạn muốn ngăn chặn chạy mọi thứ.
Đây là một khái niệm rất quan trọng cần phải nhớ vì
chắc chắn bạn sẽ muốn người dùng của mình có thể chạy Microsoft Office
và Internet Explorer, vì vậy bạn tạo một rule để cho phép họ thực hiện
điều đó. Trong hoàn cảnh đó, bạn đã từ chối các quyền mà người dùng
chạy mọi thứ, gồm có hệ điều hành Windows. Tuy nhiên bạn cũng rất dễ có
thể bị khóa vô tình một người dùng nào đó với Windows bởi các rule
AppLocker được tạo không đúng cách. Đây là thứ mà chúng tôi sẽ nhắm đến
nhiều trong các phần sau của loạt bài.
Thứ cuối cùng chúng tôi muốn giới thiệu là về sự từ
chối. Như những gì được giới thiệu trước, chúng tôi đã đề cập ở trên
rằng, hoàn toàn có thể ngăn chặn người dùng có các đặc quyền quản trị
viên đối với hệ thống trong việc chạy các công cụ quản trị, tuy nhiên
bạn có thể tạo một ngoại lệ cho nhân viên trợ giúp. Về vấn đề này chúng
tôi sẽ giới thiệu chi tiết cho các bạn trong các phần sau của loạt bài,
còn lúc này chúng tôi chỉ chỉ ra việc thiết lập kiểu cấu hình này.
Với cách là AppLocker làm việc, chúng ta không thể
từ chối truy cập cho mọi người đối với các công cụ quản trị. Thay vào
đó, chúng ta sẽ phải cho phép mọi người có quyền truy cập vào các file
hệ thống của Windows. Từ đây, chúng ta có thể bổ sung sự từ chối cho
các công cụ quản trị để áp dụng cho một nhóm người dùng nào đó (mọi
người trừ nhân viên trợ giúp). Bạn không phải thực hiện bất cứ thứ gì
cho nhân viên trợ giúp vì chọ có quyền truy cập đến các công cụ quản
trị viên mà bạn đã cho phép bất cứ ai cũng có thể truy cập các file hệ
thống của Windows.
Kết luận
Trong phần hai này, chúng tôi đã giới thiệu cho các
bạn một vấn đề dễ vô tình mắc phải trong quá trình khóa chặn sử dụng
bằng các rule của AppLocker. Qua rút kinh nghiệm đó, chúng tôi đã giới
thiệu một phương pháp khác để khắc phục các nhược điểm này. Trong phần
tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách
tạo các rule AppLocker.
(Còn nữa)
Theo Windowsnetworking, Quantrimang
3Cdotcom “Nhà cung cấp dịch vụ Hosting trực tiếp" www.hosting.net.vn