Giới thiệu về AppLocker
Nguồn:quantrimang.com
Brien M. Pose
y

Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại
sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và
AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào.
Giới thiệu
Tính năng mới của Windows 7 mang tên AppLocker là một tính năng được tạo
ra với mong muốn sẽ khắc phục được các yếu điểm trong các chính sách hạn
chế phần mềm trong các phiên bản Windows trước đây. Loạt bài này chúng tôi
sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ
ra không mấy hiệu quả và AppLocker có thể giúp bạn những gì.
Trong một vài phiên bản Windows thế hệ gần đây, nếu muốn hạn chế các ứng
dụng nào mà người dùng trước đây được phép chạy, bạn chỉ có cách thực hiện
là sử dụng chính sách hạ
n chế phần mềm (Software Restriction Policies), hoặc
tiện ích của một nhóm thứ ba nào đó chẳng hạn như Parity
của Bit9. Tuy nhiên
vấn đề đối với việc sử dụng chính sách hạn chế phần mềm là chúng hoạt động
thực sự không tốt. Mặc dù có thể khóa các máy trạm của người dùng bằng chính
sách hạn chế phần mềm nhưng việc tạo các chính sách lại rất không hề đơn
giản chút nào với người dùng.
Trong Windows Vista và Windows Server
2008, Microsoft chỉ thực hiện những thay
đổi nhỏ trong chính sách hạn chế phần
mề
m. Trong các phiên bản này, Microsoft
đã bổ sung một kiểu rule mới mang tên
“network zone rule” và rule này được coi

như một mức bảo mật mới Basic User.
Trong Windows 7, Microsoft đã thiết kế lại
các chính sách hạn chế phần mềm. Tính
năng được thiết kế mới này cũng mang một
tên mới là AppLocker. Không mong đợi
AppLocker sẽ toàn diện như các giải pháp
khóa chặn desktop của các nhóm thứ ba, tuy nhiên nó đã cải thiện được khá
nhiều so với chính sách hạn ch
ế phần mềm trước kia.
Những thiếu sót của chính sách hạn chế phần mềm
Trước khi có thể đánh giá AppLocker, bạn cần hiểu một chút về chính sách hạn
chế phần mềm trước kia. Hơn nữa AppLocker vẫn hỗ trợ các kiểu rule tương tự
như các chính sách phần mềm vẫn có, chính vì vậy trong phần dưới đây chúng
tôi sẽ giới thiệu cho các bạn về các rule của chính sách hạn chế phần mềm.
Các chính sách hạn ch
ế phần mềm được được tạo nên từ nhiều kiểu rule khác
nhau. Bạn có thể tạo các rule như: certificate rule, hash rule, path rule, internet
Zone rule, và network zone rule.
Certificate Rule
Certificate rule là rule quan trọng nhất trong số các rule được cung cấp. Rule này
cho phép bạn đồng ý hoặc từ chối các ứng dụng dựa trên chữ ký số của nó. Tuy
nhiên vấn đề đối với kiểu rule này là khi các chính sách hạn chế phần mềm
được giới thiệu lần đầu trong Windows XP, hầu như không ai đánh chữ
ký số
trên mã ứng dụng của họ. Thậm chí hiện nay bạn cũng thấy các hãng phần mềm
thường không gắn kèm chữ ký số vào các ứng dụng của họ.
Một vấn đề khác với các rule về chứng chỉ này là chúng có một phạm vi quá lớn.
Nếu cho phép các ứng dụng được ký bởi Microsoft thì tất cả các ứng dụng của
Microsoft sẽ được cho phép trừ khi bạn tạo một rule riêng với mứ
c ưu tiên cao

hơn để khóa một số ứng dụng không mong muốn nào đó của Microsoft.
Hash Rule
Kiểu rule thứ hai các chính sách hạn chế phần mềm hỗ trợ là hash rule. Ý tưởng
của rule này là Windows có thể tạo một hash các file thực thi, và sử dụng hash
đó để nhận diện ứng dụng. Có thể nói rằng về ý tưởng thì hash rule rất tốt ở thời
điểm được giới thiệu, tuy nhiên ngày nay chúng không còn mang tính thực tiễ
n.
Bất cứ ai chịu tránh nhiệm cho việc tổ chức sự hợp lệ bên trong một tổ chức
cũng đều biết rằng chúng bị oanh tạc bởi những bản vá với một tốc độ báo động.
Bất cứ thời điểm nào bạn vá lỗi một ứng dụng, hash sẽ thay đổi các file đã được
thay thế, sau đó render các hash rule tồn tại lỗi thời trước
đây.
Path Rule
Path rule là một trong những kiểu rule yếu hơn. Chúng cho phép hoặc khóa các
ứng dụng dựa trên đường dẫn ứng dụng được cài đặt. Đây có thể một đường
dẫn hệ thống file hoặc đường dẫn registry. Vấn đề phát sinh với kiểu rule này là,
nếu một người nào đó đủ thẩm quyền cài đặt ứng dụng thì họ sẽ có đủ quyền để
chuyển ứng dụ
ng đó sang một location khác để tránh bị ảnh hưởng bởi rule này.
Internet Zone Rule
Internet zone rule là các ví dụ mang tính kinh điển về ý tưởng tốt nhưng được
thực thi một cách nghèo nàn. Về ý tưởng cơ bản phía sau rule này là ngăn chặn
người dùng download và cài đặt ứng dụng từ Internet. Tuy nhiên có một số vấn
đề với cách thức làm việc bên trong của chúng.
Đâu tiên đó là Internet zone rule chỉ áp dụng cho các file MSI (các gói phần mềm
cài đặt của Windows). Vấn đề tiếp theo là Internet zone rule chỉ áp dụng tại thời
điểm file được download. Đ
iều này có nghĩa rằng nếu người dùng download một
file ZIP có chứa ứng dụng thì Internet zone rule sẽ không ngăn chặn việc cài đặt
ứng dụng này.

Network Zone Rule
Network zone rule cũng tương tự như Internet zone rule, ngoại trừ việc kiểm tra
Internet zone mà file đó được download, chúng kiểm tra location mạng, nơi file
đó tồn tại. Cho ví dụ, bạn có thể tạo một chính sách để chỉ cho phép người dùng
chạy các ứng dụng đã được cài đặt trên máy tính nội b
ộ. Tuy nhiên vấn đề lớn
đối với kiểu rule này là trước khi nó có thể được sử dụng, ứng dụng phải nằm ở
đâu đó trên mạng của bạn.
Vấn đề quan trọng nhất
Trong phần này chúng tôi đã giới thiệu về một số thiếu sót trong các rule trước
đây, tuy nhiên trung tâm thực sự của vấn đề lại liên quan đến sự thật rằng các
chính sách hạn chế phầ
n mềm được thiết kế để khóa chặn các kiểu ứng dụng
khác nhau. Lý do tại sao đây lại là một vấn đề lớn là vì có một số vô hạn các ứng
dụng không được thẩm định để sử dụng trên mạng, tuy nhiên lại có một số hữu
hạn các ứng dụng được thẩm định. Chính vì vậy việc cho phép một tập cụ thể
các ứng dụng sẽ dễ dàng h
ơn nhiều việc khóa một số lượng lớn các ứng dụng
không rõ. Những điểm yếu này sẽ được khắc phục trong AppLocker và cùng với
đó là một số tính năng khác nữa.
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn một số chính sách hạn chế
phần mềm và những hạn chế của chúng. Trong phần hai của loạt bài, chúng tôi
sẽ tiếp tục giới thiệ
u cho các bạn về AppLocker và cách nó khắc phục các hạn
chế đó như thế nào.
Giới thiệu
Mặc dù AppLocker mạnh hơn các chính sách hạn chế phần mềm Software
Restriction Policies nhưng nó vẫn tồn tại một số vấn đề mà các bạn cần biết
trước khi tạo rule AppLocker. Trong phần thứ hai này chúng tôi sẽ giải thích cho

các bạn về các vấn đề này.
Trong phần trước của loạt bài, chúng tôi đã giới
thiệu cho các bạn biết rằng, Microsoft đã giới
thiệu các chính sách hạn chế phần mềm
(Software Restriction Policies) trong Windows XP
nhằm cho phép các quả
n trị viên có thể kiểm soát
ứng dụng nào người dùng được phép chạy, ứng
dụng nào không. Trong quá trình làm việc với hệ
điều hành này nhiều năm, các chính sách hạn chế
phần mềm này đã bộ lộ một số thiếu sót. Tuy
nhiên với phát hành Windows 7, Microsoft đã cố gắng khắc phục những thiếu sót
này thông qua một tíng năng mới mang tên AppLocker.
Khả năng tương thích
Mặc dù AppLocker về cơ bả
n là một phiên bản mới của tính năng Software
Restriction Policies nhưng AppLocker lại không có khả năng tương thích với
Software Restriction Policies. Nếu bạn hiện đã định nghĩa Software Restriction
Policies bên trong một Group Policy Object, khi đó các chính sách này sẽ tiếp tục
làm việc, thậm chí bạn nâng cấp các máy tính lên Windows 7. Mặc dù vậy, nếu
bạn định nghĩa các chính sách AppLocker bên trong Group Policy Object đã
chứa các chính sách hạn chế phần mềm thì các máy tính đang chạy Windows 7
sẽ bỏ qua các chính sách hạn chế phần mề
m, chỉ áp dụng các chính sách của
AppLocker.
Một khía cạnh khác, nếu Group Policy Object gồm có các chính sách của
Software Restriction Policies và AppLocker thì các máy tính đang chạy Windows
XP và Vista sẽ bỏ qua các chính sách AppLocker và chỉ sử dụng Software
Restriction Policies. Điều này xảy ra là vì tính năng AppLocker không tồn tại
trong các hệ điều hành kế thừa.

Một số hạn chế
Mặc dù AppLocker cung cấp một cải thiện lớn so với Software Restriction
Policies nhưng nó vẫn có một số hạn chế nhất định. Hạ
n chế lớn nhất của
AppLocker là nếu người dùng có các đặc quyền quản trị viên trên các máy tính
của họ thì AppLocker có thể dễ dàng bị phá vỡ.
Microsoft đã khuyên không nên cung cấp các đặc quyền quản trị viên cho người
dùng, tuy nhiên trong thế giới thực, hành động này đôi khi không tránh khỏi.
Thêm vào đó, có một số ứng dụng sẽ không hoạt động đúng trừ khi người dùng
nắm toàn quyền kiểm soát hệ thống.
Nếu bạn muốn sử dụng AppLocker nhưng người dùng của bạn có các đặc
quyền quản trị viên, khi đó bạn nên xem xét liệu có thể cung cấp cho ng
ười dùng
quyền điều khiển của quản trị viên trên các máy tính của họ. Có lẽ bạn có thể
cung cấp cho người dùng toàn quyền điều khiển trên các thư mục mà không
thực sự cung cấp cho họ các đặc quyền quản trị viên đầy đủ. Tuy nhiên phương
pháp này không phải lúc này cũng làm việc tốt vì một số ứng dụng yêu cầu
người dùng có khả năng thay đổi registry hoặc các thành phần khác của h
ệ điều
hành.
Nếu người dùng yêu cầu quyền truy cập quản trị viên đối với hệ thống, bạn có
thể loại bỏ bằng cách khóa các công cụ quản trị. Cho ví dụ, bạn có thể tạo một
rule để khóa một số thứ như Registry Editor hoặc Windows PowerShell. Nếu bạn
cố gắng sử dụng phương pháp này, bạn phải chú ý không cấu hình rule mang
tính toàn cục. Thêm vào đó, các nhân viên trợ giúp sẽ yêu c
ầu sự truy cập vào
các công cụ quản trị khác nhau để họ có thể khắc phục một số vấn đề với các
máy tính người dùng.
Các chiến lược AppLocker cơ bản
Mặc dù AppLocker hỗ trợ một số kiểu rule cơ bản tương tự như Software

Restriction Policies, tuy nhiên cách cơ bản mà AppLocker sử dụng khá khác so
với những gì bạn đã biết. Trong thực tế, bạn rất dễ tự m
ắc phải rắc rối nếu
không hiểu cách làm việc của AppLocker. Chính vì vậy chúng tôi khuyên các bạn
nên quan tâm đến những gì được đề cập trong phần này.
Để sử dụng AppLocker an toàn, bạn phải hiểu triết lý cơ bản của Microsoft đằng
sau các rule của AppLocker. Triết lý này xoay quanh ý tưởng rằng, có một số
ứng dụng đặc biệt sẽ được bạn sử dụng trong tổ chức. Ngược lại, cũng có một
số
không xác định các ứng dụng mà các tổ chức không sử dụng. Cho ví dụ, một
số ứng dụng bạn có thể không được cho phép sử dụng trong tổ chức có thể gồm
các ứng dụng như: video game, malware, phần mềm mạng ngang hàng và
Quan điểm ở đây là nên chọn nhiều ứng dụng mà bạn không muốn người dùng
chạy hơn là chọn các ứng dụng mà người dùng được cho là sử dụng. Với quan
điểm đó, chúng ta sẽ dễ dàng cung cấp cho Windows một danh sách trắng các
ứng dụng được phép so với việc phải khóa các ứng dụng mà bạn muốn ngăn
chặn người dùng sử dụng. Đây là triết lý của Microsoft đằng sau cách các rule
của AppLocker làm việc.
Điều này dẫn chúng ta đến khái niệm đầu tiên đằng sau các rule AppLocker. Các
rule của AppLocker được tổ chức thành các bộ sưu tập. Mặc dù có thể tạo một
tuyên bố từ chối, nhưng các rule của AppLocker luôn được coi như một cơ chế
cho việc cho phép đặc quyền đối với một thứ gì đó (nhớ rằng, hoàn toàn dễ
dàng đối với việc cho phép phần mềm được sử dụng hơn là cấ
m phần mềm nào
đó không được sử dụng). Lúc này chúng ta đã tiến vào đến phần quan trọng.
Lưu ý, nếu bạn tạo quá nhiều rule đơn trong một bộ sưu tập rule thì Windows sẽ
tự động thừa nhận rằng bạn muốn ngăn chặn chạy mọi thứ.
Đây là một khái niệm rất quan trọng cần phải nhớ vì chắc chắn bạn sẽ muốn
người dùng củ
a mình có thể chạy Microsoft Office và Internet Explorer, vì vậy

bạn tạo một rule để cho phép họ thực hiện điều đó. Trong hoàn cảnh đó, bạn đã
từ chối các quyền mà người dùng chạy mọi thứ, gồm có hệ điều hành Windows.
Tuy nhiên bạn cũng rất dễ có thể bị khóa vô tình một người dùng nào đó với
Windows bởi các rule AppLocker được tạo không đúng cách. Đây là thứ mà
chúng tôi sẽ nhắm đến nhiề
u trong các phần sau của loạt bài.
Thứ cuối cùng chúng tôi muốn giới thiệu là về sự từ chối. Như những gì được
giới thiệu trước, chúng tôi đã đề cập ở trên rằng, hoàn toàn có thể ngăn chặn
người dùng có các đặc quyền quản trị viên đối với hệ thống trong việc chạy các
công cụ quản trị, tuy nhiên bạn có thể tạo một ngoại lệ cho nhân viên trợ giúp.
Về
vấn đề này chúng tôi sẽ giới thiệu chi tiết cho các bạn trong các phần sau của
loạt bài, còn lúc này chúng tôi chỉ chỉ ra việc thiết lập kiểu cấu hình này.
Với cách là AppLocker làm việc, chúng ta không thể từ chối truy cập cho mọi
người đối với các công cụ quản trị. Thay vào đó, chúng ta sẽ phải cho phép mọi
người có quyền truy cập vào các file hệ thống của Windows. Từ đây, chúng ta có
thể bổ sung sự từ chối cho các công cụ
quản trị để áp dụng cho một nhóm người
dùng nào đó (mọi người trừ nhân viên trợ giúp). Bạn không phải thực hiện bất
cứ thứ gì cho nhân viên trợ giúp vì chọ có quyền truy cập đến các công cụ quản
trị viên mà bạn đã cho phép bất cứ ai cũng có thể truy cập các file hệ thống của
Windows.
Kết luận
Trong phần hai này, chúng tôi đã giới thiệu cho các bạn một vấn đề dễ
vô tình
mắc phải trong quá trình khóa chặn sử dụng bằng các rule của AppLocker. Qua
rút kinh nghiệm đó, chúng tôi đã giới thiệu một phương pháp khác để khắc phục
các nhược điểm này. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới
thiệu cho các bạn cách tạo các rule AppLocker.
