Bảo mật ứng dụng bằng AppLocker

AppLocker là một công cụ mới được tích hợp trên Windows 7 và
Windows Server 2008 R2 giúp chặn những ứng dụng không mong muốn
trong mạng. Do đó nó được sử dụng để thiết lập bảo mật cho nhiều hệ
thống mạng khác nhau.

Chặn một ứng dụng riêng lẻ

Phần này sẽ hướng dẫn thực hiện cấu hình chính sách bảo mật cho một hệ
thống cục bộ và áp dụng những cấu hình đó cho một máy tính trong hệ thống
mạng. Bạn cũng có thể thực hiện cấu hình cho chính sách bảo mật trong
Group Policy Management của Windows Server 2008 R2, nhưng nếu đã
hiểu về AppLocker thì các bạn nên sử dụng công cụ này khi thao tác với
chính sách bảo mật. AppLocker rất mạnh và linh hoạt, chính vì vậy mà bạn
cũng nên cẩn thận khi làm việc với nó vì chỉ cần một sai xót nhỏ cũng có thể
làm tổn hại tới máy tính.

Giả sử chúng ta sử dụng AppLocker để chặn sự vận hành của ứng dụng
MSTSC với file thực thi mstsc.exe.

Bạn có thể khởi chạy AppLocker bằng cách nhập gpedit.msc vào menu
Start của Windows 7, hay tạo một đối tượng Group Policy mới trong
Windows Server 2008 R2. Sau khi khởi chạy công cụ này, hãy duyệt tìm
AppLocker trong đường dẫn sau: Computer Configuration | Windows
Settings | Security Settings | Application Control Policies | AppLocker.

Sau đó bạn sẽ thấy ngay ba tùy chọn trong bảng bên trái khi mở rộng
AppLocker. Ba tùy chọn này là các tập quy định Rule Collection và là những
nhóm được sử dụng để chia tách những phần mở rộng của file. Bạn cũng có
thể quản lý những phần mở rộng này khi sử dụng AppLocker.
Rule Collection

Lo
ại file

File thực thi
.exe, .com
Tập lệnh

.ps1, .bat, .cmd, .vbs,
.js
File của Windows
Installer
.msi, .msp

Mục đích là chặn một file thực thi vì vậy chúng ta sẽ phải tạo một Rule mới
trong Rule Collection của những file thực thi. Để tạo một Rule mới bạn hãy
phải chuột lên Executable Rules rồi chọn Create New Rule.

Sau đó Create Executable Rules Wizard sẽ hiện ra, hãy click Next để bỏ
qua màn hình hướng dẫn. Vì muốn từ chối truy cập vào file thực thi
mstsc.exe nên bạn hãy lựa chọn tùy chọn Deny. Cũng tại cửa sổ này bạn có
thể lựa chọn người dùng hay nhóm người dùng mà chính sách này sẽ áp
dụng. Nếu muốn đảm bảo quản trị hệ thống và những người dùng được phân

quyền cao vẫn có thể chạy ứng dụng này khi đăng nhập vào hệ thống, bạn
hãy lựa chọn nhóm người dùng để áp dụng chính sách này.

Trong cửa sổ tiếp theo bạn sẽ nhận được thông báo lựa chọn điều kiện chính
cho Rule. Bạn sẽ phải lựa chọn một trong ba tùy chọn được sử dụng trong
Rule Collection, gồm:
 Publisher: Tùy chọn này rất linh hoạt trong việc lựa chọn điều kiện
nhưng nó chỉ có thể được sử dụng với những phần mềm ứng dụng đã
được sign bởi nhà cung cấp.
 Path: Điều kiện này sẽ tạo một Rule cho một đường dẫn file hay folder
cụ thể.
 File Hash: Tùy chọn này phù hợp nhất trong trường hợp một ứng dụng
nào đó không được sign. Và loại Rule này được tạo lập khi ứng dụng
này bị hỏng.
Ứng dụng MSTSC là một ứng dụng đã được sign, do đó chúng ta sẽ chọn
điều kiện chính là Publisher rồi click Next. Sau đó nhấn nút Browse duyệt
tìm tới file muốn chặn. Bạn hãy tìm file mstsc.exe trong đường dẫn
C:\Windows\System32\mstsc.exe. Sau khi đã lựa chọn file này bạn sẽ thấy
một thanh trượt dọc xuất hiện. Với ứng dụng đã sign chúng ta sẽ có một vài
cấp độ lựa chọn cho Rule. Bạn có thể sử dụng Publisher để chặn mọi ứng
dụng.


Những tùy chọn này rất mạnh và linh hoạt, bạn cũng có thể sử dụng chúng để
ngăn người dùng chạy một ứng dụng nào đó, chặn những tên file có liên quan
tới virus và thậm chí có thể buộc người sử dụng các ứng dụng mới nhất bằng
cách chặn những ứng dụng cũ. Trong phần này mục đích là chặn file
mstsc.exe nên chúng ta sẽ không chú ý tới phiên bản của nó, do đó thanh
trượt cần phải di chuyển lên tùy chọn File name.


Cửa sổ tiếp theo sẽ cho phép bạn tạo những trường hợp ngoại lệ nếu cần
thiết, và cửa sổ cuối cùng cho phép bạn đặt tên cho Rule mới. Sau đó nhấn
Create để kết thúc quá trình tạo mới Rule. Nếu đây là Rule đầu tiên được
tạo, bạn sẽ nhận được nhắc nhở tạo Rule mặc định cho phép người dùng và
quản trị viên truy cập vào file hệ thống. Điều này rất cần thiết (đặc biệt nếu
đang sử dụng phiên bản trước Windows 7) vì nếu không thiết lập đúng cho
những Rule này có thể hệ thống của bạn sẽ không khởi động được. Sau khi
click Yes trên thông báo những Rule này sẽ tự động được tạo.


Đây là khâu cuối cùng đảm bảo cho những Rule của bạn phát huy được tác
dụng của chúng. Trước tiên bạn phải chạy và cài đặt chế độ khởi chạy tự
động cho dịch vụ Application Identity để AppLocker có thể xác định được
chính xác ứng dụng.

Để chạy và cài đặt khởi chạy tự động cho dịch vụ này bằng cách nhập
services.msc vào hộp tìm kiếm trong menu Start, sau đó tìm đến dịch vụ
Application Identity, click đúp vào nó, chọn Start | Automatic trong trường
Startup Type. Sau khi khởi động lại hệ thống AppLocker sẽ áp dụng các
Rule này, và mỗi khi người dùng cố gắng khởi chạy ứng dụng MSTSC họ sẽ
nhận được thông báo sau:


Chặn ứng dụng không tin cậy

Trong phần trên, khi thực hiện chặn ứng dụng chúng ta đã biết chính xác ứng
dụng đó. Tình huống trên rất phù hợp với những môi trường nơi người dùng
chỉ được cho phép chút ít quyền truy cập tự do trên hệ thống, nhưng với
những tổ chức lớn hơn thì chính sách IT sẽ chỉ định rõ những đối tượng
không được khởi chạy mọi ứng dụng mà không được quản trị hệ thống cho

phép. Phương pháp hiệu quả nhất trong trường hợp này là chặn mọi ứng dụng
không đảm bảo độ tin cậy cần thiết. Và AppLocker có thể thực hiện chức
năng này khá dễ dàng.

AppLocker được thiết kế hướng bảo mật do đó nó có thể giúp bạn tạo một
Allow Rule chặn mọi ứng dụng khác ngoại trừ ứng dụng được cho phép. Ví
dụ, nếu khởi tạo một Allow Rule chỉ cho phép ứng dụng chạy ứng dụng trong
C:\folder\file.exe, khi đó Rule này sẽ được sử dụng để chặn mọi ứng dụng
nằm trong C:\folder ngoại trừ file.exe. Điều này có nghĩa là trong phần này
chúng ta sẽ khởi tạo một Allow Rule cho mọi ứng dụng được cho phép.

Trước khi tạo Allow Rule, bạn sẽ phải tạo một Rule cho mọi file thực thi
riêng lẻ, bao gồm cả các ứng dụng nhóm ba đã được cài đặt vào hệ thống hay
các ứng dụng Windows được cài đặt mặc định. AppLocker có thể thực hiện
tạo Rule tự động dựa trên những ứng dụng được cài đặt cho một máy trạm cụ
thể.

Nếu chưa tạo Rule mặc định cho phép mọi ứng dụng cần thiết của hệ thống
khởi chạy thì trước tiên bạn phải tạo những Rule này. Phải chuột vào
Executable Rules Collection chọn Create Default Rules. Khi những Rule
này đã được tạo, bạn hãy xóa các Rule cho phép mọi người dùng chạy mọi
file trong thư mục C:\Program Files.


Tiếp theo tạo Allow Rule cho hệ thống. Bạn chỉ cần phải chuột lên
Executable Rules Collection chọn Automatically Generate Executable
Rules. Những ứng dụng trên hệ thống được lưu trữ trong hai vùng chính.
Vùng thứ nhất là thư mục Windows, trong vùng này những Rule mặc định sẽ
cho phép người dùng chạy mọi file trong thư mục này do đó bạn không cần
tạo bất kì Allow Rule cho nó. Vùng chứa còn lại là thư mục Program Files.

Hãy lựa chọn thư mục này trong trường đầu tiên của cửa sổ vừa xuất hiện.
Trong trường phía dưới lựa chọn nhóm người dùng mà Rule này sẽ áp dụng.
Sau cùng bạn cần đặt tên cho nhóm Rule này (tên của Rule sẽ xuất hiện trong
ngoặc đơn phía trước mô tả của mỗi Rule). Sau đó nhấn nút Next.


Tại Rule Preferences, bạn có thể lựa chọn loại Rule muốn khởi tạo. Tốt nhất
bạn nên chọn Pulisher cho mọi file được kí hiệu số và tạo File Hash Rule
đối với những loại file còn lại. Bạn cũng có thể lựa chọn tùy chọn giảm số
lượng Rule được tạo bằng cách nhóm những file giống nhau. Tùy chọn này
sẽ giảm đáng kể lượng Rule nhưng nếu muốn kiểm soát truy cập nhiều hơn
hãy hủy chọn tùy chọn này. Click Next bắt đầu tiến trình Rule Application
Discovery. Sau khi tiến trình này kết thúc bạn sẽ thấy một hộp thoại hiển thị
những Rule đang được tạo. Nhấn nút Create để hoàn thành tạo những Rules
này.

DLL Rule Collection

Ngoài ba DLL Rule Collection trên, còn có một DLL Rule Collection khác
cần được nhắc tới. Tập DLL Rule được sử dụng để chặn chặn những ứng
dụng gọi những file DLL cụ thể. Đây là một tập Rule cao cấp và bạn không
nên sử dụng nếu chưa hiểu rõ về nó. Loại Rule này có thể tác động tới khả
năng thực thi của hệ thống vì nó yêu cầu AppLocker kiểm tra mọi DLL mà
một ứng dụng sử dụng khi khởi chạy.

Tập DLL Rule sẽ không được kích hoạt mặc định vì một số lí do đã được
nhắc đến ở trên. Nếu muốn tạo một Rule DLL bạn hãy mở cửa sổ cấu hình
chính của AppLocker, chọn Configure Rule Enforcement, chọn tiếp tab
Advanced và click chọn hộp chọn Enable the DLL Rule collection. Sau đó
bạn sẽ thấy tập DLL Rule trong bảng bên trái cùng với ba tập Rule khác.



Kiểm định và áp dụng Rule

Mọi Rule bạn đã tạo được thiết kế để thực hiện những chính sách cho phép
hay từ chối sử dụng ứng dụng. Một số công cụ có thể hỗ trợ cho quá trình
kiểm định trước khi áp dụng một chính sách. AppLocker cung cấp một cài
đặt kiểm định rất hữu dụng trong trường hợp này. Khi người dùng chạy một
ứng dụng vi phạm một Rule của AppLocker thì thông tin về ưng dụng này sẽ
được lưu vào AppLocker Event Log.

Để sử dụng cài đặt này, bạn hãy click vào Configure Rule Enforcement trên
cửa sổ cấu hình chính của AppLocker. Trong hộp thoại AppLocker bạn có
thể lụa chọn hộp chọn Configured cho tập Rule muốn kiểm định và lựa chọn
tùy chọn Audit Only trong danh sách thả xuống. Tính năng này rất hữu dụng
trong việc xác định loại chình sách mà một ứng dụng sử dụng.


Kết luận

Không quá khó để thấy được những tính năng của AppLocker khi sử dụng nó
trong mạng. Nhờ có hệ thống Rule động, giờ đây bạn có thể chặn những ứng
dụng mong muốn giúp bảo mật cho hệ thống. Cùng với đó, AppLocker trong
Windows 7 và Windows Server 2008 R2 sẽ là một công cụ quan trọng trong
bộ công cụ quản trị.