Tài liệu Giới thiệu về AppLocker – Phần 3 pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (675.58 KB, 8 trang )
Giới thiệu về AppLocker – Phần 3
Trong phần này chúng tôi sẽ giới thiệu cho các bạn các nhiệm vụ cần
được hoàn tất trước khi tạo các rule (luật) trong AppLocker; các dịch
vụ hệ thống nào cần phải kích hoạt và cách tránh việc khóa một cách vô
tình chính bạn bên ngoài Windows.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn rằng
AppLocker làm việc theo nguyên tắc tạo sự thuận tiện trong việc định nghĩa
các ứng dụng mà bạn muốn cho phép Windows chạy hơn là cố gắng khóa
chặn mọi ứng dụng trái phép. Trong phần này, chúng tôi sẽ tiếp tục giới
thiệu về AppLocker bằng cách giới thiệu cho các bạn cách chuẩn bị cho việc
tạo các luật trong AppLocker.
Mở giao diện điều khiển AppLocker
Bạn có thể truy cập AppLocker thông qua Group Policy Object Editor tại
Computer Configuration | Windows Settings | Security Settings | Application
Control Policies | AppLocker. Cũng có thể vào AppLocker bằng cách chọn
shortcut Local Security Policy từ menu Administrative Tools. Khi sử dụng
Local Security Policy, AppLocker sẽ nằm ở Security Settings | Application
Control Policies | AppLocker. Bạn có thể thấy mục AppLocker xuất hiện
trong hình A bên dưới như thế nào.
Hình A: Giao diện AppLocker
Phần mở đầu
Như những gì các bạn thấy trong hình, giao diện sử dụng được phân thành
ba phần. Phần mở đầu (Getting Started) cung cấp cho bạn một thông báo chỉ
thị rằng, khi bạn bắt đầu việc tạo các luật của AppLocker thì chỉ các ứng
dụng được định nghĩa bởi các luật này sẽ được cho phép chạy. Có hai liên
kết để bạn có thể sử dụng nhằm tìm hiểu thêm về AppLocker hoặc xác định
phiên bản Windows nào mà các luật của AppLocker áp dụng.
Phần cấu hình thực thi luật
Phần cấu hình thực thi luật (Configure Rule Enforcement) hiển thị một
thông báo chỉ thị rằng, để các luật của AppLocker được thực thi, dịch vụ
nhận dạng ứng dụng (Application Identity Service) cần phải được chạy từ
trước. Nếu quan sát trong hình B, bạn có thể thấy Application Identity
Service chưa được cấu hình khởi chạy tự động theo mặc định.
Hình B: Application Identity Service không được kích hoạt tự động trong
chế độ mặc định
Nếu chỉ cần trải nghiệm với AppLocker trên một máy tính thì tốt nhất bạn
nên sử dụng Service Control Manager để thiết lập kiểu Startup của
Application Identity service là Automatic, sau đó bắt đầu dịch vụ. Còn nếu
bạn cần phải sử dụng AppLocker trên tất cả các desktop Windows 7 của
mình, lúc này cách tốt nhất bạn nên kích hoạt Application Identity service tại
mức Group Policy. Các dịch vụ hệ thống nằm tại Computer Configuration |
Windows Settings | Security Settings | System Services bên trong cây Group
Policy.
Nếu quan sát trong hình A, bạn sẽ thấy phần Configure Rule Enforcement
của giao diện AppLocker có chứa một liên kết Configure Rule Enforcement.
Kích vào liên kết này sẽ dẫn bạn đến trang các thuộc tính của AppLocker,
như thể hiện trong hình C.
Hình C: Bạn phải quyết định luật nào được thực thi
Như những gì bạn thấy trong hình trên, các luật của AppLocker không được
cấu hình mặc định.
Cần lưu ý rằng, khi bắt đầu tạo các luật, bất cứ ứng dụng nào không được
định nghĩa rứt khoát bởi các luật này sẽ không được phép chạy. Theo tài liệu
hướng dẫn của Windows 7, khi tạo rule thì rule đó sẽ được thực thi thậm chí
nếu bạn tích vào hộp chọn Configured trong tập các rule.
Để tránh hiện tượng vô tình khóa trái bạn bên ngoài Windows, các bạn nên
chọn Configured cho tất cả cả ba rule. Sau khi thực hiện như vậy, bạn cần
thiết lập danh sách sổ xuống ở tùy chọn Audit Only cho mỗi tập rule.
Khi một tập rule được thiết lập ở chế độ Audit Only, các rule bên trong tập
rule này sẽ không được thực thi. Bất cứ khi nào người dùng chạy một ứng
dụng bị ảnh hưởng bởi một rule trong tập các rule thì thông tin về rule và
ứng dụng sẽ được ghi vào bản ghi sự kiện của AppLocker.
Có hai lý do chính tạo sao bạn nên thiết lập Audit Only cho mỗi tập rule
trước khi tạo rule là vì: Đầu tiên là để bảo đảm an toàn. Chỉ cần AppLocker
làm việc trong chế độ Audit là bạn không phải lo về việc bị khóa trái bên
ngoài hệ thống của mình. Thứ hai, việc thẩm định các rule cho phép bạn test
xem chúng có làm việc tốt hay không. Khi kiểm tra các bản ghi thẩm định,
bạn sẽ phát hiện thấy liệu mình có cần phải sửa lại các rule hay không. Việc
thẩm định cho phép bạn tìm ra cách các rule sẽ thực thi chính xác như thế
nào.
Thuộc tính nâng cao của AppLocker
Nếu quan sát vào hình C, bạn sẽ thấy trang thuộc tính của AppLocker có
chứa tab Advanced. Nếu chọn tab này, bạn sẽ thấy tùy chọn kích hoạt bộ
rule DLL, như thể hiện trong hình D.
Hình D: Tab Advanced cho phép bạn kích hoạt một tập các luật DLL
Như những gì bạn thấy trong hình trên, thứ đầu tiên mà bạn có thể thấy là
một thông báo với dòng chữ in đậm, thông báo này cảnh báo bạn rằng các
rule DLL có thể ảnh hưởng đến hiệu suất của hệ thống.
Nếu kích hoạt tập các rule DLL thì bạn phải chấp thuận mọi DLL được sử
dụng bởi các ứng dụng đã được thẩm định trên hệ thống của mình. Điều này
dễ dẫn đến vấn đề khá nguy hiểm khi thiếu một DLL do tình cờ. Nếu bạn
quên chấp thuận một file DLL thì các ứng dụng phụ thuộc vào DLL đó sẽ
không thể chạy.
Rõ ràng, thông báo trong hộp kiểm cho bạn biết rằng việc kích hoạt các file
DLL có thể ảnh hưởng đến hiệu suất hệ thống. Lý do cho vấn đề này là vì
hầu hết các ứng dụng đều sử dụng ít nhất một vài file DLL. Khi người dùng
load ứng dụng, việc kiểm tra để bảo đảm rằng ứng dụng được chấp thuận sử
dụng là không đủ. Windows cũng phải kiểm tra các file DLL và điều này sẽ
tốn khá nhiều thời gian để thực hiện.
Phụ thuộc vào cách ứng dụng được thiết kế, nó có thể cần load các file DLL
một cách định kỳ. Hành động này sẽ làm tăng thời gian đáp trả của hệ thống
khi người dùng làm việc bên trong ứng dụng.
Cần lưu ý rằng, các rule DLL có những ưu điểm của nó. Nếu sự bảo mật là
vấn đề sống còn đối với tổ chức bạn thì việc kích hoạt các rule DLL là một ý
tưởng hết sức tốt. Tuy nhiên còn đối với những trường hợp còn lại, lời
khuyên của chúng tôi là cần tránh kích hoạt tập các rule DLL này.
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn cách thiết lập các tập
rule để thẩm định trước khi tạo rule của mình. Bằng cách này, bạn có thể
định rõ được sự ảnh hưởng của các rule. Trong phần tiếp theo của loạt bài,
chúng tôi sẽ giới thiệu cho các bạn cách tạo các rule AppLocker cần thiết.
