Tài liệu Giới thiệu về AppLocker – Phần 4 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (364.06 KB, 7 trang )
Giới thiệu về AppLocker – Phần 4
Trong phần 4 của loạt bài về AppLocker này, chúng tôi sẽ giới thiệu cho
các bạn cách tạo tập các rule mặc định nhằm giúp bạn tránh được việc
AppLocker khóa chặn bạn bên ngoài Windows của mình.
Giới thiệu về AppLocker – Phần 1
Giới thiệu về AppLocker – Phần 2
Giới thiệu về AppLocker – Phần 3
Trước khi bắt đầu
Cho đến đây, chúng tôi đã giới thiệu được cho các bạn về cách làm việc của
AppLocker như thế nào, về các kiểu rule khác nhau của AppLocker có sẵn
đối với bạn. Trong phần tiếp theo này, chúng tôi sẽ tiếp tục bằng cách giới
thiệu cho các bạn cách tạo một rule AppLocker.
Trước khi bắt đầu, có một số vấn đề quan trọng chúng tôi cần lưu ý các bạn.
Đầu tiên, các bạn cần phải nhớ rằng, khi bắt đầu tạo các rule, bất kỳ ứng
dụng nào không được nhắm đến một cách rõ ràng bởi các rule đó sẽ không
thể chạy. Nếu tạo các rule sai cho AppLocker thì bạn có thể khóa trái mình
bên ngoài máy tính. Chính vì vậy cần phải tạo một backup cho máy tính
trước khi thực hiện các rule AppLocker.
Thứ hai, cần phải lưu ý rằng, các rule sẽ có hiệu lực thậm chí chúng không
được kích hoạt. AppLocker hỗ trợ ba chế độ thực thi khác nhau là: Not
Configured, Enforce Rules và Audit Only. Nếu có rule tồn tại, chúng sẽ
được thực thi nếu chế độ thực thi được thiết lập là Enforce Rules hoặc Not
Configured. Chính vì vậy các bạn cần phải bắt đầu bằng cách thiết lập ở chế
độ Audit Only. Phần 3 của loạt bài này chúng tôi đã hướng dẫn về việc thiết
lập chế độ thực thi cho các bạn.
Các rule mặc định
Khi đã sẵn sàng cho việc tạo các rule, chúng tôi khuyên các bạn nên bắt đầu
bằng cách tạo tập các rule mặc định. Như ở phần trên, chúng tôi đã đề cập
rằng, bạn có thể sẽ vô tình khóa trái mình bên ngoài Windows nếu áp dụng
không đúng các rule của AppLocker. Các rule mặc định được thiết kế để
không xảy ra điều đó, chúng là rule được thiết kế để cho phép Windows vẫn
có thể chạy dù thế nào đi chăng nữa.
Tuy nhiên có một sự thật khá vui ở đây đó là, các rule mặc định lại không
được tạo mặc định. Để tạo các rule mặc định này, bạn cần phải mở Group
Policy Object Editor và điều hướng thông qua cây điều khiển đến to
Computer Configuration | Windows Settings | Security Settings | Application
Control Policies | AppLocker | Executable Rules. Lúc này, kích phải vào
mục Executable Rules và chọn Create Default Rules từ menu xuất hiện.
Khi các rule mặc định được tạo, kích phải vào mục Windows Installer
Rules và chọn Create Default Rules. Cuối cùng, kích phải vào mục Script
Rules và chọn Create Default Rules. Tại thời điểm viết bài, vẫn chưa có
các rule kịch bản mặc định, tuy nhiên điều này hoàn toàn có thể thay đổi và
đây là một ý tưởng tốt, vì vậy bạn hãy thử tạo các rule kịch bản mặc định.
Xem lại các rule mặc định
Mặc dù các rule mặc định được thiết kế là để bảo vệ Windows, tuy nhiên
vẫn khả năng các rule này bị xung đột với chính sách bảo mật công ty. Bạn
có thể tinh chỉnh các rule mặc định để làm cho chúng hạn chế hơn, nhưng
cần phải thực sự cẩn thận khi thực hiện vấn đề này.
Nếu quan sát vào hình A, bạn có thể thấy Windows tạo ra ba rule thực thi
mặc định. Rule đầu tiên cho phép bất cứ ai cũng có thể chạy tất cả các file
nằm trong thư mục Program Files. Rule thứ hai cho phép bất cứ ai cũng có
thể chạy các file nằm trong thư mục Windows. Còn rule thứ ba cho phép
người có tài khoản BUILTIN\Administrator mới có thể chạy các file trên hệ
thống.
Hình A: Có ba rule thực thi mặc định
Cho phép chúng tôi bắt đầu bằng cách nói rằng, bạn không nên cố gắng thay
đổi rule thứ ba. Tài khoản BUILTIN\Administrator cần có sự truy cập toàn
bộ hệ thống. Còn ngoài ra, bạn có thể thay đổi rule đầu tiên và rule thứ hai,
làm cho chúng trở nên hạn chế hơn. Cho ví dụ, có thể tạo một tập các rule
cho phép các ứng dụng nào đó nằm trong thư mục Program Files có thể
chạy, thay cho việc cấp quyền hạn cho toàn bộ thư mục.
Khi bạn quyết định cách các rule sẽ được áp dụng thế nào, có một vấn đề
quan trọng mà các bạn cần lưu ý là, các rule mặc định chỉ cho phép quyền
hạn người dùng có thể chạy ứng dụng. Việc tạo một rule AppLocker không
cung cấp cho người dùng có được khả năng cài đặt ứng dụng mới vào các
location này. Nếu một ai đó muốn cài đặt ứng dụng, họ phải có quyền hạn
NTFS thích hợp.
Mặc định, người dùng sẽ có các quyền đọc, ghi và tạo đối với thư mục
C:\Windows\Temp. Khi các rule thực thi mặc định được tạo, người dùng sẽ
tự động được gán cho quyền hạn thực thi các ứng dụng đang cư trú trong thư
mục C:\Windows\Temp. Điều này có nghĩa rằng họ có thể cài đặt một ứng
dụng nào đó vào thư mục Temp và chạy nó.
Trước khi giới thiệu về cách thay đổi các rule mặc định, chúng tôi muốn giới
thiệu cho các bạn về các rule Windows Installer mặc định trước. Như các
rule thực thi mặc định, Windows cũng tạo ra ba Windows Installer mặc định,
xem thể hiện trong hình B bên dưới.
Hình B: Ba rule Windows Installer mặc định
Rule đầu tiên trong số các rule Windows Installer mặc định cho phép tất cả
người dùng có thể chạy bất cứ file Windows Installer nào miễn là nó đã
được ký. Không quan trọng vấn đề ai ký file Windows Installer, hoặc nơi
cung cấp file. Nếu file đã được ký, người dùng hoàn toàn có thể chạy nó.
Rule thứ hai cho phép tất cả người dùng đều có thể chạy các file Windows
Installer nằm trong thư mục %systemdrive%\Windows\Installer. Trong
trường hợp này, các file Windows Installer thậm chí còn không được ký. Chỉ
cần file Windows Installer nằm trong thư mục đã được chỉ định, người dùng
sẽ được phép chạy nó.
Rule cuối cùng cho phép quản trị viên có thể chạy tất cả các file Windows
Installer. Giống như trường hợp lúc trước, bạn không nên can thiệp vào rule
này vì quản trị viên cần đến các quyền hạn như vậy.
Chuẩn bị cho việc thay đổi các rule mặc định
Trước khi bắt tay vào giới thiệu phần tiếp theo của loạt bài này, có một số
vấn đề mà chúng tôi muốn đề cập trước cho các bạn.
Chúng tôi đã giải thích rằng, các rule thực thi thường đi đôi với các file thực
thi, tuy nhiên tin hay không tùy bạn, AppLocker có một định nghĩa rất đặc
biệt cho các file thực thi. AppLocker định nghĩa các file thực thi là các file
.EXE hoặc .COM. Mặc dù .BAT, .PIF, và một số định dạng khác cũng có
thể là các file thực thi nhưng chúng sẽ không được bao phủ bởi các rule thực
thi mặc định.
AppLocker có một định nghĩa đặc biệt cho các file thực thi, nó cũng có một
định nghĩa đặc biệt cho các file Windows Installer. Các file Windows
Installer được định nghĩa là các file .MSI và .MSP.
Kết luận
Trong phần này, chúng tôi đã giới thiệu được cho các bạn về cách tạo tập
các rule AppLocker mặc định. Trong phần tiếp theo của loạt bài này, chúng
tôi sẽ giới thiệu cho các bạn cách thay đổi các rule mặc định và cách tạo các
rule theo ý bạn.
