Tài liệu Giới thiệu về AppLocker – Phần 5 pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (663.41 KB, 8 trang )
Giới thiệu về AppLocker – Phần 5
Trong phần cuối cùng giới thiệu về AppLocker này, chúng tôi sẽ giới
thiệu cho các bạn cách mổ xẻ một luật của AppLocker, giới thiệu cách
tạo các luật cả thủ công lẫn tự động cũng như cách thay đổi các luật
đang tồn tại.
Giới thiệu
Trong phần 4 của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về
các luật của AppLocker được tạo mặc định và các luật này thực hiện các
nhiệm vụ gì. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách thay
đổi các luật mặc định và cách tạo các luật AppLocker của riêng bạn.
Mổ xẻ một luật
Chìa khóa để tạo một luật AppLocker mới hoặc thay đổi một luật đang tồn
tại là phải hiểu được thành phần chính nào tạo nên một luật, các thành phần
đó làm việc với nhau như thế nào. Sau đó, thay đổi một luật đang tồn tại
bằng cách kích phải vào luật và chọn lệnh Properties. Từ đây, bạn có thể
tạo các thay đổi theo mong muốn và kích OK. Tương tự, bạn cũng có thể tạo
một luật AppLocker mới bằng cách kích phải vào một hạng mục luật và
chọn Create New Rule từ menu xuất hiện.
Khi tạo luật mới, Windows sẽ khởi chạy một wizard và dẫn bạn thông qua
toàn bộ quá trình tạo luật. Ngược lại, thay đổi một luật hiện có sẽ chỉ liên
quan đến việc thay đổi các nội dung của các trường bên trong trang thuộc
tính. Trong mỗi trường hợp, bạn cần phải xử lý tập các tùy chọn của chúng.
Do vậy chúng tôi sẽ giới thiệu cho các bạn về các tùy chọn khác nhau và
những gì chúng thực hiện.
Nếu quan sát vào hình A bên dưới, bạn có thể thấy trang thuộc tính được sử
dụng bất cứ khi nào bạn thay đổi một rule có trước. Hai tùy chọn đầu tiên
trong tab General của trang thuộc tính cho phép bạn gán tên cho luật và nhập
vào phần mô tả cho luật. Mặc dù việc nhập vào phần mô tả hoàn toàn mang
tính tùy chọn nhưng đây là việc mà bạn nên thực hiện nếu có thể vì khi có
nhiều luật AppLocker, bạn sẽ khó có thể nhớ được mỗi luật thực hiện những
gì nếu không có phần mô tả.
Hình A: Mỗi luật AppLocker đều được gán một tên duy nhất
Tập các tùy chọn tiếp theo có trong tab General cho phép bạn điều khiển
những ai có thể bị ảnh hưởng bởi các luật này, người dùng hoặc nhóm người
dùng đó có được cho phép chạy các ứng dụng đã được chỉ định hay không.
Cho ví dụ, các luật thể hiện trong hình trên cho phép các thành viên của
nhóm quản trị - Administrators có thể chạy các ứng dụng nào đó. Để xem
các ứng dụng nào nhóm này được cho phép chạy, chúng ta phải chuyển sang
tab Path, xem thể hiện trong hình B.
Hình B: Tab Path liệt kê đường dẫn mà các rule áp dụng
Trang thuộc tính trong hình trên chỉ có tab Path vì nó đi liền với một luật
path. Nếu có luật publisher hoặc luật file hash thì tên của tab sẽ khác. Trong
bất cứ trường hợp nào đi nữa, tab này cũng thiết lập cá điều kiện cho luật.
Cho ví dụ, trong hình trên, đường dẫn được mô tả là *.*, có nghĩa rằng bất
cứ đường dẫn nào cũng thỏa mãn. Vì vậy điều kiện để kích hoạt rule này là
bất cứ đường dẫn nào. Như những gì bạn có thể thấy trong hình, chúng ta
hoàn toàn có thể dễ dàng chỉ định đường dẫn cụ thể hoặc thậm chí một file
nào đó.
Tab cuối cùng trên trang thuộc tính là Exceptions. Tên tab đã nói lên nội
dung của nó, tab được thể hiện như trong hình C, cho phép bạn có thể tạo
các ngoại lệ cho luật. Một ngoại lệ có thể chứa luật Publisher, File Hash,
hoặc Path. Cho ví dụ, luật AppLocker mà chúng tôi đã giới thiệu cho các
bạn được thiết kế để cho phép Administrators có thể chạy bất kỳ file cài đặt
Windows nào mà không cần quan tâm đến location của nó. Nếu muốn tạo
một ngoại lệ cho luật, chúng ta phải thiết lập luật để sao cho quản trị viên có
thể chạy bất cứ file Windows Installer nào trừ khi nó nằm trong thư mục
C:\Program Files\Games. Một trường hợp khác có thể là ngoại lệ dựa trên
file hash của gói cài đặt cho Grand Theft Auto. Bằng cách này, quản trị viên
có thể cài đặt khá nhiều thứ mà họ cần, tuy nhiên lại không thể cài đặt Grand
Theft Auto.
Hình C: Tab Exceptions cho phép bạn tạo các ngoại lệ cho luật
Tuy đang trong chủ đề giới thiệu về các ngoại lệ của luật, nhưng chúng tôi
muốn chỉ ra cho các bạn rằng, có một số ngoại lệ làm việc không giống như
những gì chúng tôi đã giới thiệu. Ví dụ như chúng tôi đã giới thiệu rằng bạn
có thể thiết lập một luật để cho phép hoặc từ chối quyền hạn chạy một ứng
dụng. Nhưng khi giới thiệu tùy chọn từ chối (Deny), bạn có thể hơi lạ về tùy
chọn từ chối khi hành vi mặc định của AppLocker là từ chối truy cập bất cứ
thứ gì mà bạn không cho phép người dùng có thể sử dụng. Lý do cho tại sao
tùy chọn Deny tồn tại như vậy là vì bạn có thể cấp phép một số quyền hạn
bằng cách tạo một ngoại lệ cho luật Deny.
Điều này nghe có vẻ khá lộn xộn, vì vậy chúng tôi lấy một ví dụ cho các
bạn. Giả sử rằng vì một lý do nào đó bạn muốn khóa truy cập đến toàn bộ
thư mục Program Files (không thực sự khóa thư mục này, đây chỉ là một ví
dụ), nhưng bạn lại cần người dùng có thể chạy các ứng dụng nằm trong
\Program Files\Microsoft. Khi đó bạn có thể thực hiện mục tiêu của mình
bằng cách tạo một luật từ chối truy cập đến thư mục \Program Files nhưng
liệt \Program Files\Microsoft là một ngoại lệ trong luật.
Tự động hóa việc tạo ra các luật AppLocker
Như những gì bạn thấy, các luật của AppLocker không phức tạp lắm. Tuy
nhiên khi bắt đầu tạo các luật AppLocker, bạn phải thẩm định các ứng dụng
mà bạn muốn người dùng được phép chạy chúng. Nếu bạn không thẩm định
ứng dụng, người dùng sẽ không thể chạy nó. Quan điểm của chúng tôi là,
mặc dù Microsoft cho phép bạn có thể dễ dàng tạo luật cho AppLocker,
nhưng việc tạo một tập các luật AppLocker mang tính toàn diện có thể mất
khá nhiều công sức.
AppLocker gồm có một cơ chế cho việc tự động tạo các luật cần thiết. Để
truy cập vào tính năng này, bạn chỉ cần kích phải vào một trong các mục luật
và chọn Automatically Generate Rules. Khi thực hiện như vậy, Windows
sẽ khởi chạy một wizard để nhắc nhở bạn về đường dẫn, nhóm bảo mật bị
tác động bởi các luật và tên được gán cho tập các luật. Bạn có thể xem
những gì thể hiện trong wizard trong hình D.
Hình D: Windows có thể tự động tạo các luật AppLocker
Khi kích Next, Windows sẽ hỏi bạn một số câu hỏi về cách các luật được tạo
như thế nào. Mặc định, Windows chỉ tạo các luật publisher cho các ứng
dụng signed application và các luật file hash cho tất cả ứng dụng còn lại.
Tuy nhiên đây chỉ là hành vi mặc định. Bạn có thể sử dụng các tùy chọn để
tạo các kiểu luật khác.
Khi đã quyết định kiểu luật muốn tạo, kích Next và các luật sẽ được tạo. Khi
quá trình tạo luật hoàn tất, bạn sẽ thấy một màn hình tương tự như màn hình
thể hiện trong hình E. Như những gì bạn có thể thấy trong hình, hình này sẽ
cho bạn biết số lượng luật của mỗi kiểu được tạo. Bạn cũng có tùy chọn để
xem lại các file đã được phân tích hoặc xem các luật đã được tạo tự động.
Hình E: AppLocker có thể tự động tạo một số lượng lớn các luật
Kết luận
AppLocker là một cải tiến lớn so với chương trình Software Restriction
Policies, nhưng nó vẫn chưa mạnh bằng các phần mềm quản lý ứng dụng
của các hãng thứ ba. Tuy nhiên dù sao các luật của AppLocker cũng khá hợp
lý trong việc giúp bạn khóa desktop người dùng, thực thi cho phép người
dùng chỉ được chạy các ứng dụng có thẩm quyền nào đó.
