Trong phần trước của loạt bài này, chúng tôi đã giải thích User Account Control có liên quan đến các thiết lập chính sách nhóm có thể thực hiện những gì.. Mặc dù Windows Vista và Server
Trang 1Các mở rộng của Group Policy trong Windows Vista và Windows
Server 2008 (Phần 4)
Trang 2Trong phần trước của loạt bài này, chúng tôi đã giải thích User Account Control có liên quan đến các thiết lập chính sách nhóm có thể thực hiện những gì Mặc dù Windows Vista và Server 2008 có đến hàng trăm thiết lập chính sách nhóm so với các phiên bản có trước đó như Windows XP và Windows Server 2003, thì các thiết lập UAC là thành phần có nhiều thiết lập mới quan trọng nhất vì chúng có thể đóng vai trò như một trong những thành phần chính của máy tính trong việc chống lại malware Trong phần 4 này, chúng tôi sẽ tiếp tục giới thiệu về các thiết lập UAC còn lại
User Account Control: Only Elevate Executables that are Signed and Validated
Nếu bạn suy nghĩ về vấn đề này, lý do chính cho việc có các UAC đầu tiên
là để ngăn chặn mã không tin cậy chạy trên các máy trạm làm việc của
mạng Rõ ràng, điều này phát sinh ra câu hỏi là bạn có thể quyết định mã nào nên tin tưởng và mã nào không như thế nào
Một cách chung vẫn được sử dụng để quyết định xem mã nào sẽ được tin cậy là xem xét đến chữ ký số của mã Nhiều (nhưng không phải tất cả) hãng cung cấp phần mềm thường đưa và trong sản phẩm của họ chữ ký số để xác nhận rằng mã đó đã được tạo bởi chính họ, và để không cho ai khác có thể bắt trước hay giả mạo họ Chữ ký số cũng xác nhận rằng mã đó đã không bị sửa đổi vì nó đã được ký
Một mẩu mã được ký không có nghĩa rằng mã đó là đáng tin cậy Nó vẫn cần bạn quyết định xem có tin cậy nhà cung cấp đã ký mã hay không Khi bạn thực hiện các quyết định có quan tâm đến nhà cung cấp nào tin cậy thì
Trang 3các nhà cung cấp đó có thể được bổ sung vào kho các nhà cung cấp tin cậy của Windows (Trusted Publisher Store)
Đây là nơi thiết lập chính sách nhóm User Account Control: Only Elevate Executables that are Signed and Validated đóng vai trò quyết định Khi
được kích hoạt, thiết lập chính sách nhóm này thực hiện các kiểm tra chữ ký PKI đối với bất kỳ ứng dụng tương tác nào có yêu cầu nâng quyền trong hệ
thống Nếu một ứng dụng được ký bởi một nhà cung cấp tin cậy (nhà cung cấp được liệt kê trong Trusted Publisher Store) thì yêu cầu về sự nâng quyền được chứng thực Nếu mã này không được
ký hoặc được ký bởi một nhà cung cấp mà bạn không tin cậy thì yêu cầu nâng quyền truy cập này
sẽ bị từ chối
Bạn cần phải lưu ý một điều là, thiết lập chính sách nhóm này chỉ áp dụng cho các ứng dụng tương tác (theo tài liệu được cung cấp bởi Microsoft) Điều đó có nghĩa rằng, những thành phần như các dịch vụ và kịch bản chạy một cách vô hình (invisible) sẽ không bị ảnh hưởng bởi thiết lập chính sách nhóm này nếu tài liệu là đúng
User Account Control: Only Elevate UIAccess Applications that Are Installed in Secure Locations
Thiết lập này đòi hỏi một chút khéo léo đối với bất cứ ai không phải là một chuyên gia phát triển phần mềm, nhưng chúng tôi sẽ giới thiệu đơn giản một cách có thể cho các bạn
Trang 4Lúc này bạn biết rằng khi người dùng thực hiện một nhiệm vụ nào đó yêu cầu đến các điều khoản quản trị viên thì hành vi mặc định của Vista là hiển thị một nhắc nhở về việc nâng quyền đối với người dùng này Những gì bạn
có thể không nhận ra là Vista bảo vệ hộp thoại chứa nhắc nhở xuất phát từ các truyền thông xuyên suốt nền tảng Bằng cách đó, ứng dụng mã độc mới không thể giả người dùng nhập và chấp nhận việc nâng quyền đối với bản thân nó Mặc dù vậy có một số tình huống một ứng dụng nào đó có nhu cầu chính đáng truyền thông với các hộp thoại được bảo vệ thì hộp thoại này và một số hộp thoại khác của Windows (như hộp thoại nhắc nhở người dùng nhấn Ctrl+Alt+Delete để đăng nhập) vẫn được bảo vệ bởi hệ điều hành
Để truy cập vào các hộp thoại được bảo vệ, một ứng dụng phải được thiết kế gồm có một file kê khai có thuộc tính dưới đây:
UIAccess=TRUE
Vấn đề với việc sử dụng thuộc tính này bên trong một ứng dụng là nó cho phép ứng dụng giảm hoàn toàn một số bảo mật được thiết kế cho Vista Đây
chính là chỗ mà thiết lập User Account Control: Only Elevate UIAccess Applications that are Installed in Secure Locations được chạy
Ý tưởng ở đây là bạn không muốn bất kỳ ứng dụng nào cũng có thể sử dụng thuộc tính UIAccess=true Nếu bạn đã cho phép thuộc tính này (do chưa hiểu biết) để được sử dụng thì những người tạo ra malware có thể sử dụng thuộc tính này bên trong malware với tư cách là cơ chế cho việc khai thác hệ thống của bạn Chính vì vậy, phương pháp tốt hơn là chỉ cho phép các ứng dụng tin cậy sử dụng thuộc tính này Một cách để bảo đảm vấn đề này là nó
Trang 5chỉ cho phép các ứng dụng sử dụng thuộc tính UIAccess=true nếu chúng được đặt trong một địa điểm an toàn nào đó
Chỉ có một số vị trí rất an toàn Các vị trí đó gồm có \Program Files and
\Windows\System32, các phiên bản 64 bit của Windows cũng xử lý thư mục
\Program Files (x86) một cách an toàn Các thư mục con bên trong các vị trí
này cũng được coi là an toàn
User Account Control: Run All Administrators in Admin Approval Mode
Bạn có thể đã nghe nói rằng trong Windows Vista, có trường hợp các quản trị viên được coi như người dùng chuẩn Đây là một thiết lập chính sách nhóm để tạo tuyên bố đó Thiết lập này, được kích hoạt một cách mặc định,
để giảm một số quyền của các quản trị viên trong hoạt động Bất cứ lúc nào quản trị viên thực hiện một hành động nào đó có cần đến quyền quản trị viên thì sẽ được nhắc nhở để phê chuẩn sự nâng quyền trước khi hành động được thực hiện
User Account Control: Switch to the Secure Desktop When Prompting for Elevation
Nếu bạn đã từng nhận được một nhắc nhở về việc nâng quyền trong Vista thì
có thể sẽ thấy toàn bộ màn hình chuyển sang màu tối và chỉ có phần cửa sổ không bị tối là phần nhắc nhở về việc nâng quyền Khi một nhắc nhở hiển thị theo cách này thì nó nói lên rằng việc hiển thị đó đang được thực hiện trên chế độ an toàn
Trang 6Lý do tại sao Microsoft sử dụng chế độ này là bởi vì có quá nhiều kiểu
malware tạo các hộp thoại lỗi theo kiểu của Windows để lừa người dùng kích vào chúng Khi hệ điều hành che dấu đi toàn bộ desktop và chỉ hiển thị nhắc nhở nâng quyền, nó cho phép người dùng tự tin hơn trong việc nhận ra nhắc nhở đến từ hệ điều hành Windows mà không phải do malware
Mặc định, các nhắc nhở nâng quyền luôn luôn được hiển thị trên chế độ desktop an toàn Bạn có thể vô hiệu hóa chế độ bằng cách vô hiệu hóa thiết lập chính sách này
User Account Control: Virtualize File and Registry Write Failures to Per User Locations
Phần cuối của các thiết lập User Account Control là thiết lập User Account Control: Virtualize File and Registry Write Failures to Per User
Locations Bạn có thể đã nghe mọi người nó rằng có rất nhiều ứng dụng
chạy tốt dưới Windows và các phiên bản trước đó của Windows không chạy trong Vista là vì các đặc điểm bảo mật mới Thường thì tuyên bố này là đúng
vì một số lượng lớn các ứng dụng kế thừa thừa nhận rằng người dùng có đầy
đủ quyền trên hệ điều hành cục bộ Còn trong Windows Vista lại khác, thậm chí các quản trị viên còn không được xem xét như các quản trị viên mặc định, và đây là nguyên nhân mà có rất nhiều ứng dụng bị mắc phải tình trạng như vậy
Để giải quyết một số vấn đề liên quan đến các tính năng bảo mật mới,
Microsoft đã tạo ra thiết lập chính sách nhóm này Ý tưởng cơ bản là để các
Trang 7ứng dụng kế thừa thiên về ghi dữ liệu đến các vùng hiện bị cấm đối với hệ thống file và registry Khi thiết lập chính sách nhóm được kích hoạt (nó được kích hoạt mặc định), việc ghi này được chặn và được chuyển đến một
vị trí khác Điều này cho phép các ứng dụng kế thừa có thể chạy mà không làm tổn hại đến tính toàn vẹn của hệ điều hành
Kết luận
Như những gì ban đã thấy, các thiết lập User Account Control rất quan trọng đối với việc duy trì bảo mật của Vista Trong phần 5 tới chúng tôi sẽ tiếp tục giới thiệu cho các bạn một số lĩnh vực khác trong đó Microsoft đã thực hiện một số thay đổi đối với các thiết lập chính sách nhóm