Nếu muốn đảm bảo quản trị hệ thống và những người dùng được phân quyền cao vẫn có thể chạy ứng dụng này khi đăng nhập vào hệ thống, bạn hãy lựa chọn nhóm người dùng để áp dụng chính sách
Trang 1Bảo mật ứng dụng bằng AppLocker
Nguồn : quantrimang.com
Quản trị mạng - AppLocker là một công cụ mới được tích hợp trên
Windows 7 và Windows Server 2008 R2 giúp chặn những ứng dụng không mong muốn trong mạng Do đó nó được sử dụng để thiết lập bảo mật cho nhiều hệ thống mạng khác nhau
Chặn một ứng dụng riêng lẻ
Phần này sẽ hướng dẫn thực hiện cấu hình chính sách bảo mật cho một hệ thống cục bộ và áp dụng những cấu hình đó cho một máy tính trong hệ thống
mạng Bạn cũng có thể thực hiện cấu hình cho chính sách bảo mật trong Group Policy Management của Windows Server 2008 R2, nhưng nếu đã hiểu về
AppLocker thì các bạn nên sử dụng công cụ này khi thao tác với chính sách bảo mật AppLocker rất mạnh và linh hoạt, chính vì vậy mà bạn cũng nên cẩn thận khi làm việc với nó vì chỉ cần một sai xót nhỏ cũng có thể làm tổn hại tới máy tính
Giả sử chúng ta sử dụng AppLocker để chặn sự vận hành của ứng dụng
MSTSC với file thực thi mstsc.exe
Bạn có thể khởi chạy AppLocker bằng cách nhập gpedit.msc vào menu Start của Windows 7, hay tạo một đối tượng Group Policy mới trong Windows
Server 2008 R2 Sau khi khởi chạy công cụ này, hãy duyệt tìm AppLocker trong đường dẫn sau: Computer Configuration | Windows Settings | Security
Settings | Application Control Policies | AppLocker
Trang 2Sau đó bạn sẽ thấy ngay ba tùy chọn trong bảng bên trái khi mở rộng
AppLocker Ba tùy chọn này là các tập quy định Rule Collection và là những nhóm được sử dụng để chia tách những phần mở rộng của file Bạn cũng có thể quản lý những phần mở rộng này khi sử dụng AppLocker
Rule Collection Loại file
File thực thi exe, com
Tập lệnh ps1, bat, cmd, vbs, .js File của Windows
Installer msi, msp
Mục đích là chặn một file thực thi vì vậy chúng ta sẽ phải tạo một Rule mới trong Rule Collection của những file thực thi Để tạo một Rule mới bạn hãy phải chuột lên Executable Rules rồi chọn Create New Rule
Sau đó Create Executable Rules Wizard sẽ hiện ra, hãy click Next để bỏ qua màn hình hướng dẫn Vì muốn từ chối truy cập vào file thực thi mstsc.exe nên bạn hãy lựa chọn tùy chọn Deny Cũng tại cửa sổ này bạn có thể lựa chọn
người dùng hay nhóm người dùng mà chính sách này sẽ áp dụng Nếu muốn đảm bảo quản trị hệ thống và những người dùng được phân quyền cao vẫn có thể chạy ứng dụng này khi đăng nhập vào hệ thống, bạn hãy lựa chọn nhóm người dùng để áp dụng chính sách này
Trong cửa sổ tiếp theo bạn sẽ nhận được thông báo lựa chọn điều kiện chính
cho Rule Bạn sẽ phải lựa chọn một trong ba tùy chọn được sử dụng trong Rule Collection, gồm:
• Publisher: Tùy chọn này rất linh hoạt trong việc lựa chọn điều kiện nhưng
nó chỉ có thể được sử dụng với những phần mềm ứng dụng đã được sign bởi nhà cung cấp
• Path: Điều kiện này sẽ tạo một Rule cho một đường dẫn file hay folder cụ
thể
• File Hash: Tùy chọn này phù hợp nhất trong trường hợp một ứng dụng
nào đó không được sign Và loại Rule này được tạo lập khi ứng dụng này
bị hỏng
Ứng dụng MSTSC là một ứng dụng đã được sign, do đó chúng ta sẽ chọn điều
Trang 3kiện chính là Publisher rồi click Next Sau đó nhấn nút Browse duyệt tìm tới file muốn chặn Bạn hãy tìm file mstsc.exe trong đường dẫn
C:\Windows\System32\mstsc.exe Sau khi đã lựa chọn file này bạn sẽ thấy
một thanh trượt dọc xuất hiện Với ứng dụng đã sign chúng ta sẽ có một vài cấp
độ lựa chọn cho Rule Bạn có thể sử dụng Publisher để chặn mọi ứng dụng
Những tùy chọn này rất mạnh và linh hoạt, bạn cũng có thể sử dụng chúng để ngăn người dùng chạy một ứng dụng nào đó, chặn những tên file có liên quan tới virus và thậm chí có thể buộc người sử dụng các ứng dụng mới nhất bằng cách chặn những ứng dụng cũ Trong phần này mục đích là chặn file mstsc.exe nên chúng ta sẽ không chú ý tới phiên bản của nó, do đó thanh trượt cần phải di
chuyển lên tùy chọn File name
Cửa sổ tiếp theo sẽ cho phép bạn tạo những trường hợp ngoại lệ nếu cần thiết,
và cửa sổ cuối cùng cho phép bạn đặt tên cho Rule mới Sau đó nhấn Create để
kết thúc quá trình tạo mới Rule Nếu đây là Rule đầu tiên được tạo, bạn sẽ nhận được nhắc nhở tạo Rule mặc định cho phép người dùng và quản trị viên truy cập vào file hệ thống Điều này rất cần thiết (đặc biệt nếu đang sử dụng phiên bản trước Windows 7) vì nếu không thiết lập đúng cho những Rule này có thể hệ
thống của bạn sẽ không khởi động được Sau khi click Yes trên thông báo
Trang 4những Rule này sẽ tự động được tạo
Đây là khâu cuối cùng đảm bảo cho những Rule của bạn phát huy được tác dụng của chúng Trước tiên bạn phải chạy và cài đặt chế độ khởi chạy tự động
cho dịch vụ Application Identity để AppLocker có thể xác định được chính xác
ứng dụng
Để chạy và cài đặt khởi chạy tự động cho dịch vụ này bằng cách nhập
services.msc vào hộp tìm kiếm trong menu Start, sau đó tìm đến dịch vụ
Application Identity, click đúp vào nó, chọn Start | Automatic trong trường Startup Type Sau khi khởi động lại hệ thống AppLocker sẽ áp dụng các Rule này, và mỗi khi người dùng cố gắng khởi chạy ứng dụng MSTSC họ sẽ nhận
được thông báo sau:
Chặn ứng dụng không tin cậy
Trong phần trên, khi thực hiện chặn ứng dụng chúng ta đã biết chính xác ứng dụng đó Tình huống trên rất phù hợp với những môi trường nơi người dùng chỉ được cho phép chút ít quyền truy cập tự do trên hệ thống, nhưng với những tổ chức lớn hơn thì chính sách IT sẽ chỉ định rõ những đối tượng không được khởi chạy mọi ứng dụng mà không được quản trị hệ thống cho phép Phương pháp hiệu quả nhất trong trường hợp này là chặn mọi ứng dụng không đảm bảo độ tin cậy cần thiết Và AppLocker có thể thực hiện chức năng này khá dễ dàng
AppLocker được thiết kế hướng bảo mật do đó nó có thể giúp bạn tạo một Allow
Rule chặn mọi ứng dụng khác ngoại trừ ứng dụng được cho phép Ví dụ, nếu
khởi tạo một Allow Rule chỉ cho phép ứng dụng chạy ứng dụng trong
Trang 5C:\folder\file.exe, khi đó Rule này sẽ được sử dụng để chặn mọi ứng dụng nằm trong C:\folder ngoại trừ file.exe Điều này có nghĩa là trong phần này chúng ta
sẽ khởi tạo một Allow Rule cho mọi ứng dụng được cho phép
Trước khi tạo Allow Rule, bạn sẽ phải tạo một Rule cho mọi file thực thi riêng lẻ, bao gồm cả các ứng dụng nhóm ba đã được cài đặt vào hệ thống hay các ứng dụng Windows được cài đặt mặc định AppLocker có thể thực hiện tạo Rule tự động dựa trên những ứng dụng được cài đặt cho một máy trạm cụ thể
Nếu chưa tạo Rule mặc định cho phép mọi ứng dụng cần thiết của hệ thống khởi
chạy thì trước tiên bạn phải tạo những Rule này Phải chuột vào Executable Rules Collection chọn Create Default Rules Khi những Rule này đã được tạo,
bạn hãy xóa các Rule cho phép mọi người dùng chạy mọi file trong thư mục
C:\Program Files
Tiếp theo tạo Allow Rule cho hệ thống Bạn chỉ cần phải chuột lên Executable Rules Collection chọn Automatically Generate Executable Rules Những ứng
dụng trên hệ thống được lưu trữ trong hai vùng chính Vùng thứ nhất là thư mục Windows, trong vùng này những Rule mặc định sẽ cho phép người dùng chạy mọi file trong thư mục này do đó bạn không cần tạo bất kì Allow Rule cho nó Vùng chứa còn lại là thư mục Program Files Hãy lựa chọn thư mục này trong trường đầu tiên của cửa sổ vừa xuất hiện Trong trường phía dưới lựa chọn nhóm người dùng mà Rule này sẽ áp dụng Sau cùng bạn cần đặt tên cho nhóm Rule này (tên của Rule sẽ xuất hiện trong ngoặc đơn phía trước mô tả của mỗi
Rule) Sau đó nhấn nút Next
Trang 6Tại Rule Preferences, bạn có thể lựa chọn loại Rule muốn khởi tạo Tốt nhất bạn nên chọn Pulisher cho mọi file được kí hiệu số và tạo File Hash Rule đối
với những loại file còn lại Bạn cũng có thể lựa chọn tùy chọn giảm số lượng Rule được tạo bằng cách nhóm những file giống nhau Tùy chọn này sẽ giảm đáng kể lượng Rule nhưng nếu muốn kiểm soát truy cập nhiều hơn hãy hủy
chọn tùy chọn này Click Next bắt đầu tiến trình Rule Application Discovery
Sau khi tiến trình này kết thúc bạn sẽ thấy một hộp thoại hiển thị những Rule
đang được tạo Nhấn nút Create để hoàn thành tạo những Rules này
DLL Rule Collection
Ngoài ba DLL Rule Collection trên, còn có một DLL Rule Collection khác cần được nhắc tới Tập DLL Rule được sử dụng để chặn chặn những ứng dụng gọi những file DLL cụ thể Đây là một tập Rule cao cấp và bạn không nên sử dụng nếu chưa hiểu rõ về nó Loại Rule này có thể tác động tới khả năng thực thi của
hệ thống vì nó yêu cầu AppLocker kiểm tra mọi DLL mà một ứng dụng sử dụng khi khởi chạy
Tập DLL Rule sẽ không được kích hoạt mặc định vì một số lí do đã được nhắc đến ở trên Nếu muốn tạo một Rule DLL bạn hãy mở cửa sổ cấu hình chính của
AppLocker, chọn Configure Rule Enforcement, chọn tiếp tab Advanced và click chọn hộp chọn Enable the DLL Rule collection Sau đó bạn sẽ thấy tập
Trang 7DLL Rule trong bảng bên trái cùng với ba tập Rule khác
Kiểm định và áp dụng Rule
Mọi Rule bạn đã tạo được thiết kế để thực hiện những chính sách cho phép hay
từ chối sử dụng ứng dụng Một số công cụ có thể hỗ trợ cho quá trình kiểm định trước khi áp dụng một chính sách AppLocker cung cấp một cài đặt kiểm định rất hữu dụng trong trường hợp này Khi người dùng chạy một ứng dụng vi phạm một Rule của AppLocker thì thông tin về ưng dụng này sẽ được lưu vào
AppLocker Event Log
Để sử dụng cài đặt này, bạn hãy click vào Configure Rule Enforcement trên
cửa sổ cấu hình chính của AppLocker Trong hộp thoại AppLocker bạn có thể
lụa chọn hộp chọn Configured cho tập Rule muốn kiểm định và lựa chọn tùy chọn Audit Only trong danh sách thả xuống Tính năng này rất hữu dụng trong
việc xác định loại chình sách mà một ứng dụng sử dụng
Trang 8Kết luận
Không quá khó để thấy được những tính năng của AppLocker khi sử dụng nó trong mạng Nhờ có hệ thống Rule động, giờ đây bạn có thể chặn những ứng dụng mong muốn giúp bảo mật cho hệ thống Cùng với đó, AppLocker trong Windows 7 và Windows Server 2008 R2 sẽ là một công cụ quan trọng trong bộ công cụ quản trị
