Trong phần cuối cùng giới thiệu về AppLocker này, chúng tôi sẽ giới thiệu cho các bạn cách mổ xẻ một luật của AppLocker, giới thiệu cách tạo các luật cả thủ công lẫn tự động cũng như các
Trang 1Giới thiệu về AppLocker – Phần 5
Trang 2Trong phần cuối cùng giới thiệu về AppLocker này, chúng tôi sẽ giới thiệu cho các bạn cách mổ xẻ một luật của AppLocker, giới thiệu cách tạo các luật cả thủ công lẫn tự động cũng như cách thay đổi các luật đang tồn tại
Giới thiệu
Trong phần 4 của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về các luật của AppLocker được tạo mặc định và các luật này thực hiện các nhiệm vụ gì Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách thay đổi các luật mặc định và cách tạo các luật AppLocker của riêng bạn
Mổ xẻ một luật
Chìa khóa để tạo một luật AppLocker mới hoặc thay đổi một luật đang tồn tại là phải hiểu được thành phần chính nào tạo nên một luật, các thành phần
đó làm việc với nhau như thế nào Sau đó, thay đổi một luật đang tồn tại
bằng cách kích phải vào luật và chọn lệnh Properties Từ đây, bạn có thể tạo các thay đổi theo mong muốn và kích OK Tương tự, bạn cũng có thể tạo
một luật AppLocker mới bằng cách kích phải vào một hạng mục luật và
chọn Create New Rule từ menu xuất hiện
Khi tạo luật mới, Windows sẽ khởi chạy một wizard và dẫn bạn thông qua toàn bộ quá trình tạo luật Ngược lại, thay đổi một luật hiện có sẽ chỉ liên quan đến việc thay đổi các nội dung của các trường bên trong trang thuộc tính Trong mỗi trường hợp, bạn cần phải xử lý tập các tùy chọn của chúng
Do vậy chúng tôi sẽ giới thiệu cho các bạn về các tùy chọn khác nhau và những gì chúng thực hiện
Nếu quan sát vào hình A bên dưới, bạn có thể thấy trang thuộc tính được sử dụng bất cứ khi nào bạn thay đổi một rule có trước Hai tùy chọn đầu tiên
Trang 3trong tab General của trang thuộc tính cho phép bạn gán tên cho luật và nhập vào phần mô tả cho luật Mặc dù việc nhập vào phần mô tả hoàn toàn mang tính tùy chọn nhưng đây là việc mà bạn nên thực hiện nếu có thể vì khi có nhiều luật AppLocker, bạn sẽ khó có thể nhớ được mỗi luật thực hiện những
gì nếu không có phần mô tả
Hình A: Mỗi luật AppLocker đều được gán một tên duy nhất
Tập các tùy chọn tiếp theo có trong tab General cho phép bạn điều khiển
những ai có thể bị ảnh hưởng bởi các luật này, người dùng hoặc nhóm người dùng đó có được cho phép chạy các ứng dụng đã được chỉ định hay không Cho ví dụ, các luật thể hiện trong hình trên cho phép các thành viên của nhóm quản trị - Administrators có thể chạy các ứng dụng nào đó Để xem
Trang 4các ứng dụng nào nhóm này được cho phép chạy, chúng ta phải chuyển sang tab Path, xem thể hiện trong hình B
Hình B: Tab Path liệt kê đường dẫn mà các rule áp dụng
Trang thuộc tính trong hình trên chỉ có tab Path vì nó đi liền với một luật
path Nếu có luật publisher hoặc luật file hash thì tên của tab sẽ khác Trong bất cứ trường hợp nào đi nữa, tab này cũng thiết lập cá điều kiện cho luật Cho ví dụ, trong hình trên, đường dẫn được mô tả là *.*, có nghĩa rằng bất
cứ đường dẫn nào cũng thỏa mãn Vì vậy điều kiện để kích hoạt rule này là bất cứ đường dẫn nào Như những gì bạn có thể thấy trong hình, chúng ta hoàn toàn có thể dễ dàng chỉ định đường dẫn cụ thể hoặc thậm chí một file nào đó
Trang 5Tab cuối cùng trên trang thuộc tính là Exceptions Tên tab đã nói lên nội
dung của nó, tab được thể hiện như trong hình C, cho phép bạn có thể tạo các ngoại lệ cho luật Một ngoại lệ có thể chứa luật Publisher, File Hash, hoặc Path Cho ví dụ, luật AppLocker mà chúng tôi đã giới thiệu cho các bạn được thiết kế để cho phép Administrators có thể chạy bất kỳ file cài đặt Windows nào mà không cần quan tâm đến location của nó Nếu muốn tạo một ngoại lệ cho luật, chúng ta phải thiết lập luật để sao cho quản trị viên có thể chạy bất cứ file Windows Installer nào trừ khi nó nằm trong thư mục C:\Program Files\Games Một trường hợp khác có thể là ngoại lệ dựa trên file hash của gói cài đặt cho Grand Theft Auto Bằng cách này, quản trị viên
có thể cài đặt khá nhiều thứ mà họ cần, tuy nhiên lại không thể cài đặt Grand Theft Auto
Hình C: Tab Exceptions cho phép bạn tạo các ngoại lệ cho luật
Trang 6Tuy đang trong chủ đề giới thiệu về các ngoại lệ của luật, nhưng chúng tôi muốn chỉ ra cho các bạn rằng, có một số ngoại lệ làm việc không giống như những gì chúng tôi đã giới thiệu Ví dụ như chúng tôi đã giới thiệu rằng bạn
có thể thiết lập một luật để cho phép hoặc từ chối quyền hạn chạy một ứng dụng Nhưng khi giới thiệu tùy chọn từ chối (Deny), bạn có thể hơi lạ về tùy chọn từ chối khi hành vi mặc định của AppLocker là từ chối truy cập bất cứ thứ gì mà bạn không cho phép người dùng có thể sử dụng Lý do cho tại sao tùy chọn Deny tồn tại như vậy là vì bạn có thể cấp phép một số quyền hạn bằng cách tạo một ngoại lệ cho luật Deny
Điều này nghe có vẻ khá lộn xộn, vì vậy chúng tôi lấy một ví dụ cho các bạn Giả sử rằng vì một lý do nào đó bạn muốn khóa truy cập đến toàn bộ thư mục Program Files (không thực sự khóa thư mục này, đây chỉ là một ví dụ), nhưng bạn lại cần người dùng có thể chạy các ứng dụng nằm trong
\Program Files\Microsoft Khi đó bạn có thể thực hiện mục tiêu của mình bằng cách tạo một luật từ chối truy cập đến thư mục \Program Files nhưng liệt \Program Files\Microsoft là một ngoại lệ trong luật
Tự động hóa việc tạo ra các luật AppLocker
Như những gì bạn thấy, các luật của AppLocker không phức tạp lắm Tuy nhiên khi bắt đầu tạo các luật AppLocker, bạn phải thẩm định các ứng dụng
mà bạn muốn người dùng được phép chạy chúng Nếu bạn không thẩm định ứng dụng, người dùng sẽ không thể chạy nó Quan điểm của chúng tôi là, mặc dù Microsoft cho phép bạn có thể dễ dàng tạo luật cho AppLocker, nhưng việc tạo một tập các luật AppLocker mang tính toàn diện có thể mất khá nhiều công sức
AppLocker gồm có một cơ chế cho việc tự động tạo các luật cần thiết Để truy cập vào tính năng này, bạn chỉ cần kích phải vào một trong các mục luật
Trang 7và chọn Automatically Generate Rules Khi thực hiện như vậy, Windows
sẽ khởi chạy một wizard để nhắc nhở bạn về đường dẫn, nhóm bảo mật bị tác động bởi các luật và tên được gán cho tập các luật Bạn có thể xem
những gì thể hiện trong wizard trong hình D
Hình D: Windows có thể tự động tạo các luật AppLocker
Khi kích Next, Windows sẽ hỏi bạn một số câu hỏi về cách các luật được tạo
như thế nào Mặc định, Windows chỉ tạo các luật publisher cho các ứng dụng signed application và các luật file hash cho tất cả ứng dụng còn lại Tuy nhiên đây chỉ là hành vi mặc định Bạn có thể sử dụng các tùy chọn để tạo các kiểu luật khác
Khi đã quyết định kiểu luật muốn tạo, kích Next và các luật sẽ được tạo Khi
quá trình tạo luật hoàn tất, bạn sẽ thấy một màn hình tương tự như màn hình
Trang 8thể hiện trong hình E Như những gì bạn có thể thấy trong hình, hình này sẽ cho bạn biết số lượng luật của mỗi kiểu được tạo Bạn cũng có tùy chọn để xem lại các file đã được phân tích hoặc xem các luật đã được tạo tự động
Hình E: AppLocker có thể tự động tạo một số lượng lớn các luật
Kết luận
AppLocker là một cải tiến lớn so với chương trình Software Restriction Policies, nhưng nó vẫn chưa mạnh bằng các phần mềm quản lý ứng dụng của các hãng thứ ba Tuy nhiên dù sao các luật của AppLocker cũng khá hợp
lý trong việc giúp bạn khóa desktop người dùng, thực thi cho phép người dùng chỉ được chạy các ứng dụng có thẩm quyền nào đó
