Bảo mật ứng dụng bằng AppLocker

Applocker là một cấp độ bảo mật khác và mục đích là để hạn chế hoặc cho phép quyền truy cập vào phần mềm trong một nhóm người dùng cụ thể.

Ngày nay, rất nhiều ứng dụng không cần quyền truy cập admin để chạy, như IT Pro, vì đây là một mối đe dọa cho môi trường của bạn.

Trong khi cài đặt và cấu hình Applocker có thể tăng tính bảo mật không gian mạng và bảo vệ dữ liệu của bạn khỏi bất kỳ quyền truy cập trái phép nào.

Nếu bạn đang nghĩ tại sao phải sử dụng Applocker, câu trả lời là ở đây. Bạn có thể sử dụng nó để bảo vệ khỏi phần mềm không mong muốn, chuẩn hóa hay quản lý phần mềm.

Trong bài viết hôm nay, Quantrimang sẽ hướng dẫn bạn cách cài đặt và triển khai thông qua GPO Applocker trong các máy chủ cụ thể.

Applocker có thể được triển khai trong các phiên bản Windows sau:

• Windows 10 Enterprise
• Windows Server 2012, 2016, 2019

Trước khi bắt đầu triển khai Applocker, bạn phải biết chính xác ứng dụng nào được phép chạy. Đây là bước quan trọng nhất vì nếu bạn cố gắng áp dụng Applocker mà không ghi lại những ứng dụng phải được phép thì bạn sẽ tạo ra rất nhiều vấn đề cho người dùng và hoạt động hàng ngày của công ty.

Trong trường hợp bạn không chắc chắn 100% đâu là ứng dụng phải được cho phép, bạn có thể sử dụng Applocker ở Audit Mode để xác định tất cả các ứng dụng.

Cách kích hoạt Applocker

Đăng nhập vào Domain Controller và mở Group Policy Management.

Nhấp chuột phải vào OU (Organization Unit) bạn muốn tạo Applocker Policy và chọn Create a GPO in this Domain and link it here.

Nhập tên ưa thích và bấm OK.

Bây giờ, hãy nhấp vào policy mới và trong Security Filtering, hãy nhấp vào Add và chọn nhóm Domain Computers hoặc bất kỳ nhóm nào khác mà bạn đã tạo, bao gồm Servers hoặc Workstations mà bạn muốn triển khai nó.

Hãy nhớ đưa vào OU cụ thể liên kết Applocker GPO. Nếu không, bạn phải liên kết GPO trong OU bao gồm tất cả máy chủ hoặc máy trạm mà bạn muốn triển khai Applocker.

Nhấp chuột phải vào policy mới và chọn Edit.

Đi tới:

Computer Configuration\Windows Settings\Security Settings\Application Control Policies\Applocker

Mở rộng Applocker.

Nhấp chuột phải vào Executable Rules và chọn Create Default Rules.

Các quy tắc mặc định là:

• All files located in the Program Files folder (Tất cả các file nằm trong thư mục Program Files)
• All files located in the Windows folder (Tất cả các file nằm trong thư mục Windows)
• All files for the Builtin\Administrators Group (Tất cả các file cho Builtin\Administrators Group)

Cho đến khi làm quen với Applocker, bạn nên để nguyên các quy tắc này nếu không muốn phá vỡ mọi thứ.

Nhấp chuột phải vào Applocker và chọn Properties.

Tích vào Configured và chọn Audit Only.

Chế độ Audit Only không cho phép hoặc từ chối chỉ ghi nhật ký trong Event Viewer.

Với cách này, bạn có thể xác định tất cả các ứng dụng phải chạy hoặc không trước khi bắt đầu thực thi các quy tắc Applocker.

Cách triển khai Applocker GPO

Đừng tạo bất kỳ quy tắc nào cho đến khi bạn xác minh được rằng Applocker hoạt động mà không gặp sự cố.

Bạn có thể triển khai Applocker trong máy chủ test cho đến khi làm quen và xác định được bất kỳ vấn đề nào.

Để chạy Applocker, bạn phải khởi động service Application Identity trong máy chủ mà bạn muốn triển khai.

Trong Applocker GPO, hãy vào:

Computer Configuration\Windows Settings\Security Setting\System Services

Tìm service Application Identity.

Nhấp chuột phải vào service và chọn Properties.

Chọn Define this policy Settings.

Chọn Automatic.

Bấm OK.

Bây giờ, khi bạn áp dụng Applocker GPO, service Application Identity sẽ bắt đầu.

Đăng nhập vào máy chủ mà bạn muốn triển khai Applocker, mở Command Prompt và chạy:

gpupdate /force

Khởi động lại máy chủ.

Cách xác minh rằng Applocker chạy trong máy chủ hoặc máy trạm

Sau khi máy chủ khởi động lại, cần phải xác minh rằng Applocker đã chạy:

Mở Event Viewer.

Mở rộng:

Application and Services Logs\Microsoft\Applocker

Nhấp vào Execute DLL.

Xác minh rằng Event ID 8001 tồn tại.

Cách tạo quy tắc Applocker

Sau khi đã thấy ứng dụng nào chạy trong máy chủ, bây giờ, bạn có thể tạo các quy tắc Applocker mình cần.

Mở Applocker GPO.

Nhấp chuột phải vào Executable Rules và chọn Create New Rule.

Nhấn Next.

Xác định xem bạn muốn cho phép hay từ chối và chọn nhóm thích hợp.

Lưu ý rằng nếu bạn chọn Path vì Domain Controller không có ứng dụng để đi từ đường dẫn, bạn có thể làm như sau.

Mở Event Viewer trong máy chủ hoặc máy trạm chạy Applocker và sao chép/dán Path từ Logs.

Bây giờ, hãy nhấp vào Next.

Nhấn Next một lần nữa trừ phi bạn muốn thêm một ngoại lệ.

Nhập tên và nhấp vào Create.

Vào máy chủ hoặc máy trạm và kiểm tra xem quy tắc có được áp dụng không như sau:

Mở rộng:

Application and Services Logs\Microsoft\Applocker

Nhấp vào Execute DLL.

Xác minh rằng Event ID 8002 với ứng dụng của bạn tồn tại

Applocker không khó để áp dụng. Điều khó khăn nhất là phải chuẩn bị tất cả các yêu cầu cần thiết trước khi áp dụng Applocker để tránh làm hỏng thứ gì đó trong môi trường của bạn.