Giới thiệu về AppLocker – Phần 2

Giới thiệu về AppLocker – Phần 1

Quản trị mạng Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn một số vấn đề cần được giải quyết trước khi tạo các rule của AppLocker.

Giới thiệu

Mặc dù AppLocker mạnh hơn các chính sách hạn chế phần mềm Software Restriction Policies nhưng nó vẫn tồn tại một số vấn đề mà các bạn cần biết trước khi tạo rule AppLocker. Trong phần thứ hai này chúng tôi sẽ giải thích cho các bạn về các vấn đề này.

Trong phần trước của loạt bài, chúng tôi đã giới thiệu cho các bạn biết rằng, Microsoft đã giới thiệu các chính sách hạn chế phần mềm (Software Restriction Policies) trong Windows XP nhằm cho phép các quản trị viên có thể kiểm soát ứng dụng nào người dùng được phép chạy, ứng dụng nào không. Trong quá trình làm việc với hệ điều hành này nhiều năm, các chính sách hạn chế phần mềm này đã bộ lộ một số thiếu sót. Tuy nhiên với phát hành Windows 7, Microsoft đã cố gắng khắc phục những thiếu sót này thông qua một tíng năng mới mang tên AppLocker.

Khả năng tương thích

Mặc dù AppLocker về cơ bản là một phiên bản mới của tính năng Software Restriction Policies nhưng AppLocker lại không có khả năng tương thích với Software Restriction Policies. Nếu bạn hiện đã định nghĩa Software Restriction Policies bên trong một Group Policy Object, khi đó các chính sách này sẽ tiếp tục làm việc, thậm chí bạn nâng cấp các máy tính lên Windows 7. Mặc dù vậy, nếu bạn định nghĩa các chính sách AppLocker bên trong Group Policy Object đã chứa các chính sách hạn chế phần mềm thì các máy tính đang chạy Windows 7 sẽ bỏ qua các chính sách hạn chế phần mềm, chỉ áp dụng các chính sách của AppLocker.

Một khía cạnh khác, nếu Group Policy Object gồm có các chính sách của Software Restriction Policies và AppLocker thì các máy tính đang chạy Windows XP và Vista sẽ bỏ qua các chính sách AppLocker và chỉ sử dụng Software Restriction Policies. Điều này xảy ra là vì tính năng AppLocker không tồn tại trong các hệ điều hành kế thừa.

Một số hạn chế

Mặc dù AppLocker cung cấp một cải thiện lớn so với Software Restriction Policies nhưng nó vẫn có một số hạn chế nhất định. Hạn chế lớn nhất của AppLocker là nếu người dùng có các đặc quyền quản trị viên trên các máy tính của họ thì AppLocker có thể dễ dàng bị phá vỡ.

Microsoft đã khuyên không nên cung cấp các đặc quyền quản trị viên cho người dùng, tuy nhiên trong thế giới thực, hành động này đôi khi không tránh khỏi. Thêm vào đó, có một số ứng dụng sẽ không hoạt động đúng trừ khi người dùng nắm toàn quyền kiểm soát hệ thống.

Nếu bạn muốn sử dụng AppLocker nhưng người dùng của bạn có các đặc quyền quản trị viên, khi đó bạn nên xem xét liệu có thể cung cấp cho người dùng quyền điều khiển của quản trị viên trên các máy tính của họ. Có lẽ bạn có thể cung cấp cho người dùng toàn quyền điều khiển trên các thư mục mà không thực sự cung cấp cho họ các đặc quyền quản trị viên đầy đủ. Tuy nhiên phương pháp này không phải lúc này cũng làm việc tốt vì một số ứng dụng yêu cầu người dùng có khả năng thay đổi registry hoặc các thành phần khác của hệ điều hành.

Nếu người dùng yêu cầu quyền truy cập quản trị viên đối với hệ thống, bạn có thể loại bỏ bằng cách khóa các công cụ quản trị. Cho ví dụ, bạn có thể tạo một rule để khóa một số thứ như Registry Editor hoặc Windows PowerShell. Nếu bạn cố gắng sử dụng phương pháp này, bạn phải chú ý không cấu hình rule mang tính toàn cục. Thêm vào đó, các nhân viên trợ giúp sẽ yêu cầu sự truy cập vào các công cụ quản trị khác nhau để họ có thể khắc phục một số vấn đề với các máy tính người dùng.

Các chiến lược AppLocker cơ bản

Mặc dù AppLocker hỗ trợ một số kiểu rule cơ bản tương tự như Software Restriction Policies, tuy nhiên cách cơ bản mà AppLocker sử dụng khá khác so với những gì bạn đã biết. Trong thực tế, bạn rất dễ tự mắc phải rắc rối nếu không hiểu cách làm việc của AppLocker. Chính vì vậy chúng tôi khuyên các bạn nên quan tâm đến những gì được đề cập trong phần này.

Để sử dụng AppLocker an toàn, bạn phải hiểu triết lý cơ bản của Microsoft đằng sau các rule của AppLocker. Triết lý này xoay quanh ý tưởng rằng, có một số ứng dụng đặc biệt sẽ được bạn sử dụng trong tổ chức. Ngược lại, cũng có một số không xác định các ứng dụng mà các tổ chức không sử dụng. Cho ví dụ, một số ứng dụng bạn có thể không được cho phép sử dụng trong tổ chức có thể gồm các ứng dụng như: video game, malware, phần mềm mạng ngang hàng và...

Quan điểm ở đây là nên chọn nhiều ứng dụng mà bạn không muốn người dùng chạy hơn là chọn các ứng dụng mà người dùng được cho là sử dụng. Với quan điểm đó, chúng ta sẽ dễ dàng cung cấp cho Windows một danh sách trắng các ứng dụng được phép so với việc phải khóa các ứng dụng mà bạn muốn ngăn chặn người dùng sử dụng. Đây là triết lý của Microsoft đằng sau cách các rule của AppLocker làm việc.

Điều này dẫn chúng ta đến khái niệm đầu tiên đằng sau các rule AppLocker. Các rule của AppLocker được tổ chức thành các bộ sưu tập. Mặc dù có thể tạo một tuyên bố từ chối, nhưng các rule của AppLocker luôn được coi như một cơ chế cho việc cho phép đặc quyền đối với một thứ gì đó (nhớ rằng, hoàn toàn dễ dàng đối với việc cho phép phần mềm được sử dụng hơn là cấm phần mềm nào đó không được sử dụng). Lúc này chúng ta đã tiến vào đến phần quan trọng. Lưu ý, nếu bạn tạo quá nhiều rule đơn trong một bộ sưu tập rule thì Windows sẽ tự động thừa nhận rằng bạn muốn ngăn chặn chạy mọi thứ.

Đây là một khái niệm rất quan trọng cần phải nhớ vì chắc chắn bạn sẽ muốn người dùng của mình có thể chạy Microsoft Office và Internet Explorer, vì vậy bạn tạo một rule để cho phép họ thực hiện điều đó. Trong hoàn cảnh đó, bạn đã từ chối các quyền mà người dùng chạy mọi thứ, gồm có hệ điều hành Windows. Tuy nhiên bạn cũng rất dễ có thể bị khóa vô tình một người dùng nào đó với Windows bởi các rule AppLocker được tạo không đúng cách. Đây là thứ mà chúng tôi sẽ nhắm đến nhiều trong các phần sau của loạt bài.

Thứ cuối cùng chúng tôi muốn giới thiệu là về sự từ chối. Như những gì được giới thiệu trước, chúng tôi đã đề cập ở trên rằng, hoàn toàn có thể ngăn chặn người dùng có các đặc quyền quản trị viên đối với hệ thống trong việc chạy các công cụ quản trị, tuy nhiên bạn có thể tạo một ngoại lệ cho nhân viên trợ giúp. Về vấn đề này chúng tôi sẽ giới thiệu chi tiết cho các bạn trong các phần sau của loạt bài, còn lúc này chúng tôi chỉ chỉ ra việc thiết lập kiểu cấu hình này.

Với cách là AppLocker làm việc, chúng ta không thể từ chối truy cập cho mọi người đối với các công cụ quản trị. Thay vào đó, chúng ta sẽ phải cho phép mọi người có quyền truy cập vào các file hệ thống của Windows. Từ đây, chúng ta có thể bổ sung sự từ chối cho các công cụ quản trị để áp dụng cho một nhóm người dùng nào đó (mọi người trừ nhân viên trợ giúp). Bạn không phải thực hiện bất cứ thứ gì cho nhân viên trợ giúp vì chọ có quyền truy cập đến các công cụ quản trị viên mà bạn đã cho phép bất cứ ai cũng có thể truy cập các file hệ thống của Windows.

Kết luận

Trong phần hai này, chúng tôi đã giới thiệu cho các bạn một vấn đề dễ vô tình mắc phải trong quá trình khóa chặn sử dụng bằng các rule của AppLocker. Qua rút kinh nghiệm đó, chúng tôi đã giới thiệu một phương pháp khác để khắc phục các nhược điểm này. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách tạo các rule AppLocker.

Thứ Sáu, 23/10/2009 09:55
31 👨 1.602