Giới thiệu về AppLocker – Phần 5

Quản trị mạng Trong phần cuối cùng giới thiệu về AppLocker này, chúng tôi sẽ giới thiệu cho các bạn cách mổ xẻ một luật của AppLocker, giới thiệu cách tạo các luật cả thủ công lẫn tự động cũng như cách thay đổi các luật đang tồn tại.

Giới thiệu về AppLocker – Phần 1
Giới thiệu về AppLocker – Phần 2
Giới thiệu về AppLocker – Phần 3
Giới thiệu về AppLocker – Phần 4

Giới thiệu

Trong phần 4 của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về các luật của AppLocker được tạo mặc định và các luật này thực hiện các nhiệm vụ gì. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách thay đổi các luật mặc định và cách tạo các luật AppLocker của riêng bạn.

Mổ xẻ một luật

Chìa khóa để tạo một luật AppLocker mới hoặc thay đổi một luật đang tồn tại là phải hiểu được thành phần chính nào tạo nên một luật, các thành phần đó làm việc với nhau như thế nào. Sau đó, thay đổi một luật đang tồn tại bằng cách kích phải vào luật và chọn lệnh Properties. Từ đây, bạn có thể tạo các thay đổi theo mong muốn và kích OK. Tương tự, bạn cũng có thể tạo một luật AppLocker mới bằng cách kích phải vào một hạng mục luật và chọn Create New Rule từ menu xuất hiện.

Khi tạo luật mới, Windows sẽ khởi chạy một wizard và dẫn bạn thông qua toàn bộ quá trình tạo luật. Ngược lại, thay đổi một luật hiện có sẽ chỉ liên quan đến việc thay đổi các nội dung của các trường bên trong trang thuộc tính. Trong mỗi trường hợp, bạn cần phải xử lý tập các tùy chọn của chúng. Do vậy chúng tôi sẽ giới thiệu cho các bạn về các tùy chọn khác nhau và những gì chúng thực hiện.

Nếu quan sát vào hình A bên dưới, bạn có thể thấy trang thuộc tính được sử dụng bất cứ khi nào bạn thay đổi một rule có trước. Hai tùy chọn đầu tiên trong tab General của trang thuộc tính cho phép bạn gán tên cho luật và nhập vào phần mô tả cho luật. Mặc dù việc nhập vào phần mô tả hoàn toàn mang tính tùy chọn nhưng đây là việc mà bạn nên thực hiện nếu có thể vì khi có nhiều luật AppLocker, bạn sẽ khó có thể nhớ được mỗi luật thực hiện những gì nếu không có phần mô tả.


Hình A: Mỗi luật AppLocker đều được gán một tên duy nhất

Tập các tùy chọn tiếp theo có trong tab General cho phép bạn điều khiển những ai có thể bị ảnh hưởng bởi các luật này, người dùng hoặc nhóm người dùng đó có được cho phép chạy các ứng dụng đã được chỉ định hay không. Cho ví dụ, các luật thể hiện trong hình trên cho phép các thành viên của nhóm quản trị - Administrators có thể chạy các ứng dụng nào đó. Để xem các ứng dụng nào nhóm này được cho phép chạy, chúng ta phải chuyển sang tab Path, xem thể hiện trong hình B.


Hình B: Tab Path liệt kê đường dẫn mà các rule áp dụng

Trang thuộc tính trong hình trên chỉ có tab Path vì nó đi liền với một luật path. Nếu có luật publisher hoặc luật file hash thì tên của tab sẽ khác. Trong bất cứ trường hợp nào đi nữa, tab này cũng thiết lập cá điều kiện cho luật. Cho ví dụ, trong hình trên, đường dẫn được mô tả là *.*, có nghĩa rằng bất cứ đường dẫn nào cũng thỏa mãn. Vì vậy điều kiện để kích hoạt rule này là bất cứ đường dẫn nào. Như những gì bạn có thể thấy trong hình, chúng ta hoàn toàn có thể dễ dàng chỉ định đường dẫn cụ thể hoặc thậm chí một file nào đó.

Tab cuối cùng trên trang thuộc tính là Exceptions. Tên tab đã nói lên nội dung của nó, tab được thể hiện như trong hình C, cho phép bạn có thể tạo các ngoại lệ cho luật. Một ngoại lệ có thể chứa luật Publisher, File Hash, hoặc Path. Cho ví dụ, luật AppLocker mà chúng tôi đã giới thiệu cho các bạn được thiết kế để cho phép Administrators có thể chạy bất kỳ file cài đặt Windows nào mà không cần quan tâm đến location của nó. Nếu muốn tạo một ngoại lệ cho luật, chúng ta phải thiết lập luật để sao cho quản trị viên có thể chạy bất cứ file Windows Installer nào trừ khi nó nằm trong thư mục C:\Program Files\Games. Một trường hợp khác có thể là ngoại lệ dựa trên file hash của gói cài đặt cho Grand Theft Auto. Bằng cách này, quản trị viên có thể cài đặt khá nhiều thứ mà họ cần, tuy nhiên lại không thể cài đặt Grand Theft Auto.


Hình C: Tab Exceptions cho phép bạn tạo các ngoại lệ cho luật

Tuy đang trong chủ đề giới thiệu về các ngoại lệ của luật, nhưng chúng tôi muốn chỉ ra cho các bạn rằng, có một số ngoại lệ làm việc không giống như những gì chúng tôi đã giới thiệu. Ví dụ như chúng tôi đã giới thiệu rằng bạn có thể thiết lập một luật để cho phép hoặc từ chối quyền hạn chạy một ứng dụng. Nhưng khi giới thiệu tùy chọn từ chối (Deny), bạn có thể hơi lạ về tùy chọn từ chối khi hành vi mặc định của AppLocker là từ chối truy cập bất cứ thứ gì mà bạn không cho phép người dùng có thể sử dụng. Lý do cho tại sao tùy chọn Deny tồn tại như vậy là vì bạn có thể cấp phép một số quyền hạn bằng cách tạo một ngoại lệ cho luật Deny.

Điều này nghe có vẻ khá lộn xộn, vì vậy chúng tôi lấy một ví dụ cho các bạn. Giả sử rằng vì một lý do nào đó bạn muốn khóa truy cập đến toàn bộ thư mục Program Files (không thực sự khóa thư mục này, đây chỉ là một ví dụ), nhưng bạn lại cần người dùng có thể chạy các ứng dụng nằm trong \Program Files\Microsoft. Khi đó bạn có thể thực hiện mục tiêu của mình bằng cách tạo một luật từ chối truy cập đến thư mục \Program Files nhưng liệt \Program Files\Microsoft là một ngoại lệ trong luật.

Tự động hóa việc tạo ra các luật AppLocker

Như những gì bạn thấy, các luật của AppLocker không phức tạp lắm. Tuy nhiên khi bắt đầu tạo các luật AppLocker, bạn phải thẩm định các ứng dụng mà bạn muốn người dùng được phép chạy chúng. Nếu bạn không thẩm định ứng dụng, người dùng sẽ không thể chạy nó. Quan điểm của chúng tôi là, mặc dù Microsoft cho phép bạn có thể dễ dàng tạo luật cho AppLocker, nhưng việc tạo một tập các luật AppLocker mang tính toàn diện có thể mất khá nhiều công sức.
AppLocker gồm có một cơ chế cho việc tự động tạo các luật cần thiết. Để truy cập vào tính năng này, bạn chỉ cần kích phải vào một trong các mục luật và chọn Automatically Generate Rules. Khi thực hiện như vậy, Windows sẽ khởi chạy một wizard để nhắc nhở bạn về đường dẫn, nhóm bảo mật bị tác động bởi các luật và tên được gán cho tập các luật. Bạn có thể xem những gì thể hiện trong wizard trong hình D.


Hình D: Windows có thể tự động tạo các luật AppLocker

Khi kích Next, Windows sẽ hỏi bạn một số câu hỏi về cách các luật được tạo như thế nào. Mặc định, Windows chỉ tạo các luật publisher cho các ứng dụng signed application và các luật file hash cho tất cả ứng dụng còn lại. Tuy nhiên đây chỉ là hành vi mặc định. Bạn có thể sử dụng các tùy chọn để tạo các kiểu luật khác.

Khi đã quyết định kiểu luật muốn tạo, kích Next và các luật sẽ được tạo. Khi quá trình tạo luật hoàn tất, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình E. Như những gì bạn có thể thấy trong hình, hình này sẽ cho bạn biết số lượng luật của mỗi kiểu được tạo. Bạn cũng có tùy chọn để xem lại các file đã được phân tích hoặc xem các luật đã được tạo tự động.


Hình E: AppLocker có thể tự động tạo một số lượng lớn các luật

Kết luận

AppLocker là một cải tiến lớn so với chương trình Software Restriction Policies, nhưng nó vẫn chưa mạnh bằng các phần mềm quản lý ứng dụng của các hãng thứ ba. Tuy nhiên dù sao các luật của AppLocker cũng khá hợp lý trong việc giúp bạn khóa desktop người dùng, thực thi cho phép người dùng chỉ được chạy các ứng dụng có thẩm quyền nào đó.

Thứ Năm, 28/01/2010 10:38
31 👨 1.638
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp