Các mở rộng ca Group Policy trong Windows Vista và Windows
Server 2008 (Phần 4)
Trong phần trước của loạt bài này, chúng tôi đã gii thích User Account
Control có liên quan đến các thiết lập chính sách nhóm có thể thực hiện
những . Mặc dù Windows Vista và Server 2008 có đến hàng trăm thiết lập
chính sách nhóm so với các phiên bản có trước đó như Windows XP
Windows Server 2003, thì các thiết lập UAC là thành phần có nhiều thiết lập
mi quan trọng nhất vì chúng có thể đóng vai trò như một trong những thành
phần chính của máy tính trong việc chống lại malware. Trong phn 4 này,
chúng tôi sẽ tiếp tc giới thiệu về các thiết lập UAC còn li.
User Account Control: Only Elevate Executables that are Signed and
Validated
Nếu bạn suy nghĩ về vn đề này, lý do chính cho việc có các UAC đầu tiên
là để ngăn chn mã không tin cậy chạy trên các máy trạm làm việc của
mng. Rõ ràng, điu này phát sinh ra câu hỏi là bạn có thể quyết định
nào nên tin tưởngmã nào không như thế nào.
Một cách chung vẫn được sử dụng để quyết định xem nào sẽ được tin
cậy là xem xét đến chữ ký số của mã. Nhiu (nhưng không phi tất cả) hãng
cung cấp phần mm thường đưa và trong sản phẩm của họ chữ ký số để xác
nhận rằng mã đó đã được tạo bởi chính họ, và để không cho ai khác có th
bắt trước hay giả mạo họ. Chữ ký số cũng xác nhận rằng mã đó đã không b
sửa đổi nó đã được ký.
Một mẩu mã được ký không có nghĩa rằng mã đó là đáng tin cậy. Nó vẫn
cần bạn quyết định xem có tin cậy nhà cung cấp đã ký mã hay không. Khi
bạn thực hiện các quyết định có quan tâm đến nhà cung cấp nào tin cậy t
các nhà cung cấp đó có thể được bổ sung vào kho các nhà cung cấp tin cậy
của Windows (Trusted Publisher Store).
Đây là nơi thiết lập chính sách nhóm User Account Control: Only Elevate
Executables that are Signed and Validated đóng vai trò quyết định. Khi
được kích hoạt, thiết lập chính sách nhóm này thực hiện các kim tra chữ ký
PKI đối với bất kng dụng tương tác nào có yêu cầu nâng quyền trong h
thống. Nếu một ứng dụng được bởi một nhà
cung cấp tin cậy (nhà cung cấp được liệt kê trong
Trusted Publisher Store) thì yêu cầu về sự nâng
quyền được chứng thực. Nếu mã này không được
ký hoặc được ký bởi một nhà cung cấp mà bạn
không tin cậy thì yêu cầu nâng quyền truy cập này
sẽ bị từ chối.
Bạn cần phi lưu ý một điều là, thiết lập chínhch nhóm này chỉ áp dụng
cho các ứng dụng tương tác (theo tài liệu được cung cấp bởi Microsoft).
Điều đó có nghĩa rằng, những thành phần như các dịch vụ và kịch bản chy
mt cách vô hình (invisible) sẽ không bị ảnh hưởng bởi thiết lập chínhch
nhóm này nếui liệu là đúng.
User Account Control: Only Elevate UIAccess Applications that Are
Installed in Secure Locations
Thiết lập này đòi hi một chút khéo léo đối với bất cứ ai không phải là một
chuyên gia phát triển phần mm, nhưng chúngi sẽ giới thiệu đơn giản một
cách có thể cho các bạn.
Lúc này bạn biết rằng khi người dùng thực hiện mt nhiệm vụ nào đó yêu
cầu đến các điều khoản quản trị viên thì hành vi mặc định của Vista là hiển
thị một nhắc nhở vviệc nâng quyền đối với người dùng này. Những bạn
có thể không nhận ra là Vista bảo vệ hộp thoại chứa nhắc nhở xuất phát từ
các truyn thông xuyên suốt nền tảng. Bằng cách đó, ứng dụng mã độc mi
không thgingười dùng nhập và chấp nhận việc ng quyền đối vi bản
thân nó. Mặc dù vymột số tình huống một ứng dụng nào đó có nhu cầu
chính đáng truyền thông với các hp thoại được bảo vệ t hộp thoại này và
mt số hộp thoại khác của Windows (như hộp thoại nhắc nhở người dùng
nhấn Ctrl+Alt+Delete để đăng nhập) vẫn được bảo vệ bởi hệ điu hành.
Để truy cập vào các hộp thoại được bảo vệ, một ứng dụng phải được thiết kế
gồmmt file kê khaithuộc tính dưới đây:
UIAccess=TRUE
Vấn đề với việc sử dụng thuộc tính này bên trong một ứng dụng là nó cho
phép ứng dụng giảm hoàn toàn mt số bảo mật được thiết kế cho Vista. Đây
chính là chỗ mà thiết lập User Account Control: Only Elevate UIAccess
Applications that are Installed in Secure Locations được chy..
Ý tưởngđây là bạn không muốn bất kng dụng nào cũng có thsử dụng
thuộc tính UIAccess=true. Nếu bạn đã cho phép thuộc tính này (do chưa
hiu biết) để được sử dụng thì những người tạo ra malware có thể sử dụng
thuộc tính này bên trong malware với tư cách là cơ chế cho việc khai thác h
thống của bạn. Chính vì vy, phương pháp tốt hơn là chỉ cho phép các ứng
dụng tin cậy sử dụng thuộc tính này. Một cách để bảo đảm vấn đề ynó
chỉ cho phép các ứng dụng sử dụng thuộc tính UIAccess=true nếu chúng
được đặt trong một đa điểm an toàn nào đó.
Chỉ có một số vị trí rất an toàn. Các vị trí đó gồm có \Program Files and
\Windows\System32, các phiên bản 64 bit ca Windows cũng x tmục
\Program Files (x86) một cách an toàn. Các thư mục conn trong các vị trí
này cũng được coi là an toàn.
User Account Control: Run All Administrators in Admin Approval
Mode
Bạn có thể đã nghe nói rằng trong Windows Vista, có trường hợp các qun
trị viên được coi như người dùng chuẩn. Đây là một thiết lập chính sách
nhóm để tạo tuyên bố đó. Thiết lập này, được kích hoạt một cách mặc định,
để giảm mt số quyền của các quản trị viên trong hoạt động. Bất cứ lúc nào
quản tr viên thực hin một hành động nào đó có cần đến quyền quản trị viên
thì sẽ được nhắc nhở để phê chuẩn sự nâng quyn trước khi hành động được
thực hin.
User Account Control: Switch to the Secure Desktop When Prompting
for Elevation
Nếu bạn đã từng nhận được một nhắc nhở về việc nâng quyền trong Vista t
có thể sẽ thấy toàn bộ màn hình chuyển sang màu tối và chỉphn cửa sổ
không b tối là phần nhắc nhở về việc nâng quyền. Khi một nhắc nhở hiển
thị theo cách này t nó nói lên rằng việc hiển thị đó đang được thực hiện
trên chế độ an toàn.