Giới thiệu về AppLocker – Phần 3

Chia sẻ: Thanh Cong | Ngày: | Loại File: PDF | Số trang:8

Thêm vào BST

Báo xấu

101
lượt xem 4
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giới thiệu về AppLocker – Phần 3 Trong phần này chúng tôi sẽ giới thiệu cho các bạn các nhiệm vụ cần được hoàn tất trước khi tạo các rule (luật) trong AppLocker; các dịch vụ hệ thống nào cần phải kích hoạt và cách tránh việc khóa một cách vô tình chính bạn bên ngoài Windows. Giới thiệu Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn rằng AppLocker làm việc theo nguyên tắc tạo sự thuận tiện trong việc định nghĩa các ứng dụng mà bạn muốn cho phép Windows chạy hơn là...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Giới thiệu về AppLocker – Phần 3

Giới thiệu về AppLocker – Phần 3
Trong phần này chúng tôi sẽ giới thiệu cho các bạn các nhiệm vụ cần được hoàn tất trước khi tạo các rule (luật) trong AppLocker; các dịch vụ hệ thống nào cần phải kích hoạt và cách tránh việc khóa một cách vô tình chính bạn bên ngoài Windows. Giới thiệu Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn rằng AppLocker làm việc theo nguyên tắc tạo sự thuận tiện trong việc định nghĩa các ứng dụng mà bạn muốn cho phép Windows chạy hơn là cố gắng khóa chặn mọi ứng dụng trái phép. Trong phần này, chúng tôi sẽ tiếp tục giới thiệu về AppLocker bằng cách giới thiệu cho các bạn cách chuẩn bị cho việc tạo các luật trong AppLocker. Mở giao diện điều khiển AppLocker Bạn có thể truy cập AppLocker thông qua Group Policy Object Editor tại Computer Configuration | Windows Settings | Security Settings | Application Control Policies | AppLocker. Cũng có thể vào AppLocker bằng cách chọn shortcut Local Security Policy từ menu Administrative Tools. Khi sử dụng Local Security Policy, AppLocker sẽ nằm ở Security Settings | Application Control Policies | AppLocker. Bạn có thể thấy mục AppLocker xuất hiện trong hình A bên dưới như thế nào.
Hình A: Giao diện AppLocker Phần mở đầu Như những gì các bạn thấy trong hình, giao diện sử dụng được phân thành ba phần. Phần mở đầu (Getting Started) cung cấp cho bạn một thông báo chỉ thị rằng, khi bạn bắt đầu việc tạo các luật của AppLocker thì chỉ các ứng dụng được định nghĩa bởi các luật này sẽ được cho phép chạy. Có hai liên kết để bạn có thể sử dụng nhằm tìm hiểu thêm về AppLocker hoặc xác định phiên bản Windows nào mà các luật của AppLocker áp dụng. Phần cấu hình thực thi luật Phần cấu hình thực thi luật (Configure Rule Enforcement) hiển thị một thông báo chỉ thị rằng, để các luật của AppLocker được thực thi, dịch vụ nhận dạng ứng dụng (Application Identity Service) cần phải được chạy từ
trước. Nếu quan sát trong hình B, bạn có thể thấy Application Identity Service chưa được cấu hình khởi chạy tự động theo mặc định. Hình B: Application Identity Service không được kích hoạt tự động trong chế độ mặc định Nếu chỉ cần trải nghiệm với AppLocker trên một máy tính thì tốt nhất bạn nên sử dụng Service Control Manager để thiết lập kiểu Startup của Application Identity service là Automatic, sau đó bắt đầu dịch vụ. Còn nếu bạn cần phải sử dụng AppLocker trên tất cả các desktop Windows 7 của mình, lúc này cách tốt nhất bạn nên kích hoạt Application Identity service tại mức Group Policy. Các dịch vụ hệ thống nằm tại Computer Configuration | Windows Settings | Security Settings | System Services bên trong cây Group Policy. Nếu quan sát trong hình A, bạn sẽ thấy phần Configure Rule Enforcement của giao diện AppLocker có chứa một liên kết Configure Rule Enforcement.
Kích vào liên kết này sẽ dẫn bạn đến trang các thuộc tính của AppLocker, như thể hiện trong hình C. Hình C: Bạn phải quyết định luật nào được thực thi Như những gì bạn thấy trong hình trên, các luật của AppLocker không được cấu hình mặc định. Cần lưu ý rằng, khi bắt đầu tạo các luật, bất cứ ứng dụng nào không được định nghĩa rứt khoát bởi các luật này sẽ không được phép chạy. Theo tài liệu hướng dẫn của Windows 7, khi tạo rule thì rule đó sẽ được thực thi thậm chí nếu bạn tích vào hộp chọn Configured trong tập các rule.
Để tránh hiện tượng vô tình khóa trái bạn bên ngoài Windows, các bạn nên chọn Configured cho tất cả cả ba rule. Sau khi thực hiện như vậy, bạn cần thiết lập danh sách sổ xuống ở tùy chọn Audit Only cho mỗi tập rule. Khi một tập rule được thiết lập ở chế độ Audit Only, các rule bên trong tập rule này sẽ không được thực thi. Bất cứ khi nào người dùng chạy một ứng dụng bị ảnh hưởng bởi một rule trong tập các rule thì thông tin về rule và ứng dụng sẽ được ghi vào bản ghi sự kiện của AppLocker. Có hai lý do chính tạo sao bạn nên thiết lập Audit Only cho mỗi tập rule trước khi tạo rule là vì: Đầu tiên là để bảo đảm an toàn. Chỉ cần AppLocker làm việc trong chế độ Audit là bạn không phải lo về việc bị khóa trái bên ngoài hệ thống của mình. Thứ hai, việc thẩm định các rule cho phép bạn test xem chúng có làm việc tốt hay không. Khi kiểm tra các bản ghi thẩm định, bạn sẽ phát hiện thấy liệu mình có cần phải sửa lại các rule hay không. Việc thẩm định cho phép bạn tìm ra cách các rule sẽ thực thi chính xác như thế nào. Thuộc tính nâng cao của AppLocker Nếu quan sát vào hình C, bạn sẽ thấy trang thuộc tính của AppLocker có chứa tab Advanced. Nếu chọn tab này, bạn sẽ thấy tùy chọn kích hoạt bộ rule DLL, như thể hiện trong hình D.
Hình D: Tab Advanced cho phép bạn kích hoạt một tập các luật DLL Như những gì bạn thấy trong hình trên, thứ đầu tiên mà bạn có thể thấy là một thông báo với dòng chữ in đậm, thông báo này cảnh báo bạn rằng các rule DLL có thể ảnh hưởng đến hiệu suất của hệ thống. Nếu kích hoạt tập các rule DLL thì bạn phải chấp thuận mọi DLL được sử dụng bởi các ứng dụng đã được thẩm định trên hệ thống của mình. Điều này dễ dẫn đến vấn đề khá nguy hiểm khi thiếu một DLL do tình cờ. Nếu bạn quên chấp thuận một file DLL thì các ứng dụng phụ thuộc vào DLL đó sẽ không thể chạy.
Rõ ràng, thông báo trong hộp kiểm cho bạn biết rằng việc kích hoạt các file DLL có thể ảnh hưởng đến hiệu suất hệ thống. Lý do cho vấn đề này là vì hầu hết các ứng dụng đều sử dụng ít nhất một vài file DLL. Khi người dùng load ứng dụng, việc kiểm tra để bảo đảm rằng ứng dụng được chấp thuận sử dụng là không đủ. Windows cũng phải kiểm tra các file DLL và điều này sẽ tốn khá nhiều thời gian để thực hiện. Phụ thuộc vào cách ứng dụng được thiết kế, nó có thể cần load các file DLL một cách định kỳ. Hành động này sẽ làm tăng thời gian đáp trả của hệ thống khi người dùng làm việc bên trong ứng dụng. Cần lưu ý rằng, các rule DLL có những ưu điểm của nó. Nếu sự bảo mật là vấn đề sống còn đối với tổ chức bạn thì việc kích hoạt các rule DLL là một ý tưởng hết sức tốt. Tuy nhiên còn đối với những trường hợp còn lại, lời khuyên của chúng tôi là cần tránh kích hoạt tập các rule DLL này. Kết luận Trong phần này chúng tôi đã giới thiệu cho các bạn cách thiết lập các tập rule để thẩm định trước khi tạo rule của mình. Bằng cách này, bạn có thể định rõ được sự ảnh hưởng của các rule. Trong phần tiếp theo của loạt bài, chúng tôi sẽ giới thiệu cho các bạn cách tạo các rule AppLocker cần thiết.