Chương 1: Giới thiệu về AppLocker

Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào.
Nội dung trích xuất từ tài liệu:
Chương 1: Giới thiệu về AppLockerGiới thiệu về AppLocker Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào.Giới thiệuTính năng mới của Windows 7 mang tên AppLocker là một tính năngđược tạo ra với mong muốn sẽ khắc phục được các yếu điểm trong cácchính sách hạn chế phần mềm trong các phiên bản Windows trướcđây. Loạt bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao cácchính sách hạn chế phần mềm lại tỏ ra không mấy hiệu quả vàAppLocker có thể giúp bạn những gì.Trong một vài phiên bản Windows thế hệ gần đây, nếu muốn hạn chếcác ứng dụng nào mà người dùng trước đây được phép chạy, bạn chỉcó cách thực hiện là sử dụng chính sách hạn chế phần mềm (SoftwareRestriction Policies), hoặc tiện ích của một nhóm thứ ba nào đó chẳnghạn như Parity của Bit9. Tuy nhiên vấn đề đối với việc sử dụng chínhsách hạn chế phần mềm là chúng hoạt động thực sự không tốt. Mặc dùcó thể khóa các máy trạm của người dùng bằng chính sách hạn chếphần mềm nhưng việc tạo các chính sách lại rất không hề đơn giảnchút nào với người dùng.Trong Windows Vista và Windows Server 2008, Microsoft chỉ thực hiệnnhững thay đổi nhỏ trong chính sách hạn chế phần mềm. Trong cácphiên bản này, Microsoft đã bổ sung một kiểu rule mới mang tên“network zone rule” và rule này được coi như một mức bảo mật mớiBasic User.Trong Windows 7, Microsoft đã thiết kế lại các chính sách hạn chếphần mềm. Tính năng được thiết kế mới này cũng mang một tên mớilà AppLocker. Không mong đợi AppLocker sẽ toàn diện như các giảipháp khóa chặn desktop của các nhóm thứ ba, tuy nhiên nó đã cảithiện được khá nhiều so với chính sách hạn chế phần mềm trước kia.Những thiếu sót của chính sách hạn chế phần mềmTrước khi có thể đánh giá AppLocker, bạn cần hiểu một chút về chínhsách hạn chế phần mềm trước kia. Hơn nữa AppLocker vẫn hỗ trợ cáckiểu rule tương tự như các chính sách phần mềm vẫn có, chính vì vậytrong phần dưới đây chúng tôi sẽ giới thiệu cho các bạn về các rule củachính sách hạn chế phần mềm.Các chính sách hạn chế phần mềm được được tạo nên từ nhiều kiểurule khác nhau. Bạn có thể tạo các rule như: certificate rule, hash rule,path rule, internet Zone rule, và network zone rule.Certificate RuleCertificate rule là rule quan trọng nhất trong số các rule được cungcấp. Rule này cho phép bạn đồng ý hoặc từ chối các ứng dụng dựatrên chữ ký số của nó. Tuy nhiên vấn đề đối với kiểu rule này là khicác chính sách hạn chế phần mềm được giới thiệu lần đầu trongWindows XP, hầu như không ai đánh chữ ký số trên mã ứng dụng củahọ. Thậm chí hiện nay bạn cũng thấy các hãng phần mềm thườngkhông gắn kèm chữ ký số vào các ứng dụng của họ.Một vấn đề khác với các rule về chứng chỉ này là chúng có một phạmvi quá lớn. Nếu cho phép các ứng dụng được ký bởi Microsoft thì tất cảcác ứng dụng của Microsoft sẽ được cho phép trừ khi bạn tạo một ruleriêng với mức ưu tiên cao hơn để khóa một số ứng dụng không mongmuốn nào đó của Microsoft.Hash RuleKiểu rule thứ hai các chính sách hạn chế phần mềm hỗ trợ là hashrule. Ý tưởng của rule này là Windows có thể tạo một hash các filethực thi, và sử dụng hash đó để nhận diện ứng dụng. Có thể nói rằngvề ý tưởng thì hash rule rất tốt ở thời điểm được giới thiệu, tuy nhiênngày nay chúng không còn mang tính thực tiễn. Bất cứ ai chịu tránhnhiệm cho việc tổ chức sự hợp lệ bên trong một tổ chức cũng đều biếtrằng chúng bị oanh tạc bởi những bản vá với một tốc độ báo động. Bấtcứ thời điểm nào bạn vá lỗi một ứng dụng, hash sẽ thay đổi các file đãđược thay thế, sau đó render các hash rule tồn tại lỗi thời trước đây.Path RulePath rule là một trong những kiểu rule yếu hơn. Chúng cho phép hoặckhóa các ứng dụng dựa trên đường dẫn ứng dụng được cài đặt. Đây cóthể một đường dẫn hệ thống file hoặc đường dẫn registry. Vấn đề phátsinh với kiểu rule này là, nếu một người nào đó đủ thẩm quyền cài đặtứng dụng thì họ sẽ có đủ quyền để chuyển ứng dụng đó sang mộtlocation khác để tránh bị ảnh hưởng bởi rule này.Internet Zone RuleInternet zone rule là các ví dụ mang tính kinh điển về ý tưởng tốtnhưng được thực thi một cách nghèo nàn. Về ý tưởng cơ bản phía saurule này là ngăn chặn người dùng download và cài đặt ứng dụng từInternet. Tuy nhiên có một số vấn đề với cách thức làm việc bên trongcủa chúng.Đâu tiên đó là Internet zone rule chỉ áp dụng cho các file MSI (các góiphần mềm cài đặt của Windows). Vấn đề tiếp theo là Internet zonerule chỉ áp dụng tại thời điểm file được download. Điều này có nghĩarằng nếu người dùng download một file ZIP có chứa ứng dụng thìInternet zone rule sẽ không ngăn chặn việc cài đặt ứng dụng này.Network Zone RuleNetwork zone rule cũng tương tự như Internet zone rule, ngoại trừ việckiểm tra Internet zone mà file đó đư ...