Giới thiệu về AppLocker – Phần 1

Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào.
Nội dung trích xuất từ tài liệu:
Giới thiệu về AppLocker – Phần 1Giới thiệu về AppLocker – Phần 1Nguồn:quantrimang.com Brien M. PoseyQuản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tạisao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả vàAppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào.Giới thiệuTính năng mới của Windows 7 mang tên AppLocker là một tính năng được tạora với mong muốn sẽ khắc phục được các yếu điểm trong các chính sách hạnchế phần mềm trong các phiên bản Windows trước đây. Loạt bài này chúng tôisẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏra không mấy hiệu quả và AppLocker có thể giúp bạn những gì.Trong một vài phiên bản Windows thế hệ gần đây, nếu muốn hạn chế các ứngdụng nào mà người dùng trước đây được phép chạy, bạn chỉ có cách thực hiệnlà sử dụng chính sách hạn chế phần mềm (Software Restriction Policies), hoặctiện ích của một nhóm thứ ba nào đó chẳng hạn như Parity của Bit9. Tuy nhiênvấn đề đối với việc sử dụng chính sách hạn chế phần mềm là chúng hoạt độngthực sự không tốt. Mặc dù có thể khóa các máy trạm của người dùng bằng chínhsách hạn chế phần mềm nhưng việc tạo các chính sách lại rất không hề đơngiản chút nào với người dùng. Trong Windows Vista và Windows Server 2008, Microsoft chỉ thực hiện những thay đổi nhỏ trong chính sách hạn chế phần mềm. Trong các phiên bản này, Microsoft đã bổ sung một kiểu rule mới mang tên “network zone rule” và rule này được coi như một mức bảo mật mới Basic User. Trong Windows 7, Microsoft đã thiết kế lại các chính sách hạn chế phần mềm. Tính năng được thiết kế mới này cũng mang một tên mới là AppLocker. Không mong đợi AppLocker sẽ toàn diện như các giải phápkhóa chặn desktop của các nhóm thứ ba, tuy nhiên nó đã cải thiện được khánhiều so với chính sách hạn chế phần mềm trước kia.Những thiếu sót của chính sách hạn chế phần mềmTrước khi có thể đánh giá AppLocker, bạn cần hiểu một chút về chính sách hạnchế phần mềm trước kia. Hơn nữa AppLocker vẫn hỗ trợ các kiểu rule tương tựnhư các chính sách phần mềm vẫn có, chính vì vậy trong phần dưới đây chúngtôi sẽ giới thiệu cho các bạn về các rule của chính sách hạn chế phần mềm.Các chính sách hạn chế phần mềm được được tạo nên từ nhiều kiểu rule khácnhau. Bạn có thể tạo các rule như: certificate rule, hash rule, path rule, internetZone rule, và network zone rule.Certificate RuleCertificate rule là rule quan trọng nhất trong số các rule được cung cấp. Rule nàycho phép bạn đồng ý hoặc từ chối các ứng dụng dựa trên chữ ký số của nó. Tuynhiên vấn đề đối với kiểu rule này là khi các chính sách hạn chế phần mềmđược giới thiệu lần đầu trong Windows XP, hầu như không ai đánh chữ ký sốtrên mã ứng dụng của họ. Thậm chí hiện nay bạn cũng thấy các hãng phần mềmthường không gắn kèm chữ ký số vào các ứng dụng của họ.Một vấn đề khác với các rule về chứng chỉ này là chúng có một phạm vi quá lớn.Nếu cho phép các ứng dụng được ký bởi Microsoft thì tất cả các ứng dụng củaMicrosoft sẽ được cho phép trừ khi bạn tạo một rule riêng với mức ưu tiên caohơn để khóa một số ứng dụng không mong muốn nào đó của Microsoft.Hash RuleKiểu rule thứ hai các chính sách hạn chế phần mềm hỗ trợ là hash rule. Ý tưởngcủa rule này là Windows có thể tạo một hash các file thực thi, và sử dụng hashđó để nhận diện ứng dụng. Có thể nói rằng về ý tưởng thì hash rule rất tốt ở thờiđiểm được giới thiệu, tuy nhiên ngày nay chúng không còn mang tính thực tiễn.Bất cứ ai chịu tránh nhiệm cho việc tổ chức sự hợp lệ bên trong một tổ chứccũng đều biết rằng chúng bị oanh tạc bởi những bản vá với một tốc độ báo động.Bất cứ thời điểm nào bạn vá lỗi một ứng dụng, hash sẽ thay đổi các file đã đượcthay thế, sau đó render các hash rule tồn tại lỗi thời trước đây.Path RulePath rule là một trong những kiểu rule yếu hơn. Chúng cho phép hoặc khóa cácứng dụng dựa trên đường dẫn ứng dụng được cài đặt. Đây có thể một đườngdẫn hệ thống file hoặc đường dẫn registry. Vấn đề phát sinh với kiểu rule này là,nếu một người nào đó đủ thẩm quyền cài đặt ứng dụng thì họ sẽ có đủ quyền đểchuyển ứng dụng đó sang một location khác để tránh bị ảnh hưởng bởi rule này.Internet Zone RuleInternet zone rule là các ví dụ mang tính kinh điển về ý tưởng tốt nhưng đượcthực thi một cách nghèo nàn. Về ý tưởng cơ bản phía sau rule này là ngăn chặnngười dùng download và cài đặt ứng dụng từ Internet. Tuy nhiên có một số vấnđề với cách thức làm việc bên trong của chúng. ...