Giới thiệu về AppLocker – Phần 4

Giới thiệu về AppLocker – Phần 4Trong phần 4 của loạt bài về AppLocker này, chúng tôi sẽ giới thiệu cho các bạn cách tạo tập các rule mặc định nhằm giúp bạn tránh được việc AppLocker khóa chặn bạn bên ngoài Windows của mình. Giới thiệu về AppLocker – Phần 1 Giới thiệu về AppLocker – Phần 2 Giới thiệu về AppLocker – Phần 3 Trước khi bắt đầu Cho đến đây, chúng tôi đã giới thiệu được cho các bạn về cách làm việc của AppLocker như thế nào, về các kiểu rule khác nhau của AppLocker có...
Nội dung trích xuất từ tài liệu:
Giới thiệu về AppLocker – Phần 4 Giới thiệu về AppLocker – Phần 4Trong phần 4 của loạt bài về AppLocker này, chúng tôi sẽ giới thiệu chocác bạn cách tạo tập các rule mặc định nhằm giúp bạn tránh được việcAppLocker khóa chặn bạn bên ngoài Windows của mình.Giới thiệu về AppLocker – Phần 1Giới thiệu về AppLocker – Phần 2Giới thiệu về AppLocker – Phần 3Trước khi bắt đầuCho đến đây, chúng tôi đã giới thiệu được cho các bạn về cách làm việc củaAppLocker như thế nào, về các kiểu rule khác nhau của AppLocker có sẵnđối với bạn. Trong phần tiếp theo này, chúng tôi sẽ tiếp tục bằng cách giớithiệu cho các bạn cách tạo một rule AppLocker.Trước khi bắt đầu, có một số vấn đề quan trọng chúng tôi cần lưu ý các bạn.Đầu tiên, các bạn cần phải nhớ rằng, khi bắt đầu tạo các rule, bất kỳ ứngdụng nào không được nhắm đến một cách rõ ràng bởi các rule đó sẽ khôngthể chạy. Nếu tạo các rule sai cho AppLocker thì bạn có thể khóa trái mìnhbên ngoài máy tính. Chính vì vậy cần phải tạo một backup cho máy tínhtrước khi thực hiện các rule AppLocker.Thứ hai, cần phải lưu ý rằng, các rule sẽ có hiệu lực thậm chí chúng khôngđược kích hoạt. AppLocker hỗ trợ ba chế độ thực thi khác nhau là: NotConfigured, Enforce Rules và Audit Only. Nếu có rule tồn tại, chúng sẽđược thực thi nếu chế độ thực thi được thiết lập là Enforce Rules hoặc NotConfigured. Chính vì vậy các bạn cần phải bắt đầu bằng cách thiết lập ở chếđộ Audit Only. Phần 3 của loạt bài này chúng tôi đã hướng dẫn về việc thiếtlập chế độ thực thi cho các bạn.Các rule mặc địnhKhi đã sẵn sàng cho việc tạo các rule, chúng tôi khuyên các bạn nên bắt đầubằng cách tạo tập các rule mặc định. Như ở phần trên, chúng tôi đã đề cậprằng, bạn có thể sẽ vô tình khóa trái mình bên ngoài Windows nếu áp dụngkhông đúng các rule của AppLocker. Các rule mặc định được thiết kế đểkhông xảy ra điều đó, chúng là rule được thiết kế để cho phép Windows vẫncó thể chạy dù thế nào đi chăng nữa.Tuy nhiên có một sự thật khá vui ở đây đó là, các rule mặc định lại khôngđược tạo mặc định. Để tạo các rule mặc định này, bạn cần phải mở GroupPolicy Object Editor và điều hướng thông qua cây điều khiển đến toComputer Configuration | Windows Settings | Security Settings | ApplicationControl Policies | AppLocker | Executable Rules. Lúc này, kích phải vàomục Executable Rules và chọn Create Default Rules từ menu xuất hiện.Khi các rule mặc định được tạo, kích phải vào mục Windows InstallerRules và chọn Create Default Rules. Cuối cùng, kích phải vào mục ScriptRules và chọn Create Default Rules. Tại thời điểm viết bài, vẫn chưa cócác rule kịch bản mặc định, tuy nhiên điều này hoàn toàn có thể thay đổi vàđây là một ý tưởng tốt, vì vậy bạn hãy thử tạo các rule kịch bản mặc định.Xem lại các rule mặc địnhMặc dù các rule mặc định được thiết kế là để bảo vệ Windows, tuy nhiênvẫn khả năng các rule này bị xung đột với chính sách bảo mật công ty. Bạncó thể tinh chỉnh các rule mặc định để làm cho chúng hạn chế hơn, nhưngcần phải thực sự cẩn thận khi thực hiện vấn đề này.Nếu quan sát vào hình A, bạn có thể thấy Windows tạo ra ba rule thực thimặc định. Rule đầu tiên cho phép bất cứ ai cũng có thể chạy tất cả các filenằm trong thư mục Program Files. Rule thứ hai cho phép bất cứ ai cũng cóthể chạy các file nằm trong thư mục Windows. Còn rule thứ ba cho phépngười có tài khoản BUILTINAdministrator mới có thể chạy các file trên hệthống. Hình A: Có ba rule thực thi mặc địnhCho phép chúng tôi bắt đầu bằng cách nói rằng, bạn không nên cố gắng thayđổi rule thứ ba. Tài khoản BUILTINAdministrator cần có sự truy cập toànbộ hệ thống. Còn ngoài ra, bạn có thể thay đổi rule đầu tiên và rule thứ hai,làm cho chúng trở nên hạn chế hơn. Cho ví dụ, có thể tạo một tập các rulecho phép các ứng dụng nào đó nằm trong thư mục Program Files có thểchạy, thay cho việc cấp quyền hạn cho toàn bộ thư mục.Khi bạn quyết định cách các rule sẽ được áp dụng thế nào, có một vấn đềquan trọng mà các bạn cần lưu ý là, các rule mặc định chỉ cho phép quyềnhạn người dùng có thể chạy ứng dụng. Việc tạo một rule AppLocker khôngcung cấp cho người dùng có được khả năng cài đặt ứng dụng mới vào cáclocation này. Nếu một ai đó muốn cài đặt ứng dụng, họ phải có quyền hạnNTFS thích hợp.Mặc định, người dùng sẽ có các quyền đọc, ghi và tạo đối với thư mụcC:WindowsTemp. Khi các rule thực thi mặc định được tạo, người dùng sẽtự động được gán cho quyền hạn thực thi các ứng dụng đang cư trú trong thưmục C:WindowsTemp. Điều này có nghĩa rằng họ có thể cài đặt một ứngdụng nào đó vào thư mục Temp và chạy nó.Trước khi giới thiệu về cách thay đổi các rule mặc định, chúng tôi muốn giớithiệu cho các bạn về các rule Windows Installer mặc định trước. Như cácrule thực thi mặc định, Windows cũng tạo ra ba Windows Installer mặc định,xem thể hiện trong hình B bên dưới. Hình B: Ba rule Windows Installer mặc địnhRule đầu tiên trong số các rule ...