Giới thiệu về AppLocker

Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào. Giới thiệu Tính năng mới của Windows 7 mang tên AppLocker là một tính năng được tạo ra với mong muốn sẽ khắc phục được các yếu điểm trong các chính sách hạn chế phần mềm trong các phiên bản Windows trước đây. Loạt bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao...
Nội dung trích xuất từ tài liệu:
Giới thiệu về AppLocker Giới thiệu về AppLocker Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào. Giới thiệu Tính năng mới của Windows 7 mang tên AppLocker là một tính năng được tạo ra với mong muốn sẽ khắc phục được các yếuđiểm trong các chính sách hạn chế phần mềm trong các phiên bản Windows trước đây. Loạt bàinày chúng tôi sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ rakhông mấy hiệu quả và AppLocker có thể giúp bạn những gì.Trong một vài phiên bản Windows thế hệ gần đây, nếu muốn hạn chế các ứng dụng nào màngười dùng trước đây được phép chạy, bạn chỉ có cách thực hiện là sử dụng chính sách hạn chếphần mềm (Software Restriction Policies), hoặc tiện ích của một nhóm thứ ba nào đó chẳng hạnnhư Parity của Bit9. Tuy nhiên vấn đề đối với việc sử dụng chính sách hạn chế phần mềm làchúng hoạt động thực sự không tốt. Mặc dù có thể khóa các máy trạm của người dùng bằngchính sách hạn chế phần mềm nhưng việc tạo các chính sách lại rất không hề đơn giản chút nàovới người dùng.Trong Windows Vista và Windows Server 2008, Microsoft chỉ thực hiện những thay đổi nhỏtrong chính sách hạn chế phần mềm. Trong các phiên bản này, Microsoft đã bổ sung một kiểurule mới mang tên “network zone rule” và rule này được coi như một mức bảo mật mới BasicUser.Trong Windows 7, Microsoft đã thiết kế lại các chính sách hạn chế phần mềm. Tính năng đượcthiết kế mới này cũng mang một tên mới là AppLocker. Không mong đợi AppLocker sẽ toàndiện như các giải pháp khóa chặn desktop của các nhóm thứ ba, tuy nhiên nó đã cải thiện đượckhá nhiều so với chính sách hạn chế phần mềm trước kia.Những thiếu sót của chính sách hạn chế phần mềmTrước khi có thể đánh giá AppLocker, bạn cần hiểu một chút về chính sách hạn chế phần mềmtrước kia. Hơn nữa AppLocker vẫn hỗ trợ các kiểu rule tương tự như các chính sách phần mềmvẫn có, chính vì vậy trong phần dưới đây chúng tôi sẽ giới thiệu cho các bạn về các rule củachính sách hạn chế phần mềm.Các chính sách hạn chế phần mềm được được tạo nên từ nhiều kiểu rule khác nhau. Bạn có thểtạo các rule như: certificate rule, hash rule, path rule, internet Zone rule, và network zone rule.Certificate RuleCertificate rule là rule quan trọng nhất trong số các rule được cung cấp. Rule này cho phép bạnđồng ý hoặc từ chối các ứng dụng dựa trên chữ ký số của nó. Tuy nhiên vấn đề đối với kiểu rulenày là khi các chính sách hạn chế phần mềm được giới thiệu lần đầu trong Windows XP, hầunhư không ai đánh chữ ký số trên mã ứng dụng của họ. Thậm chí hiện nay bạn cũng thấy cáchãng phần mềm thường không gắn kèm chữ ký số vào các ứng dụng của họ.Một vấn đề khác với các rule về chứng chỉ này là chúng có một phạm vi quá lớn. Nếu cho phépcác ứng dụng được ký bởi Microsoft thì tất cả các ứng dụng của Microsoft sẽ được cho phép trừkhi bạn tạo một rule riêng với mức ưu tiên cao hơn để khóa một số ứng dụng không mong muốnnào đó của Microsoft.Hash RuleKiểu rule thứ hai các chính sách hạn chế phần mềm hỗ trợ là hash rule. Ý tưởng của rule này làWindows có thể tạo một hash các file thực thi, và sử dụng hash đó để nhận diện ứng dụng. Cóthể nói rằng về ý tưởng thì hash rule rất tốt ở thời điểm được giới thiệu, tuy nhiên ngày naychúng không còn mang tính thực tiễn. Bất cứ ai chịu tránh nhiệm cho việc tổ chức sự hợp lệ bêntrong một tổ chức cũng đều biết rằng chúng bị oanh tạc bởi những bản vá với một tốc độ báođộng. Bất cứ thời điểm nào bạn vá lỗi một ứng dụng, hash sẽ thay đổi các file đã được thay thế,sau đó render các hash rule tồn tại lỗi thời trước đây.Path RulePath rule là một trong những kiểu rule yếu hơn. Chúng cho phép hoặc khóa các ứng dụng dựatrên đường dẫn ứng dụng được cài đặt. Đây có thể một đường dẫn hệ thống file hoặc đường dẫnregistry. Vấn đề phát sinh với kiểu rule này là, nếu một người nào đó đủ thẩm quyền cài đặt ứngdụng thì họ sẽ có đủ quyền để chuyển ứng dụng đó sang một location khác để tránh bị ảnh hưởngbởi rule này.Internet Zone RuleInternet zone rule là các ví dụ mang tính kinh điển về ý tưởng tốt nhưng được thực thi một cáchnghèo nàn. Về ý tưởng cơ bản phía sau rule này là ngăn chặn người dùng download và cài đặtứng dụng từ Internet. Tuy nhiên có một số vấn đề với cách thức làm việc bên trong của chúng.Đâu tiên đó là Internet zone rule chỉ áp dụng cho các file MSI (các gói phần mềm cài đặt củaWindows). Vấn đề tiếp theo là Internet zone rule chỉ áp dụng tại thời điểm file được download.Điều này có nghĩa rằng nếu người dùng download một file ZIP có chứa ứng dụng thì Internetzone rule sẽ không ngăn chặn việc cài đặt ứng dụng này.Network Zone RuleNetwork zo ...