Giới thiệu về AppLocker – Phần 4

Quản trị mạngTrong phần 4 của loạt bài về AppLocker này, chúng tôi sẽ giới thiệu cho các bạn cách tạo tập các rule mặc định nhằm giúp bạn tránh được việc AppLocker khóa chặn bạn bên ngoài Windows của mình.

Giới thiệu về AppLocker – Phần 1
Giới thiệu về AppLocker – Phần 2
Giới thiệu về AppLocker – Phần 3

Trước khi bắt đầu

Cho đến đây, chúng tôi đã giới thiệu được cho các bạn về cách làm việc của AppLocker như thế nào, về các kiểu rule khác nhau của AppLocker có sẵn đối với bạn. Trong phần tiếp theo này, chúng tôi sẽ tiếp tục bằng cách giới thiệu cho các bạn cách tạo một rule AppLocker.

Trước khi bắt đầu, có một số vấn đề quan trọng chúng tôi cần lưu ý các bạn. Đầu tiên, các bạn cần phải nhớ rằng, khi bắt đầu tạo các rule, bất kỳ ứng dụng nào không được nhắm đến một cách rõ ràng bởi các rule đó sẽ không thể chạy. Nếu tạo các rule sai cho AppLocker thì bạn có thể khóa trái mình bên ngoài máy tính. Chính vì vậy cần phải tạo một backup cho máy tính trước khi thực hiện các rule AppLocker.

Thứ hai, cần phải lưu ý rằng, các rule sẽ có hiệu lực thậm chí chúng không được kích hoạt. AppLocker hỗ trợ ba chế độ thực thi khác nhau là: Not Configured, Enforce Rules và Audit Only. Nếu có rule tồn tại, chúng sẽ được thực thi nếu chế độ thực thi được thiết lập là Enforce Rules hoặc Not Configured. Chính vì vậy các bạn cần phải bắt đầu bằng cách thiết lập ở chế độ Audit Only. Phần 3 của loạt bài này chúng tôi đã hướng dẫn về việc thiết lập chế độ thực thi cho các bạn.

Các rule mặc định

Khi đã sẵn sàng cho việc tạo các rule, chúng tôi khuyên các bạn nên bắt đầu bằng cách tạo tập các rule mặc định. Như ở phần trên, chúng tôi đã đề cập rằng, bạn có thể sẽ vô tình khóa trái mình bên ngoài Windows nếu áp dụng không đúng các rule của AppLocker. Các rule mặc định được thiết kế để không xảy ra điều đó, chúng là rule được thiết kế để cho phép Windows vẫn có thể chạy dù thế nào đi chăng nữa.

Tuy nhiên có một sự thật khá vui ở đây đó là, các rule mặc định lại không được tạo mặc định. Để tạo các rule mặc định này, bạn cần phải mở Group Policy Object Editor và điều hướng thông qua cây điều khiển đến to Computer Configuration | Windows Settings | Security Settings | Application Control Policies | AppLocker | Executable Rules. Lúc này, kích phải vào mục Executable Rules và chọn Create Default Rules từ menu xuất hiện.

Khi các rule mặc định được tạo, kích phải vào mục Windows Installer Rules và chọn Create Default Rules. Cuối cùng, kích phải vào mục Script Rules và chọn Create Default Rules. Tại thời điểm viết bài, vẫn chưa có các rule kịch bản mặc định, tuy nhiên điều này hoàn toàn có thể thay đổi và đây là một ý tưởng tốt, vì vậy bạn hãy thử tạo các rule kịch bản mặc định.

Xem lại các rule mặc định

Mặc dù các rule mặc định được thiết kế là để bảo vệ Windows, tuy nhiên vẫn khả năng các rule này bị xung đột với chính sách bảo mật công ty. Bạn có thể tinh chỉnh các rule mặc định để làm cho chúng hạn chế hơn, nhưng cần phải thực sự cẩn thận khi thực hiện vấn đề này.

Nếu quan sát vào hình A, bạn có thể thấy Windows tạo ra ba rule thực thi mặc định. Rule đầu tiên cho phép bất cứ ai cũng có thể chạy tất cả các file nằm trong thư mục Program Files. Rule thứ hai cho phép bất cứ ai cũng có thể chạy các file nằm trong thư mục Windows. Còn rule thứ ba cho phép người có tài khoản BUILTIN\Administrator mới có thể chạy các file trên hệ thống.


Hình A: Có ba rule thực thi mặc định

Cho phép chúng tôi bắt đầu bằng cách nói rằng, bạn không nên cố gắng thay đổi rule thứ ba. Tài khoản BUILTIN\Administrator cần có sự truy cập toàn bộ hệ thống. Còn ngoài ra, bạn có thể thay đổi rule đầu tiên và rule thứ hai, làm cho chúng trở nên hạn chế hơn. Cho ví dụ, có thể tạo một tập các rule cho phép các ứng dụng nào đó nằm trong thư mục Program Files có thể chạy, thay cho việc cấp quyền hạn cho toàn bộ thư mục.

Khi bạn quyết định cách các rule sẽ được áp dụng thế nào, có một vấn đề quan trọng mà các bạn cần lưu ý là, các rule mặc định chỉ cho phép quyền hạn người dùng có thể chạy ứng dụng. Việc tạo một rule AppLocker không cung cấp cho người dùng có được khả năng cài đặt ứng dụng mới vào các location này. Nếu một ai đó muốn cài đặt ứng dụng, họ phải có quyền hạn NTFS thích hợp.

Mặc định, người dùng sẽ có các quyền đọc, ghi và tạo đối với thư mục C:\Windows\Temp. Khi các rule thực thi mặc định được tạo, người dùng sẽ tự động được gán cho quyền hạn thực thi các ứng dụng đang cư trú trong thư mục C:\Windows\Temp. Điều này có nghĩa rằng họ có thể cài đặt một ứng dụng nào đó vào thư mục Temp và chạy nó.

Trước khi giới thiệu về cách thay đổi các rule mặc định, chúng tôi muốn giới thiệu cho các bạn về các rule Windows Installer mặc định trước. Như các rule thực thi mặc định, Windows cũng tạo ra ba Windows Installer mặc định, xem thể hiện trong hình B bên dưới.


Hình B: Ba rule Windows Installer mặc định

Rule đầu tiên trong số các rule Windows Installer mặc định cho phép tất cả người dùng có thể chạy bất cứ file Windows Installer nào miễn là nó đã được ký. Không quan trọng vấn đề ai ký file Windows Installer, hoặc nơi cung cấp file. Nếu file đã được ký, người dùng hoàn toàn có thể chạy nó.

Rule thứ hai cho phép tất cả người dùng đều có thể chạy các file Windows Installer nằm trong thư mục %systemdrive%\Windows\Installer. Trong trường hợp này, các file Windows Installer thậm chí còn không được ký. Chỉ cần file Windows Installer nằm trong thư mục đã được chỉ định, người dùng sẽ được phép chạy nó.

Rule cuối cùng cho phép quản trị viên có thể chạy tất cả các file Windows Installer. Giống như trường hợp lúc trước, bạn không nên can thiệp vào rule này vì quản trị viên cần đến các quyền hạn như vậy.

Chuẩn bị cho việc thay đổi các rule mặc định

Trước khi bắt tay vào giới thiệu phần tiếp theo của loạt bài này, có một số vấn đề mà chúng tôi muốn đề cập trước cho các bạn.

Chúng tôi đã giải thích rằng, các rule thực thi thường đi đôi với các file thực thi, tuy nhiên tin hay không tùy bạn, AppLocker có một định nghĩa rất đặc biệt cho các file thực thi. AppLocker định nghĩa các file thực thi là các file .EXE hoặc .COM. Mặc dù .BAT, .PIF, và một số định dạng khác cũng có thể là các file thực thi nhưng chúng sẽ không được bao phủ bởi các rule thực thi mặc định.

AppLocker có một định nghĩa đặc biệt cho các file thực thi, nó cũng có một định nghĩa đặc biệt cho các file Windows Installer. Các file Windows Installer được định nghĩa là các file .MSI và .MSP.

Kết luận

Trong phần này, chúng tôi đã giới thiệu được cho các bạn về cách tạo tập các rule AppLocker mặc định. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách thay đổi các rule mặc định và cách tạo các rule theo ý bạn.

Thứ Năm, 18/03/2021 08:18
31 👨 951
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp