Giới thiệu về AppLocker – Phần 1
Ngu
ồn : quantrimang.com 
Brien M. Pose
y
Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại
sao các chính sách hạn chế phần mềm lại tỏ ra không hiệu quả và
AppLocker có thể giúp bạn khắc phục vấn đề đó như thế nào.
Giới thiệu
Tính năng mới của Windows 7 mang tên AppLocker là một tính năng được tạo
ra với mong muốn sẽ khắc phục được các yếu điểm trong các chính sách hạn
chế phần mềm trong các phiên bản Windows trước đây. Loạt bài này chúng tôi
sẽ giới thiệu cho các bạn lý do tại sao các chính sách hạn chế phần mềm lại tỏ
ra không mấy hiệu quả và AppLocker có thể giúp bạn những gì.
Trong một vài phiên bản Windows thế hệ gần đây, nếu muốn hạn chế các ứng
dụng nào mà người dùng trước đây được phép chạy, bạn chỉ có cách thực hiện
là sử dụng chính sách hạ
n chế phần mềm (Software Restriction Policies), hoặc
tiện ích của một nhóm thứ ba nào đó chẳng hạn như Parity
của Bit9. Tuy nhiên
vấn đề đối với việc sử dụng chính sách hạn chế phần mềm là chúng hoạt động
thực sự không tốt. Mặc dù có thể khóa các máy trạm của người dùng bằng chính
sách hạn chế phần mềm nhưng việc tạo các chính sách lại rất không hề đơn
giản chút nào với người dùng.
Trong Windows Vista và Windows Server
2008, Microsoft chỉ thực hiện những thay
đổi nhỏ trong chính sách hạn chế phần
mề
m. Trong các phiên bản này, Microsoft
đã bổ sung một kiểu rule mới mang tên
“network zone rule” và rule này được coi

hơn để khóa một số ứng dụng không mong muốn nào đó của Microsoft.
Hash Rule
Kiểu rule thứ hai các chính sách hạn chế phần mềm hỗ trợ là hash rule. Ý tưởng
của rule này là Windows có thể tạo một hash các file thực thi, và sử dụng hash
đó để nhận diện ứng dụng. Có thể nói rằng về ý tưởng thì hash rule rất tốt ở thời
điểm được giới thiệu, tuy nhiên ngày nay chúng không còn mang tính thực tiễ
n.
Bất cứ ai chịu tránh nhiệm cho việc tổ chức sự hợp lệ bên trong một tổ chức
cũng đều biết rằng chúng bị oanh tạc bởi những bản vá với một tốc độ báo động.
Bất cứ thời điểm nào bạn vá lỗi một ứng dụng, hash sẽ thay đổi các file đã được
thay thế, sau đó render các hash rule tồn tại lỗi thời trước
đây.
Path Rule
Path rule là một trong những kiểu rule yếu hơn. Chúng cho phép hoặc khóa các
ứng dụng dựa trên đường dẫn ứng dụng được cài đặt. Đây có thể một đường
dẫn hệ thống file hoặc đường dẫn registry. Vấn đề phát sinh với kiểu rule này là,
nếu một người nào đó đủ thẩm quyền cài đặt ứng dụng thì họ sẽ có đủ quyền để
chuyển ứng dụ
ng đó sang một location khác để tránh bị ảnh hưởng bởi rule này.
Internet Zone Rule
Internet zone rule là các ví dụ mang tính kinh điển về ý tưởng tốt nhưng được
thực thi một cách nghèo nàn. Về ý tưởng cơ bản phía sau rule này là ngăn chặn
người dùng download và cài đặt ứng dụng từ Internet. Tuy nhiên có một số vấn
đề với cách thức làm việc bên trong của chúng.
Đâu tiên đó là Internet zone rule chỉ áp dụng cho các file MSI (các gói phần mềm
cài đặt của Windows). Vấn đề tiếp theo là Internet zone rule chỉ áp dụng tại thời
điểm file được download. Đ
iều này có nghĩa rằng nếu người dùng download một
file ZIP có chứa ứng dụng thì Internet zone rule sẽ không ngăn chặn việc cài đặt
ứng dụng này.