Giới thiệu về AppLocker – Phần 3

Trong phần này chúng tôi sẽ giới thiệu cho các bạn các nhiệm vụ cần
được hoàn tất trước khi tạo các rule (luật) trong AppLocker; các dịch
vụ hệ thống nào cần phải kích hoạt và cách tránh việc khóa một cách vô
tình chính bạn bên ngoài Windows.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn rằng
AppLocker làm việc theo nguyên tắc tạo sự thuận tiện trong việc định nghĩa
các ứng dụng mà bạn muốn cho phép Windows chạy hơn là cố gắng khóa
chặn mọi ứng dụng trái phép. Trong phần này, chúng tôi sẽ tiếp tục giới
thiệu về AppLocker bằng cách giới thiệu cho các bạn cách chuẩn bị cho việc
tạo các luật trong AppLocker.
Mở giao diện điều khiển AppLocker
Bạn có thể truy cập AppLocker thông qua Group Policy Object Editor tại
Computer Configuration | Windows Settings | Security Settings | Application
Control Policies | AppLocker. Cũng có thể vào AppLocker bằng cách chọn
shortcut Local Security Policy từ menu Administrative Tools. Khi sử dụng
Local Security Policy, AppLocker sẽ nằm ở Security Settings | Application
Control Policies | AppLocker. Bạn có thể thấy mục AppLocker xuất hiện
trong hình A bên dưới như thế nào.

Hình A: Giao diện AppLocker
Phần mở đầu
Như những gì các bạn thấy trong hình, giao diện sử dụng được phân thành
ba phần. Phần mở đầu (Getting Started) cung cấp cho bạn một thông báo chỉ
thị rằng, khi bạn bắt đầu việc tạo các luật của AppLocker thì chỉ các ứng
dụng được định nghĩa bởi các luật này sẽ được cho phép chạy. Có hai liên
kết để bạn có thể sử dụng nhằm tìm hiểu thêm về AppLocker hoặc xác định
phiên bản Windows nào mà các luật của AppLocker áp dụng.
Phần cấu hình thực thi luật

thiết lập danh sách sổ xuống ở tùy chọn Audit Only cho mỗi tập rule.
Khi một tập rule được thiết lập ở chế độ Audit Only, các rule bên trong tập
rule này sẽ không được thực thi. Bất cứ khi nào người dùng chạy một ứng
dụng bị ảnh hưởng bởi một rule trong tập các rule thì thông tin về rule và
ứng dụng sẽ được ghi vào bản ghi sự kiện của AppLocker.
Có hai lý do chính tạo sao bạn nên thiết lập Audit Only cho mỗi tập rule
trước khi tạo rule là vì: Đầu tiên là để bảo đảm an toàn. Chỉ cần AppLocker
làm việc trong chế độ Audit là bạn không phải lo về việc bị khóa trái bên
ngoài hệ thống của mình. Thứ hai, việc thẩm định các rule cho phép bạn test
xem chúng có làm việc tốt hay không. Khi kiểm tra các bản ghi thẩm định,
bạn sẽ phát hiện thấy liệu mình có cần phải sửa lại các rule hay không. Việc
thẩm định cho phép bạn tìm ra cách các rule sẽ thực thi chính xác như thế
nào.
Thuộc tính nâng cao của AppLocker
Nếu quan sát vào hình C, bạn sẽ thấy trang thuộc tính của AppLocker có
chứa tab Advanced. Nếu chọn tab này, bạn sẽ thấy tùy chọn kích hoạt bộ
rule DLL, như thể hiện trong hình D.

Hình D: Tab Advanced cho phép bạn kích hoạt một tập các luật DLL
Như những gì bạn thấy trong hình trên, thứ đầu tiên mà bạn có thể thấy là
một thông báo với dòng chữ in đậm, thông báo này cảnh báo bạn rằng các
rule DLL có thể ảnh hưởng đến hiệu suất của hệ thống.
Nếu kích hoạt tập các rule DLL thì bạn phải chấp thuận mọi DLL được sử
dụng bởi các ứng dụng đã được thẩm định trên hệ thống của mình. Điều này
dễ dẫn đến vấn đề khá nguy hiểm khi thiếu một DLL do tình cờ. Nếu bạn
quên chấp thuận một file DLL thì các ứng dụng phụ thuộc vào DLL đó sẽ
không thể chạy.
Rõ ràng, thông báo trong hộp kiểm cho bạn biết rằng việc kích hoạt các file
DLL có thể ảnh hưởng đến hiệu suất hệ thống. Lý do cho vấn đề này là vì
hầu hết các ứng dụng đều sử dụng ít nhất một vài file DLL. Khi người dùng