Giới thiệu về AppLocker – Phần 5

Trong phần cuối cùng giới thiệu về AppLocker này, chúng tôi sẽ giới
thiệu cho các bạn cách mổ xẻ một luật của AppLocker, giới thiệu cách
tạo các luật cả thủ công lẫn tự động cũng như cách thay đổi các luật
đang tồn tại.
Giới thiệu
Trong phần 4 của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về
các luật của AppLocker được tạo mặc định và các luật này thực hiện các
nhiệm vụ gì. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách thay
đổi các luật mặc định và cách tạo các luật AppLocker của riêng bạn.
Mổ xẻ một luật
Chìa khóa để tạo một luật AppLocker mới hoặc thay đổi một luật đang tồn
tại là phải hiểu được thành phần chính nào tạo nên một luật, các thành phần
đó làm việc với nhau như thế nào. Sau đó, thay đổi một luật đang tồn tại
bằng cách kích phải vào luật và chọn lệnh Properties. Từ đây, bạn có thể
tạo các thay đổi theo mong muốn và kích OK. Tương tự, bạn cũng có thể tạo
một luật AppLocker mới bằng cách kích phải vào một hạng mục luật và
chọn Create New Rule từ menu xuất hiện.
Khi tạo luật mới, Windows sẽ khởi chạy một wizard và dẫn bạn thông qua
toàn bộ quá trình tạo luật. Ngược lại, thay đổi một luật hiện có sẽ chỉ liên
quan đến việc thay đổi các nội dung của các trường bên trong trang thuộc
tính. Trong mỗi trường hợp, bạn cần phải xử lý tập các tùy chọn của chúng.
Do vậy chúng tôi sẽ giới thiệu cho các bạn về các tùy chọn khác nhau và
những gì chúng thực hiện.
Nếu quan sát vào hình A bên dưới, bạn có thể thấy trang thuộc tính được sử
dụng bất cứ khi nào bạn thay đổi một rule có trước. Hai tùy chọn đầu tiên
trong tab General của trang thuộc tính cho phép bạn gán tên cho luật và nhập
vào phần mô tả cho luật. Mặc dù việc nhập vào phần mô tả hoàn toàn mang
tính tùy chọn nhưng đây là việc mà bạn nên thực hiện nếu có thể vì khi có
nhiều luật AppLocker, bạn sẽ khó có thể nhớ được mỗi luật thực hiện những

có thể cài đặt khá nhiều thứ mà họ cần, tuy nhiên lại không thể cài đặt Grand
Theft Auto.

Hình C: Tab Exceptions cho phép bạn tạo các ngoại lệ cho luật
Tuy đang trong chủ đề giới thiệu về các ngoại lệ của luật, nhưng chúng tôi
muốn chỉ ra cho các bạn rằng, có một số ngoại lệ làm việc không giống như
những gì chúng tôi đã giới thiệu. Ví dụ như chúng tôi đã giới thiệu rằng bạn
có thể thiết lập một luật để cho phép hoặc từ chối quyền hạn chạy một ứng
dụng. Nhưng khi giới thiệu tùy chọn từ chối (Deny), bạn có thể hơi lạ về tùy
chọn từ chối khi hành vi mặc định của AppLocker là từ chối truy cập bất cứ
thứ gì mà bạn không cho phép người dùng có thể sử dụng. Lý do cho tại sao
tùy chọn Deny tồn tại như vậy là vì bạn có thể cấp phép một số quyền hạn
bằng cách tạo một ngoại lệ cho luật Deny.
Điều này nghe có vẻ khá lộn xộn, vì vậy chúng tôi lấy một ví dụ cho các
bạn. Giả sử rằng vì một lý do nào đó bạn muốn khóa truy cập đến toàn bộ
thư mục Program Files (không thực sự khóa thư mục này, đây chỉ là một ví
dụ), nhưng bạn lại cần người dùng có thể chạy các ứng dụng nằm trong
\Program Files\Microsoft. Khi đó bạn có thể thực hiện mục tiêu của mình
bằng cách tạo một luật từ chối truy cập đến thư mục \Program Files nhưng
liệt \Program Files\Microsoft là một ngoại lệ trong luật.
Tự động hóa việc tạo ra các luật AppLocker
Như những gì bạn thấy, các luật của AppLocker không phức tạp lắm. Tuy
nhiên khi bắt đầu tạo các luật AppLocker, bạn phải thẩm định các ứng dụng
mà bạn muốn người dùng được phép chạy chúng. Nếu bạn không thẩm định
ứng dụng, người dùng sẽ không thể chạy nó. Quan điểm của chúng tôi là,
mặc dù Microsoft cho phép bạn có thể dễ dàng tạo luật cho AppLocker,
nhưng việc tạo một tập các luật AppLocker mang tính toàn diện có thể mất
khá nhiều công sức.
AppLocker gồm có một cơ chế cho việc tự động tạo các luật cần thiết. Để
truy cập vào tính năng này, bạn chỉ cần kích phải vào một trong các mục luật