KunIT.hOtgOO.nEt
2-Tek
|  |
| | |
| AppLocker của Windows 7 (Phần 2) |  |
| |  Wed Nov 03, 2010 9:08 am | | [Thành viên] - admin
Admin
| Zodiac :  Tổng số bài gửi : 1386
Điểm thưởng : 4216
 Cảm ơn : 28
Sinh nhật : 11/05/1995
Tham gia ngày : 26/03/2010
Tuổi : 28
Đến từ : ĐỒng Nai - Biên Hòa
 Humor : Ố là la.......
 |
| |  Tiêu đề: AppLocker của Windows 7 (Phần 2) | |
| |  | |  |  | Nguồn : http://kunit.hotgoo.net/t1413-topic
Tiêu Đề : AppLocker của Windows 7 (Phần 2)
KunIT.hOtgOO.nEt - Nơi sân chơi lành mạnh :)
--------------------------------------------------
Một số vấn đề cần giải quyết trước khi tạo các chính sách cho AppLocker.
Giới thiệu
Mặc dù AppLocker mạnh hơn các chính sách hạn chế phầnmềm Software Restriction Policies nhưng nó vẫn tồn tại một số vấn đềmà các bạn cần biết trước khi tạo rule AppLocker. Trong phần thứ hainày chúng tôi sẽ giải thích cho các bạn về các vấn đề này.
 Trongphần trước của loạt bài, chúng tôi đã giới thiệu cho các bạn biết rằng,Microsoft đã giới thiệu các chính sách hạn chế phần mềm (SoftwareRestriction Policies) trong Windows XP nhằm cho phép các quản trị viêncó thể kiểm soát ứng dụng nào người dùng được phép chạy, ứng dụng nàokhông. Trong quá trình làm việc với hệ điều hành này nhiều năm, cácchính sách hạn chế phần mềm này đã bộ lộ một số thiếu sót. Tuy nhiênvới phát hành Windows 7, Microsoft đã cố gắng khắc phục những thiếu sótnày thông qua một tíng năng mới mang tên AppLocker.
Khả năng tương thích
Mặc dù AppLocker về cơ bản là một phiên bản mới củatính năng Software Restriction Policies nhưng AppLocker lại không cókhả năng tương thích với Software Restriction Policies. Nếu bạn hiện đãđịnh nghĩa Software Restriction Policies bên trong một Group PolicyObject, khi đó các chính sách này sẽ tiếp tục làm việc, thậm chí bạnnâng cấp các máy tính lên Windows 7. Mặc dù vậy, nếu bạn định nghĩa cácchính sách AppLocker bên trong Group Policy Object đã chứa các chínhsách hạn chế phần mềm thì các máy tính đang chạy Windows 7 sẽ bỏ quacác chính sách hạn chế phần mềm, chỉ áp dụng các chính sách củaAppLocker.
Một khía cạnh khác, nếu Group Policy Object gồm cócác chính sách của Software Restriction Policies và AppLocker thì cácmáy tính đang chạy Windows XP và Vista sẽ bỏ qua các chính sáchAppLocker và chỉ sử dụng Software Restriction Policies. Điều này xảy ralà vì tính năng AppLocker không tồn tại trong các hệ điều hành kếthừa.
Một số hạn chế
Mặc dù AppLocker cung cấp một cải thiện lớn so vớiSoftware Restriction Policies nhưng nó vẫn có một số hạn chế nhất định.Hạn chế lớn nhất của AppLocker là nếu người dùng có các đặc quyền quảntrị viên trên các máy tính của họ thì AppLocker có thể dễ dàng bị phávỡ.
Microsoft đã khuyên không nên cung cấp các đặc quyềnquản trị viên cho người dùng, tuy nhiên trong thế giới thực, hành độngnày đôi khi không tránh khỏi. Thêm vào đó, có một số ứng dụng sẽ khônghoạt động đúng trừ khi người dùng nắm toàn quyền kiểm soát hệ thống.
Nếu bạn muốn sử dụng AppLocker nhưng người dùng củabạn có các đặc quyền quản trị viên, khi đó bạn nên xem xét liệu có thểcung cấp cho người dùng quyền điều khiển của quản trị viên trên các máytính của họ. Có lẽ bạn có thể cung cấp cho người dùng toàn quyền điềukhiển trên các thư mục mà không thực sự cung cấp cho họ các đặc quyềnquản trị viên đầy đủ. Tuy nhiên phương pháp này không phải lúc này cũnglàm việc tốt vì một số ứng dụng yêu cầu người dùng có khả năng thayđổi registry hoặc các thành phần khác của hệ điều hành.
Nếu người dùng yêu cầu quyền truy cập quản trị viênđối với hệ thống, bạn có thể loại bỏ bằng cách khóa các công cụ quảntrị. Cho ví dụ, bạn có thể tạo một rule để khóa một số thứ như RegistryEditor hoặc Windows PowerShell. Nếu bạn cố gắng sử dụng phương phápnày, bạn phải chú ý không cấu hình rule mang tính toàn cục. Thêm vàođó, các nhân viên trợ giúp sẽ yêu cầu sự truy cập vào các công cụ quảntrị khác nhau để họ có thể khắc phục một số vấn đề với các máy tínhngười dùng.
Các chiến lượcAppLocker cơ bản
Mặc dù AppLocker hỗ trợ một số kiểu rule cơ bản tươngtự như Software Restriction Policies, tuy nhiên cách cơ bản màAppLocker sử dụng khá khác so với những gì bạn đã biết. Trong thực tế,bạn rất dễ tự mắc phải rắc rối nếu không hiểu cách làm việc củaAppLocker. Chính vì vậy chúng tôi khuyên các bạn nên quan tâm đến nhữnggì được đề cập trong phần này.
Để sử dụng AppLocker an toàn, bạn phải hiểu triết lýcơ bản của Microsoft đằng sau các rule của AppLocker. Triết lý này xoayquanh ý tưởng rằng, có một số ứng dụng đặc biệt sẽ được bạn sử dụngtrong tổ chức. Ngược lại, cũng có một số không xác định các ứng dụng màcác tổ chức không sử dụng. Cho ví dụ, một số ứng dụng bạn có thể khôngđược cho phép sử dụng trong tổ chức có thể gồm các ứng dụng như: videogame, malware, phần mềm mạng ngang hàng và...
Quan điểm ở đây là nên chọn nhiều ứng dụng mà bạnkhông muốn người dùng chạy hơn là chọn các ứng dụng mà người dùng đượccho là sử dụng. Với quan điểm đó, chúng ta sẽ dễ dàng cung cấp choWindows một danh sách trắng các ứng dụng được phép so với việc phảikhóa các ứng dụng mà bạn muốn ngăn chặn người dùng sử dụng. Đây làtriết lý của Microsoft đằng sau cách các rule của AppLocker làm việc.
Điều này dẫn chúng ta đến khái niệm đầu tiên đằng saucác rule AppLocker. Các rule của AppLocker được tổ chức thành các bộsưu tập. Mặc dù có thể tạo một tuyên bố từ chối, nhưng các rule củaAppLocker luôn được coi như một cơ chế cho việc cho phép đặc quyền đốivới một thứ gì đó (nhớ rằng, hoàn toàn dễ dàng đối với việc cho phépphần mềm được sử dụng hơn là cấm phần mềm nào đó không được sử dụng).Lúc này chúng ta đã tiến vào đến phần quan trọng. Lưu ý, nếu bạn tạoquá nhiều rule đơn trong một bộ sưu tập rule thì Windows sẽ tự độngthừa nhận rằng bạn muốn ngăn chặn chạy mọi thứ.
Đây là một khái niệm rất quan trọng cần phải nhớ vìchắc chắn bạn sẽ muốn người dùng của mình có thể chạy Microsoft Officevà Internet Explorer, vì vậy bạn tạo một rule để cho phép họ thực hiệnđiều đó. Trong hoàn cảnh đó, bạn đã từ chối các quyền mà người dùngchạy mọi thứ, gồm có hệ điều hành Windows. Tuy nhiên bạn cũng rất dễ cóthể bị khóa vô tình một người dùng nào đó với Windows bởi các ruleAppLocker được tạo không đúng cách. Đây là thứ mà chúng tôi sẽ nhắm đếnnhiều trong các phần sau của loạt bài.
Thứ cuối cùng chúng tôi muốn giới thiệu là về sự từchối. Như những gì được giới thiệu trước, chúng tôi đã đề cập ở trênrằng, hoàn toàn có thể ngăn chặn người dùng có các đặc quyền quản trịviên đối với hệ thống trong việc chạy các công cụ quản trị, tuy nhiênbạn có thể tạo một ngoại lệ cho nhân viên trợ giúp. Về vấn đề này chúngtôi sẽ giới thiệu chi tiết cho các bạn trong các phần sau của loạtbài, còn lúc này chúng tôi chỉ chỉ ra việc thiết lập kiểu cấu hình này.
Với cách là AppLocker làm việc, chúng ta không thể từchối truy cập cho mọi người đối với các công cụ quản trị. Thay vào đó,chúng ta sẽ phải cho phép mọi người có quyền truy cập vào các file hệthống của Windows. Từ đây, chúng ta có thể bổ sung sự từ chối cho cáccông cụ quản trị để áp dụng cho một nhóm người dùng nào đó (mọi ngườitrừ nhân viên trợ giúp). Bạn không phải thực hiện bất cứ thứ gì chonhân viên trợ giúp vì chọ có quyền truy cập đến các công cụ quản trịviên mà bạn đã cho phép bất cứ ai cũng có thể truy cập các file hệthống của Windows.
Kết luận
Trong phần hai này, chúng tôi đã giới thiệu cho cácbạn một vấn đề dễ vô tình mắc phải trong quá trình khóa chặn sử dụngbằng các rule của AppLocker. Qua rút kinh nghiệm đó, chúng tôi đã giớithiệu một phương pháp khác để khắc phục các nhược điểm này. Trong phầntiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cáchtạo các rule AppLocker. | |  | |  |
 Copy đường link dưới đây gửi đến nick yahoo bạn bè! 
|
|
|
| Trang 1 trong tổng số 1 trang | | * Viết tiếng Việt có dấu, là tôn trọng người đọc.
* Chia sẻ bài sưu tầm có ghi rõ nguồn, là tôn trọng người viết.
* Thực hiện những điều trên, là tôn trọng chính mình.-Nếu chèn smilies có vấn đề thì bấm A/a trên phải khung viết bài
| | Permissions in this forum: | Bạn không có quyền trả lời bài viết
| |
| |
|
| |
