Quản lý việc sử dụng phần mềm với AppLocker – Phần 1


Ngày nay, các tổ chức và doanh nghiệp phải đối mặt với nhiều thách thức trong quản lý việc sử dụng phần mềm ứng dụng của nhân viên, bao gồm:

  • Ai được quyền cài đặt và sử dụng phần mềm nào?
  • Phiên bản nào của phần mềm được phép sử dụng?
  • Các ứng dụng có chữ ký số được quản lý ra sao?

Để giải quyết các vấn đề trên, AppLocker, một tính năng mới trong Windows 7 và Windows Server 2008 R2 cho phép bạn chỉ định tài khoản hoặc nhóm người dùng nào được phép chạy ứng dụng nào dựa trên các đặc tính duy nhất của file thực thi của ứng dụng đó như: chữ ký số (digital signature), giá trị hash (hash value), đường dẫn của file (path)…

AppLocker bao gồm nhiều tính năng mở rộng giúp giảm bớt gánh nặng cho người quản trị trong công tác kiểm soát việc cài đặt và sử dụng các phần mềm ứng dụng của người dùng. Với AppLocker, bạn có thể:

  • Quản lý các loại ứng dụng có các phần mở rộng sau:

– Executable file: .exe và .com

– Scripts: .js, .ps1, .vbs, .cmd, .bat

– Windows Installer file: .msi và .msp

Thư viện: .dll và .ocx

  • Tạo các rule dựa trên các thuộc tính của file như chữ ký số (digital signature) gồm: tên nhà phát hành (publisher), tên sản phẩm (product name), tên file (file name), phiên bản của file (version)…

Ví dụ, tạo rule dựa vào publisher là thuộc tính bất biến qua các lần cập nhật hoặc tạo rule cho một phiên bản nhất định nào đó của file.

  • Ấn định rule cho nhóm người dùng hay một cá nhân đơn lẻ.
  • Tạo exception là các ngoại lệ cho rule. Ví dụ,  tạo một rule cho phép tất cả các chương trình của Windows được chạy ngoại trừ Registry Editor có file thực thi là Regedit.exe.
  • Chế độ audit-only cho phép triển khai thử nghiệm các policy để nắm được mức độ ảnh hưởng của nó trước khi thực sự áp dụng cho hệ thống thực.
  • Import và export các rule. Hai thao tác này tác động tới toàn bộ policy. Ví dụ, nếu export một policy, tất cả các rule nằm trong tất cả các rule collection đều được export, kể cả các thiết lập về enforcement dành cho các rule collection đó. Nếu import một policy thì policy hiện tại sẽ bị ghi đè bởi policy mới được import.
  • Sử dụng các cmdlet của PowerShell dành cho AppLocker để đơn giản hóa việc tạo và quản lý các rule.

AppLocker chỉ đi kèm với các phiên bản Windows sau:

  • Windows Server 2008 R2, Windows 7 Ultimate, Windows 7 Enterprise: cho phép tạo và áp dụng các rule trên máy cục bộ. Ngoài ra, có thể tạo các rule trên máy Domain Controller sau đó áp dụng các rule này cho các tài khoản trong domain thông qua GPO (Group Policy Object).
  • Windows 7 Professional: chỉ cho phép tạo các rule, bạn không thể áp dụng các rule cho các tài khoản trên máy cục bộ.

Các phần tiếp theo của loạt bài về AppLocker sẽ đề cập đến các chủ điểm sau:

  1. Giới thiệu về AppLocker
  2. Tạo và tùy chỉnh các rule trong AppLocker
  3. Cấu hình AppLocker Rule Enforcement và Rule Exceptions

–manthang

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s