Cai dat va cau hinh Windows Server 2012 R2 (54)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (53)")



Hash rules

Hash là một chuỗi kí số có kích thước cố định, nó là định danh duy nhất của mỗi chương trình hay tập tin. Hash được sinh ra dựa trên thuật toán, thuật toán này đảm bảo giá trị hash sinh ra là duy nhất cho mỗi tập tin.

Khi bạn tạo một luật dựa trên hash của tập tin, hệ thống sẽ lưu giá trị hash của tập tin trong Software Restriction Policies. Khi người dùng muốn chạy tập tin, hệ thống sẽ so khớp giá trị hash của tập tin với giá trị hash của nó trong Software Restriction Policies, nếu hai giá trị này khớp nhau, luật sẽ được thực thi.

Do giá trị hash được tạo dựa trên tập tin, nên khi bạn di chuyển tập tin tới vị trí khác thì giá trị hash vẫn không bị thay đổi. Tuy nhiên, nếu chương trình phá hoại làm thay đổi nội dung của tập tin, dẫn tới giá trị hash bị thay đổi, khi đó, luật trong Software Restriction Policies sẽ không cho chương trình được thực thi.

Certificate rules

Certificate rule là luật dựa vào chứng chỉ số (digital certificate) của mỗi phần mềm. Chứng chỉ số giúp xác định tính hợp pháp của phần mềm. Bạn có thể sử dụng certificate rule để cho phép các phần mềm có nguồn gốc tin cậy được chạy và cấm các phần mềm còn lại. Bạn cũng có thể sử dụng certificate rule để cho phép chạy các phần mềm đang bị cấm bởi thiết lập Disallowed.

Path rules

Path rule là luật dựa trên vị trí của phần mềm trên hệ thống lưu trữ. Bạn có thể sử dụng path rule để cho chạy các phần mềm bị cấm bởi thiết lập Disallowed, hoặc cấm chạy các phần mềm do thiết lập Unrestricted.

Vị trí của phần mềm có thể xác định bằng vị trí của nó trong thiết bị lưu trữ, hoặc thông tin về vị trí được khai báo trong cấu trúc Registry.

Tạo luật (path rule) dựa trên vị trí của phần mềm có hạn chế là khi bạn thay đổi vị trí lưu trữ của phần mềm sẽ làm cho luật không còn tác dụng. Ngược lại, nếu dựa vào thông tin vị trí của phần mềm trong Registry sẽ luôn đảm bảo luật được thực thi, vì khi bạn thay đổi vị trí lưu trữ của phần mềm, giá trị trong Registry sẽ được cập nhật tự động.

Network zone rules

Network zone rule là luật áp dụng cho các phần mềm được cài đặt bằng Windows Installer từ máy cục bộ (local computer), local intranet, trusted sites, restricted sites hoặc Internet. Bạn có thể sử dụng luật kiểu này để chỉ cho phép cài đặt các phần mềm có nguồn gốc đáng tin cậy trên hệ thống mạng. Ví dụ, thiết lập Internet zone rule để không cho phép Windows Installer tải về và cài đặt các phần mềm từ Internet và các nơi khác trên mạng.

Sử dụng nhiều luật

Trong một Software Restriction Policies, bạn có thể kết hợp nhiều loại luật trong Additional Rules và nhiều chiến lược bảo mật trong Security Levels. Ví dụ, bạn có thể sử dụng một path rule để cấm chạy phần mềm trong thư mục \\Server1\Accounting, một path rule để cho phép chạy phần mềm trong thư mục \\Server 1\Application. Bạn cũng có thể kết hợp certificate rule và hash rule.

Sau đây là thứ tự ưu tiên của các luật, luật có số thứ tự nhỏ hơn sẽ có độ ưu tiên cao hơn:

1.      Hash rules

2.      Certificate rules

3.      Network zone rules

4.      Path rules

Khi có xung đột giữa các luật, luật có độ ưu tiên cao hơn sẽ được áp dụng. Ví dụ, nếu có xung đột giữa hash rules và path rules, thì hash rules sẽ được áp dụng.

Khi có sự xung đột giữa hai luật cùng loại trên một phần mềm, thì luật nào có sự hạn chế phần mềm nhiều hơn sẽ được áp dụng. Ví dụ, một luật là Unrestricted và một luật là Disallowed thì luật sẽ được áp dụng là Disallowed.

 

Cấu hình cho Software Restriction Policies


Bạn có thể thiết lập các thuộc tính cho mục Software Restriction Policies, các thuộc tính này sẽ tác động trên toàn bộ các chính sách trong Software Restriction Policies.

Có ba thuộc tính bạn có thể thiết lập cho Software Restriction Policies là: Enforcement, Designated File Types, và Trusted Publishers.

Thuộc tính Enforcement

Thuộc tính này cho phép bạn lựa chọn: sẽ áp dụng chính sách cho tất cả các tập tin của ứng dụng bao gồm cả các tập tin DLL (dynamic link library), hay không áp dụng trên các tập tin DLL. Ở chế độ mặc định, chính sách sẽ không áp dụng trên các tập tin DLL. Xem hình minh họa.



Một ví dụ về ứng dụng Enforcement trong thực tế, Default Security Level được thiết lập là Disallowed và Enforcement được thiết lập là All Software, khi đó bạn sẽ phải tạo các chính sách để kiểm soát các tập tin DLL, ngược lại nếu trong Enforcement bạn loại ra các tập tin DLL, thì bạn sẽ không phải quan tâm tới việc kiểm soát các DLL.

Thuộc tính Designated File Types

Thuộc tính Designated File Types được sử dụng để xác định các loại tập tin sẽ bị tác động bởi các luật. Các loại tập tin được chọn ở đây sẽ áp dụng cho tất cả các luật trong Software Restriction Policies. Xem hình minh họa.



Thuộc tính Trusted Publishers

Thuộc tính Trusted Publishers cho phép người quản trị thiết lập chính sách liên quan đến certificate rule cho hệ thống. Xem hình minh họa.



Trong cửa sổ Trusted Publishers Properties, phần Trusted publisher management cho phép xác định ai được phép quản lý nguồn cấp certificate. Mặc định, administrator máy cục bộ có quyền xác định nguồn cấp certificate cho máy cục bộ, enterprise administrators có quyền xác định nguồn cấp certificate cho một OU. Đối với các hệ thống có yêu cầu bảo mật cao, người dùng không được phép lựa chọn nguồn cấp certificate.

 

Sử dụng AppLocker


Software Restriction Policies là một công cụ mạnh, tuy nhiên, nó đòi hỏi người quản trị phải thực hiện nhiều việc hơn. Đặc biệt, nếu bạn cấu hình theo kiểu disallowed, khi đó ngoài việc tạo luật để cho các phần mềm ứng dụng được chạy, bạn còn phải tạo luật cho rất nhiều các chương trình của chính Windows Server 2012 R2.

Applocker còn có tên gọi khác là Application Control Policies. Applocker là một chức năng của Windows, nó kiểm soát ứng dụng thông qua các luật, tuy nhiên việc tạo luật rất đơn giản.

Các luật của Applocker có thể áp dụng cho từng user hoặc từng group cụ thể. Bạn cũng có thể tạo luật để áp dụng cho tất cả các phiên bản trong tương lai của một ứng dụng.

Hạn chế của Applocker là các chính sách của nó chỉ áp dụng được trên các máy tính cài Windows 7 và Windows Server 2008 R2 trở lên.

Các loại luật

Các thiết lập của AppLocker được lưu trong các GPO, cụ thể tại Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker. Xem hình minh họa.



AppLocker chứa bốn nút, trong đó chứa các luật sau:
­ 
- Executable Rules: chứa các luật áp dụng cho các tập tin có phần mở rộng là .exe và .com
­ 
- Windows Installer Rules: chứa các luật áp dụng cho các gói cài đặt bằng Windows Installer, các tập tin có phần mở rộng là .msi và .msp
­

- Script Rules: chứa các luật áp dụng cho các tập tin dạng script, với phần mở rộng là .ps1, .bat, .cmd, .vbs, và .js
­

- Package App Rules: chứa các luật áp dụng cho các ứng dụng mua từ Windows Stores
Khi tạo luật trong mỗi nút, việc cho phép chạy hoặc cấm chạy một tài nguyên có thể dựa vào một trong các cách sau:
­

- Publisher: dựa vào chứng chỉ số của phần mềm, có thể tạo luật áp dụng cho mọi phiên bản của phần mềm.
­

- Path: dựa vào tên của tập tin hoặc thư mục, hạn chế của cách này là mọi tập tin đều có thể bị luật này tác động, nếu tên hoặc vị trí của nó khớp với luật.
­

- File Hash: dựa vào giá trị hash của tập tin

Thiết lập default rules

Khi được bật, AppLocker sẽ khóa tất cả các tập tin thực thi, các installer package, các script (ngoại trừ các đối tượng đã được áp dụng luật Allow). Vì vậy, bạn cần phải tạo ra luật để cho phép chạy các tập tin cần thiết cho Windows và các ứng dụng hệ thống. Để thực hiện, bấm chuột phải vào từng nút trong AppLocker, chọn Create Default Rules.

Default rules của mỗi nút cũng giống như các luật thông thường, do vậy, bạn có thể nhân bản, thay đổi hoặc xóa nếu cần. Bạn cũng có thể tự tạo các luật trong Default rules, miễn là đảm bảo Windows hoạt động bình thường mà không cần can thiệp gì thêm.

Để sử dụng AppLocker, phải bật dịch vụ Application Identify, mặc định, dịch vụ này thuộc loại khởi chạy bằng tay, do vậy, bạn phải khởi chạy nó trong cửa sổ Services trước khi Windows có thể áp dụng các chính sách của AppLocker.

Tạo luật tự động

Ưu điểm lớn nhất của AppLocker là khả năng tạo luật tự động. Để thực hiện, bấm chuột phải vào nút cần tạo luật, chọn Automatically Generate Rules để mở của sổ Automatically Generate Rules Wizard. Sau khi chọn thư mục, user và group chịu sự tác động của luật, trang Rule Preferences xuất hiện, trang này cho phép chọn loại luật sẽ được tạo. Sau đó xuất hiện trang Review Rules, tóm tắt nội dung của luật và thêm luật vào nút.

Tạo luật thủ công

Ngoài việc tạo luật tự động, bạn cũng có thể tạo luật thủ công. Để thực hiện, bấm chuột phải vào nút cần tạo luật, chọn Create New Rule. Wizard yêu cầu bạn cung cấp các thông tin sau:
­

- Action: xác định hành động của luật là allow (cho chạy) hay deny (cấm chạy). Trong AppLocker, luật deny có độ ưu tiên cao hơn luật allow.
­

- User Or Group: lựa chọn đối tượng chịu sự tác động của luật
­

- Conditions: xác định loại luật sẽ được tạo, luật sẽ chạy dựa trên chữ kí số, tên của tập tin, hay giá trị hash.
­

- Exceptions: xác định các ngoại lệ
---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2015/9/10
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (55)