Bảo mật ứng dụng bằng AppLocker

Applocker là một cấp bậc bảo mật khác và mục đích là để hạn chế hoặc cấp phép quyền truy cập vào phần mềm trong một nhóm người dùng cụ thể.

Ngày nay, biết bao phần mềm không cần quyền truy cập admin để chạy, như IT Pro, vì đây là một mối đe dọa cho môi trường của bạn.

Trong khi cài đặt và cấu hình Applocker có thể tăng tính bảo mật không gian mạng và bảo vệ dữ liệu của bạn khỏi bất kỳ quyền truy cập trái phép nào.

Nếu bạn đang nghĩ tại sao phải sử dụng Applocker, lời đáp là ở đây. Bạn cũng có thể sử dụng nó để bảo vệ khỏi ứng dụng không mong muốn, chuẩn hóa hay quản lý phần mềm.

Trong bài viết hôm nay, Quantrimang sẽ chỉ dẫn bạn cách cài đặt và tiến hành thông qua GPO Applocker trong số máy chủ cụ thể.

Applocker cũng có thể được tiến hành trong các phiên bản Windows sau:

• Windows 10 Enterprise
• Windows Server 2012, 2016, 2019

Trước khi bắt đầu triển khai Applocker, bạn cần biết chuẩn xác phần mềm nào được phép chạy. Đây là bước quan trọng nhất vì nếu bạn cố gắng áp dụng Applocker mà không ghi lại những ứng dụng phải được phép thì bạn sẽ tạo ra biết bao vấn đề cho người sử dụng và hoạt động hàng ngày của công ty.

Trong tình huống bạn không chắc chắn 100% đâu là ứng dụng phải được coi phép, bạn có thể sử dụng Applocker ở Audit Mode để xác định mọi thứ các ứng dụng.

Cách kích hoạt Applocker

Đăng nhập vào Domain Controller và mở Group Policy Management .

Nhấp chuột phải vào OU (Organization Unit) bạn mong muốn tạo Applocker Policy và chọn Create a GPO in this Domain and link it here .

Nhập tên ưa thích và bấm OK.

Bây giờ, hãy nhấp vào policy mới và trong Security Filtering , hãy nhấp vào Add và chọn nhóm Domain Computers hoặc bất kỳ nhóm nào khác mà bạn đã tạo, bao gồm Servers hoặc Workstations mà bạn mong muốn tiến hành nó.

Hãy nhớ đưa vào OU cụ thể liên kết Applocker GPO. Nếu không, bạn cần liên kết GPO trong OU bao gồm tất cả máy server hoặc máy trạm mà bạn mong muốn triển khai Applocker.

Nhấp chuột phải vào policy mới và chọn Edit.

Đi tới:

  Computer ConfigurationWindows SettingsSecurity SettingsApplication Control PoliciesApplocker  

Mở rộng Applocker.

Nhấp chuột phải vào Executable Rules và chọn Create Default Rules .

Các quy tắc mặc định là:

• All files located in the Program Files folder (Tất cả những file nằm ở trong thư mục Program Files)
• All files located in the Windows folder (Tất cả những file nằm ở trong thư mục Windows)
• All files for the BuiltinAdministrators Group  (Tất cả các file cho BuiltinAdministrators Group)

Cho đến khi thích nghi với Applocker, bạn nên để nguyên các quy tắc này nếu không muốn phá vỡ mọi thứ.

Nhấp chuột phải vào Applocker và chọn Properties.

Tích vào Configured và chọn Audit Only.

Chế độ Audit Only không cấp phép hoặc từ chối chỉ ghi nhật ký trong Event Viewer.

Với cách này, bạn cũng có thể có thể định vị mọi thứ các phần mềm phải chạy hoặc không trước khi bắt đầu thực thi các quy tắc Applocker.

Cách tiến hành Applocker GPO

Đừng tạo bất kỳ quy tắc nào cho tới khi bạn xác minh được rằng Applocker hoạt động mà không gặp sự cố.

Bạn có thể triển khai Applocker trong máy server test cho đến khi làm quen và xác định được bất kỳ vấn đề nào.

Để chạy Applocker, bạn phải khởi động service Application Identity trong máy chủ mà bạn muốn triển khai.

Trong Applocker GPO, hãy vào:

  Computer ConfigurationWindows SettingsSecurity SettingSystem Services  

Tìm service Application Identity .

Nhấp chuột phải vào service và chọn Properties.

Chọn Define this policy Settings .

Chọn Automatic.

Bấm OK.

Bây giờ, khi bạn áp dụng Applocker GPO, service Application Identity sẽ bắt đầu.

Đăng nhập vào máy server mà bạn mong muốn triển khai Applocker, mở Command Prompt và chạy:

  gpupdate /force  

Khởi động lại máy chủ.

Cách xác minh rằng Applocker chạy trong máy server hoặc máy trạm

Sau khi máy chủ khởi động lại, cần phải xác minh rằng Applocker đã chạy:

Mở Event Viewer .

Mở rộng:

  Application and Services LogsMicrosoftApplocker  

Nhấp vào Execute DLL .

Xác minh rằng Event ID 8001 tồn tại.

Cách tạo quy tắc Applocker

Sau khi đã thấy ứng dụng nào chạy trong máy chủ, bây giờ, bạn có thể tạo các quy tắc Applocker mình cần.

Mở Applocker GPO .

Nhấp chuột phải vào Executable Rules và chọn Create New Rule .

Nhấn Next .

Xác định xem bạn muốn cấp phép hay từ chối và chọn nhóm thích hợp.

Chọn cách bạn muốn xác định ứng dụng.

Lưu ý rằng nếu bạn chọn Path vì Domain Controller không có phần mềm để đi từ đường dẫn, bạn cũng có thể làm như sau.

Mở Event Viewer trong máy chủ hoặc máy trạm chạy Applocker và sao chép/dán Path từ Logs.

Bây giờ, hãy nhấp vào Next.

Nhấn Next một lần nữa trừ phi bạn mong muốn thêm 1 ngoại lệ.

Nhập tên và nhấp vào Create.

Vào máy server hoặc máy trạm và kiểm tra xem quy tắc có được áp dụng không như sau:

Mở rộng:

  Application and Services LogsMicrosoftApplocker  

Nhấp vào Execute DLL.

Xác minh rằng Event ID 8002 với ứng dụng của bạn tồn tại

Applocker không khó để áp dụng. Điều khó khăn đặc biệt là phải trang bị mọi thứ các yêu cầu cần thiết trước lúc áp dụng Applocker để tránh làm hỏng cái gì đó trong môi trường của bạn.

• 8 cách độc đáo sử dụng quét vân tay trên thiết bị Android
• Cách khóa các phần mềm cần bảo quản cực an toàn trên Android
• Bảo mật cho ứng dụng web
• Giới thiệu về AppLocker – Phần 1
• Bảo mật ứng dụng Web: kiểm tra thâm nhập thủ công hay quét tự động