Bảo mật ứng dụng bằng AppLocker

Thứ năm - 18/03/2021 06:43
Applocker là một cấp độ bảo mật khác và mục đích là để hạn chế hoặc cho phép quyền truy cập vào phần mềm trong một nhóm người dùng cụ thể.

Applocker là một cấp độ bảo mật khác và mục đích là để hạn chế hoặc cho phép quyền truy cập vào phần mềm trong một nhóm người dùng cụ thể.

Ngày nay, rất nhiều ứng dụng không cần quyền truy cập admin để chạy, như IT Pro, vì đây là một mối đe dọa cho môi trường của bạn.

Trong khi cài đặt và cấu hình Applocker có thể tăng tính bảo mật không gian mạng và bảo vệ dữ liệu của bạn khỏi bất kỳ quyền truy cập trái phép nào.

Nếu bạn đang nghĩ tại sao phải sử dụng Applocker, câu trả lời là ở đây. Bạn có thể sử dụng nó để bảo vệ khỏi phần mềm không mong muốn, chuẩn hóa hay quản lý phần mềm.

Trong bài viết hôm nay, Quantrimang sẽ hướng dẫn bạn cách cài đặt và triển khai thông qua GPO Applocker trong các máy chủ cụ thể.

Applocker có thể được triển khai trong các phiên bản Windows sau:

  • Windows 10 Enterprise
  • Windows Server 2012, 2016, 2019

Trước khi bắt đầu triển khai Applocker, bạn phải biết chính xác ứng dụng nào được phép chạy. Đây là bước quan trọng nhất vì nếu bạn cố gắng áp dụng Applocker mà không ghi lại những ứng dụng phải được phép thì bạn sẽ tạo ra rất nhiều vấn đề cho người dùng và hoạt động hàng ngày của công ty.

Trong trường hợp bạn không chắc chắn 100% đâu là ứng dụng phải được cho phép, bạn có thể sử dụng Applocker ở Audit Mode để xác định tất cả các ứng dụng.

Cách kích hoạt Applocker

Đăng nhập vào Domain Controller và mở Group Policy Management.

Nhấp chuột phải vào OU (Organization Unit) bạn muốn tạo Applocker Policy và chọn Create a GPO in this Domain and link it here.

Bảo mật ứng dụng bằng AppLocker
Chọn Create a GPO in this Domain and link it here

Nhập tên ưa thích và bấm OK.

Bây giờ, hãy nhấp vào policy mới và trong Security Filtering, hãy nhấp vào Add và chọn nhóm Domain Computers hoặc bất kỳ nhóm nào khác mà bạn đã tạo, bao gồm Servers hoặc Workstations mà bạn muốn triển khai nó.

Hãy nhớ đưa vào OU cụ thể liên kết Applocker GPO. Nếu không, bạn phải liên kết GPO trong OU bao gồm tất cả máy chủ hoặc máy trạm mà bạn muốn triển khai Applocker.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 2
Chọn nhóm

Nhấp chuột phải vào policy mới và chọn Edit.

Đi tới:

Computer Configuration\Windows Settings\Security Settings\Application Control Policies\Applocker

Mở rộng Applocker.

Nhấp chuột phải vào Executable Rules và chọn Create Default Rules.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 3
Chọn Create Default Rules

Các quy tắc mặc định là:

  • All files located in the Program Files folder (Tất cả các file nằm trong thư mục Program Files)
  • All files located in the Windows folder (Tất cả các file nằm trong thư mục Windows)
  • All files for the Builtin\Administrators Group (Tất cả các file cho Builtin\Administrators Group)

Cho đến khi làm quen với Applocker, bạn nên để nguyên các quy tắc này nếu không muốn phá vỡ mọi thứ.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 4
Các quy tắc mặc định

Nhấp chuột phải vào Applocker và chọn Properties.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 5
Chọn Properties

Tích vào Configured và chọn Audit Only.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 6
Chọn Audit Only

Chế độ Audit Only không cho phép hoặc từ chối chỉ ghi nhật ký trong Event Viewer.

Với cách này, bạn có thể xác định tất cả các ứng dụng phải chạy hoặc không trước khi bắt đầu thực thi các quy tắc Applocker.

Cách triển khai Applocker GPO

Đừng tạo bất kỳ quy tắc nào cho đến khi bạn xác minh được rằng Applocker hoạt động mà không gặp sự cố.

Bạn có thể triển khai Applocker trong máy chủ test cho đến khi làm quen và xác định được bất kỳ vấn đề nào.

Để chạy Applocker, bạn phải khởi động service Application Identity trong máy chủ mà bạn muốn triển khai.

Trong Applocker GPO, hãy vào:

Computer Configuration\Windows Settings\Security Setting\System Services

Tìm service Application Identity.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 7
Tìm service Application Identity

Nhấp chuột phải vào service và chọn Properties.

Chọn Define this policy Settings.

Chọn Automatic.

Bấm OK.

Bây giờ, khi bạn áp dụng Applocker GPO, service Application Identity sẽ bắt đầu.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 8
Khi áp dụng Applocker GPO, service Application Identity sẽ bắt đầu

Đăng nhập vào máy chủ mà bạn muốn triển khai Applocker, mở Command Prompt và chạy:

gpupdate /force

Khởi động lại máy chủ.

Cách xác minh rằng Applocker chạy trong máy chủ hoặc máy trạm

Sau khi máy chủ khởi động lại, cần phải xác minh rằng Applocker đã chạy:

Mở Event Viewer.

Mở rộng:

Application and Services Logs\Microsoft\Applocker

Nhấp vào Execute DLL.

Xác minh rằng Event ID 8001 tồn tại.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 9
Xác minh rằng Event ID 8001 tồn tại

Cách tạo quy tắc Applocker

Sau khi đã thấy ứng dụng nào chạy trong máy chủ, bây giờ, bạn có thể tạo các quy tắc Applocker mình cần.

Mở Applocker GPO.

Nhấp chuột phải vào Executable Rules và chọn Create New Rule.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 10
Chọn Create New Rule

Nhấn Next.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 11
Nhấn Next

Xác định xem bạn muốn cho phép hay từ chối và chọn nhóm thích hợp.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 12
Chọn nhóm thích hợp
Chọn cách bạn muốn xác định ứng dụng.
Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 13
Chọn cách bạn muốn xác định ứng dụng

Lưu ý rằng nếu bạn chọn Path vì Domain Controller không có ứng dụng để đi từ đường dẫn, bạn có thể làm như sau.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 14
Chọn Path

Mở Event Viewer trong máy chủ hoặc máy trạm chạy Applocker và sao chép/dán Path từ Logs.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 15
Sao chép đường dẫn

Bây giờ, hãy nhấp vào Next.

Nhấn Next một lần nữa trừ phi bạn muốn thêm một ngoại lệ.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 16
Thêm ngoại lệ

Nhập tên và nhấp vào Create.

Bảo mật ứng dụng bằng AppLocker - Ảnh minh hoạ 17
Nhấp vào Create

Vào máy chủ hoặc máy trạm và kiểm tra xem quy tắc có được áp dụng không như sau:

Mở rộng:

Application and Services Logs\Microsoft\Applocker

Nhấp vào Execute DLL.

Xác minh rằng Event ID 8002 với ứng dụng của bạn tồn tại

Applocker không khó để áp dụng. Điều khó khăn nhất là phải chuẩn bị tất cả các yêu cầu cần thiết trước khi áp dụng Applocker để tránh làm hỏng thứ gì đó trong môi trường của bạn.

Nguồn tin: quantrimang.com

Tổng số điểm của bài viết là: 1 trong 1 đánh giá

Xếp hạng: 1 - 1 phiếu bầu

  Ý kiến bạn đọc

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây