14 "tinh chỉnh" Windows Group Policy bất kỳ Admin nào cũng nên biết

Để kiểm soát việc sử dụng máy tính của người dùng khác

Windows Group Policy là công cụ khá mạnh được sử dụng để cấu hình nhiều khía cạnh của Windows. Hầu hết việc tinh chỉnh Windows Group Policy chỉ có Admin mới có thể thực hiện được. Nếu bạn là Admin của nhiều máy tính khác trong công ty hoặc bạn có nhiều tài khoản khác trên máy tính của mình, khi đó bạn nên tận dụng lợi thế của Windows Group Policy để kiểm soát việc sử dụng máy tính của người dùng khác.

Tinh chỉnh Windows Group Policy

Lưu ý:

Group Policy Editor không có sẵn trên phiên bản Home và phiên bản chuẩn của Windows. Bạn phải sử dụng phiên bản Professional hoặc Enterprise thì mới có thể sử dụng Group Policy.

Làm thế nào để truy cập Windows Group Policy Editor?

Mặc dù có nhiều cách để truy cập Windows Group Policy Editor, nhưng cách đơn giản nhất và nhanh nhất là sử dụng hộp thoại Run và cách này hoạt động tất cả phiên bản của Windows.

Để truy cập Windows Group Policy Editor bạn thực hiện theo các bước dưới đây:

Nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau đó nhập "gpedit.msc" vào đó rồi nhấn Enter để mở Group Policy Editor.

Cách để truy cập Windows Group Policy Editor

Một lưu ý là bạn phải đăng nhập bằng tài khoản Admin trước khi truy cập Group Policy. Tài khoản chuẩn không cho phép truy cập Group Policy.

Những điều có thể làm với Group Policy

1. Theo dõi đăng nhập tài khoản

Trên Group Policy bạn có thể "buộc" Windows "ghi lại" tất cả các đăng nhập thành công và thất bại trên máy tính từ bất kỳ tài khoản người dùng nào. Bạn có thể sử dụng các thông tin này để theo dõi xem có người lạ nào đăng nhập trái phép máy tính Windows của bạn hay không.

Trên cửa sổ Group Policy Editor, bạn điều hướng theo đường dẫn dưới đây:

Computer Configuration => Windows Settings => Security Settings => Local Policies => Audit Policy

Sau đó tìm và kích đúp chuột vào Audit logon events.

Lúc này trên màn hình xuất hiện hộp thoại Audit logon events Properties. Tại đây bạn đánh tích chọn SuccessFailure, sau đó click chọn OK và Windows sẽ bắt đầu "ghi lại" các đăng nhập được thực hiện trên máy tính của bạn.

Audit logon events Properties

Để xem các đăng nhập này bạn phải truy cập công cụ hữu ích khác của Windows - Windows Event Viewer. Để mở Windows Event Viewer, đầu tiên bạn nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau đó nhập eventvwr vào đó rồi nhấn Enter.

Tại đây bạn mở rộng mục Windows Logs, sau đó chọn tùy chọn Security. Tại khung ở giữa bạn sẽ nhìn thấy tất cả các sự kiện gần đây, nhiệm vụ của bạn là chỉ cần tìm các sự kiện đăng nhập thành công và thất bị tại danh sách này.

Các sự kiện đăng nhập thành công có "Event ID: 4624" và đăng nhập thất bại là "Event ID: 4625". Chỉ cần tìm các ID sự kiện để tìm các thông tin đăng nhập và xem chính xác ngày và thời gian đăng nhập.

Các sự kiện đăng nhập thành công

Kích đúp chuột vào các sự kiện này để hiển thị chi tiết tên tài khoản đăng nhập.

Kích đúp chuột vào các sự kiện này để hiển thị chi tiết tên tài khoản đăng nhập.

2. Chặn truy cập Control Panel

Control Panel được xem là “trung tâm” các thiết lập của Windows, bao gồm cả thiết lập bảo mật và thiết lập sử dụng. Tuy nhiên nếu bị rơi vào tay kẻ xấu bạn sẽ không thể đoán trước được điều gì sẽ xảy ra. Để ngăn chặn các trường hợp xấu có thể xảy ra, tốt nhất bạn nên chặn quyền truy cập Control Panel.

Để làm được điều này, trên cửa sổ Group Policy Editor bạn điều hướng theo key:

User Configuration => Administrative Templates => Control Panel

Chặn quyền truy cập Control Panel

Tại đây tìm và kích đúp vào tùy chọn có tên "Prohibit access to the Control Panel".

Trên cửa sổ Prohibit access to the Control Panel, click chọn tùy chọn Enable để chặn truy cập Control Panel. Bây giờ tùy chọn Control Panel sẽ được gỡ bỏ khỏi Start Menu và không một ai có thể truy cập Control Panel được nữa, thậm chí ngay cả khi mở Control Panel trên cửa sổ lệnh Run.

Prohibit access to the Control Panel

Nếu cố gắng mở Control Panel, trên màn hình sẽ hiển thị thông báo lỗi.

3. Ngăn chặn người dùng khác cài đặt phần mềm mới trên hệ thống

Sẽ phải mất một khoảng thời gian dài để có thể "dọn sạch" được lũ virus và các phần mềm độc hại đáng ghét tấn công trên máy tính của bạn khi cài đặt bất kỳ phần mềm nào. Do đó để đảm bảo an toàn cho hệ thống cũng như đảm bảo người dùng khác đăng nhập trái phép và cài đặt các phần mềm, chương trình có nhiễm các phần mềm độc hại trên máy tính của mình, bạn nên vô hiệu hóa Windows installer trên Group Policy đi.

Trên cửa sổ Group Policy bạn điều hướng theo key:

Computer Configuration => Administrative Templates => Windows Components => Windows Installer

Ngăn chặn người dùng khác cài đặt phần mềm mới trên hệ thống

Tại đây tìm và kích đúp chuột vào "Disable Windows Installer".

Trên cửa sổ Disable Windows Installer, chọn tùy chọn Enable và chọn Always từ Menu dropdown tại mục Options.

Trên cửa sổ Disable Windows Installer

Từ giờ người dùng khác không thể cài đặt bất kỳ phần mềm mới nào trên máy tính của bạn, mặc dù họ có thể tải và lưu trữ ứng dụng đó trên máy tính.

4. Vô hiệu hóa truy cập các thiết bị lưu trữ di động

Các thiết bị lưu trữ di động như USB, hoặc các thiết bị khác khá là hữu ích để sao chép và lưu trữ dữ liệu, nhưng tuy nhiên đây cũng có thể là một trong những “con đường” để virus tấn công máy tính của bạn.

Nếu ai đó vô tình (hay cố ý) kết nối một thiết bị lưu trữ có nhiễm virus với máy tính của bạn, virus có thể tấn công toàn bộ hệ thống máy tính của bạn và gây ra một số vấn đề nghiêm trọng trên máy tính.

Để chặn người khác kết nối các thiết bị lưu trữ di động trên máy tính của bạn, trên cửa sổ Group Policy bạn điều hướng theo key:

User Configuration => Administrative Templates => System > Removable Storage Access => Removable Disks: Deny read access

Vô hiệu hóa truy cập các thiết bị lưu trữ di động

Tại đây bạn tìm và kích đúp chuột vào "Removable Disks: Deny read access".

Trên cửa sổ Removable Disks: Deny read access, click chọn Enable để kích hoạt tùy chọn và máy tính của bạn sẽ không đọc bất kỳ dữ liệu từ thiết bị lưu trữ ngoài (chẳng hạn như ổ USB,…). Ngoài ra trên cửa sổ Group Policy có một tùy chọn bên dưới có tên "Removable Disks: Deny write access". Bạn có thể kích hoạt tùy chọn nếu không muốn bất kỳ ai ghi (dán) dữ liệu vào thiết bị lưu trữ ngoài.

Trên cửa sổ Removable Disks: Deny read access

5. Ngăn một ứng dụng cụ thể đang chạy

Ngoài ra Group Policy còn cho phép người dùng tạo một danh sách các ứng dụng để ngăn chặn các hoạt động của các ứng dụng này.

Để làm được điều này, trên cửa sổ Group Policy bạn điều hướng theo key:

User Configuration => Administrative Templates => System => Don’t run specified Windows applications

Ngăn một ứng dụng cụ thể đang chạy

Tại đây bạn tìm và mở tùy chọn "Don’t run specified Windows applications".

Trên cửa sổ Don’t run specified Windows applications, click chọn Enable để kích hoạt tùy chọn và click chọn Show để bắt đầu quá trình tạo một danh sách ứng dụng mà bạn muốn chặn.

Trên cửa sổ Don’t run specified Windows applications

Để tạo danh sách, bạn phải nhập tên thực thi của ứng dụng kèm theo .exe để có thể chặn ứng dụng, chẳng hạn như CCleaner.exe, CleanMem.exe hoặc lol.launcher.exe.

Cách tốt nhất để tìm chính xác tên thực thi của ứng dụng là tìm thư mục ứng dụng trên Windows File Explorer, sau đó sao chép chính xác tên thực thi của chương trình (có phần đuôi mở rộng là ".exe").

Nhập tên thực thi vào danh sách rồi click chọn OK để bắt đầu quá trình chặn ứng dụng.

Nhập tên thực thi vào danh sách rồi click chọn OK để bắt đầu quá trình chặn ứng dụng.

Ngoài ra trên cửa sổ Group Policy còn có tùy chọn Run only specified Windows applications. Nếu muốn vô hiệu hóa tất cả các loại ứng dụng, trừ một số ứng dụng quan trọng, bạn có thể sử dụng tùy chọn để tạo một danh sách các ứng dụng mà bạn muốn chặn.

6. Vô hiệu hóa Command Prompt và Windows Registry Editor

Command Prompt trên Windows cho phép bạn nhập những câu lệnh để máy tính thực hiện lệnh đó và truy cập hệ thống. Tuy nhiên các hacker có thể dùng lệnh Command Prompt (CMD) để truy cập trái phép những dữ liệu nhạy cảm.

Cả Command Prompt và Windows Registry Editor là những công cụ có thể vô hiệu hóa mọi hoạt động trên máy tính Windows, đặc biệt là Windows Registry Editor.

Nếu muốn đảm bảo an toàn cũng như các vấn đề bảo mật trên máy tính của mình, bạn nên vô hiệu hóa Command Prompt và Windows Registry Editor đi.

Để làm được điều này, trên cửa sổ Group Policy bạn điều hướng theo đường dẫn:

User Configuration => Administrative Templates = > System

Tại đây bạn tìm và kích đúp chuột vào các tùy chọn có tên "Prevent access to the command prompt" và "Prevent access to registry editing tools". Sau đó trên cửa sổ Prevent access to the command prompt và cửa sổ Prevent access to registry editing tools bạn click chọn Disable để vô hiệu hóa các tùy chọn này đi.

Tại đây bạn tìm và kích đúp chuột vào các tùy chọn có tên "Prevent access to the command prompt" và "Prevent access to registry editing tools

Từ giờ người dùng khác không thể truy cập Command Prompt và Registry Editor nữa.

7. Ẩn phân vùng ổ đĩa từ My Computer

Nếu một ổ đĩa cụ thể nào đó trên máy tính của bạn có chứa dữ liệu nhạy cảm và bạn không muốn người dùng khác truy cập và đánh cắp các dữ liệu đó, khi đó bạn có thể ẩn ổ đĩa đó từ My Computer và người dùng khác không thể tìm được chúng.

Để làm được điều này, trên cửa sổ Group Policy bạn điều hướng theo đường dẫn:

User Configuration => Administrative Templates => Windows Components => Windows Explorer => Hide these specified drives in My Computer

Ẩn phân vùng ổ đĩa từ My Computer

Tại đây tìm và kích đúp chuột vào tùy chọn có tên "Hide these specified drives in My Computer".

Trên cửa sổ Hide these specified drives in My Computer click chọn Enable để kích hoạt tùy chọn.

Sau khi kích hoạt tùy chon, từ menu dropdown mục Options, chọn ổ mà bạn muốn ẩn. Cuối cùng click chọn OK để ẩn ổ đó trên hệ thống.

Trên cửa sổ Hide these specified drives in My Computer click chọn Enable để kích hoạt tùy chọn.

8. Tinh chỉnh Start Menu và thanh Taskbar

Group Policy cung cấp cho bạn hàng tá các tinh chỉnh cho Start Menu và thanh Taskbar theo ý muốn của bạn. Các tinh chỉnh này có sẵn cho cả Admin và người dùng thường.

Để tinh chỉnh Start Menu và thanh Taskbar, trên cửa sổ Group Policy Editor bạn điều hướng theo đường dẫn:

User Configuration => Administrative Templates => Start Menu and Taskbar

Tại đây bạn sẽ tìm thấy tất cả các tinh chỉnh kèm theo các giải thích.

Các tinh chỉnh khá là dễ hiểu. Bên cạnh đó Windows còn cung cấp mô tả chi tiết cho mỗi tinh chỉnh.

Bạn có thể thực hiện một số thao tác như thay đổi chức năng nút Power trên Start Menu, ngăn người dùng ghim chương trình trên thanh Taskbar, hạn chế tìm kiếm trên tùy chọn Search, ẩn thông báo trên khay hệ thống, ẩn biểu tượng pin, ngăn việc thay đổi thanh Taskbar và thiết lập Start Menu, ngăn người dùng sử dụng các tùy chọn Nguồn (tắt máy, chế độ ngủ đông (hibernate),…), gỡ bỏ tùy chọn Run khỏi Start Menu,….

Tinh chỉnh Start Menu và thanh Taskbar

9. Vô hiệu hóa việc buộc khởi động lại

Mặc dù bạn có thể kích hoạt một số tùy chọn để trì hoãn, nhưng Windows 10 cuối cùng sẽ tự khởi động lại máy tính, nếu có các bản cập nhật đang chờ xử lý. Bạn có thể lấy lại quyền kiểm soát bằng cách kích hoạt một mục Group Policy.

Khi bạn thực hiện vô hiệu hóa việc buộc khởi động lại, Windows sẽ chỉ áp dụng các bản cập nhật đang chờ xử lý khi bạn tự khởi động lại.

Bạn sẽ tìm thấy nó ở đây:

Computer Configuration > Administrator Templates > Windows Components > Windows Update > No auto-restart with logged on users for scheduled automatic update installations

10. Vô hiệu hóa cập nhật driver tự động

Vô hiệu hóa cập nhật driver tự động
Vô hiệu hóa cập nhật driver tự động

Bạn có biết rằng Windows 10 cũng cập nhật driver thiết bị mà không có sự cho phép rõ ràng của bạn không? Trong nhiều trường hợp, điều này rất hữu ích, vì nó nhằm mục đích giữ cho hệ thống cập nhật nhất có thể.

Nhưng nếu bạn chạy một driver tùy chỉnh hoặc có lẽ driver mới nhất cho một thành phần phần cứng nhất định có lỗi khiến hệ thống của bạn gặp sự cố thì sao? Đây là lúc việc cập nhật driver tự động có hại hơn là hữu ích.

Để vô hiệu hóa cập nhật driver tự động, hãy kích hoạt:

Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions > Prevent installation of devices that match any of these device IDs

Sau khi kích hoạt, bạn sẽ phải cung cấp ID phần cứng cho các thiết bị mà bạn không muốn cập nhật driver tự động. Bạn có được những thứ này thông qua Device Manager, phải mất một vài bước.

11. Ẩn Balloon và Toast Notification

Thông báo trên màn hình có thể hữu ích, nhưng chỉ khi chúng cung cấp điều gì đó có giá trị. Hầu hết các thông báo mà bạn thấy đều không đáng đọc và thường làm bạn mất tập trung.

Kích hoạt giá trị này để tắt thông báo dạng bong bóng (balloon notification) trong Windows:

User Configuration > Administrative Templates > Start Menu and Taskbar > Turn off all balloon notifications

Bắt đầu với Windows 8, hầu hết các thông báo hệ thống chuyển sang dạng toast notification. Do đó, bạn cũng nên vô hiệu hóa chúng:

User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications > Turn off toast notification

Đây là một cách dễ dàng để ngăn chặn sự phiền nhiễu từ các thông báo.

12. Xóa OneDrive

OneDrive được đưa vào Windows 10. Mặc dù bạn có thể gỡ cài đặt nó như bất kỳ ứng dụng nào khác, nhưng cũng có thể ngăn nó chạy bằng cách sử dụng một mục Group Policy.

Vô hiệu hóa OneDrive bằng cách kích hoạt:

Computer Configuration > Administrative Templates > Windows Components > OneDrive > Prevent the usage of OneDrive for file storage

Điều này sẽ loại bỏ khả năng truy cập OneDrive từ bất kỳ đâu trên hệ thống. Nó cũng xóa shortcut OneDrive trong thanh bên File Explorer.

13. Tắt Windows Defender

Windows Defender tự quản lý, vì vậy nó sẽ ngừng chạy nếu bạn cài đặt ứng dụng diệt virus của bên thứ ba. Nếu công cụ này không hoạt động đúng vì một số lý do hoặc bạn muốn vô hiệu hóa nó hoàn toàn, bạn có thể kích hoạt mục Group Policy này:

Computer Configuration > Administrative Templates > Windows Components > Windows Defender > Turn off Windows Defender

Mặc dù có thể dễ dàng vô hiệu hóa, nhưng Windows Defender là một giải pháp bảo mật đủ tốt cho hầu hết mọi người. Đảm bảo thay thế Windows Defender bằng một chương trình diệt virus cho Windows đáng tin cậy khác, nếu bạn gỡ bỏ nó.

14. Chạy script khi đăng nhập/khởi động/tắt máy

Chạy script khi đăng nhập/khởi động/tắt máy
Chạy script khi đăng nhập/khởi động/tắt máy

Mẹo cuối cùng nâng cao hơn một chút, vì vậy có lẽ nó sẽ không hữu ích lắm, trừ khi bạn có thể thoải mái với các file batch và/hoặc việc viết các script PowerShell. Nếu thấy ổn, thì bạn thực sự có thể chạy các script đã nói tự động với Group Policy.

Để thiết lập script khởi động/tắt máy, hãy truy cập:

Computer Configuration > Windows Settings > Scripts (Startup/Shutdown)

Để thiết lập một script đăng nhập hoặc đăng xuất, hãy vào đây:

User Configuration > Windows Settings > Scripts (Logon/Logoff)

Làm điều này cho phép bạn chọn các file script thực tế và cung cấp các tham số cho những script đó, do vậy, nó khá linh hoạt. Bạn cũng có thể gán nhiều script cho mỗi sự kiện kích hoạt.

Lưu ý rằng điều này không giống như bắt đầu một chương trình cụ thể khi khởi động.

Tham khảo thêm một số bài viết dưới đây:

Chúc các bạn thành công!

Thứ Sáu, 10/04/2020 08:05
3,711 👨 53.063
0 Bình luận
Sắp xếp theo
    ❖ Giải pháp bảo mật