Monday, 28 November 2016

664. 8 "tinh chỉnh" Windows Group Policy bất kỳ Admin nào cũng nên biết ( CẤM SỬ DỤNG USB)

Windows Group Policy là công cụ khá mạnh được sử dụng để cấu hình nhiều khía cạnh của Windows. Hầu hết việc tinh chỉnh Windows Group Policy chỉ có Admin mới có thể thực hiện được. Nếu bạn là Admin của nhiều máy tính khác trong công ty hoặc bạn có nhiều tài khoản khác trên máy tính của mình, khi đó bạn nên tận dụng lợi thế của Windows Group Policy để kiểm soát việc sử dụng máy tính của người dùng khác.
Tinh chỉnh Windows Group Policy
Lưu ý:
Group Policy Editor không có sẵn trên phiên bản Home và phiên bản chuẩn của Windows. Bạn phải sử dụng phiên bản Professional hoặc Enterprise thì mới có thể sử dụng Group Policy.

Làm thế nào để truy cập Windows Group Policy Editor?

Mặc dù có nhiều cách để truy cập Windows Group Policy Editor, nhưng cách đơn giản nhất và nhanh nhất là sử dụng hộp thoại Run và cách này hoạt động tất cả phiên bản của Windows.
Để truy cập Windows Group Policy Editor bạn thực hiện theo các bước dưới đây:
Nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau đó nhập "gpedit.msc" vào đó rồi nhấn Enter để mở Group Policy Editor.
Cách để truy cập Windows Group Policy Editor
Một lưu ý là bạn phải đăng nhập bằng tài khoản Admin trước khi truy cập Group Policy. Tài khoản chuẩn không cho phép truy cập Group Policy.

1. Theo dõi đăng nhập tài khoản

Trên Group Policy bạn có thể "buộc" Windows "ghi lại" tất cả các đăng nhập thành công và thất bại trên máy tính từ bất kỳ tài khoản người dùng nào. Bạn có thể sử dụng các thông tin này để theo dõi xem có người lạ nào đăng nhập trái phép máy tính Windows của bạn hay không.
Trên cửa sổ Group Policy Editor, bạn điều hướng theo đường dẫn dưới đây:
Computer Configuration => Windows Settings => Security Settings => Local Policies => Audit Policy
Sau đó tìm và kích đúp chuột vào Audit logon events.
Lúc này trên màn hình xuất hiện hộp thoại Audit logon events Properties. Tại đây bạn đánh tích chọn SuccessFailure, sau đó click chọn OK và Windows sẽ bắt đầu "ghi lại" các đăng nhập được thực hiện trên máy tính của bạn.
Audit logon events Properties
Để xem các đăng nhập này bạn phải truy cập công cụ hữu ích khác của Windows - Windows Event Viewer. Để mở Windows Event Viewer, đầu tiên bạn nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau đó nhập eventvwr vào đó rồi nhấn Enter.
Tại đây bạn mở rộng mục Windows Logs, sau đó chọn tùy chọn Security. Tại khung ở giữa bạn sẽ nhìn thấy tất cả các sự kiện gần đây, nhiệm vụ của bạn là chỉ cần tìm các sự kiện đăng nhập thành công và thất bị tại danh sách này.
Các sự kiện đăng nhập thành công có "Event ID: 4624" và đăng nhập thất bại là "Event ID: 4625". Chỉ cần tìm các ID sự kiện để tìm các thông tin đăng nhập và xem chính xác ngày và thời gian đăng nhập.
Các sự kiện đăng nhập thành công
Kích đúp chuột vào các sự kiện này để hiển thị chi tiết tên tài khoản đăng nhập.
Kích đúp chuột vào các sự kiện này để hiển thị chi tiết tên tài khoản đăng nhập.

2. Chặn truy cập Control Panel

Control Panel được xem là “trung tâm” các thiết lập của Windows, bao gồm cả thiết lập bảo mật và thiết lập sử dụng. Tuy nhiên nếu bị rơi vào tay kẻ xấu bạn sẽ không thể đoán trước được điều gì sẽ xảy ra. Để ngăn chặn các trường hợp xấu có thể xảy ra, tốt nhất bạn nên chặn quyền truy cập Control Panel.
Để làm được điều này, trên cửa sổ Group Policy Editor bạn điều hướng theo key:
User Configuration => Administrative Templates => Control Panel
Chặn quyền truy cập Control Panel
Tại đây tìm và kích đúp vào tùy chọn có tên "Prohibit access to the Control Panel".
Trên cửa sổ Prohibit access to the Control Panel, click chọn tùy chọn Enable để chặn truy cập Control Panel. Bây giờ tùy chọn Control Panel sẽ được gỡ bỏ khỏi Start Menu và không một ai có thể truy cập Control Panel được nữa, thậm chí ngay cả khi mở Control Panel trên cửa sổ lệnh Run.
Prohibit access to the Control Panel
Nếu cố gắng mở Control Panel, trên màn hình sẽ hiển thị thông báo lỗi.

3. Ngăn chặn người dùng khác cài đặt phần mềm mới trên hệ thống

Sẽ phải mất một khoảng thời gian dài để có thể "dọn sạch" được lũ virus và các phần mềm độc hại đáng ghét tấn công trên máy tính của bạn khi cài đặt bất kỳ phần mềm nào. Do đó để đảm bảo an toàn cho hệ thống cũng như đảm bảo người dùng khác đăng nhập trái phép và cài đặt các phần mềm, chương trình có nhiễm các phần mềm độc hại trên máy tính của mình, bạn nên vô hiệu hóa Windows installer trên Group Policy đi.
Trên cửa sổ Group Policy bạn điều hướng theo key:
Computer Configuration => Administrative Templates => Windows Components => Windows Installer
Ngăn chặn người dùng khác cài đặt phần mềm mới trên hệ thống
Tại đây tìm và kích đúp chuột vào "Disable Windows Installer".
Trên cửa sổ Disable Windows Installer, chọn tùy chọn Enable và chọn Always từ Menu dropdown tại mục Options.
Trên cửa sổ Disable Windows Installer
Từ giờ người dùng khác không thể cài đặt bất kỳ phần mềm mới nào trên máy tính của bạn, mặc dù họ có thể tải và lưu trữ ứng dụng đó trên máy tính.

4. Vô hiệu hóa truy cập các thiết bị lưu trữ di động

Các thiết bị lưu trữ di động như USB, hoặc các thiết bị khác khá là hữu ích để sao chép và lưu trữ dữ liệu, nhưng tuy nhiên đây cũng có thể là một trong những “con đường” để virus tấn công máy tính của bạn.
Nếu ai đó vô tình (hay cố ý) kết nối một thiết bị lưu trữ có nhiễm virus với máy tính của bạn, virus có thể tấn công toàn bộ hệ thống máy tính của bạn và gây ra một số vấn đề nghiêm trọng trên máy tính.
Để chặn người khác kết nối các thiết bị lưu trữ di động trên máy tính của bạn, trên cửa sổ Group Policy bạn điều hướng theo key:
User Configuration => Administrative Templates => System > Removable Storage Access => Removable Disks: Deny read access
Vô hiệu hóa truy cập các thiết bị lưu trữ di động
Tại đây bạn tìm và kích đúp chuột vào "Removable Disks: Deny read access".
Trên cửa sổ Removable Disks: Deny read access, click chọn Enable để kích hoạt tùy chọn và máy tính của bạn sẽ không đọc bất kỳ dữ liệu từ thiết bị lưu trữ ngoài (chẳng hạn như ổ USB,…). Ngoài ra trên cửa sổ Group Policy có một tùy chọn bên dưới có tên  "Removable Disks: Deny write access". Bạn có thể kích hoạt tùy chọn nếu không muốn bất kỳ ai ghi (dán) dữ liệu vào thiết bị lưu trữ ngoài.
Trên cửa sổ Removable Disks: Deny read access

5. Ngăn một ứng dụng cụ thể đang chạy

Ngoài ra Group Policy còn cho phép người dùng tạo một danh sách các ứng dụng để ngăn chặn các hoạt động của các ứng dụng này.
Để làm được điều này, trên cửa sổ Group Policy bạn điều hướng theo key:
User Configuration => Administrative Templates => System => Don’t run specified Windows applications
Ngăn một ứng dụng cụ thể đang chạy
Tại đây bạn tìm và mở tùy chọn "Don’t run specified Windows applications".
Trên cửa sổ Don’t run specified Windows applications, click chọn Enable để kích hoạt tùy chọn và click chọn Show để bắt đầu quá trình tạo một danh sách ứng dụng mà bạn muốn chặn.
Trên cửa sổ Don’t run specified Windows applications
Để tạo danh sách, bạn phải nhập tên thực thi của ứng dụng kèm theo .exe để có thể chặn ứng dụng, chẳng hạn như CCleaner.exe, CleanMem.exe hoặc lol.launcher.exe.
Cách tốt nhất để tìm chính xác tên thực thi của ứng dụng là tìm thư mục ứng dụng trên Windows File Explorer, sau đó sao chép chính xác tên thực thi của chương trình (có phần đuôi mở rộng là ".exe").
Nhập tên thực thi vào danh sách rồi click chọn OK để bắt đầu quá trình chặn ứng dụng.
Nhập tên thực thi vào danh sách rồi click chọn OK để bắt đầu quá trình chặn ứng dụng.
Ngoài ra trên cửa sổ Group Policy còn có tùy chọn Run only specified Windows applications. Nếu muốn vô hiệu hóa tất cả các loại ứng dụng, trừ một số ứng dụng quan trọng, bạn có thể sử dụng tùy chọn để tạo một danh sách các ứng dụng mà bạn muốn chặn.

6. Vô hiệu hóa Command Prompt và Windows Registry Editor

Command Prompt trên Windows cho phép bạn nhập những câu lệnh để máy tính thực hiện lệnh đó và truy cập hệ thống. Tuy nhiên các hacker có thể dùng lệnh Command Prompt (CMD) để truy cập trái phép những dữ liệu nhạy cảm.
Cả Command Prompt và Windows Registry Editor là những công cụ có thể vô hiệu hóa mọi hoạt động trên máy tính Windows, đặc biệt là Windows Registry Editor.
Nếu muốn đảm bảo an toàn cũng như các vấn đề bảo mật trên máy tính của mình, bạn nên vô hiệu hóa Command Prompt và Windows Registry Editor đi.
Để làm được điều này, trên cửa sổ Group Policy bạn điều hướng theo đường dẫn:
User Configuration => Administrative Templates = > System
Tại đây bạn tìm và kích đúp chuột vào các tùy chọn có tên "Prevent access to the command prompt" và "Prevent access to registry editing tools". Sau đó trên cửa sổ Prevent access to the command prompt và cửa sổ Prevent access to registry editing tools bạn click chọn Disable để vô hiệu hóa các tùy chọn này đi.
Tại đây bạn tìm và kích đúp chuột vào các tùy chọn có tên "Prevent access to the command prompt" và "Prevent access to registry editing tools
Từ giờ người dùng khác không thể truy cập Command Prompt và Registry Editor nữa.

7. Ẩn phân vùng ổ đĩa từ My Computer

Nếu một ổ đĩa cụ thể nào đó trên máy tính của bạn có chứa dữ liệu nhạy cảm và bạn không muốn người dùng khác truy cập và đánh cắp các dữ liệu đó, khi đó bạn có thể ẩn ổ đĩa đó từ My Computer và người dùng khác không thể tìm được chúng.
Để làm được điều này, trên cửa sổ Group Policy bạn điều hướng theo đường dẫn:
User Configuration => Administrative Templates => Windows Components => Windows Explorer => Hide these specified drives in My Computer
Ẩn phân vùng ổ đĩa từ My Computer
Tại đây tìm và kích đúp chuột vào tùy chọn có tên "Hide these specified drives in My Computer".
Trên cửa sổ Hide these specified drives in My Computer click chọn Enable để kích hoạt tùy chọn.
Sau khi kích hoạt tùy chon, từ menu dropdown mục Options, chọn ổ mà bạn muốn ẩn. Cuối cùng click chọn OK để ẩn ổ đó trên hệ thống.
Trên cửa sổ Hide these specified drives in My Computer click chọn Enable để kích hoạt tùy chọn.

8. Tinh chỉnh Start Menu và thanh Taskbar

Group Policy cung cấp cho bạn hàng tá các tinh chỉnh cho Start Menu và thanh Taskbar theo ý muốn của bạn. Các tinh chỉnh này có sẵn cho cả Admin và người dùng thường.
Để tinh chỉnh Start Menu và thanh Taskbar, trên cửa sổ Group Policy Editor bạn điều hướng theo đường dẫn:
User Configuration => Administrative Templates => Start Menu and Taskbar
Tại đây bạn sẽ tìm thấy tất cả các tinh chỉnh kèm theo các giải thích.
Các tinh chỉnh khá là dễ hiểu. Bên cạnh đó Windows còn cung cấp mô tả chi tiết cho mỗi tinh chỉnh.
Bạn có thể thực hiện một số thao tác như thay đổi chức năng nút Power trên Start Menu, ngăn người dùng ghim chương trình trên thanh Taskbar, hạn chế tìm kiếm trên tùy chọn Search, ẩn thông báo trên khay hệ thống, ẩn biểu tượng pin, ngăn việc thay đổi thanh Taskbar và thiết lập Start Menu, ngăn người dùng sử dụng các tùy chọn Nguồn (tắt máy, chế độ ngủ đông (hibernate),…), gỡ bỏ tùy chọn Run khỏi Start Menu,….
Tinh chỉnh Start Menu và thanh Taskbar

No comments:

Post a Comment

Ghi một nhận xét ( bỏ dấu =)
- Tô đậm: "câu muốn tô đậm"
- Chữ nghiêng: " câu muốn in nghiêng "
- Chèn link: "text"
- Chèn hình: "[img]link hình muốn chèn[/img]"
- Chèn video: "[youtube]link video cần chèn[/youtube]"

679.0 Hướng dẫn cài đặt AD RMS server ( Active Directory Rights Management Services) có trong Windows Server 2012.

Nguồn: https://mdungblog.wordpress.com/2018/06/21/simple-guide-huong-dan-cai-dat-ad-rms-windows-server-2012-r2/   Hôm nay mình xin giới thiệ...