Trong môi trường doanh nghiệp, việc kiểm soát người dùng là vô cùng cần thiết nhằm tránh rủi ro về vấn đề bảo mật. Một vấn đề lớn đó là người dùng tự ý tải và cài đặt phần mềm lên máy tính, việc này tiềm ẩn rất nhiều rùi ro.

Thông thường với người dùng (user) họ sẽ không có quyền cài đặt phần mềm lên máy tính nếu không có sự cho phép của người quản trị hệ thống. Tuy nhiên có rất nhiều app không cần quyền vẫn có thể chạy được như zalo, hoặc 1 phần mềm vpn nổi tiếng để vượt qua tường lửa đó là UltraSurf, đây là một tool chạy trực tiếp không yêu cầu quyền adminstrator.

Trong bài viết này mình sẽ hướng dẫn các bạn cấm các phần mềm này bằng GPO

Hướng dẫn cấm phần mềm bằng GPO

lưu ý bài viết này thực hiện trong môi trường Domain, không áp dụng được với môi trường workgroup

Cách 1: Block bằng file name

1. chạy REGEDIT
2. Mở rộng USER CONFIGURATION > POLICIES > ADMINISTRATIVE TEMPLATES > SYSTEM
3. Double click vào DON’T TUN SPECIFIED WINDOWS APPLICATIONS
4. Click ENABLE
5. Click the SHOW button
6. Nhập vào tên file name bạn cần block (ví dụ zalo.exe)

Lưu ý:

Cách này chỉ áp dụng trường hợp nếu đổi tên file thực thi, phần mềm sẽ không chạy, ví dụ ở đây là zalo, với zalo sau khi cài đặt, nếu bạn sửa tên zalo.exe bằng tên khác thì nó sẽ không hoạt động.

Chính sách này chỉ áp dụng với người dùng( USER CONFIGURATION), không áp dụng cho máy tính (COMPUTER CONFIGURATION)

Cài đặt chính sách này chỉ ngăn người dùng chạy các chương trình được khởi động bởi quá trình File Explorer. Nó không ngăn người dùng chạy các chương trình, chẳng hạn như Trình quản lý tác vụ, được khởi động bởi quy trình hệ thống hoặc bởi các quy trình khác. Ngoài ra, nếu người dùng có quyền truy cập vào dấu nhắc lệnh (Cmd.exe), cài đặt chính sách này không ngăn họ khởi động chương trình trong cửa sổ lệnh mặc dù họ sẽ bị ngăn chặn làm như vậy bằng cách sử dụng File Explorer.

Cách 2: Cấm phần mềm bằng Path, Hash hoặc Certificate

Microsoft đã giới thiệu Chính sách hạn chế phần mềm trong Windows Server 2008 và đã nâng cao nó kể từ đó. Bạn có thể chặn các chương trình chạy bằng cách:

Path- Đường dẫn (có thể chỉ là một tên tệp)
Hash
Zone
Certificate – Chứng chỉ

Chính sách áp dụng cho cả máy tính và người dùng, để bạn có thể khóa người dùng hoặc máy tính. Trong ví dụ dưới đây, chúng tôi hướng dẫn cách khóa máy tính chạy SLACK.EXE.\

1. Mở Group Policy Management Editor
2. Mở rộng  theo POLICIES > WINDOWS SETTINGS > SECURITY SETTINGS
3. Chuột phải SOFTWARE RESTRICTION POLICIES và chọn CREATE SOFTWARE PROTECTION POLICIES

Ở đây có 3 mức độ bảo vệ

1. DISALLOWED: Phần mềm sẽ không chạy, bất kể quyền truy cập của người dùng
2. BASIC USER: Cho phép các chương trình chỉ chạy với tư cách người dùng tiêu chuẩn. Loại bỏ khả năng RUN AS ADMINISTRATOR
3. UNRESTRICTED: Không có thay đổi nào được thực hiện bởi chính sách này – Quyền truy cập phần mềm được xác định bởi quyền truy cập tệp của người dùng

1 – Cấm bằng Path

1. mở REGEDIT
2. Mở rộng theo USER CONFIGURATION (or COMPUTER CONFIGURATION > POLICIES > WINDOWS SETTINGS > SOFTWARE RESTRICTIONS
3. Right click on SOFTWARE RESTRICTIONS and select CREATE SOFTWARE RESTRICTION POLICIES
4. Right click on ADDITIONAL POLICIES and select NEW PATH RULE
5. Nhập tên tệp hoặc đường dẫn đầy đủ với tệp bạn muốn chặn
   • Note các biến hệ thống như %windir%, %ProgramFiles(x86)% and %userprofile% hoạt động ở đây như bạn có thể thấy trong ví dụ được hiển thị ở trên
6. Đảm bảo SECURITY LEVEL là chọn DISALLOWED
7. Click OK

Mở CMD chạy lênh sau để áp dụng chính sách

GPUPDATE / FORCE

hoặc bạn có thể khởi động lại máy tính’

Chạy lệnh sau để xem kết quả Policy đã được áp dụng chưa

GPRESULT -R

2 – Cấm bằng Hash

Để chặn phần mềm bằng hàm băm của nó, chỉ cần làm theo hướng dẫn bên trên nhưng trong Tại tùy chọn “NEW HASH RULE”, bạn chỉ cần nhấp vào nút BROWSE, tìm tệp được đề cập và Windows sẽ xác định hàm băm (hash) cho bạn.

Note: Vấn đề với phương pháp này là mỗi khi phần mềm bạn đang chặn được cập nhật, dù nhỏ đến đâu, nó sẽ có một hàm băm mới. Do đó bạn lại phải cập nhật lại file mới.

3 – Cấm bằng Certificate

Để chặn phần mềm bằng chứng chỉ của nó, hãy làm theo hướng dẫn bên trên nhưng tại NEW CERTIFICATE RULE, bạn chỉ cần nhấp vào nút BROWSE, tìm tệp chứng chỉ .CER được đề cập. Nếu bạn không biết cách lấy chứng chỉ từ tệp, hãy nhấp vào ĐÂY để xem hướng dẫn.

Note: Nếu bạn sử dụng tính năng chặn chứng chỉ, bạn cũng sẽ thấy một cảnh báo cho bạn biết rằng điều này có thể ảnh hưởng đáng kể đến hiệu suất. Chúng tôi chưa bao giờ sử dụng cách này vì vậy chúng tôi không thể nói mức độ nghiêm trọng về hiệu suất, nhưng nếu Microsoft đang cảnh báo chúng tôi thì đó có thể là một vấn đề lớn.