Trong môi trường doanh nghiệp, việc kiểm soát người dùng là vô cùng cần thiết nhằm tránh rủi ro về vấn đề bảo mật. Một vấn đề lớn đó là người dùng tự ý tải và cài đặt phần mềm lên máy tính, việc này tiềm ẩn rất nhiều rùi ro.

Thông thường với người dùng (user) họ sẽ không có quyền cài đặt phần mềm lên máy tính nếu không có sự cho phép của người quản trị hệ thống. Tuy nhiên có rất nhiều app không cần quyền vẫn có thể chạy được như zalo, hoặc 1 phần mềm vpn nổi tiếng để vượt qua tường lửa đó là UltraSurf, đây là một tool chạy trực tiếp không yêu cầu quyền adminstrator.

Cấm các phần mềm này bằng GPO với file name

1. Chạy REGEDIT
2. Mở rộng USER CONFIGURATION > POLICIES > ADMINISTRATIVE TEMPLATES > SYSTEM
3. Double click vào DON’T TUN SPECIFIED WINDOWS APPLICATIONS
4. Click ENABLE
5. Click the SHOW button
6. Nhập vào tên file name bạn cần block (ví dụ slack.exe)

Ghi chú: Cài đặt chính sách này chỉ ngăn người dùng chạy các chương trình được khởi động bởi quá trình File Explorer. Nó không ngăn người dùng chạy các chương trình, chẳng hạn như Trình quản lý tác vụ, được khởi động bởi quy trình hệ thống hoặc bởi các quy trình khác. Ngoài ra, nếu người dùng có quyền truy cập vào dấu nhắc lệnh (Cmd.exe), cài đặt chính sách này không ngăn họ khởi động chương trình trong cửa sổ lệnh mặc dù họ sẽ bị ngăn chặn làm như vậy bằng cách sử dụng File Explorer.

Cấm phần mềm bằng Path hoặc Hash

Microsoft đã giới thiệu Chính sách hạn chế phần mềm từ Windows Server 2008 và đã nâng cao nó kể từ đó. Bạn có thể chặn các chương trình chạy bằng cách:

• Path- Đường dẫn (có thể chỉ là một tên tệp)
• Hash
• Zone
• Certificate – Chứng chỉ

Chính sách áp dụng cho cả máy tính và người dùng, để bạn có thể khóa người dùng hoặc máy tính. Trong ví dụ dưới đây, chúng tôi hướng dẫn cách khóa máy tính chạy SLACK.EXE.

1. Mở Group Policy Management Editor
2. Mở rộng  theo POLICIES > WINDOWS SETTINGS > SECURITY SETTINGS
3. Chuột phải SOFTWARE RESTRICTION POLICIES và chọn CREATE SOFTWARE PROTECTION POLICIES

Ở đây có 3 mức độ bảo vệ

1. DISALLOWED: Phần mềm sẽ không chạy, bất kể quyền truy cập của người dùng
2. BASIC USER: Cho phép các chương trình chỉ chạy với tư cách người dùng tiêu chuẩn. Loại bỏ khả năng RUN AS ADMINISTRATOR
3. UNRESTRICTED: Không có thay đổi nào được thực hiện bởi chính sách này – Quyền truy cập phần mềm được xác định bởi quyền truy cập tệp của người dùng

Cấm bằng Path

1. Mở REGEDIT
2. Mở rộng theo USER CONFIGURATION (hoặc COMPUTER CONFIGURATION > POLICIES > WINDOWS SETTINGS > SOFTWARE RESTRICTIONS
3. Chuột phải SOFTWARE RESTRICTIONS và chọn CREATE SOFTWARE RESTRICTION POLICIES
4. Chuột phải ADDITIONAL POLICIES và chọn NEW PATH RULE
5. Nhập tên tệp hoặc đường dẫn đầy đủ với tệp bạn muốn chặn
   • Note các biến hệ thống như %windir%, %ProgramFiles(x86)% and %userprofile% hoạt động ở đây như bạn có thể thấy trong ví dụ được hiển thị ở trên
6. Đảm bảo SECURITY LEVEL là chọn DISALLOWED
7. Click OK
8. Mở CMD chạy lênh sau để áp dụng chính sách: GPUPDATE / FORCE

Cấm bằng Hash

Để chặn phần mềm bằng hàm băm của nó, chỉ cần làm theo hướng dẫn bên trên nhưng trong Tại tùy chọn “NEW HASH RULE”, bạn chỉ cần nhấp vào nút BROWSE, tìm tệp được đề cập và Windows sẽ xác định hàm băm (hash) cho bạn.

Note: Vấn đề với phương pháp này là mỗi khi phần mềm bạn đang chặn được cập nhật, dù nhỏ đến đâu, nó sẽ có một hàm băm mới. Do đó bạn lại phải cập nhật lại file mới.