14 “tinh chỉnh” Windows Group Policy bất kỳ Admin nào cũng nên biết

Windows Group Policy là công cụ khá mạnh được sử dụng để cấu hình nhiều góc cạnh của Windows. Hầu hết việc tinh chỉnh Windows Group Policy chỉ có Admin mới có thể thi hành được. Nếu bạn là Admin của nhiều máy tính khác trong cửa hàng hoặc bạn có nhiều tài khoản khác trên máy tính của mình, khi đấy bạn nên tận dụng lợi thế của Windows Group Policy để khống chế việc sử dụng máy tính của người sử dụng khác.

Lưu ý:

Group Policy Editor không có sẵn trên phiên bản Home và phiên bản chuẩn của Windows. Bạn phải sử dụng phiên bản Professional hoặc Enterprise thì mới cũng có thể có thể sử dụng Group Policy.

Làm thế nào để truy cập Windows Group Policy Editor?

Mặc dù có nhiều cách để truy cập Windows Group Policy Editor , tuy nhiên cách dễ dàng nhất và nhanh đặc biệt là sử dụng hộp thoại Run và phương pháp này hoạt động mọi thứ phiên bản của Windows.

Để truy cập Windows Group Policy Editor bạn thi hành theo một số bước dưới đây:

Nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau đó nhập ” gpedit.msc ” vào chỗ này rồi nhấn Enter để mở Group Policy Editor.

Một lưu ý là bạn cần đăng nhập bằng tài khoản Admin trước lúc truy cập Group Policy. Tài khoản chuẩn không cấp phép truy cập Group Policy.

Những điều cũng đều có thể làm với Group Policy

1. Theo dõi đăng nhập tài khoản

Trên Group Policy bạn có thể “buộc” Windows ” ghi lại” mọi thứ các đăng nhập thành đạt và thất bại trên máy tính từ bất kỳ tài khoản người dùng nào. Bạn có thể sử dụng các tin tức này để theo dõi xem có người lạ nào đăng nhập trái phép máy tính Windows của bạn hay không.

Trên cửa sổ Group Policy Editor, bạn điều phối theo đường dẫn dưới đây:

Computer Configuration => Windows Settings => Security Settings => Local Policies => Audit Policy

Sau đó tìm và kích đúp chuột vào Audit logon events .

Lúc này trên màn hình xuất hiện hộp thoại Audit logon events Properties. Tại đây bạn đánh tích chọn Success và Failure , sau đó click chọn OK và Windows sẽ bắt đầu “ghi lại” các đăng nhập được thực hiện trên máy tính của bạn.

Để xem các đăng nhập này bạn cần truy cập công cụ hữu ích khác của Windows – Windows Event Viewer . Để mở Windows Event Viewer, trước mắt bạn nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau đó nhập eventvwr vào đó rồi nhấn Enter.

Tại đây bạn mở rộng mục Windows Logs , sau đó chọn tùy chọn Security . Tại khung ở chính giữa bạn sẽ nhìn thấy mọi thứ các sự kiện gần đây, nhiệm vụ của bạn là chỉ cần tìm các sự kiện đăng nhập thành công và thất bị tại danh sách này.

Các buổi lễ đăng nhập thành đạt có “Event ID: 4624 ” và đăng nhập thất bại là ” Event ID: 4625 “. Chỉ cần tìm các ID buổi lễ để tìm các thông tin đăng nhập và xem chính xác ngày và thời gian đăng nhập.

Kích đúp chuột vào các sự kiện này để hiển thị chi tiết tên tài khoản đăng nhập.

2. Chặn truy cập Control Panel

Control Panel được xem là “trung tâm” các thiết lập của Windows, cho dù là cả thiết lập bảo mật và thiết lập sử dụng. Tuy nhiên nếu như bị rơi vào tay kẻ xấu bạn sẽ chẳng thể đoán trước được điều gì sẽ xảy ra. Để chống lại các trường hợp xấu có thể xảy ra, tốt nhất bạn nên chặn quyền truy cập Control Panel .

Để thực hành được điều này, trên cửa sổ Group Policy Editor bạn điều phối theo key:

User Configuration => Administrative Templates => Control Panel

Tại đây tìm và kích đúp vào tùy chọn có tên ” Prohibit access to the Control Panel “.

Trên cửa sổ Prohibit access to the Control Panel, click chọn tùy chọn Enable để chặn truy cập Control Panel. Bây giờ tùy chọn Control Panel sẽ được gỡ bỏ khỏi Start Menu và không một ai cũng đều có thể truy cập Control Panel được nữa, thậm chí ngay cả lúc mở Control Panel trên cửa sổ lệnh Run .

Nếu gắng gượng mở Control Panel, trên màn hình sẽ hiển thị thông báo lỗi.

3. Ngăn chặn người sử dụng khác cài đặt ứng dụng mới trên hệ thống

Sẽ phải mất một khoảng thời gian dài để cũng đều có thể “dọn sạch” được lũ virus và các ứng dụng độc hại đáng ghét tấn công trên máy tính của bạn khi cài đặt bất kỳ ứng dụng nào. Do đó để đáp ứng an toàn cho hệ thống cũng giống đảm bảo người dùng khác đăng nhập trái phép và cài đặt các phần mềm, chương trình có nhiễm các phần mềm độc hại trên máy tính của mình, bạn nên vô hiệu hóa Windows installer trên Group Policy đi.

Trên cửa sổ Group Policy bạn điều phối theo key:

Computer Configuration => Administrative Templates => Windows Components => Windows Installer

Tại đây tìm và kích đúp chuột vào ” Disable Windows Installer “.

Trên cửa sổ Disable Windows Installer, chọn tùy chọn Enable và chọn Always từ Menu dropdown tại mục Options .

Từ giờ người sử dụng khác chẳng thể cài đặt bất kỳ ứng dụng mới nào trên máy tính của bạn, mặc dù họ cũng có thể có thể tải và lưu trữ phần mềm đó trên máy tính.

4. Vô hiệu hóa truy cập các thiết bị lưu giữ di động

Các thiết bị lưu trữ di động như USB, hoặc các thiết bị khác khá là hữu ích để sao chép và lưu giữ dữ liệu, nhưng tuy vậy đây cũng có thể là một trong các “con đường” để virus tấn công máy tính của bạn.

Nếu ai đó vô tình (hay cố ý) kết nối một thiết bị lưu trữ có nhiễm virus với máy tính của bạn, virus có thể tiến công toàn bộ hệ thống máy tính của bạn và gây ra một số vấn đề nghiêm trọng trên máy tính.

Để chặn người khác kết nối các thiết bị lưu trữ di động trên máy tính của bạn, trên cửa sổ Group Policy bạn điều phối theo key:

User Configuration => Administrative Templates => System > Removable Storage Access => Removable Disks: Deny read access

Tại đây bạn tìm và kích đúp chuột vào ” Removable Disks: Deny read access “.

Trên cửa sổ Removable Disks: Deny read access, click chọn Enable để kích hoạt tùy chọn và máy tính của bạn sẽ không đọc bất kỳ dữ liệu từ thiết bị lưu trữ ngoài (chẳng hạn như ổ USB,…). Ngoài ra trên cửa sổ Group Policy có một tùy chọn bên dưới mang tên ” Removable Disks: Deny write access “. Bạn có thể kích hoạt tùy chọn nếu không thích bất kỳ ai ghi (dán) dữ liệu vào thiết bị lưu giữ ngoài.

5. Ngăn một phần mềm cụ thể đang chạy

Ngoài ra Group Policy còn cấp phép người dùng tạo một danh sách các ứng dụng để ngăn chặn các hoạt động của các phần mềm này.

Để thực hành được điều này, trên cửa sổ Group Policy bạn điều phối theo key:

User Configuration => Administrative Templates => System => Don’t run specified Windows applications

Tại đây bạn tìm và mở tùy chọn ” Don’t run specified Windows applications “.

Trên cửa sổ Don’t run specified Windows applications, click chọn Enable để kích hoạt tùy chọn và click chọn Show để bắt đầu quá trình tạo một danh sách phần mềm mà bạn mong muốn chặn.

Để tạo danh sách, bạn phải nhập tên thực thi của ứng dụng đi cùng .exe để cũng có thể chặn ứng dụng, chẳng hạn như CCleaner.exe , CleanMem.exe hoặc lol.launcher.exe.

Cách tốt nhất để tìm chính xác tên thực thi của phần mềm là tìm thư mục ứng dụng trên Windows File Explorer, sau đó sao chép chính xác tên thực thi của chương trình (có phần đuôi mở rộng là “.exe”).

Nhập tên thực thi vào bản kê rồi click chọn OK để bắt đầu công đoạn chặn ứng dụng.

Ngoài ra trên cửa sổ Group Policy còn có tùy chọn Run only specified Windows applications . Nếu muốn vô hiệu hóa mọi thứ các dòng ứng dụng, trừ một số phần mềm quan trọng, bạn cũng có thể sử dụng tùy chọn để tạo một danh sách các phần mềm mà bạn muốn chặn.

6. Vô hiệu hóa Command Prompt và Windows Registry Editor

Command Prompt trên Windows cho phép bạn nhập những câu lệnh để máy tính thực hành lệnh đó và truy cập hệ thống. Tuy nhiên các hacker có thể dùng lệnh Command Prompt (CMD) để truy cập trái phép những dữ liệu nhạy cảm.

Cả Command Prompt và Windows Registry Editor là những công cụ có thể vô hiệu hóa mọi hoạt động trên máy tính Windows, nhất là Windows Registry Editor .

Nếu muốn đáp ứng an toàn cũng giống các vấn đề bảo mật trên máy tính của mình, bạn nên vô hiệu hóa Command Prompt và Windows Registry Editor đi.

Để thực hành được điều này, trên cửa sổ Group Policy bạn điều hướng theo đường dẫn:

User Configuration => Administrative Templates = > System

Tại đây bạn tìm và kích đúp chuột vào các tùy chọn có tên ” Prevent access to the command prompt ” và ” Prevent access to registry editing tools “. Sau đó trên cửa sổ Prevent access to the command prompt và cửa sổ Prevent access to registry editing tools bạn click chọn Disable để vô hiệu hóa các tùy chọn này đi.

Từ giờ người sử dụng khác chẳng thể truy cập Command Prompt và Registry Editor nữa.

7. Ẩn phân vùng ổ đĩa từ My Computer

Nếu một ổ đĩa cụ thể nào đó trên máy tính của bạn có chứa dữ liệu mẫn cảm và bạn không muốn người dùng khác truy cập và đánh cắp các dữ liệu đó, khi đó bạn có thể ẩn ổ đĩa đó từ My Computer và người dùng khác chẳng thể tìm kiếm được chúng.

Để hoàn thành được điều này, trên cửa sổ Group Policy bạn điều hướng theo đường dẫn:

User Configuration => Administrative Templates => Windows Components => Windows Explorer => Hide these specified drives in My Computer

Tại đây tìm và kích đúp chuột vào tùy chọn có tên ” Hide these specified drives in My Computer “.

Trên cửa sổ Hide these specified drives in My Computer click chọn Enable để kích hoạt tùy chọn.

Sau khi kích hoạt tùy chon, từ menu dropdown mục Options , chọn ổ mà bạn mong muốn ẩn. Cuối cùng click chọn OK để ẩn ổ đó trên hệ thống.

8. Tinh chỉnh Start Menu và thanh Taskbar

Group Policy cung cấp cho bạn hàng tá các tinh chỉnh cho Start Menu và thanh Taskbar theo ý định của bạn. Các tinh chỉnh này có sẵn cho tất cả Admin và người sử dụng thường.

Để tinh chỉnh Start Menu và thanh Taskbar, trên cửa sổ Group Policy Editor bạn điều hướng theo đường dẫn:

User Configuration => Administrative Templates => Start Menu and Taskbar

Tại đây bạn sẽ tìm thấy tất cả những tinh chỉnh đi cùng các giải thích.

Các tinh chỉnh khá là dễ hiểu. Bên cạnh đó Windows còn cung cấp mô tả chi tiết cho mỗi tinh chỉnh.

Bạn cũng có thể thực hiện một số thao tác như thay đổi chức năng nút Power trên Start Menu, ngăn người sử dụng ghim chương trình trên thanh Taskbar, hạn chế tìm kiếm trên tùy chọn Search, ẩn thông báo trên khay hệ thống, ẩn biểu tượng pin, ngăn việc thay đổi thanh Taskbar và thiết lập Start Menu, ngăn người sử dụng sử dụng các tùy chọn Nguồn (tắt máy, chế độ ngủ đông (hibernate),…), gỡ bỏ tùy chọn Run khỏi Start Menu,….

9. Vô hiệu hóa việc buộc khởi động lại

Mặc dù bạn cũng có thể có thể kích hoạt một số tùy chọn để trì hoãn, nhưng Windows 10 cuối cùng sẽ tự khởi động lại máy tính, nếu có các bản cập nhật đang chờ xử lý. Bạn có thể lấy lại quyền kiểm soát bằng cách kích hoạt một mục Group Policy.

Khi bạn thực hiện vô hiệu hóa việc buộc khởi động lại, Windows sẽ chỉ áp dụng các bản cập nhật đang chờ giải quyết khi bạn tự khởi động lại.

Bạn sẽ tìm thấy nó ở đây:

   Computer Configuration >  Administrator Templates >  Windows Components >  Windows Update >  No auto-restart with logged on users for scheduled automatic update installations   

10. Vô hiệu hóa cập nhật driver tự động

Bạn có biết rằng Windows 10 cũng cập nhật driver thiết bị mà không có sự cho phép rõ rệt của bạn không? Trong nhiều trường hợp, điều này rất hữu ích, vì nó nhằm mục tiêu giữ cho hệ thống cập nhật nhất có thể.

Nhưng nếu bạn chạy một driver tùy chỉnh hoặc có lẽ driver mới nhất cho một thành phần phần cứng nhất định có lỗi khiến hệ thống của bạn gặp sự cố thì sao? Đây là khi việc cập nhật driver tự động có hại hơn là hữu ích.

Để vô hiệu hóa cập nhật driver tự động, hãy kích hoạt:

   Computer Configuration >  Administrative Templates >  System >  Device Installation >  Device Installation Restrictions >  Prevent installation of devices that match any of these device IDs   

Sau khi kích hoạt, bạn sẽ phải cung cấp ID phần cứng cho các thiết bị mà bạn không muốn cập nhật driver tự động. Bạn có được những thứ này thông qua Device Manager , phải mất một vài bước.

11. Ẩn Balloon và Toast Notification

Thông báo trên màn hình có thể hữu ích, nhưng chỉ khi chúng cung cấp điều gì đó có mức giá trị. Hầu hết các thông báo mà bạn thấy đều không đáng đọc và thường làm bạn mất tập trung.

Kích hoạt giá trị này để tắt thông báo dạng bong bóng (balloon notification) trong Windows:

   User Configuration >  Administrative Templates >  Start Menu and Taskbar >  Turn off all balloon notifications   

Bắt đầu với Windows 8, đa số các thông báo hệ thống chuyển qua dạng toast notification. Do đó, bạn cũng nên vô hiệu hóa chúng:

   User Configuration >  Administrative Templates >  Start Menu and Taskbar >  Notifications >  Turn off toast notification   

Đây là một cách dễ dàng để chống lại sự phiền hà từ các thông báo.

12. Xóa OneDrive

OneDrive được đưa vào Windows 10. Mặc dù bạn có thể gỡ cài đặt nó như bất kỳ phần mềm nào khác, nhưng cũng đều có thể ngăn nó chạy bằng phương pháp dùng một mục Group Policy.

Vô hiệu hóa OneDrive bằng phương pháp kích hoạt:

   Computer Configuration >  Administrative Templates >  Windows Components >  OneDrive >  Prevent the usage of OneDrive for file storage   

Điều này sẽ loại bỏ khả năng truy cập OneDrive từ bất kỳ đâu trên hệ thống. Nó cũng xóa shortcut OneDrive trong thanh bên File Explorer.

13. Tắt Windows Defender

Windows Defender tự quản lý, vì vậy nó sẽ ngừng chạy nếu bạn cài đặt phần mềm diệt virus của bên thứ ba. Nếu công cụ này không hoạt động đúng vì một số nguyên do hoặc bạn mong muốn vô hiệu hóa nó hoàn toàn, bạn cũng đều có thể kích hoạt mục Group Policy này:

   Computer Configuration >  Administrative Templates >  Windows Components >  Windows Defender >  Turn off Windows Defender   

Mặc dù cũng có thể đơn giản vô hiệu hóa, nhưng Windows Defender là một giải pháp bảo mật đủ tốt cho đa số mọi người. Đảm bảo thay thế Windows Defender bằng một chương trình diệt virus cho Windows đáng tin cậy khác, nếu bạn gỡ bỏ nó.

14. Chạy script khi đăng nhập/khởi động/tắt máy

Mẹo cuối cùng nâng lên hơn một chút, vì thế có lẽ nó sẽ không có ích lắm, trừ khi bạn có thể nhẹ nhõm với những file batch và/hoặc việc viết các script PowerShell. Nếu thấy ổn, thì bạn đích thực cũng có thể có thể chạy các script đã nói tự động với Group Policy.

Để thiết lập script khởi động/tắt máy, hãy truy cập:

   Computer Configuration >  Windows Settings >  Scripts (Startup/Shutdown)   

Để thiết lập một script đăng nhập hoặc đăng xuất, hãy vào đây:

   User Configuration >  Windows Settings >  Scripts (Logon/Logoff)   

Làm điều đó cấp phép bạn chọn các file script thực tế và cung cấp các tham số cho các script đó, do vậy, nó khá linh hoạt. Bạn cũng có thể có thể gán nhiều script cho từng sự kiện kích hoạt.

Lưu ý rằng điều này không phải như bắt đầu một chương trình cụ thể khi khởi động.

Tham khảo thêm một số bài viết dưới đây:

• Gỡ bỏ hoàn toàn ứng dụng độc hại (malware) trên máy tính Windows 10

• Hướng dẫn kích hoạt và tùy chỉnh Touchpad ảo trên Windows 10

• Làm thế nào để kích hoạt hoặc vô hiệu hóa SuperFetch trên Windows 10 / 8 / 7?

Chúc các bạn thành công!

Group Policy,truy cập Group Policy,tinh chỉnh Group Policy,mở Group Policy,tinh chỉnh Windows,Admin,tài khoản Admin

Nội dung 14 “tinh chỉnh” Windows Group Policy bất kỳ Admin nào cũng nên biết được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.