หากคุณต้องการเปลี่ยนลักษณะการทำงานของ Windows โดยการควบคุมความปลอดภัยมากขึ้นหรือปิดใช้งานบางสิ่งที่ Microsoft ส่งถึงคุณ คุณสามารถทำได้โดยปรับแต่งการตั้งค่านโยบายกลุ่ม ใช่ คุณสามารถทำได้เช่นเดียวกันจาก Registry Editorแต่ Group Policy มีข้อดีอีกเล็กน้อย เช่น Group Policy จะไม่เปลี่ยนแปลงหลังจากอัปเดต Windows ซึ่งแตกต่างจาก Registry สิ่งสำคัญที่สุดคือ คุณสามารถกำหนดค่านโยบายกลุ่มภายในระบบของคุณ หรือสร้างไดเรกทอรีที่ใช้งานอยู่เพื่อใช้กับหลายระบบในโดเมนของคุณ ดังนั้นสิ่งนี้จึงมีประโยชน์อย่างยิ่งสำหรับสำนักงานและโรงเรียนที่ใช้คอมพิวเตอร์ Windows
การตั้งค่านโยบายกลุ่มที่ดีที่สุด
ก่อนที่เราจะเริ่มต้น มาทำความเข้าใจว่านโยบายกลุ่มเป็นเครื่องมือแบบกราฟิกที่ให้คุณแก้ไขการตั้งค่าระบบปฏิบัติการดั้งเดิม การตั้งค่าเคอร์เนล ฯลฯ อย่างไรก็ตาม การปรับแต่งนโยบายกลุ่มในทางที่ผิดอาจทำให้ระบบปฏิบัติการของคุณทำงานผิดพลาดได้ ดังนั้น หากคุณกำลังจะทำการเปลี่ยนแปลงใดๆ โปรดแน่ใจว่าได้ส่งออกรายการก่อนที่จะทำการเปลี่ยนแปลงใดๆ
วิธีเข้าถึงนโยบายกลุ่ม
ข้อแม้ที่ใหญ่ที่สุดประการหนึ่งของ Group Policy คือใช้ได้เฉพาะในคอมพิวเตอร์ที่ใช้ Windows Professional, Education หรือ Enterprise แม้ว่าคุณจะใช้ Windows Home แต่คุณสามารถเข้าถึงนโยบายกลุ่มได้ แต่มีวิธีแก้ไขปัญหาเฉพาะหน้า ซึ่งฉันจะอธิบายด้านล่าง
ในการเข้าถึงนโยบายกลุ่ม มีหลายวิธี วิธีที่ง่ายที่สุดวิธีหนึ่งคือการเปิดพร้อมท์คำสั่ง > พิมพ์ gpedit.msc แล้วคลิก Enter
แม้ว่านโยบายกลุ่มจะไม่ได้เป็นส่วนหนึ่งของ Windows Home รุ่นต่างๆ แต่ก็ยังมีวิธีเข้าถึงได้ สิ่งที่คุณต้องทำคือติดตั้ง Group Policy Editor ของบริษัทอื่นโดยดาวน์โหลดไฟล์ Batchนี้ เปิดในฐานะผู้ดูแลระบบ จะเริ่มติดตั้งในพรอมต์คำสั่ง จะใช้เวลาประมาณ 2-3 นาทีในการติดตั้ง เมื่อดำเนินการเสร็จสิ้น ให้เปิดพรอมต์คำสั่งอีกครั้งแล้วพิมพ์ gpedit.msc เพื่อเข้าถึง
1. ปิดใช้งานการติดตั้งซอฟต์แวร์ใด ๆ
การไม่อนุญาตให้ผู้ใช้ติดตั้งซอฟต์แวร์ต่าง ๆ คุณสามารถลดปริมาณการบำรุงรักษาและทำความสะอาดที่จำเป็นเมื่อมีการติดตั้งบางสิ่งที่ไม่ดี เนื่องจากเป็นหนึ่งในสาเหตุที่เป็นไปได้ของมัลแวร์ ซึ่งจะมีประโยชน์มากยิ่งขึ้นโดยเฉพาะในโรงเรียน ซึ่งคุณต้องการให้นักเรียนเข้าถึงเฉพาะที่จำเป็นเท่านั้น
หากคุณต้องการจำกัดไม่ให้ผู้ใช้ติดตั้งหรือรันโปรแกรม คุณสามารถตั้งค่าได้โดยเปิดGroup Policy > ไปที่ Computer Configurations > Administrative Templates > Windows Components > Windows Installerและดับเบิลคลิกที่ตัวเลือกTurn off Windows Installer เปลี่ยนการตั้งค่าเพื่อเปิดใช้งานและตรวจสอบให้แน่ใจว่าตัวเลือกระบุว่า "สำหรับแอปพลิเคชันที่ไม่มีการจัดการเท่านั้น" เพื่อให้สามารถติดตั้งแอปทั้งหมดที่ได้รับอนุญาตจากฝ่ายจัดการ ตอนนี้คลิกที่ Apply และรีสตาร์ทคอมพิวเตอร์เพื่อให้การเปลี่ยนแปลงเกิดขึ้น
การบล็อกเพื่อเรียกใช้แอปพลิเคชันเฉพาะ
การบล็อกแอพทั้งหมดที่จะติดตั้งนั้นเกินความจำเป็นในหลาย ๆ สถานการณ์ หากต้องการเพียงแค่บล็อกแอปเพียงไม่กี่ตัว คุณสามารถทำการเปลี่ยนแปลงเหล่านี้กับนโยบายกลุ่มได้
เปิดGroup Policy > User Configuration > Administrative Templates > Systemและดับเบิลคลิก อย่าเรียกใช้ ตัวเลือก แอปพลิเคชัน Windows ที่ระบุ เปลี่ยนการตั้งค่าเพื่อเปิดใช้งานและคลิกที่ปุ่มแสดง ตอนนี้คุณสามารถป้อนรายการแอพที่คุณต้องการบล็อกสำหรับผู้ใช้แล้วคลิกตกลง ตอนนี้คลิก Apply และรีสตาร์ทระบบเพื่อให้การตั้งค่ามีผล
2. บล็อกการเข้าถึงแผงควบคุม
สิ่งสำคัญคือต้องตั้งค่าขีดจำกัดสำหรับแผงควบคุมส่วนใหญ่ในสภาพแวดล้อมทางธุรกิจ เนื่องจากจะช่วยให้คุณสามารถควบคุมทั้งระบบได้ คุณสามารถบล็อกการเข้าถึงทั้งหมดหรือจำกัดการเข้าถึงได้
ในการบล็อกการเข้าถึง ให้เปิด Group Policy > User Configuration > Administrative Templates > Control Panel > และดับเบิลคลิกที่ Prohibit access to Control Panel and PC settings and click on enable and Apply และการเปลี่ยนแปลงจะมีผลทันที
แสดงเฉพาะรายการแผงควบคุมเฉพาะ
กระบวนการข้างต้นบล็อกการเข้าถึงแผงควบคุมทั้งหมด แต่หากต้องการจำกัดการใช้งาน คุณสามารถทำได้โดยเปิด Group Policy > User Configuration > Administrative Templates > Control Panel > และดับเบิลคลิกที่แสดงรายการในแผงควบคุมที่ระบุเท่านั้น และคลิกเปิดใช้งาน ตอนนี้คลิกที่ตัวเลือกการแสดงเพื่อระบุแต่ละตัวเลือกแผงควบคุมที่จะแสดง หากไม่อยู่ในรายการนี้ ระบบจะไม่แสดงให้ผู้ใช้เห็น
ซึ่งหมายความว่าคุณจะต้องเลือกและพิมพ์รายการในแผงควบคุมแต่ละรายการอย่างระมัดระวังที่คุณต้องการรวมไว้ คุณสามารถค้นหาชื่อของ รายการในแผงควบคุมทั้งหมดได้จากเว็บไซต์ของ Microsoft
3. ปิดการใช้งานพรอมต์คำสั่ง
พรอมต์คำสั่งนั้นมีประโยชน์อย่างไม่ต้องสงสัยและเป็นฝันร้ายในเวลาเดียวกันเพราะเปิดโอกาสให้ผู้ใช้เรียกใช้คำสั่งและโปรแกรมที่คุณไม่ได้ตั้งใจทำ นอกจากนี้ยังสามารถเป็นเครื่องมืออันตรายในมือของผู้ไม่มีประสบการณ์ มีเหตุผลมากมายที่จะปิดการใช้งานพรอมต์คำสั่ง บางทีคุณอาจมีเด็กๆ ที่แชร์คอมพิวเตอร์ของครอบครัว หรือคุณปล่อยให้แขกใช้คอมพิวเตอร์ของคุณเมื่อพวกเขาอยู่กับคุณ หรือบางทีคุณกำลังใช้คอมพิวเตอร์สำหรับธุรกิจซึ่งจำเป็นต้องล็อกไว้
หากต้องการปิดใช้งาน ให้เปิดGroup Policy > User Configuration > Administrative Templates > Systemและดับเบิลคลิกที่ ป้องกันการเข้าถึง ตัวเลือกพรอมต์คำสั่ง เปลี่ยนนโยบายเพื่อเปิดใช้งานและนำไปใช้ ตอนนี้คุณต้องรีสตาร์ทเพื่อให้การเปลี่ยนแปลงมีผล
4. ปิดการใช้งาน Windows Registry Editor
เช่นเดียวกับพรอมต์คำสั่ง ตัวแก้ไขรีจิสทรีสามารถทำลายสิ่งต่าง ๆ และข้ามข้อจำกัดของนโยบายกลุ่มบางประการได้ เพื่อปกป้องนโยบาย คุณสามารถเปิดนโยบายกลุ่ม > การกำหนดค่าผู้ใช้ > เทมเพลตการดูแลระบบ > ระบบและดับเบิลคลิกที่ป้องกันการเข้าถึงเครื่องมือแก้ไขรีจิสทรีและเปิดใช้งาน ตอนนี้คลิกที่ Apply และรีสตาร์ทพีซีเพื่อใช้การเปลี่ยนแปลง
5. บล็อกไดรเวอร์สื่อแบบถอดได้
USB หรืออุปกรณ์สื่อที่ถอดออกได้ในรูปแบบอื่นๆ อาจเป็นอันตรายต่อพีซี หากมีคนบังเอิญหรือจงใจเชื่อมต่ออุปกรณ์เก็บข้อมูลที่ติดไวรัส อาจส่งผลต่อพีซีหรือแม้แต่โดเมน เมื่อใช้งานคอมพิวเตอร์จำนวนมาก การอนุญาตไดรเวอร์สื่อทำให้ยากต่อการจัดการที่เก็บข้อมูล การบล็อกไดรเวอร์สื่อแบบถอดได้มักใช้ในโรงเรียนและวิทยาลัยหลายแห่ง
หากต้องการบล็อกไดรเวอร์สื่อ ให้เปิดนโยบายกลุ่ม > การกำหนดค่าผู้ใช้ > เทมเพลตการดูแลระบบ > ระบบ > การเข้าถึงที่เก็บข้อมูลแบบถอดได้และดับเบิลคลิกที่ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงการอ่าน ตอนนี้คลิกที่ตัวเลือกเปิดใช้งานและนำไปใช้กับหยุดพีซีเพื่ออ่านไดรเวอร์ภายนอก
บล็อกตัวเลือกการเขียน
ตัวเลือกข้างต้นจะทำให้พีซีไม่อ่านไฟล์ในอุปกรณ์ภายนอกเท่านั้น แต่คุณยังสามารถคัดลอกไฟล์ไปยังอุปกรณ์ภายนอกได้ หากคุณต้องการปกป้องไฟล์ คุณต้องบล็อกตัวเลือกการเขียนด้วย โดยทั่วไปแล้วจะนำไปใช้ในสภาพแวดล้อมทางธุรกิจ
หากต้องการบล็อกตัวเลือกการเขียน ให้เปิดGroup Policy > User Configuration > Administrative Templates > System > Removable Storage Accessและดับเบิลคลิกที่Removable Disks: Deny write access ตอนนี้เปิดใช้งานตัวเลือกแล้วเลือกใช้เพื่อใช้การเปลี่ยนแปลง
หรือคุณสามารถใช้คลาส All Removable Storage: ปฏิเสธการเข้าถึงทั้งหมดเพื่อบล็อกตัวเลือกการอ่านและเขียนพร้อมกัน
6. ซ่อนพาร์ทิชันไดรฟ์จากคอมพิวเตอร์
หากมีข้อมูลที่ละเอียดอ่อนในระบบ คุณอาจต้องการซ่อนข้อมูลจากผู้ใช้เฉพาะเพื่อเข้าถึง คุณสามารถทำได้จากการตั้งค่านโยบายกลุ่ม แต่อย่าลืมว่าการตั้งค่านี้จะซ่อนจาก file explorer และแอพอื่นๆ ไม่กี่ตัวเท่านั้น แต่ผู้คนยังคงสามารถเข้าถึงได้จากพรอมต์คำสั่ง
อย่างไรก็ตาม คุณสามารถซ่อนได้โดยเปิดGroup Policy > User Configuration > Administrative Templates > Windows Components > Windows Explorerและดับเบิลคลิกที่ซ่อนไดรฟ์ที่ระบุเหล่านี้ใน My Computerแล้วเลือกตัวเลือกเปิดใช้งาน เมื่อเปิดใช้งานแล้ว ให้คลิกที่เมนูแบบเลื่อนลงในแผงตัวเลือก แล้วเลือกไดรฟ์ที่คุณต้องการซ่อน ไดรฟ์จะถูกซ่อนเมื่อคุณคลิกตกลง
7. เพิ่มความยาวรหัสผ่านขั้นต่ำ
ความยาวรหัสผ่าน Windows เริ่มต้นคือ 8 และคุณต้องใช้ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลขหรืออักขระพิเศษอย่างน้อยหนึ่งตัว จริงๆแล้วมันปลอดภัยดี แต่คุณสามารถปรับปรุงความปลอดภัยได้ด้วยการเพิ่มความยาวของรหัสผ่าน คุณสามารถตั้งค่าได้ถึง 14 โดยใช้ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลขหรืออักขระพิเศษ
คุณสามารถเปลี่ยนได้โดยเปิดนโยบายกลุ่ม > การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายบัญชี > นโยบายรหัสผ่านและดับเบิลคลิก นโยบาย ความยาวรหัสผ่านขั้นต่ำ & ระบุค่าสำหรับความยาว แล้วคลิกและใช้
8. ติดตามการเข้าสู่ระบบบัญชี
ด้วยนโยบายกลุ่ม คุณสามารถบังคับให้หน้าต่างติดตามการเข้าสู่ระบบพีซีที่สำเร็จและล้มเหลวทั้งหมดได้ คุณสามารถตั้งค่าให้เป็นคอมพิวเตอร์เครื่องใดเครื่องหนึ่งหรือผู้ใช้เฉพาะก็ได้ อย่างไรก็ตาม สิ่งนี้จะเป็นประโยชน์ในการติดตามบุคคลที่ไม่ได้รับอนุญาตซึ่งกำลังพยายามเข้าสู่ระบบ คุณสามารถเปิดใช้งานได้โดยเปิดGroup Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policyและแตะสองครั้งที่กิจกรรมการเข้าสู่ระบบการตรวจสอบ
ที่นี่ทำเครื่องหมายที่ช่องทำเครื่องหมายถัดจาก ตัวเลือก"สำเร็จ" และ "ล้มเหลว" เมื่อคุณจะคลิกตกลง Windows จะเริ่มเก็บบันทึกการเข้าสู่ระบบที่ทำกับพีซี
ในการดูการเข้าสู่ระบบเหล่านั้น ให้เปิด Run และป้อนeventvwrเพื่อเปิด Windows Event Viewer ตอนนี้ขยายWindows Logsแล้วเลือก ตัวเลือกความปลอดภัย ในแผงตรงกลาง คุณสามารถดูความพยายามในการเข้าสู่ระบบทั้งหมดได้ คุณสามารถดูบัญชีที่พยายามเข้าสู่ระบบ วันที่ และเวลา แต่ความสำเร็จและความพยายามที่ล้มเหลวนั้นถูกกล่าวถึงด้วยรหัส
9. ปิดการใช้งาน OneDrive
คุณอาจชอบ OneDrive หรือเกลียดมันโดยสิ้นเชิง ถ้าคุณหรือองค์กรของคุณไม่ได้ใช้ OneDrive หรือคุณเพียงต้องการนำออกจากพีซีของคุณ คุณสามารถทำได้ด้วยนโยบายกลุ่ม เปิดนโยบายกลุ่ม > การกำหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแล > คอมโพเนนต์ของ Windows > OneDriveแล้วดับเบิลคลิกป้องกันการใช้ OneDrive สำหรับการจัดเก็บไฟล์ ตอนนี้เปิดใช้งานแล้วคลิกนำไปใช้ คุณต้องรีสตาร์ทพีซีเพื่อทำการเปลี่ยนแปลง
10. เก็บการเปลี่ยนแปลงนโยบายกลุ่มไว้ในการควบคุม
อย่างไรก็ตาม การเปลี่ยนแปลงเหล่านี้สามารถเปลี่ยนกลับเป็นปกติได้โดยใช้นโยบายกลุ่มด้วยวิธีเดียวกัน แต่ตั้งค่ากลับเป็นปิดใช้งาน คุณสามารถคงอยู่ในความดูแลของ Group Policy ได้โดยใช้Group Policy Object Auditing หากต้องการติดตามการเปลี่ยนแปลงที่ทำใน Group Policy Objects อย่างต่อเนื่อง ให้ลอง ใช้ Lepide Change Reporter
ห่อ
เมื่อปรับการตั้งค่านโยบายกลุ่มเสร็จแล้ว คุณต้องย้ายการตั้งค่าไปยังกลุ่มคอมพิวเตอร์ใน Active Directory ซึ่งคุณสามารถตั้งค่าไดเรกทอรีสำหรับพีซีทุกเครื่องในโดเมนได้ คุณยังสามารถตั้งค่านโยบายกลุ่มเฉพาะสำหรับผู้ใช้หรือคอมพิวเตอร์แต่ละเครื่องเท่านั้น ตอนนี้สิ่งที่คุณต้องทำคือดาวน์โหลดนโยบายกลุ่มจากไดเรกทอรีที่ใช้งานอยู่เพื่อนำไปใช้ การเปลี่ยนแปลงใดๆ ในไดเรกทอรีที่ใช้งานอยู่จะนำไปใช้กับแต่ละระบบโดยอัตโนมัติ