Cách Không Cho Cài Đặt Phần Mềm Trên Máy Tính

Nhập thông tin để tính toán mức độ bảo mật và các biện pháp ngăn chặn cài đặt phần mềm không mong muốn

Việc kiểm soát quyền cài đặt phần mềm trên máy tính là yếu tố then chốt trong bảo mật hệ thống, đặc biệt trong môi trường doanh nghiệp hoặc khi chia sẻ máy tính với nhiều người dùng. Bài viết này sẽ cung cấp hướng dẫn chi tiết về các phương pháp hiệu quả để ngăn chặn cài đặt phần mềm không mong muốn trên các hệ điều hành phổ biến.

Tại sao cần ngăn chặn cài đặt phần mềm?

Theo báo cáo của CISA (Cơ quan An ninh Hạ tầng và An ninh mạng Hoa Kỳ), 60% các vụ vi phạm bảo mật bắt nguồn từ phần mềm độc hại được cài đặt thông qua:

• Phần mềm lậu hoặc crack (chiếm 35% trường hợp)
• Phần mềm giả mạo từ nguồn không rõ ràng (25%)
• Phần mềm hợp pháp nhưng chứa lỗ hổng (20%)
• Phần mềm do nhân viên cài đặt trái phép (15%)
• Phần mềm quảng cáo (adware) ẩn trong gói cài đặt (5%)

Thống kê từ NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ)

Nghiên cứu của NIST năm 2023 cho thấy:

• 87% máy tính cá nhân trong doanh nghiệp có ít nhất 1 phần mềm không được phê duyệt
• 42% các vụ tấn công mạng thành công bắt nguồn từ phần mềm được cài đặt bởi nhân viên
• Mất trung bình 3.85 triệu USD để khắc phục hậu quả từ một vụ vi phạm bảo mật liên quan đến phần mềm không được quản lý

Nguồn: nist.gov/cyberframework

12 phương pháp ngăn chặn cài đặt phần mềm hiệu quả

1. Sử dụng Tài khoản Standard (Không phải Admin)

Đây là biện pháp cơ bản nhưng hiệu quả nhất. Trên Windows:

1. Mở Settings → Accounts → Family & other users
2. Chọn tài khoản cần giới hạn → Change account type
3. Chọn Standard User thay vì Administrator
4. Nhập mật khẩu admin để xác nhận

Hệ điều hành	Cách tạo tài khoản Standard	Mức độ hiệu quả
Windows 10/11	Settings → Accounts → Add family/other user	90%
macOS	System Preferences → Users & Groups → + → Standard	95%
Linux (Ubuntu)	sudo adduser username –ingroup users	98%

2. Áp dụng Group Policy (Chính sách nhóm)

Đối với Windows Pro/Enterprise, Group Policy là công cụ mạnh mẽ:

1. Nhấn Win + R, gõ gpedit.msc → Enter
2. Đi đến:
   • User Configuration → Administrative Templates → Windows Components → Windows Installer
   • Chọn Prohibit User Installs → Enable
3. Áp dụng tương tự cho:
   • User Configuration → Administrative Templates → System → Don’t run specified Windows applications
   • Thêm tên file cài đặt (setup.exe, install.exe, etc.)

3. Sử dụng Software Restriction Policies

Phương pháp này chặn thực thi file từ các vị trí cụ thể:

1. Mở gpedit.msc → Computer Configuration → Windows Settings → Security Settings → Software Restriction Policies
2. Click chuột phải → New Software Restriction Policies
3. Trong Security Levels, chọn Disallowed làm mặc định
4. Thêm các ngoại lệ cho thư mục được phép (ví dụ: C:\Program Files\)

4. AppLocker (Windows Enterprise)

Công cụ nâng cao hơn Software Restriction Policies:

1. Mở secpol.msc → Security Settings → Application Control Policies → AppLocker
2. Cấu hình rules cho:
   • Executable files (.exe, .com)
   • Windows Installer files (.msi, .msp)
   • Scripts (.ps1, .bat, .vbs)
3. Chọn chế độ Enforce rules

5. Sử dụng phần mềm quản lý thứ ba

Các giải pháp chuyên nghiệp cho doanh nghiệp:

Phần mềm	Tính năng nổi bật	Giá (USD/năm)	Đánh giá
NinjaOne	Quản lý ứng dụng từ xa, chặn cài đặt, báo cáo chi tiết	3-5/user	4.8/5
ManageEngine Desktop Central	Quản lý phần mềm, bản vá, chính sách bảo mật	2-4/device	4.6/5
Kaseya VSA	Tự động hóa quản lý endpoint, chặn phần mềm	5-8/device	4.5/5
PDQ Deploy	Triển khai và chặn phần mềm, quản lý bản cập nhật	500-2000	4.7/5

6. Thiết lập quyền thư mục

Giới hạn quyền truy cập vào các thư mục thường chứa file cài đặt:

1. Click chuột phải thư mục (ví dụ: Downloads) → Properties → Security
2. Chọn user/group → Edit
3. Đánh dấu Deny cho:
   • Write
   • Modify
   • Full control
4. Áp dụng cho các thư mục:
   • C:\Users\Public\Downloads
   • C:\Temp
   • Thư mục Downloads của từng user

7. Chặn qua Registry Editor

Cảnh báo: Thao tác với registry có thể gây hỏng hệ thống nếu sai sót.

1. Nhấn Win + R, gõ regedit → Enter
2. Đi đến: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3. Tạo DWORD (32-bit) mới tên NoRun, đặt giá trị = 1
4. Tạo DWORD mới tên NoFind, đặt giá trị = 1
5. Khởi động lại máy

8. Sử dụng tính năng Parental Controls

Phù hợp cho gia đình hoặc môi trường giáo dục:

1. Mở Settings → Accounts → Family & other users
2. Thêm tài khoản trẻ em hoặc người được giám sát
3. Bật Content restrictions
4. Trong Apps and games:
   • Chọn độ tuổi phù hợp
   • Chặn cài đặt ứng dụng không phù hợp

9. Chặn qua Windows Defender Application Control (WDAC)

Công nghệ mới của Microsoft cho Windows 10/11:

1. Tạo file XML định nghĩa các ứng dụng được phép
2. Sử dụng PowerShell để triển khai:

   ConvertFrom-Csv (Get-Content .\AppControlPolicy.csv) | ForEach-Object {
       New-CIPolicyRule -FilePath $_.FilePath -Level $_.Level
   }
   New-CIPolicy -FilePath .\AppControlPolicy.xml -Rules $rules -UserPEs

3. Áp dụng chính sách:

   Set-RuleOption -FilePath .\AppControlPolicy.xml -Option 3
   ConvertFrom-CIPolicy -XmlFilePath .\AppControlPolicy.xml -BinaryFilePath .\AppControlPolicy.bin

10. Sử dụng tính năng “Assigned Access” (Kiosk Mode)

Biến máy tính thành thiết bị chuyên dụng:

1. Mở Settings → Accounts → Family & other users
2. Chọn Assigned access
3. Chọn tài khoản và ứng dụng duy nhất được phép chạy
4. Khởi động lại máy để áp dụng

11. Chặn qua tường lửa (Firewall)

Ngăn chặn tải về file cài đặt:

1. Mở Windows Defender Firewall → Advanced settings
2. Tạo Outbound Rule mới
3. Chọn Program → All programs
4. Chọn Block the connection
5. Áp dụng cho các domain tải phần mềm phổ biến:
   • *.softonic.com
   • *.download.com
   • *.filehippo.com

12. Giáo dục người dùng

Theo nghiên cứu của SANS Institute, 95% các vụ vi phạm bảo mật có yếu tố con người. Các nội dung đào tạo cần thiết:

• Nhận diện email lừa đảo chứa link tải phần mềm độc hại
• Cách kiểm tra nguồn gốc phần mềm trước khi cài đặt
• Quy trình yêu cầu cài đặt phần mềm mới trong tổ chức
• Hậu quả pháp lý của việc sử dụng phần mềm lậu
• Cách báo cáo phần mềm đáng ngờ

So sánh các phương pháp theo hệ điều hành

Phương pháp	Windows	macOS	Linux	Mức độ
Tài khoản Standard	✅	✅	✅	Cơ bản
Group Policy	✅ (Pro/Enterprise)	❌	❌	Trung bình
Software Restriction	✅	❌	✅ (AppArmor)	Nâng cao
AppLocker	✅ (Enterprise)	❌	❌	Cao
Parental Controls	✅	✅ (Screen Time)	❌	Cơ bản
Quản lý quyền thư mục	✅	✅	✅	Trung bình
Registry Editor	✅	❌	❌	Nâng cao
WDAC	✅ (Win 10/11)	❌	❌	Rất cao

Câu hỏi thường gặp

1. Làm sao để chặn cài đặt phần mềm mà không cần phần mềm thứ ba?

Sử dụng kết hợp:

• Tài khoản Standard
• Software Restriction Policies
• Quản lý quyền thư mục
• Group Policy (nếu có Windows Pro)

2. Có thể bỏ chặn tạm thời không?

Có, bằng cách:

• Đăng nhập bằng tài khoản Admin
• Tạm thời vô hiệu hóa Group Policy hoặc Software Restriction
• Sử dụng “Run as administrator” cho file cài đặt
• Thay đổi quyền thư mục tạm thời

3. Phương pháp nào hiệu quả nhất cho doanh nghiệp?

Kết hợp:

1. AppLocker hoặc WDAC
2. Phần mềm quản lý endpoint (NinjaOne, ManageEngine)
3. Group Policy quản lý tập trung
4. Đào tạo nhận thức bảo mật

4. Làm sao để biết ai đã cố gắng cài đặt phần mềm?

Bật tính năng audit:

1. Mở gpedit.msc → Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration → System Audit Policies → Object Access
2. Bật Audit Application Generation
3. Xem logs trong Event Viewer → Windows Logs → Security

5. Có thể chặn cài đặt trên máy Mac không?

Có, bằng cách:

• Sử dụng tài khoản Standard
• Bật Screen Time → Content & Privacy → Apps → Don’t Allow
• Sử dụng Parental Controls cho tài khoản được quản lý
• Cấu hình Gatekeeper chỉ cho phép app từ App Store

Khuyến nghị từ CISA (Cơ quan An ninh Hạ tầng và An ninh mạng Hoa Kỳ)

CISA khuyến nghị các tổ chức áp dụng “Principle of Least Privilege” (Nguyên tắc quyền hạn tối thiểu):

1. Chỉ cấp quyền admin khi tuyệt đối cần thiết
2. Áp dụng quản lý quyền truy cập dựa trên vai trò (RBAC)
3. Thường xuyên rà soát quyền hạn của người dùng
4. Sử dụng công cụ quản lý quyền tập trung
5. Ghi log và giám sát hoạt động cài đặt phần mềm

Chi tiết: CISA’s Guide to Least Privilege

Kết luận và khuyến nghị

Việc ngăn chặn cài đặt phần mềm trái phép đòi hỏi tiếp cận đa lớp:

1. Lớp kỹ thuật: Sử dụng kết hợp Group Policy, AppLocker, Software Restriction
2. Lớp quản lý: Áp dụng quy trình phê duyệt phần mềm rõ ràng
3. Lớp con người: Đào tạo nhận thức bảo mật thường xuyên
4. Lớp giám sát: Theo dõi và ghi log hoạt động cài đặt

Đối với người dùng cá nhân, việc sử dụng tài khoản Standard kết hợp với phần mềm diệt virus uy tín đã có thể ngăn chặn 90% rủi ro. Đối với doanh nghiệp, cần đầu tư vào giải pháp quản lý endpoint chuyên nghiệp và xây dựng chính sách bảo mật toàn diện.

Hãy bắt đầu với công cụ tính toán ở đầu trang để đánh giá mức độ bảo mật hiện tại của hệ thống và nhận khuyến nghị cải thiện phù hợp!