如何禁止員工使用MSN加密軟體？

由於MSN Shell、SimpLite以RSA演算法將原本以明文傳送的MSN對話訊息予以加密，因此讓網路行為管理設備所記錄到的內容，變成了一堆亂碼。

RSA是一種非對稱式的加密演算法，是在1977年由Ron Rivest、AdiShamir，以及Leonard Adleman所共同提出的，名稱的由來，是取這3人姓氏的第一個字母所組合而成的。RSA是一種相當安全的演算法，因此普遍運用於各項領域，只要金鑰的長度夠長，想要破解是有極高難度的。

想要禁止員工在企業內部使用這類加密軟體，有2種常見的方式。

方法1：透過網路行為管理設備加以管理
比較簡單的一種方式，就是透過現有的網路行為管理設備加以管理，雖然這類設備無法將加密過後的MSN對話訊息予以解密還原，卻可以禁止有安裝這些軟體的電腦無法登入MSN伺服器，直到員工自行移除，不再傳送加密過後的對話訊息。

方法2：透過群組原則下的軟體限制原則
如果企業已經導入Active Directory（AD），那麼就可以透過群組原則下的軟體限制原則限制員工無法在電腦使用特定程式，軟體限制原則一共提供4種新增規則的方式，比較常用到的有「雜湊規則」和「路徑規則」2種方式。

設定雜湊規則的步驟很簡單，首先必須開啟群組原則的設定畫面，展開畫面左側的樹狀清單，在「電腦設定－Windows設定－安全性設定－軟體限制原則」的路徑下按下滑鼠右鍵，新增一條新的軟體限制原則，接著繼續展開清單，找到「其它原則」的項目，再按一下右鍵便可以新增「雜湊規則」。

舉例來說，如果想要透過設定雜湊規則的方式限制使用者無法在自己電腦執行WinRAR，此時只需要點選雜湊規則設定中的瀏覽鍵，手動匯入C:\Program Files\WinRAR下的執行檔WinRAR.exe，按一下確定鍵儲存設定，最後在命令提示字元下執行gpupdate /force，命令AD重新整理群組規則，就可以馬上將剛才所做的設定發布到用戶端電腦執行，一旦有使用者試圖執行安裝在電腦上的WinRAR，Windows就會跳出對話方塊，告知此程式目前已被軟體限制原則封鎖，無法使用。

在雜湊規則的設定下，當應用程式的執行檔完成匯入之後，就會得到一組Hash值，用來判別用戶端電腦同一路徑下的相同名稱檔案，是否和企業所要控管的對象相符，即使是同一應用程式，不同版本的執行檔可能就會產生不同的Hash值，因此讓管理者可以依照版本個別控管應用程式。

路徑規則的設定方式幾乎和雜湊規則完全相同，但不會根據Hash值判斷用戶端電腦上的程式是否和AD伺服器上的範本完全相同，只要是路徑一樣、檔名相同的執行檔，就會受到群組原則的管理。文⊙楊啟倫

iThome歡迎讀者提問，請將你所遇到的各種企業IT疑難雜症，寄至iThome編輯部：QA@mail.ithome.com.tw