Cách hoạt động của Bảo vệ khai thác của Windows Defender
Chúng tôi đã khuyên bạn nên sử dụng phần mềm chống khai thác như Bộ công cụ giảm thiểu kinh nghiệm nâng cao của Microsoft (EMET) hoặc Malwarebytes Anti-Malware thân thiện với người dùng hơn, chứa một tính năng chống khai thác mạnh mẽ (trong số những thứ khác). EMET của Microsoft được sử dụng rộng rãi trên các mạng lớn hơn, nơi nó có thể được cấu hình bởi quản trị viên hệ thống, nhưng nó chưa bao giờ được cài đặt theo mặc định, yêu cầu cấu hình và có giao diện khó hiểu cho người dùng trung bình.
Các chương trình chống virus điển hình, giống như Windows Defender, sử dụng các định nghĩa virus và chẩn đoán để bắt các chương trình nguy hiểm trước khi chúng có thể chạy trên hệ thống của bạn. Các công cụ chống khai thác thực sự ngăn chặn nhiều kỹ thuật tấn công phổ biến không hoạt động, vì vậy những chương trình nguy hiểm đó không có trên hệ thống của bạn ngay từ đầu. Chúng cho phép bảo vệ hệ điều hành nhất định và chặn các kỹ thuật khai thác bộ nhớ phổ biến, để phát hiện hành vi giống như khai thác, chúng sẽ chấm dứt quá trình trước khi có bất kỳ điều gì xấu xảy ra. Nói cách khác, họ có thể bảo vệ chống lại nhiều cuộc tấn công zero-day trước khi chúng được vá.
Tuy nhiên, chúng có thể có khả năng gây ra các vấn đề tương thích và cài đặt của chúng có thể phải được tinh chỉnh cho các chương trình khác nhau. Đó là lý do tại sao EMET thường được sử dụng trên mạng doanh nghiệp, nơi quản trị viên hệ thống có thể tinh chỉnh cài đặt chứ không phải trên máy tính tại nhà.
Windows Defender hiện bao gồm nhiều tính năng bảo vệ tương tự, ban đầu được tìm thấy trong EMET của Microsoft. Chúng được bật theo mặc định cho mọi người và là một phần của hệ điều hành. Windows Defender tự động định cấu hình các quy tắc thích hợp cho các quy trình khác nhau đang chạy trên hệ thống của bạn. (Malwarebytes vẫn tuyên bố tính năng chống khai thác của họ là cao hơn, và chúng tôi vẫn khuyên bạn nên sử dụng Malwarebytes, nhưng cũng tốt khi Windows Defender cũng có một số tính năng này được tích hợp sẵn).
Tính năng này được bật tự động nếu bạn đã nâng cấp lên Bản cập nhật dành cho người sáng tạo mùa thu của Windows 10 và EMET không còn được hỗ trợ. EMET thậm chí không thể được cài đặt trên PC chạy Bản cập nhật dành cho người sáng tạo mùa thu. Nếu bạn đã cài đặt EMET, nó sẽ bị xóa bởi bản cập nhật.
Bản cập nhật dành cho người sáng tạo mùa thu của Windows 10 cũng bao gồm một tính năng bảo mật liên quan có tên Truy cập thư mục được kiểm soát. Nó được thiết kế để ngăn chặn phần mềm độc hại bằng cách chỉ cho phép các chương trình đáng tin cậy sửa đổi tệp trong thư mục dữ liệu cá nhân của bạn, như Tài liệu và Ảnh. Cả hai tính năng này là một phần của “Windows Defender Exploit Guard”. Tuy nhiên, quyền truy cập thư mục được kiểm soát không được bật theo mặc định.
Cách xác nhận bảo vệ khai thác được bật
Tính năng này được kích hoạt tự động cho tất cả các PC Windows 10. Tuy nhiên, nó cũng có thể được chuyển sang “Chế độ kiểm tra”, cho phép quản trị viên hệ thống theo dõi nhật ký những gì mà Khai thác bảo vệ sẽ thực hiện để xác nhận nó sẽ không gây ra bất kỳ vấn đề nào trước khi bật nó trên các PC quan trọng.
Để xác nhận rằng tính năng này được bật, bạn có thể mở Trung tâm bảo mật của Windows Defender. Mở menu Bắt đầu của bạn, tìm kiếm Windows Defender và nhấp vào lối tắt Windows Defender Security Center.
Nếu bạn không thấy phần này, PC của bạn có thể chưa cập nhật cho Bản cập nhật dành cho người sáng tạo mùa thu.
Cách cấu hình bảo vệ khai thác của Windows Defender
Cảnh báo: Có thể bạn không muốn định cấu hình tính năng này. Windows Defender cung cấp nhiều tùy chọn kỹ thuật mà bạn có thể điều chỉnh và hầu hết mọi người sẽ không biết họ đang làm gì ở đây. Tính năng này được định cấu hình với cài đặt mặc định thông minh sẽ tránh gây ra sự cố và Microsoft có thể cập nhật các quy tắc của nó theo thời gian. Các tùy chọn ở đây dường như chủ yếu nhằm giúp các quản trị viên hệ thống phát triển các quy tắc cho phần mềm và cuộn chúng ra trên một mạng doanh nghiệp.
Nếu bạn muốn cấu hình Khai thác bảo vệ, hãy vào Trung tâm bảo mật của Windows Defender> Kiểm soát ứng dụng và trình duyệt, cuộn xuống và nhấp vào “Khai thác cài đặt bảo vệ” trong Bảo vệ khai thác.
Ở cuối màn hình, bạn có thể nhấp vào “Xuất cài đặt” để xuất cài đặt của mình dưới dạng tệp.xml mà bạn có thể nhập trên các hệ thống khác. Tài liệu chính thức của Microsoft cung cấp thêm thông tin về việc triển khai các quy tắc với Chính sách nhóm và PowerShell.
Một lần nữa, bạn thực sự không nên chạm vào các tùy chọn này trừ khi bạn biết mình đang làm gì. Mặc định là hợp lý và được chọn vì một lý do.
Giao diện cung cấp một bản tóm tắt rất ngắn về những gì từng tùy chọn, nhưng bạn sẽ phải thực hiện một số nghiên cứu nếu bạn muốn biết thêm. Trước đây chúng tôi đã giải thích những gì DEP và ASLR làm ở đây.
Bạn không nên giả mạo các quy tắc tích hợp này cho các quy trình như runtimebroker.exe và spoolsv.exe. Microsoft đã thêm chúng vào một lý do.
Bạn có thể thêm các quy tắc tùy chỉnh cho các chương trình riêng lẻ bằng cách nhấp vào “Thêm chương trình để tùy chỉnh”. Bạn có thể "Thêm theo tên chương trình" hoặc "Chọn đường dẫn tệp chính xác", nhưng chỉ định đường dẫn tệp chính xác chính xác hơn nhiều.
Một lần nữa, bạn không nên chạm vào các tùy chọn này trừ khi bạn là quản trị viên hệ thống muốn khóa ứng dụng và bạn thực sự biết mình đang làm gì.
Không chỉ cố gắng hạn chế các ứng dụng một cách mù quáng, hoặc bạn sẽ gây ra các sự cố tương tự trên hệ thống của mình. Họ sẽ khó khắc phục nếu bạn không nhớ mình đã thay đổi các tùy chọn.
