Hướng dẫn tuỳ chỉnh Windows Defender / Windows Firewall để tăng cường bảo mật trên Windows 10
IIIIIIIIIIII
một tháng trướcBình luận: 31Lượt xem: 5.462
Mình thấy trên diễn đàn có rất nhiều người sử dụng Windows Defender nên quyết định tạo một topic chia sẻ kinh nghiệm tuỳ chỉnh Windows Defender / Windows Firewall để tăng cường khả năng bảo mật.

Chú ý: Bài viết này chỉ dành cho người sử dụng máy tính cơ bản, những người cần bảo mật cao hơn nên dùng các phần mềm như Comodo Firewall hoặc VoodooShield.

Yêu cầu tối thiểu: Sử dụng Windows 10 Pro, Education, Enterprise phiên bản 1709 trở lên.

Phần I: Windows Defender


1. Bật Memory Integrity

Chú ý:
-Tính năng này không tương thích với các phần mềm sử dụng ảo hoá phần cứng trừ Hyper-V và VMWare 15.5.5 trở lên.
-Tính năng này sẽ làm giảm đáng kể hiệu năng của các bộ vi xử lý Intel Skylake và AMD Zen+ trở về trước.


Bước 1: Kích vào biểu tượng "Bảo mật Windows" ở góc dưới bên phải màn hình.
Bước 2: Kích vào "Bảo mật thiết bị"
Bước 3: Kích vào "Cách ly lõi"
Bước 4: Bật "Tính toàn vẹn bộ nhớ"


wd1.png

2. Bật tinh năng "Block at first sight"

Block at first sight (BaFS) là tính năng sử dụng đám mây để quét các tập tin thực thi download từ Internet. Windows Defender sẽ ngăn không cho tập tin chạy trong khoảng từ 10 đến tối đa 60 giây và upload lên đám mây. Sau khi có kết quả, Windows Defender sẽ cho tập tin chạy nếu an toàn hoặc tiếp tục chặn tập tin nếu là phần mềm độc hại.

BaFS chỉ hoạt động với tập tin có "Mark of the Web" (MotW). Tất cả các tập tin thực thi download từ trinh duyệt web đều sẽ có MotW. Tuy nhiên các phần mềm giản nén như 7-zip hay WinRAR sẽ làm mất MotW của các tập tin sau khi giải nén. Để BaFS hoạt động hiệu quả, bạn nên dùng Bandizip thay cho 7-zip hay WinRAR để giải nén.


Bước 1: Kích vào nút Start, gõ gpedit, sau đó Kích vào "Edit group policy
gp1.png
Bước 2: Đi theo đường dẫn: Computer Configuration > Administrative Templates > Windows Components > Windows Defender Antivirus
gp2.png

Bước 3: Kích vào MAPS, kích đúp chuột vào "Block at First Sight"
gp3.png

Bước 4: Kích vào Enable, Apply rồi OK.

3. Bật tính năng "Join Microsoft MAPS"

Chú ý: Join Microsoft MAPS (JMM) là tính năng bắt buộc phải bật nếu muốn sử dụng BaFS.

JMM sẽ gửi thông tin về phần mềm độc hại, gián điệp, phần mềm không mong muốn bao gồm vị trí của phần mềm, tên các tệp tin, cách thức phần mềm hoạt động và mức độ ảnh hưởng của nó lên máy tính đến Microsoft.

Bước 1: Kích đúp vào "Join Microsoft MAPS"
Bước 2: Kích vào Enable
Bước 3: Trong phần Options chuyển từ Disabled sang Advanced MAPS, Apply rồi OK.
gp4.png

4. Bật tính năng gửi mẫu virus

Tính năng náy sẽ upload tập tin lên đám mây để kiểm tra thêm khi cần, nên chọn "send all samples" để tăng khả năng phát hiện virus.

Bước 1: Kích đúp vào "Send file samples when further analysis is required"
Bước 2: Kích vào Enable
Bước 3: Trong phần Options, chuyển từ Always prompt sang Send all samples, Apply rồi OK.
gp5.png

5. Kéo dài thời gian kiểm tra tập tin trên đám mây

Tính năng này sẽ chặn không cho tập tin chạy tối đa 60 giây để upload tập tin lên và chờ kết quả phân tích virus từ đám mây. Thời gian càng nhiều thì kết quả sẽ càng chính xác.

Bước 1: Quay trở về thư mục Microsoft Defender Antivirus, kích vào MPEngine
Bước 2: Kích đúp vào "Configure extended cloud check"
Bước 3: Chọn Enable
Bước 4: Trong phần Options, chỉnh lên 50, ấn Apply rồi OK.

gp8.png

6. Tuỳ chỉnh mức độ bảo vệ của đám mây

Chú ý: Tính năng này sẽ khiến cho Windows Defender cảnh báo nhầm nhiều hơn, nếu là lập trình viên thì không nên sử dụng Zero Tolerance mà chỉ nên dùng High hoặc High+.

Tính năng này sẽ quyết định xem Windows Defender có tiếp tục chặn tập tin không sau khi có kết quả phân tích (sử dụng machine learning) của đám mây. Nếu chọn High hoặc High+, Windows Defender sẽ chặn tập tin có khả năng là virus, còn nếu chọn Zero Tolerance, Windows Defender sẽ cả những tập tin mà không thể xác định được tập tin đó có virus hay không.

Bước 1: Kích đúp vào "Select cloud protection level"
Bước 2: Chọn Enable
Bước 3: Trong phần Options, chọn Zero Tolerance blocking level

gp9.png

7. Thêm các quy tắc để giảm khả năng bị mã độc xâm nhập vào máy thông qua lỗ hổng bảo mật

Bước 1: Quay trở về thư mục Microsoft Defender Antivirus, kích vào Microsoft Defender Exploit Guard
Bước 2: Kích vào Attack Surface Reduction
Bước 3: Chọn Enable, rồi kích vào "Show..." trong phần Options

Bước 4: Thêm các quy tắc sau vào cột Value name:

BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550: Chặn các nội dung thực thi ở trong Email.
D4F940AB-401B-4EFC-AADC-AD5F3C50688A: Chặn Office tạo các tiến trinh con.
3B576869-A4EC-4529-8536-B80A7769E899: Chặn Office tạo ra nội dung thực thi.
75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84: Chặn Office "tiêm" mã lệnh vào các tiến trình khác.
D3E037E1-3EB8-44C8-A917-57927947596D: Ngăn không cho JavaScript và VBScript chạy tệp tin thực thi.
5BEB7EFE-FD9A-4556-801D-275E5FFC04CC: Chặn không cho các script có khả năng chứa mã độc được thực thi
92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B: Chặn không cho VBA macros gọi Win32 API.
D1E49AAC-8F56-4280-B9BA-993A6D77406C: Chặn việc tạo ra tiến trình từ PSExec và WMI.
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4: Chặn tập tin thực thi không đáng tin hoặc không có chữ ký số trong ổ đĩa di động (USB).
C1DB55AB-C21A-4637-BB3F-A12568109D35: Chống mã độc tống tiền nâng cao.
01443614-CD74-433A-B99E-2ECDC07BFC25: Chặn tập tin thực thi trừ khi nó phổ biến hoặc nằm trong danh sách đáng tin.
7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C: Chặn Adobe Reader tạo các tiến trình con.

Ở cột Value điền tất cả giá trị là 1.

Chú ý: 01443614-CD74-433A-B99E-2ECDC07BFC25 sẽ khiến cho Windows Defender cảnh báo nhầm nhiều hơn, tuy nhiên tính năng này có khả năng bảo vệ máy tính khỏi virus chưa có trong cơ sở dữ liệu nên mình vẫn quyết định bật nó lên. Nếu là lập trình viên thì không nên sử dụng tính năng này
gp6.png

Phần II: Windows Firewall

Bước 1: Kích vào biểu tượng "Bảo mật Windows" ở góc dưới bên phải màn hình.
Bước 2: Kích vào "Tường lửa và bảo vệ mạng", kích vào "Cài đặt nâng cao"
fw3.5.png
Bước 3: Kích vào "Outbound Rules", ấn vào "New Rule..." ở cột bên phải.
fw4.png
Bước 4: Ở mục "Rule Type" không làm gì cả, ấn next
Bước 5: Đến mục Program, copy 1 dòng trong danh sách phía dưới vào "This program path:" rồi ấn next cho đến mục "Name".
fw5.png
Bước 6: Đặt tên cho quy tắc rồi ấn "Finish"
fw6.png
Bước 7: Làm lại từ bước 1 đến 6 cho khi hết danh sách ở phía dưới.

Tạo quy tắc tường lửa để chặn không cho các tiến trình sau kết nối Internet:

C:\Windows\System32\bash.exe
C:\Windows\System32\certutil.exe
C:\Windows\System32\cscript.exe
C:\Windows\System32\mhsta.exe
C:\Windows\System32\msiexec.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\wbem\wmic.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\certutil.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\SysWOW64\mhsta.exe
C:\Windows\SysWOW64\msiexec.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\SysWOW64\wbem\wmic.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell_ise.exe


Ở trên là danh sách các công cụ trong Windows mà người dùng cơ bản gần như chẳng bao giờ dùng đến nhưng lại được sử dụng với mục đích xấu như: tải và cài đặt phần mềm độc hại, thực thi mã độc, vượt qua User Access Control, vượt qua tính năng bảo vệ Windows Defender Access Control.

Việc chặn bằng Firewall không thể ngăn phần mềm độc hại chạy trên máy tính, tuy nhiên nó sẽ chặn không cho kết nối Internet.Trong trường hợp bị nhiễm mã độc tống tiền, do mã độc không thể kết nối Internet nên việc khôi phục các tệp tin bị mã hoá là rất dễ dàng.
Tags:windows
- hôm bữa có chỉnh "bảo vệ folder", folder protection, mỗi lần cần lưu trên ổ đó phải chạy vào cho phép chương trình đang ghi trong WD, hơi phiền tý nhưng mà an tâm.
@Kilo Victor Chức năng protect folder để làm gì vậy bác? Mỗi lần mở máy lên là nó thông báo ,cũng thấy hơi sợ
@bourne6372 - là bạn có gì trong folder đó quan trọng muốn không bị thay đổi bởi 1 chương trình nào khác ngoài bạn hoặc bạn cho phép. Như dữ liệu quan trọng, phim ảnh cá nhân, tài liệu mật...
- chương trình nào "muốn" viết/ghi/thay đổi vào folder đó phải được sự chấp nhận của bạn
- chống lại ransomware, vv, mã khóa/hóa dữ liệu hoặc con vi rút nào đó tìm cách chỉnh sửa.
@Kilo Victor Vậy mình protect thư mục nào là nó sẽ miễn dịch với virus phải không bác?
@bourne6372 hy vọng là vậy, mình tin tưởng thì để windows defender nó làm nhưng... nếu có dữ liệu quan trọng thì sao lưu ra nhiều nơi ngoài máy, chứa trên mây. Cửa ngõ nào dù kiên cố mấy cũng có cách "phá".
Cảm ơn bạn thớt 😁 Bài dài cứ viết thành nhiều phần cho thoải mái 😆
@Duy Luân Mình lúc mới đọc thì hào hứng, đọc đến khúc làm giảm hiệu năng trên Zen+ thì hết hứng luôn, đang dùng Zen+ r5 2600
khá hữu ích
Bài nay quá
Đọc xong hoa cả mắt, thôi kệ vậy
@pnbc cài kaspersky cho khỏe người. Windows defense update liên tục nuốt tài nguyên nhiều
Cảm ơn bài viết, người dùng cơ bản có thể khó hiểu.
Windows dễ sử dụng nhưng cũng rất phức tạp và nâng cao
Làm hết các bước trên thì k khác gì biến máy tính đang dùng bình thường trở thành sandbox.

Kinh nghiệm của mình nếu buộc phải dùng phần mềm cờ rắc hoặc phải truy cập trang web lạ thì chạy trên máy ảo.
@from team b with love Khi mình viết bài này, mình đã suy nghĩ rất nhiều về việc nên chặn cái gì và không nên chặn cái gì để giảm số lượng cảnh báo nhầm xuống mức thấp nhất có thể. Những tính năng có thể khiến cho người dùng khó chịu thì mình đều đã ghi trong phần chú ý, người đọc sẽ tự quyết định xem có nên dùng tính năng đó hay không.
mình chỉ cần enable all cái defen và cài exténion cho chrome là ok, cơ bản dùngmãi chưa thấy virus
😁 Khá chi tiết
Từ tuần trước up lên win 2004 thì thằng này phiền phức quá đáng. Giờ block cả torent, réo suốt ngày. Allow rồi vẫn kêu réo. Tắt đi thì cũng không an tâm
@nightwish47 năm 2020 mà vẫn còn torrent à
@chocchocucmanh vẫn còn nhiều nha 😁
Dùng máy tính chỉ để xem sex tắt hết cho nhẹ máy
Không dể làm gì. phải đánh đổi hiệu năng thì đi mua pm diệt virus cho nhanh
Dùng mặc định khá tốt
tui toàn tắt đi để cài .....@@
Nghe đến cái vụ làm giảm hiệu năng là không có nhu cầu rồi
Cảm ơn bác đã đóng góp
Đọc xong lú luôn
Hay, rất hữu ích !
  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2020 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019