4 cài đặt bảo mật trong Windows mà tin tặc hy vọng bạn không tìm thấy

Mọi người luôn lo lắng về bảo mật máy tính. Nhưng qua nhiều năm, Windows đã thực sự nâng cấp hệ thống với một số tính năng bảo vệ mạnh mẽ mà hầu hết mọi người đều bỏ qua.

Những cài đặt bảo mật này vẫn nằm đó, không được sử dụng. Quan trọng hơn, tội phạm mạng đang trông chờ bạn không phát hiện ra chúng.

4. Windows Sandbox

Giữ các file đáng ngờ tránh xa hệ thống của bạn

Windows Sandbox tạo ra một môi trường ảo hoàn toàn biệt lập, nơi bạn có thể kiểm tra các file đáng ngờ mà không gây nguy hiểm cho hệ thống chính của mình.

Khi tải xuống một file đáng ngờ, bạn có thể chạy nó trong sandbox trước. Nếu đó là phần mềm độc hại, thiệt hại sẽ được giữ lại và mọi thứ sẽ được xóa sạch khi bạn hoàn tất.

Tuy nhiên, tính năng này chỉ hoạt động trên Windows 10 Pro hoặc Windows 11 Pro. Nếu đang chạy phiên bản Home, bạn sẽ cần sử dụng các công cụ sandbox trực tuyến miễn phí. Dưới đây là cách bật Windows Sandbox:

• Nhấn Windows + R để mở hộp thoại Run, sau đó nhập appwiz.cpl và nhấn Enter.
• Nhấp vào Turn Windows features on or off ở bên trái.
• Đánh dấu vào ô bên cạnh Windows Sandbox.
• Khởi động lại máy tính khi được nhắc.

Ngoài ra, còn có nhiều cách khác để bật và thiết lập Windows Sandbox trong Windows 11. Sau khi bật, bạn có thể khởi chạy Sandbox từ menu Start.

Nó sẽ khởi động một phiên bản Windows sạch chỉ trong vài giây mỗi lần bạn mở. Sau đó, bạn có thể tải xuống file đính kèm email đó, kiểm tra phần mềm hoặc nhấp vào liên kết đáng ngờ - nếu có sự cố, chỉ cần đóng Sandbox và mối đe dọa sẽ biến mất.

3. Core Isolation

Ngăn chặn phần mềm độc hại nâng cao ngay từ đầu

Core Isolation sử dụng phần cứng máy tính để tạo một rào cản an toàn xung quanh các tiến trình quan trọng nhất của Windows. Thành phần chính, Memory Integrity, ngăn chặn tin tặc đưa mã độc vào bộ nhớ hệ thống, đây là một thủ thuật ưa thích của phần mềm độc hại nâng cao.

Tính năng này sử dụng bảo mật dựa trên ảo hóa (VBS) để cô lập các hoạt động nhạy cảm khỏi phần còn lại của hệ thống. Ngay cả khi phần mềm độc hại xâm nhập được vào máy tính, nó cũng không thể can thiệp vào các tiến trình kernel được bảo vệ. Dưới đây là cách bật Memory Integrity:

• Nhấn Windows + I để mở Settings, sau đó điều hướng đến Privacy & Security từ thanh bên trái.
• Nhấp vào Windows Security trong bảng điều khiển chính và chọn Device Security.
• Tìm mục Core Isolation và sau đó bật Memory Integrity.
• Nhấp vào Restart now ngay khi Windows nhắc bạn khởi động lại hệ thống.

Ưu điểm lớn nhất của Core Isolation là khả năng chặn các cuộc tấn công ở cấp độ kernel mà phần mềm diệt virus truyền thống có thể bỏ sót. Tính năng này hoạt động song song với phần mềm bảo mật hiện có như một phần của hệ thống phòng thủ tích hợp của Windows.

Tuy nhiên, vẫn có một số nhược điểm cần cân nhắc. Driver cũ hơn có thể gây ra sự cố tương thích và bạn có thể thấy hiệu suất giảm nhẹ khi chơi game hoặc sử dụng các ứng dụng ngốn nhiều CPU. Tính năng này cũng yêu cầu phần cứng hiện đại có hỗ trợ ảo hóa, vì vậy máy tính cũ sẽ không thể sử dụng được.

Nếu nút bật/tắt Memory Integrity bị mờ, hệ thống của bạn có thể cần cập nhật driver hoặc thay đổi BIOS. Với việc bảo mật Windows ngày càng được cải thiện nhờ các tính năng như vậy, bạn không cần cài đặt phần mềm diệt virus trên Windows 11, mặc dù điều đó còn tùy thuộc vào thói quen duyệt web của bạn.

2. App and Browser Control

Ngăn chặn các bản tải xuống nguy hiểm

App and Browser Control là hệ thống bảo vệ web tích hợp của Windows, giúp ngăn chặn các bản tải xuống độc hại trước khi chúng đến máy tính của bạn. SmartScreen phân tích các file, trang web và ứng dụng dựa trên cơ sở dữ liệu mối đe dọa của Microsoft theo thời gian thực.

Tính năng này hoạt động trên nhiều lớp - trình duyệt, file tải xuống và thậm chí cả ứng dụng Microsoft Store. Khi bạn cố gắng tải xuống thứ gì đó đáng ngờ, SmartScreen sẽ hiển thị cảnh báo hoặc chặn hoàn toàn.

Hầu hết mọi người gặp phải SmartScreen khi nó chặn các phần mềm hợp pháp bằng thông báo "Windows đã bảo vệ máy tính của bạn". Nhiều người sẽ muốn tắt nó đi, nhưng đó chính xác là điều mà tin tặc mong muốn bạn làm. Dưới đây là cách cấu hình App and Browser Control đúng cách:

• Mở Windows Security thông qua Settings > Privacy & Security > Windows Security.
• Nhấp vào App & browser control từ bảng điều khiển chính.
• Trong Reputation-based protection, hãy nhấp vào Reputation-based protection settings.
• Đảm bảo rằng tùy chọn Check apps and files được bật để bảo vệ tải xuống.
• Bật SmartScreen for Microsoft Edge nếu bạn sử dụng trình duyệt Edge.
• Bật tính năng Potentially unwanted app blocking để chặn phần mềm đi kèm phần mềm độc hại.

Cài đặt "Potentially unwanted app blocking" (Chặn ứng dụng không mong muốn) rất tiện dụng vì nó phát hiện những thanh công cụ và phần mềm tối ưu hóa hệ thống được cài đặt lén lút thông qua các phần mềm tải xuống hợp pháp.

SmartScreen không hoàn hảo, nhưng nó phát hiện một lượng lớn phần mềm độc hại mà các chương trình diệt virus truyền thống bỏ sót. Phương pháp dựa trên điện toán đám mây có nghĩa là các bản cập nhật bảo vệ diễn ra ngay lập tức, chứ không phải trong những bản cập nhật định nghĩa theo lịch trình.

Bạn có thể tạm thời bỏ qua cảnh báo của SmartScreen đối với phần mềm đáng tin cậy, nhưng hãy tránh biến điều này thành thói quen.

1. Controlled Folder Access

Chặn Ransomware

Tính năng bảo mật này là câu trả lời của Windows cho các cuộc tấn công ransomware. Controlled Folder Access tạo ra một lá chắn bảo vệ xung quanh các thư mục quan trọng nhất của bạn, chẳng hạn như tài liệu, ảnh, desktop và những thư mục khác, ngăn chặn các ứng dụng trái phép thực hiện thay đổi.

Tính năng này hoạt động dựa trên nguyên tắc danh sách trắng. Chỉ những ứng dụng đáng tin cậy mới có thể sửa đổi các thư mục được bảo vệ, trong khi mọi thứ khác đều bị chặn. Khi ransomware cố gắng mã hóa các file của bạn, nó sẽ gặp phải rào cản.

Ransomware thường nhắm mục tiêu vào các thư mục người dùng trước tiên vì đó là nơi chứa dữ liệu quý giá của bạn, nhưng Controlled Folder Access sẽ ngăn chặn hành vi này.

Sau đây là cách bật tính năng này trong cài đặt Windows:

• Mở Windows Security thông qua Settings > Privacy & Security > Windows Security.
• Điều hướng đến mục Virus & Threat Protection từ menu chính.
• Cuộn xuống và nhấp vào Manage ransomware protection.
• Bật tùy chọn Controlled Folder Access.
• Sau đó, nhấp vào Protected folders để xem những thư mục nào được bảo mật theo mặc định.
• Sử dụng tùy chọn Allow an app through Controlled folder access để đưa các chương trình đáng tin cậy vào danh sách cho phép.

Bạn cần phải tự tay phê duyệt các ứng dụng hợp pháp muốn truy cập vào những thư mục được bảo vệ. Điều này thoạt đầu có vẻ phiền phức, nhưng hãy luôn bật tính năng bảo vệ chống ransomware trên Windows vì đây là một trong những biện pháp phòng vệ hiệu quả nhất chống lại phần mềm độc hại mã hóa file.

Tính năng này giám sát hoạt động của hệ thống file theo thời gian thực; do đó, phương pháp này không dựa vào chữ ký phần mềm độc hại. Một số ứng dụng năng suất có thể gây ra cảnh báo sai ban đầu, nhưng bạn có thể dễ dàng thêm chúng vào danh sách cho phép.

Những tính năng bảo mật này đã tồn tại trong Windows từ lâu. Chỉ cần dành 10 phút để kích hoạt các biện pháp bảo vệ này có thể giúp bạn tránh khỏi một cuộc tấn công ransomware hoặc nhiễm phần mềm độc hại gây thiệt hại lớn. Chắc chắn bạn sẽ thầm cảm ơn bản thân mình sau này.