Tính năng “Chặn các hành vi đáng ngờ” mới trong Windows 10 là gì?

Tác giả sysadmin, T.M.Một 02, 2022, 05:09:49 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tính năng "Chặn các hành vi đáng ngờ" mới trong Windows 10 là gì?


Bản cập nhật tháng 10 năm 2018 của Windows 10 bao gồm tính năng bảo mật mới "Chặn các hành vi đáng ngờ". Tính năng bảo vệ này bị tắt theo mặc định, nhưng bạn có thể bật tính năng bảo vệ này để bảo vệ PC của mình khỏi nhiều mối đe dọa.


1. "Chặn Hành vi Đáng ngờ" Làm gì?

Tính năng này có một cái tên khá mơ hồ. Tuy nhiên, tài liệu của Microsoft làm rõ rằng "Chặn các hành vi đáng ngờ" chỉ là một tên gọi thân thiện của "công nghệ giảm thiểu bề mặt tấn công của Bộ bảo vệ Khai thác Windows." Tính năng bảo mật này đã được giới thiệu trong Bản cập nhật dành cho người sáng tạo mùa thu, nhưng chỉ có sẵn trong Windows 10 Enterprise. Trong Bản cập nhật tháng 10 năm 2018, nó hiện có sẵn cho mọi người thông qua một tùy chọn trong Bảo mật Windows.

Khi bạn bật tính năng này, Windows 10 sẽ kích hoạt nhiều quy tắc bảo mật. Các quy tắc này vô hiệu hóa các tính năng thường chỉ được sử dụng bởi phần mềm độc hại, giúp bảo vệ PC của bạn khỏi bị tấn công.

Dưới đây là một số quy tắc giảm bề mặt tấn công:

  • Chặn nội dung có thể thực thi khỏi ứng dụng email và webmail
  • Chặn các ứng dụng Office tạo quy trình con
  • Chặn các ứng dụng Office tạo nội dung thực thi
  • Chặn các ứng dụng Office đưa mã vào các quy trình khác
  • Chặn JavaScript hoặc VBScript khởi chạy nội dung thực thi đã tải xuống
  • Chặn thực thi các tập lệnh có thể bị xáo trộn
  • Chặn lệnh gọi API Win32 từ macro Office
  • Chặn ăn cắp thông tin xác thực từ hệ thống con của cơ quan bảo mật cục bộ Windows (lsass.exe)
  • Khối tạo quy trình bắt nguồn từ lệnh PSExec và WMI
  • Chặn các quy trình không đáng tin cậy và không được đánh dấu chạy từ USB
  • Chặn các ứng dụng giao tiếp Office tạo quy trình con

Đây là những hành động đáng ngờ có thể được sử dụng bởi các ứng dụng độc hại. Ví dụ: các quy tắc này chặn các tệp thực thi đến qua email, ngăn các ứng dụng Office thực hiện những việc cụ thể và dừng các hành vi macro nguy hiểm. Với các quy tắc này được bật, Windows sẽ bảo vệ thông tin xác thực khỏi bị đánh cắp, ngăn không cho các tệp thực thi có vẻ đáng ngờ trên ổ USB chạy và từ chối chạy các tập lệnh được ngụy trang để truy cập phần mềm chống vi-rút.

Bạn sẽ tìm thấy danh sách đầy đủ các quy tắc giảm thiểu bề mặt tấn công trên trang web hỗ trợ của Microsoft. Các tổ chức có thể tùy chỉnh quy tắc nào được sử dụng thông qua chính sách nhóm, nhưng máy tính cá nhân tiêu dùng trung bình có một bộ quy tắc phù hợp với tất cả. Không rõ chính xác quy tắc nào được sử dụng khi bạn bật tùy chọn này trong Bảo mật Windows.

2. Đây là một phần của Windows Defender Exploit Guard

Attack Surface Reduction là một phần của Windows Defender Exploit Guard, cũng bao gồm Exploit Protection, Network Protection và Control Folder Access.

Điều quan trọng cần làm rõ— "Chặn Hành vi Đáng ngờ" không phải là tính năng giống như Bảo vệ Khai thác, bảo vệ PC của bạn chống lại nhiều kỹ thuật khai thác phổ biến. Ví dụ, Exploit Protection bảo vệ chống lại các kỹ thuật khai thác bộ nhớ phổ biến được sử dụng bởi các cuộc tấn công zero-day và chấm dứt bất kỳ quá trình nào sử dụng chúng. Khai thác Bảo vệ hoạt động giống như phần mềm Bộ công cụ Trải nghiệm Giảm nhẹ Nâng cao (EMET) của Microsoft. Attack Surface Reduction vô hiệu hóa các tính năng nguy hiểm tiềm ẩn ở cấp độ cao hơn.

Bảo vệ Khai thác được bật theo mặc định và bạn có thể tinh chỉnh nó từ nơi khác trong ứng dụng Bảo mật Windows. Giảm bề mặt tấn công hoặc "Chặn các hành vi đáng ngờ", chưa được bật theo mặc định.

3. Cách bật "Chặn các hành vi đáng ngờ"

Bạn có thể bật tính năng này từ ứng dụng Bảo mật Windows — trước đây có tên là Trung tâm Bảo mật của Bộ bảo vệ Windows.

Để tìm nó, hãy đi tới Cài đặt> Cập nhật & Bảo mật> Bảo mật Windows> Mở Bảo mật Windows hoặc chỉ cần khởi chạy phím tắt "Bảo mật Windows" từ menu Bắt đầu của bạn.


Nhấp vào tùy chọn "Bảo vệ chống vi-rút & mối đe dọa", sau đó nhấp vào liên kết "Quản lý cài đặt" trong phần "Cài đặt bảo vệ chống vi-rút và mối đe dọa".


Nhấp vào nút chuyển bên dưới "Chặn các hành vi đáng ngờ" để bật hoặc tắt tính năng này.


Nếu Chặn Hành vi Đáng ngờ chặn một hành động bạn cần thực hiện thường xuyên, bạn có thể quay lại đây và vô hiệu hóa nó. Tuy nhiên, các hành vi bị chặn không phổ biến trong việc sử dụng PC bình thường.