Tìm hiểu về kẻ "Gác đền - Windows Security" cho Windows OS

Phần lớn các cuộc tấn công vào Windows - Hệ điều hành đều bắt nguồn từ việc khai thác lỗ hổng về cách quản lý bộ nhớ của các phần mềm mà người dùng tự cài vào.

Vì vậy, Microsoft không thể để các phần mềm mà họ không làm ra ảnh hưởng đến người dùng cũng như danh tiếng của Microsoft được.

Cũng chính vì vậy mà thay vì chờ đợi các nhà phát triển phần mềm tích hợp bảo mật bộ nhớ vào bên trong sản phẩm thì Microsoft đã đi trước một bước bằng việc tạo một lớp bảo mật ở cấp độ hệ điều hành (đó không phải là một phần mềm bảo mật mà chúng ta phải cài thêm hay có thể gỡ bỏ).

Công cụ bảo mật này thì có lẽ ai sử dụng Windows cũng đều biết rồi, nó mang tên Windows Security (hay tên cũ là Windows Defender) !

#1. Hiểu thêm về Windows Security

Nếu như trước đây thì Windows Security được biết đến là một phần mềm diệt virus miễn phí và thường được xếp hạng thấp hơn so với các chương trình bảo mật thương mại khác như: Kaspersky, ESET, AVG, Symatec,…

Nhưng kể từ khi hệ điều hành Windows 10 xuất hiện cho đến nay thì Windows Security dần trở thành một thành phần cốt lõi của hệ điều hành Windows (bài viết này mình đang đề cập đến Windows Defender Exploit Guard, 1 thành phần của Windows Security chỉ có trên bản Windows Pro/ Enterprise).

Vậy Exploit Guard trên Windows nó hoạt động như thế nào?

Exploit Guard trên Windows thì nó là tập hợp những cơ chế bảo mật nhằm giảm thiểu khả năng người dùng Windows bị tấn công:

• Attack Surface Reduction Rules: Giúp ngăn chặn virus/ malware ngay từ khi được gửi vào máy (chẳng hạn như các macro độc hại của bộ ứng dụng Office gửi đến hộp thư Email của người dùng).
• Network Protection: Quét lưu lượng traffic mạng nhằm phát hiện các hoạt động gửi/ nhận data của malware.
• Controlled Folder Access: Hỗ trợ phát hiện và ngăn chặn việc thay đổi các file quan trọng (như file tài liệu, file word, hình ảnh, file hệ thống,…) từ virus như virus tống tiền Ransomeware chẳng hạn.
• Exploit Protection (EP): Thay thế cho Enhanced Mitigation Experience Toolkit (EMET) cũ, EP bổ sung thêm các biện pháp phòng chống khai thác lỗ hỗng, ví dụ đối với “chống khai thác bộ nhớ” thì có: DEP (Data Execution Prevention) và ASLR (Address Space Layout Randomization).

Ngoài những cải tiến về cơ chế bảo mật so với người tiền nhiệm EMET thì Exploit Protection còn tích hợp với GPO, việc này giúp ích rất nhiều cho quản trị viên bởi GPO là công cụ đắc lực để quản lý hệ toàn bộ hệ thống mạng Windows.

Sau khi cài đặt các thành phần của Exploit Protection: DEP, ASLR, SEHOP trên một máy tính mẫu thì admin có thể xuất (export) các cài đặt này ra file xml rồi sử dụng GPO deploy cài đặt mẫu chứa trong file xml này đến toàn bộ các máy mong muốn.

Ngoài ra, với Windows PowerShell thì admin có thể trực tiếp kết nối đến máy người dùng và điều chỉnh các cài đặt một cách cực kỳ nhanh chóng.

#2. Các thành phần trong trung tâm bảo mật Windows Security

Virus and threat protection trên Windows Security

Tùy chọn quét (Scan Options): Ngoài quét nhanh, đầy đủ và tùy chỉnh, quan trọng nhất là quét ngoại tuyến Windows Defender. Phương pháp này có khả năng loại bỏ phần mềm độc hại, rất khó để loại bỏ, đặc biệt là kết nối với internet hoặc khi ở chế độ bình thường.

Cài đặt bảo vệ (Protection Settings): Đây là phần quan trọng nhất của trung tâm bảo vệ Windows Security. Nó cung cấp bảo vệ thời gian thực, bảo vệ trên nền tảng đám mây, gửi mẫu tự động, bảo vệ giả mạo, truy cập thư mục điều khiển, loại trừ và điều khiển thông báo. Trong tất cả những điều này, hãy đảm bảo bật Tamper Protection để không có phần mềm nào khác có thể thay đổi cài đặt Windows Security.

Bảo vệ trước mã độc (Ransomware Protection): Tiếp theo là Controlled Folder Access, truy cập thư mục được kiểm soát. Đây là điều bắt buộc đối với tất cả người dùng Windows. Bạn có thể sử dụng điều này để bảo vệ các tệp, thư mục và vùng nhớ khỏi các chương trình tìm kiếm quyền truy cập mà không được phép. Mặc dù điều này có thể hơi phiền khi nhắc bạn thường xuyên, nhưng điều đó vì lợi ích của bạn. Controlled Folder Access cùng với Ransomware data recovery/ phục hồi dữ liệu Ransomware được kết nối với OneDrive. Đảm bảo các tệp có thể được phục hồi trong trường hợp bị tấn công bởi mã độc nguy hại.

Account Protection trên Windows Security

Phần này cung cấp quyền truy cập nhanh tới các cài đặt quan trọng liên quan đến tài khoản của bạn. Vì vậy, nó chỉ đơn thuần là một bảng điều khiển bao gồm Microsoft Account, Windows Hello, và Dynamic Lock.

Firewall and network protection trên Windows Security

Tại mục này, bạn có thể cấu hình ai và những gì có thể truy cập mạng của bạn bằng cách thay đổi cài đặt Domain Network, Private Network, và Public Network. Click vào từng mục, bạn có thể cấu hình Windows Defender Firewall được bật và khi tất cả các kết nối đến từ bên trong sẽ bị khóa.

Sau đó, bạn có thể thiết lập các liên kết để mở trực tiếp các cài đặt truyền thống sau:

• Cho phép một ứng dụng qua tường lửa (Firewall)
• Khắc phục lỗi mạng và Internet (Network and Internet troubleshooter)
• Cài đặt thông báo Firewall
• Cài đặt nâng cao
• Khôi phục các tường lửa về mặc định

App and browser control – Kiểm soát ứng dụng và trình duyệt

Phần này quản lý bảo vệ ứng dụng và bảo mật trực tuyến. Trên một góc nhìn rộng hơn, bạn có những điều sau đây:

• SmartScreen
• Các ứng dụng và Tệp.
• Microsoft Edge
• Microsoft Store Apps
• Isolated Browsing
• Exploit Protection

Bạn nên để cài đặt SmartScreen bật Cảnh báo cho cả ba nội dung. Giúp người dùng an toàn hơn khi duyệt web và tải các nội dung từ Internet. SmartScreen sẽ đưa ra cảnh báo khi bạn truy cập vào các trang có rủi ro về bảo mật, khả năng đánh cắp thông tin. Thậm chí là lừa đảo trực tuyến. Và quan trọng hơn là thiết lập Isolated Browsing và Exploit Protection.

Isolated browsing sẽ đảm bảo Windows Defender Application Guard mở Microsoft Edge trong môi trường trình duyệt cô lập. Điều này giúp bảo vệ máy tính khỏi malware. Exploit Protection tương tự như UAC, giúp đảm bảo chỉ chạy các ứng dụng khi có quyền quản trị admin.

Device Security – Bảo mật thiết bị

Đây là một tính năng bảo mật phần cứng và nếu thiết bị có hỗ trợ, bạn có thể truy cập từ đây. Nếu bạn thấy thông báo”Your device meets the requirements for standard hardware security”, thì đó là máy tính dùng chíp bảo vệ TPM 2.0, bật khởi động an toàn, DEP hoặc UEFI MAT có sẵn trong hệ thống.

Nó cung cấp quyền truy cập vào:

• Core isolation: Cung cấp bảo vệ tăng cường chống lại malware và các tấn công khác bằng cách cô lập các tiến trình máy tính khỏi hệ điều hành và thiết bị.
• Memory integrity giúp ngăn chặn mã độc truy cập các tiến trình bảo mật cao.
• Secure boot giúp ngăn chặn malware khỏi bị lây nhiễm ngay từ khi khởi chạy (boot) hệ thống.
• The security processor cung cấp các tính năng mã hóa nâng cao.

Device performance and health – Tình trạng thiết bị

Phần này cung cấp cho người dùng cái nhìn tổng quan về tình trạng thiết bị đang hoạt động. Một báo cáo có sẵn trong đó chia sẻ các vấn đề liên quan đến lưu trữ, ứng dụng và phần mềm và Windows Time Service.

Family Options – Tùy chọn Gia đình

Phần cuối cùng là Tùy chọn Gia đình. Một tính năng hưu ích giúp phụ huynh yên tâm hơn khi con trẻ sử dụng thiết bị số để online. Bạn có thể thiết lập thói quen thời gian trên màn hình, theo dõi những gì đang duyệt và cũng cho phép con bạn mua ứng dụng và trò chơi.

Windows Security trên Windows cung cấp một gói hoàn chỉnh cho phép bạn kiểm soát các khía cạnh bảo mật của máy tính. Ngay từ khi duyệt đến bảo mật phần cứng máy tính đến kiểm soát của phụ huynh.

#3. Kết luận

Như vậy như các bạn đã thấy, với những bộ óc đầy sạn của Microsoft đã xây dựng và tạo lên một kẻ Gác đền tuyệt với là Windows Security giúp bảo vệ cho máy tính của bạn khỏi những cuộc tấn công và an toàn. Và hơn nữa nó hoàn toàn miễn phí.