“Ngăn chặn hành vi đáng ngờ” làm gì?
Tính năng này có một cái tên khá mơ hồ. Tuy nhiên, tài liệu của Microsoft làm rõ rằng "Chặn hành vi đáng ngờ" chỉ là một cái tên thân thiện cho công nghệ giảm thiểu tấn công Windows Defender Exploit Guard. "Tính năng bảo mật này đã được giới thiệu trong Bản cập nhật dành cho người sáng tạo mùa thu, nhưng chỉ có sẵn trong Windows 10 Enterprise. Trong Bản cập nhật tháng 10 năm 2018, bản cập nhật này hiện khả dụng với mọi người qua tùy chọn trong Windows Security.
Khi bạn bật tính năng này, Windows 10 sẽ kích hoạt nhiều quy tắc bảo mật khác nhau. Những quy tắc này vô hiệu hóa các tính năng thường chỉ được sử dụng bởi phần mềm độc hại, giúp bảo vệ máy tính của bạn không bị tấn công.
Dưới đây là một số quy tắc giảm bề mặt tấn công:
- Chặn nội dung có thể thực thi từ ứng dụng email và email trực tuyến
- Chặn các ứng dụng Office từ việc tạo các tiến trình con
- Chặn các ứng dụng Office từ việc tạo nội dung có thể thực thi
- Chặn các ứng dụng Office từ việc tiêm mã vào các quy trình khác
- Chặn JavaScript hoặc VBScript từ khởi chạy nội dung có thể tải xuống được tải xuống
- Chặn thực thi các tập lệnh có khả năng bị làm mờ
- Chặn cuộc gọi API Win32 từ macro Office
- Chặn đánh cắp chứng chỉ từ hệ thống con của cơ quan bảo mật cục bộ Windows (lsass.exe)
- Chặn quá trình sáng tạo có nguồn gốc từ lệnh PSExec và WMI
- Chặn các quá trình không đáng tin cậy và chưa được ký chạy từ USB
- Chặn các ứng dụng truyền thông Office từ việc tạo các tiến trình con
Đây là những hành động đáng ngờ có thể được các ứng dụng độc hại sử dụng. Ví dụ, các quy tắc này chặn các tệp thực thi đến bằng email, ngăn các ứng dụng Office làm những việc cụ thể và dừng các hành vi macro nguy hiểm. Với các quy tắc này được kích hoạt, Windows bảo vệ thông tin đăng nhập khỏi hành vi trộm cắp, dừng các tệp thực thi đáng ngờ trên ổ USB khi chạy và từ chối chạy các tập lệnh trông ngụy trang để có được phần mềm chống vi-rút.
Bạn sẽ tìm thấy danh sách đầy đủ các quy tắc giảm bề mặt tấn công trên trang web hỗ trợ của Microsoft. Các tổ chức có thể tùy chỉnh quy tắc nào được sử dụng thông qua chính sách nhóm, nhưng máy tính tiêu dùng trung bình nhận được một bộ quy tắc một kích thước phù hợp. Không rõ chính xác quy tắc nào được sử dụng khi bạn bật tùy chọn này trong Windows Security.
Đây là một phần của Windows Defender Exploit Guard
Attack Surface Reduction là một phần của Windows Defender Exploit Guard, cũng bao gồm Khai thác bảo vệ, Bảo vệ mạng và Kiểm soát truy cập thư mục.
Điều quan trọng là phải làm rõ- “Chặn Hành vi đáng ngờ” không phải là tính năng giống như Bảo vệ Khai thác, bảo vệ PC của bạn chống lại một loạt các kỹ thuật khai thác phổ biến. Ví dụ, Khai thác bảo vệ bảo vệ chống lại các kỹ thuật khai thác bộ nhớ phổ biến được sử dụng bởi các cuộc tấn công zero-day và chấm dứt bất kỳ quá trình sử dụng chúng. Khai thác bảo vệ hoạt động giống như phần mềm Bộ công cụ giảm thiểu kinh nghiệm (EMET) của Microsoft. Giảm bề mặt tấn công vô hiệu hóa các tính năng nguy hiểm tiềm ẩn ở cấp độ cao hơn.
Khai thác bảo vệ được kích hoạt theo mặc định, và bạn có thể tinh chỉnh nó từ những nơi khác trong ứng dụng Windows Security. Giảm bề mặt tấn công hoặc “Chặn hành vi đáng ngờ” chưa được bật theo mặc định.
Cách bật "Chặn hành vi đáng ngờ"
Bạn có thể kích hoạt tính năng này từ ứng dụng Windows Security - trước đây được đặt tên là Windows Defender Security Center.
Để tìm nó, hãy vào Cài đặt> Cập nhật & Bảo mật> Bảo mật Windows> Mở Windows Security hoặc chỉ khởi chạy lối tắt “Windows Security” từ trình đơn Bắt đầu của bạn.
