Hướng dẫn tuỳ chỉnh Windows Defender/Windows Firewall để tăng cường bảo mật trên Windows 10

Mình thấy trên diễn đàn có rất nhiều người sử dụng Windows Defender nên quyết định tạo một topic chia sẻ kinh nghiệm tuỳ chỉnh Windows Defender / Windows Firewall để tăng cường khả năng bảo mật.

Chú ý: Bài viết này chỉ dành cho người sử dụng máy tính cơ bản, những người cần bảo mật cao hơn nên dùng các phần mềm như Comodo Firewall hoặc VoodooShield.
Yêu cầu tối thiểu: Sử dụng Windows 10 Pro, Education, Enterprise phiên bản 1709 trở lên.

Phần I: Windows Defender

1. Bật Memory Integrity

Chú ý:
-Tính năng này không tương thích với các phần mềm sử dụng ảo hoá phần cứng trừ Hyper-V và VMWare 15.5.5 trở lên.
-Tính năng này sẽ làm giảm đáng kể hiệu năng của các bộ vi xử lý Intel Skylake và AMD Zen+ trở về trước.

Bước 1: Kích vào biểu tượng "Bảo mật Windows" ở góc dưới bên phải màn hình.
Bước 2: Kích vào "Bảo mật thiết bị"
Bước 3: Kích vào "Cách ly lõi"
Bước 4: Bật "Tính toàn vẹn bộ nhớ"



2. Bật tinh năng "Block at first sight"

Block at first sight (BaFS) là tính năng sử dụng đám mây để quét các tập tin thực thi download từ Internet. Windows Defender sẽ ngăn không cho tập tin chạy trong khoảng từ 10 đến tối đa 60 giây và upload lên đám mây. Sau khi có kết quả, Windows Defender sẽ cho tập tin chạy nếu an toàn hoặc tiếp tục chặn tập tin nếu là phần mềm độc hại.

BaFS chỉ hoạt động với tập tin có "Mark of the Web" (MotW). Tất cả các tập tin thực thi download từ trinh duyệt web đều sẽ có MotW. Tuy nhiên các phần mềm giản nén như 7-zip hay WinRAR sẽ làm mất MotW của các tập tin sau khi giải nén. Để BaFS hoạt động hiệu quả, bạn nên dùng Bandizip thay cho 7-zip hay WinRAR để giải nén.

Bước 1: Kích vào nút Start, gõ gpedit, sau đó Kích vào "Edit group policy

Bước 2: Đi theo đường dẫn: Computer Configuration > Administrative Templates > Windows Components > Windows Defender Antivirus


Bước 3: Kích vào MAPS, kích đúp chuột vào "Block at First Sight"


Bước 4: Kích vào Enable, Apply rồi OK.

3. Bật tính năng "Join Microsoft MAPS"

Chú ý: Join Microsoft MAPS (JMM) là tính năng bắt buộc phải bật nếu muốn sử dụng BaFS.

JMM sẽ gửi thông tin về phần mềm độc hại, gián điệp, phần mềm không mong muốn bao gồm vị trí của phần mềm, tên các tệp tin, cách thức phần mềm hoạt động và mức độ ảnh hưởng của nó lên máy tính đến Microsoft.

Bước 1: Kích đúp vào "Join Microsoft MAPS"
Bước 2: Kích vào Enable
Bước 3: Trong phần Options chuyển từ Disabled sang Advanced MAPS, Apply rồi OK.


4. Bật tính năng gửi mẫu virus

Tính năng náy sẽ upload tập tin lên đám mây để kiểm tra thêm khi cần, nên chọn "send all samples" để tăng khả năng phát hiện virus.

Bước 1: Kích đúp vào "Send file samples when further analysis is required"
Bước 2: Kích vào Enable
Bước 3: Trong phần Options, chuyển từ Always prompt sang Send all samples, Apply rồi OK.


5. Kéo dài thời gian kiểm tra tập tin trên đám mây

Tính năng này sẽ chặn không cho tập tin chạy tối đa 60 giây để upload tập tin lên và chờ kết quả phân tích virus từ đám mây. Thời gian càng nhiều thì kết quả sẽ càng chính xác.

Bước 1: Quay trở về thư mục Microsoft Defender Antivirus, kích vào MPEngine
Bước 2: Kích đúp vào "Configure extended cloud check"
Bước 3: Chọn Enable
Bước 4: Trong phần Options, chỉnh lên 50, ấn Apply rồi OK.



6. Tuỳ chỉnh mức độ bảo vệ của đám mây

Chú ý: Tính năng này sẽ khiến cho Windows Defender cảnh báo nhầm nhiều hơn, nếu là lập trình viên thì không nên sử dụng Zero Tolerance mà chỉ nên dùng High hoặc High+.

Tính năng này sẽ quyết định xem Windows Defender có tiếp tục chặn tập tin không sau khi có kết quả phân tích (sử dụng machine learning) của đám mây. Nếu chọn High hoặc High+, Windows Defender sẽ chặn tập tin có khả năng là virus, còn nếu chọn Zero Tolerance, Windows Defender sẽ cả những tập tin mà không thể xác định được tập tin đó có virus hay không.

Bước 1: Kích đúp vào "Select cloud protection level"
Bước 2: Chọn Enable
Bước 3: Trong phần Options, chọn Zero Tolerance blocking level



7. Thêm các quy tắc để giảm khả năng bị mã độc xâm nhập vào máy thông qua lỗ hổng bảo mật

Bước 1: Quay trở về thư mục Microsoft Defender Antivirus, kích vào Microsoft Defender Exploit Guard
Bước 2: Kích vào Attack Surface Reduction
Bước 3: Chọn Enable, rồi kích vào "Show..." trong phần Options
Bước 4: Thêm các quy tắc sau vào cột Value name:

BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550: Chặn các nội dung thực thi ở trong Email.
D4F940AB-401B-4EFC-AADC-AD5F3C50688A: Chặn Office tạo các tiến trinh con.
3B576869-A4EC-4529-8536-B80A7769E899: Chặn Office tạo ra nội dung thực thi.
75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84: Chặn Office "tiêm" mã lệnh vào các tiến trình khác.
D3E037E1-3EB8-44C8-A917-57927947596D: Ngăn không cho JavaScript và VBScript chạy tệp tin thực thi.
5BEB7EFE-FD9A-4556-801D-275E5FFC04CC: Chặn không cho các script có khả năng chứa mã độc được thực thi
92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B: Chặn không cho VBA macros gọi Win32 API.
D1E49AAC-8F56-4280-B9BA-993A6D77406C: Chặn việc tạo ra tiến trình từ PSExec và WMI.
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4: Chặn tập tin thực thi không đáng tin hoặc không có chữ ký số trong ổ đĩa di động (USB).
C1DB55AB-C21A-4637-BB3F-A12568109D35: Chống mã độc tống tiền nâng cao.
01443614-CD74-433A-B99E-2ECDC07BFC25: Chặn tập tin thực thi trừ khi nó phổ biến hoặc nằm trong danh sách đáng tin.
7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C: Chặn Adobe Reader tạo các tiến trình con.

Ở cột Value điền tất cả giá trị là 1.

Chú ý: 01443614-CD74-433A-B99E-2ECDC07BFC25 sẽ khiến cho Windows Defender cảnh báo nhầm nhiều hơn, tuy nhiên tính năng này có khả năng bảo vệ máy tính khỏi virus chưa có trong cơ sở dữ liệu nên mình vẫn quyết định bật nó lên. Nếu là lập trình viên thì không nên sử dụng tính năng này


Phần II: Windows Firewall

Bước 1: Kích vào biểu tượng "Bảo mật Windows" ở góc dưới bên phải màn hình.
Bước 2: Kích vào "Tường lửa và bảo vệ mạng", kích vào "Cài đặt nâng cao"

Bước 3: Kích vào "Outbound Rules", ấn vào "New Rule..." ở cột bên phải.

Bước 4: Ở mục "Rule Type" không làm gì cả, ấn next
Bước 5: Đến mục Program, copy 1 dòng trong danh sách phía dưới vào "This program path:" rồi ấn next cho đến mục "Name".

Bước 6: Đặt tên cho quy tắc rồi ấn "Finish"

Bước 7: Làm lại từ bước 1 đến 6 cho khi hết danh sách ở phía dưới.

Tạo quy tắc tường lửa để chặn không cho các tiến trình sau kết nối Internet:

C:\Windows\System32\bash.exe
C:\Windows\System32\certutil.exe
C:\Windows\System32\cscript.exe
C:\Windows\System32\mhsta.exe
C:\Windows\System32\msiexec.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\wbem\wmic.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\certutil.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\SysWOW64\mhsta.exe
C:\Windows\SysWOW64\msiexec.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\SysWOW64\wbem\wmic.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell_ise.exe

Ở trên là danh sách các công cụ trong Windows mà người dùng cơ bản gần như chẳng bao giờ dùng đến nhưng lại được sử dụng với mục đích xấu như: tải và cài đặt phần mềm độc hại, thực thi mã độc, vượt qua User Access Control, vượt qua tính năng bảo vệ Windows Defender Access Control.

Việc chặn bằng Firewall không thể ngăn phần mềm độc hại chạy trên máy tính, tuy nhiên nó sẽ chặn không cho kết nối Internet.Trong trường hợp bị nhiễm mã độc tống tiền, do mã độc không thể kết nối Internet nên việc khôi phục các tệp tin bị mã hoá là rất dễ dàng.