Tìm hiểu về Tamper Protection, tính năng bảo mật mới trên Windows 10

Microsoft đã thông báo rằng tính năng bảo mật Windows 10 Tamper Protection hiện đã chính thức có sẵn cho doanh nghiệp và người dùng cá nhân. Cùng với thông báo này, Microsoft sẽ bật tính năng bảo mật này trên tất cả các thiết bị Windows 10 theo mặc định.

Tamper Protection là một tính năng bảo mật được giới thiệu trong Windows 10 phiên bản 1903, còn được gọi là May 2019 Update (bản cập nhật tháng 5 năm 2019). Khi được bật, Tamper Protection ngăn cài đặt Windows Security và Windows Defender bị thay đổi bởi các chương trình, công cụ dòng lệnh Windows, thay đổi Registry hoặc chính sách nhóm.

Thay vào đó, người dùng phải sửa đổi cài đặt bảo mật trực tiếp thông qua giao diện người dùng Windows 10 hoặc thông qua phần mềm quản lý doanh nghiệp của Microsoft như Intune.

Nếu Tamper Protection hiện chưa được bật trên thiết bị Windows 10 của bạn, thì tin vui là Microsoft cho biết hãng này sẽ triển khai thay đổi này cho tất cả người dùng Windows 10. Tuy nhiên, có thể mất vài ngày trước khi nó được bật tự động cho mọi người.

Nếu không muốn chờ đợi, bạn có thể kích hoạt nó ngay bây giờ, bằng cách làm theo hướng dẫn trong bài viết: Cách bật Tamper Protection cho Windows Security trên Windows 10

Tamper Protection là một công cụ quan trọng để ngăn chặn vi phạm bảo mật

Với việc Windows Defender trở thành một giải pháp chống virus đáng tin cậy và những cải tiến bảo mật nâng cao hơn nữa được thêm vào Windows 10, phần mềm độc hại ngày càng phải nỗ lực để vượt qua chúng.

Điều này được thực hiện bằng cách cố gắng tắt hoặc làm suy giảm chức năng của Windows Defender thông qua các lệnh PowerShell, chính sách nhóm hoặc sửa đổi Registry.

Ví dụ, trong 4 tháng qua, ta đã thấy các trojan TrickBot, GootKit và Nodersok thực hiện một nỗ lực phối hợp để đánh bại Windows Defender, nhằm giành quyền ở lại trên máy tính bị nhiễm hoặc vượt qua các biện pháp bảo vệ.

Các trojan TrickBot, GootKit và Nodersok thực hiện một nỗ lực phối hợp để đánh bại Windows Defender, nhằm giành quyền ở lại trên máy tính bị nhiễm hoặc vượt qua các biện pháp bảo vệ

Tuy nhiên, khi bật Tamper Protection, những nỗ lực thay đổi cài đặt Windows Defender hoặc Windows Security này sẽ bị bỏ qua hoặc đơn giản là reset lại.

Vì Windows Defender tự động bật khi phần mềm diệt virus của bên thứ ba bị xóa, điều quan trọng hơn nữa là cần bật Tamper Protection để Windows Defender có thể bảo vệ bạn đầy đủ.

Người dùng cá nhân sử dụng cài đặt Windows Security

Đối với người tiêu dùng, Tamper Protection được đặt trong cài đặt Virus & Threat Protection của Windows Security.

Để truy cập phần này, bạn sẽ mở phần cài đặt Windows 10, nhấp vào Windows Security, sau đó là Virus & Threat Protection, rồi chọn Manage Settings trong cài đặt Virus and Threat protection.

Cuộn xuống và bạn sẽ thấy một tùy chọn có tiêu đề Tamper Protection như trong hình bên dưới.

Người dùng cá nhân sử dụng cài đặt Windows Security

Doanh nghiệp sử dụng Intune để quản lý Tamper Protection

Mặc dù các máy trạm doanh nghiệp có thể kích hoạt Tamper Protection bằng cách sử dụng cùng một phương thức như người dùng bình thường, nhưng quản trị viên cũng có thể quản lý nó bằng phần mềm quản lý Microsoft Intune.

Sử dụng Intune, một tổ chức có thể kích hoạt bảo vệ Tamper cho toàn bộ hệ thống, theo loại thiết bị hoặc thậm chí các nhóm người dùng như được hiển thị bên dưới.

Doanh nghiệp sử dụng Intune để quản lý Tamper Protection

Khi được bật thông qua phần mềm doanh nghiệp, các máy trạm sẽ hiển thị rằng cài đặt này đang được admin quản lý.

Khi được bật thông qua phần mềm doanh nghiệp, các máy trạm sẽ hiển thị rằng cài đặt này đang được admin quản lý

Để cung cấp tính năng bảo mật bổ sung cho việc quản lý Tamper Protection, mỗi khi thay đổi cài đặt Tamper Protection được Intune đưa ra, yêu cầu sẽ được ký điện tử.

Khi một máy trạm nhận được yêu cầu này, nó sẽ xác nhận rằng chữ ký là hợp pháp và nếu không, hãy bỏ qua các thay đổi. Bạn có thể thấy một hình minh họa về cách các yêu cầu đã ký này được Intune đưa ra bên dưới.

Bạn có thể thấy một hình minh họa về cách các yêu cầu đã ký này được Intune đưa ra

Khi kẻ tấn công, cho dù đó là phần mềm độc hại hay người dùng cục bộ, cố gắng giả mạo cài đặt Windows Security hoặc Windows Defender, một cảnh báo sẽ được chuyển đến Microsoft Defender Security Center. Sau đó, quản trị viên có thể tìm hiểu sâu vào các cảnh báo này để xem máy nào đang được nhắm mục tiêu và thực hiện biện pháp khắc phục.

Một cảnh báo sẽ được chuyển đến Microsoft Defender Security Center

Với việc phần mềm độc hại đang tích cực nhắm mục tiêu vào Tamper Protection, tính năng này không chỉ quan trọng mà còn được yêu cầu phải được kích hoạt để cung cấp bảo vệ toàn diện cho người dùng Windows 10.

Tất cả người dùng, cho dù là người dùng cá nhân hay tổ chức doanh nghiệp, cần phải đảm bảo đã bật Tamper Protection.