Bật tính năng chống ransomware Controlled Folder Access trên Windows 10

Bắt đầu với Windows 10 build 16232, Controlled Folder Access đã được giới thiệu trong Windows Defender Antivirus.

Controlled Folder Access giúp bạn bảo vệ dữ liệu có giá trị khỏi các ứng dụng độc hại và các mối đe dọa, chẳng hạn như ransomware. Nó là một phần của Windows Defender Exploit Guard.

Controlled Folder Access trong Windows Defender Security Center sẽ xem xét các ứng dụng có thể thực hiện thay đổi đối với những file trong thư mục được bảo vệ. Đôi khi, một ứng dụng an toàn để sử dụng sẽ được xác định là có hại. Điều này xảy ra bởi vì Microsoft muốn giữ an toàn cho bạn và đôi khi sẽ mắc lỗi do quá thận trọng. Tuy nhiên, điều này có thể ảnh hưởng đến cách bạn sử dụng PC bình thường. Bạn có thể thêm một ứng dụng vào danh sách các ứng dụng an toàn hoặc được phép để ngăn chúng bị chặn.

Bạn có thể thêm các thư mục bổ sung vào danh sách các thư mục được bảo vệ, nhưng bạn không thể thay đổi danh sách mặc định, bao gồm các thư mục như Documents, Pictures, Movies và Desktop. Thêm các thư mục khác vào Controlled Folder Access có thể hữu ích, chẳng hạn như nếu bạn không lưu trữ file trong thư viện mặc định của Windows hoặc bạn đã thay đổi vị trí của thư viện khỏi nơi mặc định.

Hướng dẫn này sẽ chỉ cho bạn cách bật hoặc tắt tính năng Controlled Folder Access của Windows Defender Exploit Guard trong Windows 10.

Chống Ransomware với Controlled Folder Access Windows 10

Bước 1: 

Mở Windows Security và nhấp vào biểu tượng Virus & threat protection.

Bước 2:

Nhấp vào liên kết Manage ransomware protection trong phần Ransomware protection.

Bước 3:

Bật hoặc tắt (mặc định) Controlled Folder Access, tùy theo những gì bạn muốn.

Bước 4:

Nhấp vào Yes khi được UAC nhắc chấp thuận.

Bước 5:

Khi hoàn tất, bạn có thể đóng Windows Defender Security Center nếu muốn.

Cách khác để bật Controlled Folder Access

Ngoài cách trên còn 2 cách khác để bật Controlled Folder Access. Cách dễ nhất là chạy lệnh PowerShell.

Set-MpPreference -EnableControlledFolderAccess Enabled

Để tắt đi, chỉ cần chạy lệnh tương tự nhưng thay bằng “Disabled”.

Ngoài ra, nhà quản trị hệ thống trong tổ chức lớn cũng có thể dùng Group Policy Management Console để bật tính năng này cho người dùng trên toàn mạng.

• Bước 1: Trên máy quản lý Group Policy, mở Group Policy Management Console, click chuột phải vào Group Policy Object mà bạn muốn chọn và click Edit.
• Bước 2: Tại Group Policy Management Editor, chọn Computer Configuration.
• Bước 3: Click Policies > Administrative Templates.
• Bước 4: Mở rộng Windows Components > Windows Defender Antivirus > Windows Defender Exploit Guard > Controlled Folder Access.

Quản lý cho cả hệ thống qua Group Policy Management Console

• Bước 5: Click đúp vào Configure Controlled folder acces và chọn Enabled.

Có thể dùng Group Policy để chọn các ứng dụng được truy cập và thư mục được bảo vệ cho từng máy tính trong domain.

 
Chọn thư mục và ứng dụng cho máy tính trong hệ thống

Khi có phần mềm chưa được xác thực nào cố gắng chỉnh sửa tập tin trong các thư mục này, người dùng sẽ nhận được cảnh báo trên thanh Windows Notification. Windows Defender cũng ghi lại trong lịch sử sự kiện.

Cảnh báo khi có phần mềm cố truy cập thư mục được bảo vệ

Lưu ý là để Controlled Folder Access hoạt động thì phải bật bảo vệ trong thời gian thực ở Windows Defender.

Thử nghiệm dùng Controlled Folder Access để chặn ransomware

Trong thử nghiệm với biến thể của các malware Asasin Locky, x1881 CryptoMix, Comrade HiddenTear và Wyvern BTCWare, Controlled Folder Access đã làm tốt nhiệm vụ của mình, chặn các ransomware này này khỏi mã hóa tập tin trong thư mục được bảo vệ. Các thư mục khác vẫn bị mã hóa như bình thường.

Thư mục chưa được bảo vệ vẫn bị mã hóa bởi ransomware

Còn một tác dụng phụ nữa là khi các tập tin thực thi của những thư mục nằm trong danh sách trắng cố chỉnh sửa tập tin trong thư mục được bảo vệ, Controlled Folder Access sẽ chặn việc này và không hiển thị thông báo cho biết.