Bộ công cụ Trải nghiệm Giảm thiểu Nâng cao là bí mật bảo mật được giữ kín tốt nhất của Microsoft. Thật dễ dàng để cài đặt EMET và nhanh chóng bảo mật nhiều ứng dụng phổ biến, nhưng bạn có thể làm được nhiều điều hơn nữa với EMET.

EMET sẽ không bật lên và hỏi bạn câu hỏi, vì vậy đó là một giải pháp thiết lập và quên nó sau khi bạn thiết lập nó. Dưới đây là cách bảo mật nhiều ứng dụng hơn với EMET và sửa chúng nếu chúng bị hỏng.

Biết nếu EMET đang phá vỡ một ứng dụng

LIÊN QUAN: Nhanh chóng bảo mật máy tính của bạn với Bộ công cụ trải nghiệm giảm thiểu nâng cao (EMET) của Microsoft

Nếu một ứng dụng thực hiện điều gì đó mà quy tắc EMET của bạn không cho phép, EMET sẽ tắt ứng dụng – dù sao thì đó cũng là cài đặt mặc định. EMET đóng các ứng dụng hoạt động theo cách tiềm ẩn không an toàn để không có hành vi khai thác nào có thể xảy ra. Windows không làm điều này cho tất cả các ứng dụng theo mặc định vì nó sẽ phá vỡ khả năng tương thích với nhiều ứng dụng Windows cũ đang được sử dụng hiện nay.

Nếu ứng dụng bị lỗi, ứng dụng sẽ ngay lập tức tắt và bạn sẽ thấy cửa sổ bật lên từ biểu tượng EMET trong khay hệ thống của mình. Nó cũng sẽ được ghi vào nhật ký sự kiện Windows – các tùy chọn này có thể được tùy chỉnh từ hộp Báo cáo trên ruy-băng ở đầu cửa sổ EMET.

Sử dụng phiên bản Windows 64 bit

LIÊN QUAN: Tại sao Phiên bản Windows 64-bit lại An toàn hơn

Phiên bản Windows 64 bit an toàn hơn vì chúng có quyền truy cập vào các tính năng như ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR). Không phải tất cả các tính năng này đều khả dụng nếu bạn đang sử dụng phiên bản Windows 32 bit. Giống như bản thân Windows, các tính năng bảo mật của EMET toàn diện và hữu ích hơn trên PC 64-bit.

Khóa các quy trình cụ thể

Có thể bạn sẽ muốn khóa các ứng dụng cụ thể thay vì toàn bộ hệ thống của mình. Tập trung vào các ứng dụng có nhiều khả năng bị xâm phạm nhất. Điều này có nghĩa là trình duyệt web, trình cắm của trình duyệt, chương trình trò chuyện và bất kỳ phần mềm nào khác giao tiếp với Internet hoặc mở các tệp đã tải xuống. Các dịch vụ và ứng dụng hệ thống cấp thấp chạy ngoại tuyến mà không cần mở bất kỳ tệp nào đã tải xuống sẽ ít gặp rủi ro hơn. Nếu bạn có một số ứng dụng kinh doanh quan trọng – có lẽ là ứng dụng truy cập Internet – thì đó có thể là ứng dụng bạn muốn bảo mật nhất.

Để bảo mật một ứng dụng đang chạy, hãy tìm ứng dụng đó trong danh sách EMET, nhấp chuột phải vào ứng dụng đó và chọn Định cấu hình quy trình.

(Nếu bạn muốn bảo vệ một quy trình không chạy, hãy mở cửa sổ Ứng dụng và sử dụng các nút Thêm ứng dụng hoặc Thêm ký tự đại diện.)

Cửa sổ Cấu hình ứng dụng sẽ xuất hiện với ứng dụng của bạn được tô sáng. Theo mặc định, tất cả các quy tắc sẽ tự động được bật. Chỉ cần nhấp vào nút OK ở đây để áp dụng tất cả các quy tắc.

Nếu ứng dụng của bạn không hoạt động bình thường, bạn sẽ muốn quay lại đây và thử tắt một số hạn chế cho ứng dụng đó. Tắt từng cái một cho đến khi ứng dụng hoạt động và bạn có thể cô lập sự cố.

Nếu bạn không muốn hạn chế một ứng dụng nào đó, hãy chọn ứng dụng đó trong danh sách và nhấp vào nút Xóa đã chọn để xóa các quy tắc của bạn và đưa ứng dụng trở lại trạng thái mặc định.

Thay đổi quy tắc trên toàn hệ thống

Phần Trạng thái Hệ thống cho phép bạn chọn các quy tắc trên toàn hệ thống. Có thể bạn sẽ muốn gắn bó với các mặc định, cho phép các ứng dụng chọn tham gia các biện pháp bảo vệ an ninh này.

Bạn có thể chọn “Luôn bật” hoặc “Chọn không tham gia ứng dụng” cho các cài đặt này để bảo mật tối đa. Điều này có thể làm hỏng nhiều ứng dụng, đặc biệt là những ứng dụng cũ hơn. Nếu các ứng dụng bắt đầu hoạt động sai, bạn có thể hoàn nguyên về cài đặt mặc định hoặc tạo quy tắc “chọn không tham gia” cho các ứng dụng.

Để tạo quy tắc chọn không tham gia, hãy nhấp chuột phải vào quy trình và chọn Định cấu hình quy trình. Bỏ chọn loại bảo vệ bạn muốn chọn không tham gia – vì vậy, nếu bạn muốn chọn không tham gia ASLR trên toàn hệ thống, bạn phải bỏ chọn hộp kiểm Bắt buộcASLR và BottomUpASLR cho quy trình đó. Nhấp vào OK để lưu quy tắc của bạn.

Lưu ý rằng chúng tôi đã bật “Luôn bật” cho DEP ở trên, vì vậy chúng tôi không thể tắt DEP cho bất kỳ quy trình nào trong cửa sổ Cấu hình ứng dụng bên dưới.

Quy tắc kiểm tra trong chế độ “Chỉ kiểm tra”

Nếu bạn muốn kiểm tra các quy tắc EMET nhưng không muốn giải quyết bất kỳ vấn đề nào, bạn có thể bật chế độ “Chỉ kiểm tra”. Nhấp vào biểu tượng Ứng dụng trong EMET để truy cập cửa sổ Cấu hình ứng dụng. Bạn sẽ tìm thấy phần Hành động mặc định trên ruy-băng ở đầu màn hình. Theo mặc định, nó được đặt thành Dừng khi khai thác – EMET sẽ tắt ứng dụng nếu nó vi phạm quy tắc. Bạn cũng có thể đặt nó thành Chỉ kiểm tra. Nếu ứng dụng vi phạm một trong các quy tắc EMET của bạn, EMET sẽ báo cáo sự cố và cho phép ứng dụng tiếp tục chạy.

Điều này rõ ràng là loại bỏ các lợi thế bảo mật của việc chạy EMET, nhưng đó là một cách tốt để kiểm tra các quy tắc trước khi đưa EMET trở lại chế độ “Ngừng khai thác”.

Quy tắc Xuất và Nhập

Khi bạn đã tạo và kiểm tra các quy tắc của mình, hãy đảm bảo sử dụng nút Xuất hoặc Xuất các quy tắc đã chọn để xuất các quy tắc của bạn sang một tệp. Sau đó, bạn có thể nhập chúng trên bất kỳ PC nào khác mà bạn sử dụng và có được các biện pháp bảo vệ an ninh tương tự mà không cần phải loay hoay thêm.

Trên các mạng công ty, các quy tắc EMET và bản thân EMET có thể được triển khai thông qua Chính sách Nhóm.


Không có điều nào trong số này là bắt buộc. Nếu bạn là người dùng gia đình không muốn giải quyết vấn đề này, vui lòng cài đặt EMET và tuân theo các cài đặt mặc định được đề xuất.

Tham khảo (HowToGeek)