Trình tính toán bảo mật Windows 10
Đánh giá mức độ bảo mật máy tính Win 10 của bạn và nhận lời khuyên tùy chỉnh
Kết quả đánh giá bảo mật
Hướng dẫn toàn diện: Cách bảo mật máy tính Windows 10 năm 2024
Windows 10 vẫn là hệ điều hành được sử dụng rộng rãi nhất thế giới với hơn 1.3 tỷ thiết bị hoạt động (theo Microsoft). Tuy nhiên, với sự phổ biến đó đi kèm là mục tiêu hàng đầu của tin tặc. Bài viết này sẽ hướng dẫn bạn 27 biện pháp bảo mật thiết yếu để bảo vệ máy tính Windows 10 của bạn khỏi 95% các mối đe dọa phổ biến.
Phần 1: Các biện pháp bảo mật cơ bản (Bắt buộc)
1. Cập nhật Windows và phần mềm thường xuyên
Theo báo cáo của CISA (Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng Mỹ), 60% các vụ tấn công thành công khai thác lỗ hổng đã được vá. Điều này nghĩa là nếu bạn không cập nhật, bạn đang tự mở cửa cho tin tặc.
- Nhấn Win + I → Chọn Update & Security
- Nhấn Check for updates
- Bật Automatic updates (Cập nhật tự động)
- Đối với các bản cập nhật tùy chọn, chọn View optional updates → Cài đặt tất cả
2. Kích hoạt và cấu hình Windows Defender đúng cách
Windows Defender (nay là Microsoft Defender) đã được AV-TEST đánh giá đạt 100% bảo vệ chống malware phổ biến trong năm 2023. Tuy nhiên, nhiều người dùng vô tình tắt nó hoặc cấu hình sai.
- Kiểm tra trạng thái: Win + I → Update & Security → Windows Security → Virus & threat protection
- Bật bảo vệ thời gian thực: Đảm bảo Real-time protection đang bật
- Cấu hình bảo vệ ransomware:
- Vào Ransomware protection
- Bật Controlled folder access
- Thêm các thư mục quan trọng vào danh sách được bảo vệ
- Quét offline: Chọn Scan options → Microsoft Defender Offline scan (phát hiện rootkit)
| Tính năng | Mức độ quan trọng | Cài đặt khuyến nghị |
|---|---|---|
| Real-time protection | Cực kỳ quan trọng | BẬT |
| Cloud-delivered protection | Quan trọng | BẬT |
| Automatic sample submission | Khuyến nghị | BẬT (nếu bạn đồng ý chia sẻ dữ liệu) |
| Controlled folder access | Cực kỳ quan trọng | BẬT + thêm thư mục quan trọng |
| Tamper protection | Cực kỳ quan trọng | BẬT (ngăn chặn malware tắt Defender) |
3. Sử dụng mật khẩu mạnh và quản lý đúng cách
Theo nghiên cứu của NIST, 81% các vụ vi phạm dữ liệu xảy ra do mật khẩu yếu hoặc bị đánh cắp. Dưới đây là cách tạo và quản lý mật khẩu an toàn:
- Độ dài tối thiểu: 12 ký tự (tốt nhất 14-16 ký tự)
- Thành phần:
- Chữ hoa (A-Z)
- Chữ thường (a-z)
- Số (0-9)
- Ký tự đặc biệt (!@#$%^&*)
- Tránh: Thông tin cá nhân (ngày sinh, tên), từ điển, chuỗi đơn giản (123456, qwerty)
- Sử dụng câu mật khẩu (passphrase): Ví dụ:
Mèo@CàPhê!2024$HàNội - Quản lý mật khẩu: Sử dụng Bitwarden (miễn phí) hoặc 1Password (trả phí)
4. Kích hoạt xác thực hai yếu tố (2FA)
2FA có thể ngăn chặn 99.9% các cuộc tấn công tự động (theo Microsoft). Cách bật 2FA cho tài khoản Microsoft:
- Đăng nhập vào account.microsoft.com
- Chọn Security → Advanced security options
- Bật Two-step verification
- Cài đặt ứng dụng xác thực: Microsoft Authenticator hoặc Google Authenticator
- Lưu mã khôi phục (recovery codes) ở nơi an toàn
Phần 2: Các biện pháp bảo mật nâng cao
5. Mã hóa ổ đĩa với BitLocker
BitLocker mã hóa toàn bộ ổ đĩa, bảo vệ dữ liệu ngay cả khi ổ cứng bị đánh cắp. Theo NIST, mã hóa ổ đĩa toàn disk giảm 78% rủi ro mất dữ liệu từ thiết bị bị mất/cắp.
| Bước | Hành động | Ghi chú |
|---|---|---|
| 1 | Mở Control Panel → BitLocker Drive Encryption | Yêu cầu Windows 10 Pro/Enterprise |
| 2 | Chọn ổ đĩa hệ thống (thường là C:) | — |
| 3 | Nhấn Turn on BitLocker | — |
| 4 | Chọn phương thức mở khóa:
|
Tránh sử dụng chỉ PIN (dễ bị brute-force) |
| 5 | Lưu recovery key an toàn (in ra hoặc lưu vào tài khoản Microsoft) | Cực kỳ quan trọng! Mất key = mất dữ liệu vĩnh viễn |
| 6 | Chọn Encrypt entire drive | Mã hóa toàn bộ ổ đĩa, không chỉ space đã sử dụng |
| 7 | Chọn chế độ mã hóa New encryption mode (XTS-AES) | An toàn hơn chế độ cũ (AES-CBC) |
| 8 | Bắt đầu mã hóa và khởi động lại khi được yêu cầu | Quá trình có thể mất 1-2 giờ tùy dung lượng ổ đĩa |
6. Cấu hình tường lửa Windows Defender
Tường lửa chặn 40% các cuộc tấn công mạng trước khi chúng tiếp cận hệ thống của bạn (theo SANS Institute). Cách cấu hình tối ưu:
- Mở Windows Security → Firewall & network protection
- Đảm bảo tất cả 3 mạng (Domain, Private, Public) đều ở chế độ On
- Nhấn Advanced settings (yêu cầu quyền admin)
- Trong Inbound Rules:
- Vô hiệu hóa các rule không cần thiết (như File and Printer Sharing nếu không dùng)
- Chỉ cho phép các port cần thiết (ví dụ: 80/443 cho web server)
- Trong Outbound Rules:
- Chặn các ứng dụng đáng ngờ (check Monitoring tab)
- Bật Stealth mode để ẩn máy khỏi quét port
7. Sử dụng tài khoản Standard thay vì Administrator
Theo US-CERT, 85% malware yêu cầu quyền admin để cài đặt thành công. Sử dụng tài khoản Standard giảm đáng kể rủi ro:
- Tạo tài khoản Standard mới:
- Win + I → Accounts → Family & other users
- Chọn Add someone else to this PC
- Làm theo hướng dẫn, chọn Standard user
- Chuyển dữ liệu từ tài khoản Admin cũ sang tài khoản mới
- Chỉ sử dụng tài khoản Admin khi cần cài đặt phần mềm hoặc thay đổi hệ thống
- Đối với các tác vụ cần quyền admin, sử dụng Run as administrator (click chuột phải)
8. Vô hiệu hóa các dịch vụ không cần thiết
Mỗi dịch vụ chạy là một cửa hậu tiềm năng. NSA khuyến nghị vô hiệu hóa các dịch vụ sau nếu không sử dụng:
- Remote Registry – Cho phép sửa registry từ xa
- Print Spooler – Nếu không dùng máy in mạng (lỗ hổng PrintNightmare)
- Server (LanmanServer) – Chia sẻ file/in mạng nội bộ
- SSDP Discovery – Dùng cho UPnP (rủi ro bị khai thác)
- Superfetch (SysMain) – Tối ưu hóa hiệu suất nhưng gây rò rỉ dữ liệu
- Windows Error Reporting – Gửi dữ liệu lỗi về Microsoft
Cách vô hiệu hóa:
- Nhấn Win + R → gõ
services.msc→ Enter - Click chuột phải vào dịch vụ → Properties
- Chọn Disabled trong Startup type
- Nhấn Stop nếu dịch vụ đang chạy
- Nhấn OK để lưu
Phần 3: Bảo mật mạng và trực tuyến
9. Sử dụng VPN khi kết nối mạng công cộng
Theo nghiên cứu của Kaspersky, 35% các cuộc tấn công xảy ra trên mạng Wi-Fi công cộng. VPN mã hóa toàn bộ lưu lượng truy cập của bạn.
Tiêu chí chọn VPN an toàn:
- No-log policy: Không lưu nhật ký hoạt động (ví dụ: ProtonVPN, Mullvad)
- Open-source: Mã nguồn mở để kiểm tra độc lập
- Protocol: Sử dụng WireGuard hoặc OpenVPN (tránh PPTP/L2TP)
- Jurisdiction: Tránh các nước trong Five Eyes (Mỹ, Anh, Canada, Úc, New Zealand)
Cách cấu hình VPN trên Windows 10:
- Tải và cài đặt phần mềm VPN (ví dụ: ProtonVPN)
- Đăng nhập bằng tài khoản của bạn
- Chọn server gần nhất để tối ưu tốc độ
- Bật Kill Switch (ngắt kết nối nếu VPN bị đứt)
- Bật DNS leak protection
- Kiểm tra IP tại ipleak.net để đảm bảo không rò rỉ
10. Cấu hình DNS an toàn
DNS mặc định của ISP thường chậm và không an toàn. Sử dụng DNS bảo mật giúp chặn các trang web độc hại ngay từ đầu. Dưới đây là các lựa chọn DNS an toàn:
| Dịch vụ DNS | IPv4 | IPv6 | Tính năng |
|---|---|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 |
2606:4700:4700::1111 2606:4700:4700::1001 |
|
| Google DNS | 8.8.8.8 8.8.4.4 |
2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad9 | 9.9.9.9 149.112.112.112 |
2620:fe::fe 2620:fe::9 |
|
| OpenDNS | 208.67.222.222 208.67.220.220 |
2620:119:35::35 2620:119:53::53 |
|
Cách thay đổi DNS trên Windows 10:
- Win + I → Network & Internet → Change adapter options
- Click chuột phải vào kết nối mạng → Properties
- Chọn Internet Protocol Version 4 (TCP/IPv4) → Properties
- Chọn Use the following DNS server addresses
- Nhập địa chỉ DNS primary và secondary (ví dụ: 1.1.1.1 và 1.0.0.1)
- Nhấn OK → Khởi động lại máy
11. Bảo vệ trình duyệt web
Trình duyệt là cửa ngõ phổ biến nhất cho malware. Theo Google Safe Browsing, có hơn 2 triệu trang web độc hại được phát hiện mỗi tháng.
Cấu hình trình duyệt an toàn:
- Sử dụng trình duyệt tập trung vào bảo mật:
- Brave (chặn tracker/malware mặc định)
- Firefox (cấu hình privacy cao)
- Microsoft Edge (với chế độ Super Duper Secure Mode)
- Tắt JavaScript cho trang không tin cậy: Sử dụng extension NoScript (Firefox) hoặc cài đặt Site Settings trong Chrome/Edge
- Chặn quảng cáo và tracker:
- uBlock Origin (tốt nhất để chặn quảng cáo độc hại)
- Privacy Badger (chặn tracker)
- Cài đặt HTTPS Everywhere: Buộc sử dụng kết nối mã hóa khi có sẵn
- Vô hiệu hóa Flash: Flash đã ngừng hỗ trợ và chứa nhiều lỗ hổng
- Xóa cookie định kỳ: Sử dụng Cookie-AutoDelete (Firefox/Chrome)
- Sử dụng container/profile riêng:
- Firefox Multi-Account Containers
- Edge/Chrome Profiles
Phần 4: Phòng chống malware và ransomware
12. Nhận biết và phòng tránh ransomware
Ransomware đã tăng 13% trong năm 2023 (theo SonicWall), với chi phí trung bình để khôi phục là $1.85 triệu (theo Sophos).
Cách ransomware xâm nhập:
- Email lừa đảo (phishing): 54% các cuộc tấn công (theo Verizon DBIR 2023)
- Exploit kit: Khai thác lỗ hổng phần mềm lỗi thời
- Remote Desktop (RDP): 30% các cuộc tấn công ransomware sử dụng RDP không bảo mật
- USB/Drive-by: 10% (thông qua ổ USB nhiễm virus)
- Quảng cáo độc hại (Malvertising): 6%
Biện pháp phòng chống:
- Sao lưu tự động:
- Sử dụng quy tắc 3-2-1: 3 bản sao, 2 loại phương tiện, 1 bản lưu trữ ngoại tuyến
- Công cụ khuyến nghị: Veeam (doanh nghiệp), Macrium Reflect (cá nhân)
- Chặn thực thi script:
- Sử dụng Software Restriction Policies hoặc AppLocker để chặn script từ %TEMP%, %APPDATA%
- Vô hiệu hóa macro Office:
- Mở Office app → File → Options → Trust Center → Trust Center Settings → Macro Settings
- Chọn Disable all macros without notification
- Giới hạn quyền truy cập RDP:
- Chỉ cho phép IP tin cậy qua tường lửa
- Bật Network Level Authentication (NLA)
- Thay đổi port mặc định (3389) sang port khác
- Sử dụng “Canary files”:
- Tạo các file giả mồi trong thư mục quan trọng
- Giám sát sự thay đổi để phát hiện sớm
- Công cụ: CanaryTokens từ Thinkst
13. Phát hiện và loại bỏ malware
Nếu nghi ngờ máy bị nhiễm malware, làm theo các bước sau:
- Ngắt kết nối mạng: Rút cáp Ethernet/tắt Wi-Fi để ngăn malware lan truyền
- Khởi động ở Safe Mode:
- Nhấn Win + R → gõ
msconfig→ Boot tab - Chọn Safe boot → Network → OK → Khởi động lại
- Nhấn Win + R → gõ
- Quét với nhiều công cụ:
- Malwarebytes (phát hiện adware/PUP)
- HitmanPro (phát hiện rootkit)
- Kaspersky Virus Removal Tool
- ESET Online Scanner
- Kiểm tra các dấu hiệu nhiễm:
- Task Manager: Các process lạ tiêu thụ CPU/mạng
- Cổng mạng mở bất thường: Win + R →
resmon→ tab Network - Các file lạ trong:
C:\Users\[YourUsername]\AppData\C:\ProgramData\C:\Windows\Temp\
- Phục hồi hệ thống:
- Nếu phát hiện sớm, dùng System Restore để quay lại trạng thái sạch
- Win + R → gõ
rstrui→ chọn điểm phục hồi
- Cài lại Windows (nếu cần):
- Sao lưu dữ liệu quan trọng
- Tạo USB boot với Media Creation Tool
- Cài đặt Windows sạch, cập nhật đầy đủ trước khi khôi phục dữ liệu
Phần 5: Bảo mật vật lý và các mối đe dọa nội bộ
14. Bảo vệ máy tính khỏi truy cập vật lý
Theo FBI, 30% các vụ vi phạm dữ liệu liên quan đến truy cập vật lý trái phép. Các biện pháp bảo vệ:
- Khóa màn hình tự động:
- Win + I → Accounts → Sign-in options
- Đặt Screen timeout thành 1-2 phút
- Bật Dynamic lock (khóa khi điện thoại Bluetooth xa máy)
- Sử dụng khóa vật lý:
- Khóa cáp Kensington cho laptop
- Tủ khóa cho máy tính để bàn
- Vô hiệu hóa boot từ USB/CD:
- Vào BIOS/UEFI (thường nhấn F2/Del khi khởi động)
- Tìm Boot Order → đặt Hard Drive lên đầu
- Vô hiệu hóa USB Boot và CD/DVD Boot
- Đặt mật khẩu BIOS
- Mã hóa ổ đĩa: Đã đề cập ở phần BitLocker
- Gắn thẻ cảnh báo: “Thiết bị này được giám sát 24/7” có thể ngăn chặn kẻ trộm
15. Quản lý thiết bị ngoại vi an toàn
Các thiết bị như USB, ổ cứng di động có thể là nguồn lây nhiễm malware hoặc rò rỉ dữ liệu:
- Vô hiệu hóa AutoRun:
- Win + R → gõ
gpedit.msc(Windows Pro) - Đi đến: Computer Configuration → Administrative Templates → Windows Components → Autoplay Policies
- Bật Turn off Autoplay → Chọn All drives
- Win + R → gõ
- Quét USB trước khi mở:
- Click chuột phải vào ổ USB → Scan with Windows Defender
- Sử dụng USB “read-only”:
- Thay đổi thuộc tính USB thành chỉ đọc nếu chỉ cần copy file
- Mã hóa USB:
- Sử dụng BitLocker To Go cho ổ di động
- Hoặc phần mềm mã hóa như VeraCrypt
- Giới hạn quyền truy cập:
- Chỉ cho phép user Standard truy cập USB
- Sử dụng Group Policy để chặn các thiết bị không được phép
Phần 6: Giám sát và phản ứng sự cố
16. Cài đặt hệ thống giám sát
Giám sát liên tục giúp phát hiện sớm các hoạt động đáng ngờ. Các công cụ miễn phí và hiệu quả:
- Windows Event Viewer:
- Mở bằng Win + X → Event Viewer
- Kiểm tra các log quan trọng:
- Security (ID 4625: đăng nhập thất bại)
- System (lỗi phần cứng/driver)
- Application (lỗi phần mềm)
- Process Explorer:
- Tải từ Microsoft Sysinternals
- Kiểm tra:
- Process lạ tiêu thụ tài nguyên
- Kết nối mạng bất thường
- File handle đáng ngờ
- GlassWire:
- Giám sát lưu lượng mạng theo thời gian thực
- Phát hiện các kết nối bất thường
- OSSEC (nâng cao):
- Hệ thống phát hiện xâm nhập (HIDS) mã nguồn mở
- Giám sát thay đổi file, registry, và log
17. Tạo kế hoạch phản ứng sự cố
Một kế hoạch phản ứng sự cố (IRP) giúp bạn xử lý nhanh chóng khi bị tấn công. Các bước cơ bản:
- Xác định và phân loại sự cố:
- Malware/ransomware
- Truy cập trái phép
- Mất cắp dữ liệu
- Tấn công DDoS
- Ngăn chặn:
- Ngắt kết nối mạng
- Cách ly thiết bị bị nhiễm
- Đóng các cổng mạng bị khai thác
- Điều tra:
- Thu thập log (Event Viewer, log phần mềm bảo mật)
- Phân tích malware (sử dụng VirusTotal, Hybrid Analysis)
- Xác định vector tấn công (email, web, USB,…)
- Khắc phục:
- Loại bỏ malware (xem phần 13)
- Khôi phục từ backup sạch
- Vá lỗ hổng bị khai thác
- Phục hồi:
- Khôi phục dịch vụ từ từ
- Giám sát chặt chẽ sau sự cố
- Bài học kinh nghiệm:
- Cập nhật tài liệu
- Đào tạo nhân viên (nếu có)
- Cải tiến biện pháp phòng ngừa
Phần 7: Công cụ và tài nguyên bổ sung
| Loại | Công cụ | Mô tả | Giá |
|---|---|---|---|
| Quét bảo mật | Nmap | Quét cổng và lỗ hổng mạng | Miễn phí |
| OpenVAS | Quét lỗ hổng toàn diện | Miễn phí | |
| Nessus Home | Quét lỗ hổng (giới hạn 16 IP) | Miễn phí | |
| Giám sát | GlassWire | Giám sát mạng thời gian thực | Miễn phí/Trả phí |
| Process Hacker | Quản lý process và dịch vụ | Miễn phí | |
| Wireshark | Phân tích gói tin mạng | Miễn phí | |
| OSSEC | Hệ thống phát hiện xâm nhập | Miễn phí | |
| Mã hóa | VeraCrypt | Mã hóa ổ đĩa/file | Miễn phí |
| AxCrypt | Mã hóa file đơn giản | Miễn phí/Trả phí | |
| Gpg4win | Mã hóa email/file (PGP) | Miễn phí | |
| Sao lưu | Veeam Agent | Sao lưu toàn diện | Miễn phí/Trả phí |
| Macrium Reflect | Sao lưu và phục hồi | Miễn phí/Trả phí | |
| Duplicati | Sao lưu mã hóa lên đám mây | Miễn phí |
Kết luận và checklist hành động
Bảo mật Windows 10 là một quá trình liên tục, không phải công việc một lần. Dưới đây là checklist các hành động ưu tiên bạn nên thực hiện ngay hôm nay:
- Ngay lập tức (5-10 phút):
- Kiểm tra và cài đặt tất cả các bản cập nhật Windows
- Bật Windows Defender và cập nhật signature
- Đặt mật khẩu mạnh cho tài khoản (12+ ký tự)
- Bật 2FA cho tài khoản Microsoft
- Trong vòng 1 giờ:
- Cài đặt và cấu hình tường lửa
- Vô hiệu hóa các dịch vụ không cần thiết
- Thay đổi DNS sang Cloudflare/Quad9
- Cài đặt uBlock Origin và Privacy Badger
- Trong vòng 1 ngày:
- Bật BitLocker cho ổ đĩa hệ thống
- Tạo tài khoản Standard cho sử dụng hàng ngày
- Cấu hình sao lưu tự động (3-2-1 rule)
- Quét toàn bộ hệ thống với Malwarebytes
- Hàng tuần:
- Kiểm tra và cài đặt cập nhật
- Quét malware
- Xem xét log bảo mật (Event Viewer)
- Hàng tháng:
- Kiểm tra cấu hình bảo mật
- Cập nhật phần mềm bảo mật
- Test phục hồi từ backup
Bảo mật không bao giờ là hoàn hảo, nhưng bằng cách áp dụng các biện pháp trong hướng dẫn này, bạn đã loại bỏ 95% các vector tấn công phổ biến nhắm vào người dùng Windows 10. Hãy nhớ: an ninh là một quá trình, không phải sản phẩm – bạn cần duy trì và cập nhật thường xuyên.
Nếu bạn cần trợ giúp chuyên sâu hơn, hãy tham khảo các nguồn tài nguyên chính thức từ CISA, NIST, hoặc Microsoft Security.