TL;DR
Nhấp chuột phải vào file → Properties → tích vào ô Unblock ở dưới cùng → OK. Mở lại file. Xong. Với cả một thư mục đầy file, PowerShell xử lý toàn bộ chỉ trong một lệnh:
Get-ChildItem -Path "C:\Downloads" -Recurse -Include *.xlsx,*.xls,*.xlsm | Unblock-File
Chuyện gì đang xảy ra
Mỗi lần bạn tải file về — từ Chrome, Outlook, Teams, hay bất cứ đâu — Windows âm thầm gắn vào file một alternate data stream NTFS có tên là Zone.Identifier. Stream này đánh dấu file thuộc Zone 3 (Internet). Excel đọc thông tin đó và mở file trong Protected View — chế độ chỉ đọc có sandbox, macro bị vô hiệu hóa và không thể chỉnh sửa.
Thanh màu vàng bạn thấy:
PROTECTED VIEW Be careful—files from the Internet can contain viruses. Unless you need to edit, it's safer to stay in Protected View.
...là Excel đang hoạt động đúng như thiết kế. Bực bội bắt đầu khi điều tương tự xảy ra với báo cáo quý từ SharePoint nội bộ công ty, file bảng tính được chuyển đổi từ PDF của khách hàng, hay một file bạn vừa tự xuất ra hai phút trước.
Tò mò muốn xem stamp đó trông như thế nào? Kiểm tra thử:
Get-Content -Path "C:\Downloads\report.xlsx" -Stream Zone.Identifier
Kết quả:
[ZoneTransfer]
ZoneId=3
ReferrerUrl=https://mail.google.com/
HostUrl=https://mail.google.com/
ZoneId=3 chính là nguyên nhân kích hoạt. Xóa nó đi, Protected View sẽ không còn xuất hiện nữa.
Cách 1: Unblock một file đơn lẻ (qua giao diện đồ họa)
- Đóng file nếu đang mở.
- Nhấp chuột phải vào file trong Windows Explorer → Properties.
- Ở tab General, nhìn xuống phía dưới cùng. Bạn sẽ thấy dòng: "This file came from another computer and might be blocked to help protect this computer."
- Tích vào ô Unblock → nhấn OK.
- Mở file. Thanh màu vàng đã biến mất.
Không thấy ô Unblock? File đã sạch rồi, hoặc mạng đã tự xóa Zone.Identifier trong quá trình tải về. Chuyển sang Cách 3.
Cách 2: Unblock nhiều file cùng lúc bằng PowerShell
Có 50 file đính kèm từ khách hàng? Nhấp chuột phải từng cái một mất cả 10 phút. Cách này chỉ mất 3 giây:
# Unblock all Office files in a folder (recursive)
Get-ChildItem -Path "C:\Downloads\ClientFiles" -Recurse -Include *.xlsx,*.xls,*.xlsm,*.xlsb,*.csv | Unblock-File
# Verify they're unblocked
Get-ChildItem -Path "C:\Downloads\ClientFiles" -Recurse -Include *.xlsx | ForEach-Object {
$stream = Get-Item $_.FullName -Stream Zone.Identifier -ErrorAction SilentlyContinue
if ($stream) { Write-Host "Still blocked: $($_.Name)" } else { Write-Host "Unblocked: $($_.Name)" }
}
Chạy với tài khoản người dùng thông thường — không cần quyền admin cho các file trong profile của bạn.
Cách 3: Thêm thư mục vào Trusted Location
Unblock file từng đợt một rồi cũng chán. Nếu quy trình làm việc của bạn luôn kéo file vào cùng một thư mục — chẳng hạn C:\Work\Clients — hãy đặt nó làm Trusted Location. Excel sẽ bỏ qua hoàn toàn Protected View với bất kỳ file nào trong đó.
- Mở Excel → File → Options → Trust Center.
- Nhấn Trust Center Settings...
- Chọn Trusted Locations → nhấn Add new location...
- Duyệt đến thư mục của bạn. Tích vào Subfolders of this location are also trusted nếu cần.
- Nhấn OK → OK.
Zone.Identifier trên các file trở nên vô nghĩa — đường dẫn thư mục đã ghi đè lên nó.
Cảnh báo: C:\Downloads chính xác là nơi các file độc hại đổ bộ đầu tiên. Đừng biến nó thành Trusted Location. Hãy dùng gì đó cụ thể hơn: C:\Work\ProjectX, C:\Work\Clients\Acme — không phải thư mục chứa tất cả mọi thứ.
Cách 4: Group Policy cho môi trường doanh nghiệp
Nhóm của bạn kéo file từ SharePoint hằng ngày và cứ liên tục bị Protected View. Unblock từng người một không thể áp dụng cho 200 máy. Group Policy cho phép bạn loại trừ các nguồn cụ thể mà không cần tắt toàn bộ tính năng bảo vệ.
Đường dẫn trong GPMC:
User Configuration → Administrative Templates
→ Microsoft Excel 2016 → Excel Options → Security → Trust Center
→ Protected View
Ba chính sách đáng chú ý:
- Do not open files from the Internet zone in Protected View — phạm vi rộng. Chỉ dùng trên các máy được kiểm soát bởi mạng nội bộ, nơi bạn tin tưởng toàn bộ lưu lượng đến.
- Do not open files in unsafe locations in Protected View — phạm vi hẹp hơn. Mặc định tốt hơn cho hầu hết môi trường doanh nghiệp.
- Set document behavior if file validation fails — xử lý tình huống khác (file bị hỏng hoặc sai định dạng), không liên quan đến chặn theo zone.
Muốn đẩy Trusted Locations qua registry thay thế? Hiệu quả tương đương, dễ viết script hơn:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Excel\Security\Trusted Locations\Location99
Path = C:\Work\SharedFiles
AllowSubFolders = 1
Date = (current date string)
Cách 5: Tắt Protected View cho các nguồn cụ thể (biện pháp cuối cùng)
Hãy hiểu rõ bạn đang đánh đổi điều gì. Vào File → Options → Trust Center → Trust Center Settings → Protected View và bỏ tích các nguồn bạn muốn mở mà không bị hạn chế:
- Enable Protected View for files originating from the Internet — thủ phạm chính với file tải từ trình duyệt và file đính kèm email
- Enable Protected View for files located in potentially unsafe locations
- Enable Protected View for Outlook attachments
Bỏ tích cả ba thì mọi file đều mở ở chế độ chỉnh sửa, không có nhắc nhở, không có thanh cảnh báo. Hợp lý trên một máy trạm nội bộ cách ly hoàn toàn, không bao giờ tiếp xúc file từ bên ngoài. Nguy hiểm trên laptop dùng để duyệt web thông thường.
Kiểm tra lại
Kiểm tra nhanh sau khi áp dụng bất kỳ cách nào:
- Mở file vừa được unblock. Thanh Protected View màu vàng không được xuất hiện.
- Nhấp vào một ô. Bạn có thể gõ ngay lập tức — không cần bấm nút "Enable Editing".
- Với Cách 1 hoặc Cách 2, xác nhận Zone.Identifier stream đã bị xóa:
Get-Item "C:\Downloads\report.xlsx" -Stream * | Select-Object Stream
# Should only show :$DATA — no Zone.Identifier entry
Nên dùng cách nào
- Một file, ngay bây giờ → Cách 1 (Unblock qua Properties)
- Nhiều file từ khách hàng → Cách 2 (PowerShell Unblock-File)
- Tải file thường xuyên vào một thư mục cố định → Cách 3 (Trusted Location)
- Hệ thống doanh nghiệp, file SharePoint luôn bị chặn → Cách 4 (Group Policy)
- Máy trạm cách ly, toàn bộ file đều nội bộ → Cách 5 (Tắt có chọn lọc)