Cách xử lý trong 10 giây
Bạn đang nhìn thấy một biểu ngữ màu xanh lớn? Nếu bạn tin tưởng tệp vừa tải xuống, bạn có thể bỏ qua bước kiểm tra bảo mật chỉ với hai lần nhấp chuột:
- Nhấp vào liên kết More info nằm bên dưới văn bản cảnh báo chính.
- Chọn nút Run anyway xuất hiện ở phía dưới.
Nếu bạn là nhà phát triển hoặc quản trị viên hệ thống đang xử lý một thư mục đầy các script bị chặn, đừng nhấp vào từng tệp một. Hãy mở PowerShell và chạy lệnh sau để gỡ chặn cho mọi tệp trong một thư mục:
dir -Path "C:\Downloads\MyApp" -Recurse | Unblock-File
Thủ phạm: Mark of the Web (MotW)
Windows theo dõi nguồn gốc các tệp của bạn bằng một tính năng gọi là Mark of the Web (MotW). Khi bạn tải xuống một công cụ qua Chrome hoặc lưu tệp đính kèm email, Windows sẽ đính kèm một mẩu siêu dữ liệu ẩn gọi là Alternate Data Stream (ADS). Cụ thể, nó tạo ra một luồng Zone.Identifier để đánh dấu tệp với "ZoneId=3" (Internet).
SmartScreen sẽ kích hoạt khi bạn khởi chạy một tệp có thẻ này nếu ứng dụng đó chưa được ký hoặc thiếu uy tín vững chắc. Trong mắt Microsoft, một "uy tín vững chắc" thường có nghĩa là tệp binary đó đã được hàng nghìn người dùng khác chạy một cách an toàn. Cho đến khi đạt được ngưỡng đó, Windows sẽ coi ứng dụng của bạn là một mối đe dọa tiềm tàng.
Cách gỡ chặn các tệp của bạn
Phương pháp 1: File Properties (Tốt nhất cho các trình cài đặt đơn lẻ)
Đây là cách sửa lỗi thủ công tiêu chuẩn cho tệp .exe hoặc .msi. Việc này chỉ mất khoảng năm giây.
- Nhấp chuột phải vào tệp bị chặn và chọn Properties.
- Ở tab General, hãy nhìn xuống phía dưới.
- Tích vào ô Unblock bên cạnh cảnh báo bảo mật.
- Nhấn Apply.
Cảnh báo màu xanh sẽ biến mất ngay lập tức. Lưu ý rằng nếu bạn gỡ chặn một tệp ZIP trước khi giải nén, Windows sẽ tự động gỡ chặn mọi tệp bên trong. Nếu bạn giải nén trước, bạn sẽ phải gỡ chặn từng tệp một.
Phương pháp 2: PowerShell (Tốt nhất để gỡ chặn hàng loạt)
Việc nhấp chuột thủ công vào thuộc tính của 50 tệp DLL khác nhau là một sự lãng phí thời gian. PowerShell có thể loại bỏ Mark of the Web khỏi toàn bộ thư mục dự án chỉ trong vài giây.
Để gỡ chặn một tệp duy nhất:
Unblock-File -Path ".\setup.exe"
Để gỡ chặn đệ quy toàn bộ thư mục (như một bộ SDK 500MB hoặc bộ công cụ của nhà cung cấp):
Get-ChildItem -Path "C:\dev\tools" -Recurse | Unblock-File
Phương pháp 3: Vô hiệu hóa SmartScreen qua Registry (Chỉ dành cho môi trường Dev/Lab)
Nếu bạn đang làm việc trong một môi trường lab chuyên dụng, nơi bạn liên tục xây dựng các tệp thực thi chưa được ký, những thông báo này sẽ làm giảm năng suất công việc. Bạn có thể tắt chúng trên toàn hệ thống, nhưng tránh thực hiện việc này trên máy tính chính của bạn vì nó sẽ loại bỏ một lớp phòng thủ quan trọng.
Chạy PowerShell với quyền Administrator:
# Vô hiệu hóa SmartScreen cho Windows Shell
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" -Name "SmartScreenEnabled" -Value "Off"
# Vô hiệu hóa SmartScreen cho Edge
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Edge\SmartScreenEnabled" -Name "Enabled" -Value 0
Phương pháp 4: Group Policy (Dành cho Quản trị viên IT)
Các quản trị viên quản lý một dàn máy tính có thể kiểm soát hành vi này thông qua Group Policy Editor (gpedit.msc). Điều này hữu ích nếu bạn muốn cho phép người dùng bỏ qua cảnh báo mà không cần vô hiệu hóa hoàn toàn tính năng bảo vệ.
- Đi tới: Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender SmartScreen > Explorer.
- Mở Configure Windows Defender SmartScreen.
- Đặt thành Enabled.
- Trong ngăn Options, chọn Warn. Điều này giúp giữ lại biểu ngữ nhưng vẫn cho phép hiển thị nút "Run anyway". (Chọn "Warn and prevent bypass" sẽ khóa hoàn toàn tệp).
Cách xác nhận tệp đã được gỡ chặn
Bạn muốn chắc chắn tệp đã "sạch"? Hãy sử dụng PowerShell để tìm luồng dữ liệu ẩn:
Get-Item -Path ".\app.exe" -Stream *
Nếu bạn thấy Zone.Identifier trong danh sách, tệp vẫn đang bị chặn. Nếu chỉ có $DATA xuất hiện, bạn đã hoàn tất.
Dành cho nhà phát triển: Tránh "Hộp xanh chết chóc"
Nếu bạn đang phân phối phần mềm, bạn không muốn khách hàng của mình thấy lỗi này. Nó làm giảm tỷ lệ chuyển đổi và trông không chuyên nghiệp. Dưới đây là cách khắc phục từ nguồn:
- Sở hữu Chứng chỉ Ký mã EV: Các chứng chỉ tiêu chuẩn yêu cầu một giai đoạn "làm nóng" với hàng trăm lượt tải xuống trước khi SmartScreen tin tưởng chúng. Một chứng chỉ Extended Validation (EV), với chi phí khoảng 300–500 USD/năm, sẽ cung cấp uy tín tức thì.
- Gửi cho Microsoft: Sử dụng cổng thông tin Microsoft Security Intelligence để gửi tệp thực thi của bạn để phân tích. Việc này có thể giúp đưa ứng dụng của bạn vào danh sách trắng một cách thủ công và đẩy nhanh quá trình xây dựng uy tín.
- Ký mọi thứ: Đảm bảo tất cả các tệp thực thi và DLL trong gói của bạn đều được ký bằng cùng một chứng chỉ để duy trì danh tính nhất quán.

