Làm thế nào để tắt Open File – Security Warnings trên Windows 10?
Windows 10 có rất nhiều tính năng giúp người dùng ngăn chặn các ứng dụng gây hại, các tệp đính kèm không an toàn hoặc các nguồn Internet không rõ ràng. Khi bạn cố gắng chạy exe, msi, bat, cmd hoặc các tệp khác từ ổ đĩa cục bộ hoặc thư mục mạng trong Windows, bạn sẽ thấy cảnh báo Open File – Security Warning. Để tiếp tục, người dùng phải xác nhận việc khởi chạy một tệp như vậy theo cách thủ công bằng cách nhấp vào nút Chạy (Run). Đây là mức bảo vệ bình thường nhưng nếu không thích bạn có thể vô hiệu hóa tính năng Open File – Security Warnings.
Cảnh báo bảo mật của Windows trước khi khởi chạy tệp đính kèm hoặc tập lệnh
Windows được thiết kế như vậy nhằm bảo vệ máy tính của bạn khi chạy các tệp đính kèm tiềm ẩn nhiều nguy hiểm được tải xuống từ Internet hoặc nhận từ các nguồn không đáng tin cậy khác. Cảnh báo bảo mật này xuất hiện trên tất cả các phiên bản Windows (bao gồm Windows 10, 8.1 và 7).
Nếu bạn cài đặt hoặc chạy chương trình ở chế độ nền (thông qua các tác vụ của bộ lập lịch, tập lệnh đăng nhập Group Policy, tập lệnh SCCM, v.v.), điều này có thể gây ra sự cố. Trong những trường hợp như vậy, cửa sổ cảnh báo bảo mật sẽ không xuất hiện. Vì vậy, không thể cài đặt hoặc chạy một ứng dụng như vậy ở chế độ hàng loạt.
Khi mở một tệp từ thư mục được chia sẻ, cảnh báo bảo mật của Windows sẽ hiển thị như sau:
Open File — Security Warning The Publisher could not be verified. Are you sure you want to run this software? We can’t verify who created this file. Are you sure you want to run this file? This file is in location outside your local network. Files from locations you don’t recognize can harm your PC. Only run this file if you trust the location.
Khi chạy một tệp được tải xuống từ Internet từ ổ đĩa cục bộ (hoặc chia sẻ mạng được gắn kết qua net use), nội dung cảnh báo sẽ hiển thị hơi khác:
Open File — Security Warning Do you want to run this file? While files from the Internet can be useful, this file type can potentially harm your computer. Only run software from publishers you trust.
Nếu bỏ chọn tùy chọn Always ask when opening this file (Luôn hỏi khi mở tệp này), thì lần sau khi bạn chạy tệp này, cửa sổ bảo mật của Windows sẽ không xuất hiện. Tuy nhiên, bạn sẽ phải thêm chương trình vào ngoại lệ theo cách thủ công.
Chúng ta hãy thử tìm hiểu cách loại bỏ các cảnh báo bảo mật khi chạy các tệp đính kèm hoặc cài đặt trên Windows (hướng dẫn này có thể áp dụng cho tất cả các phiên bản Windows).
Lưu ý: Trong hầu hết các trường hợp, bạn không nên tắt cửa sổ này kèm theo cảnh báo bảo mật vì nó làm giảm tính bảo mật cho máy tính của bạn.
Sau đây, https://tienich.xyz/ sẽ giới thiệu một số cách tắt cảnh báo bảo mật để bạn có thể chọn cho mình một giải pháp phù hợp nhất (đôi khi bạn sẽ phải kết hợp nhiều giải pháp).
Làm thế nào để tắt Open File – Security Warnings cho tệp đã tải xuống?
Các tệp đính kèm được tải xuống từ Internet hay nguồn không an toàn sẽ tự động được đánh dấu là có khả năng nguy hiểm dưới định dạng NTFS – ứng dụng lưu tệp đã tải xuống vào ổ cứng. Đây là một dấu tệp đặc biệt, được tự động gán cho tệp đã tải xuống. Để xóa điểm đánh dấu này, bạn cần bỏ chặn nó theo các bước sau:
- Bước 1: Mở thuộc tính của tệp đính kèm
- Bước 2: Vào tab Chung (General), tìm và đánh dấu vào hộp kiểm ✅ Bỏ chặn (Unblock). Nếu tệp đã được tải xuống từ Internet, cảnh báo This file came from another computer and might be blocked to help protect this computer (Tệp này đến từ một máy tính khác và có thể bị chặn để giúp bảo vệ máy tính này) sẽ được hiển thị bên cạnh hộp kiểm.
- Bước 3: Nhấp OK để lưu các thay đổi. Sau khi được bỏ chặn, tệp sẽ được chạy mà không có cửa sổ cảnh báo (luồng dữ liệu thay thế NTFS bị loại bỏ).
Lưu ý: Để ngăn việc tự động gán điểm đánh dấu Zone.Identifier cho các tệp bạn tải xuống từ Internet thông qua trình duyệt, bạn có thể lưu các tệp đã tải xuống vào ổ đĩa có định dạng FAT32 hoặc exFAT. Các luồng NTFS thay thế không hoạt động trên các hệ thống tệp này.
Thuộc tính luồng dữ liệu NTFS thay thế Zone.Identifier có thể được đặt lại bằng hai lệnh sau (một tệp mới sẽ được tạo):
move oldapp.exe > newapp
type newapp > oldapp.exe
Hoặc với sự trợ giúp của công cụ Sysinternal:
streams.exe
Ngoài ra, bạn có thể bỏ chặn tệp bằng PowerShell:
Unblock-File -Path C:Downloadssomefile.exe
Bạn chỉ có thể tắt cảnh báo này cho các tệp được tải xuống từ trình duyệt bằng cách tắt cài đặt của thuộc tính Zone.Identifier:
- Đối với Google Chrome và IE, bạn cần tạo một tham số đăng ký như sau:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesAttachments]“SaveZoneInformation”=dword:00000001 - Đối với Mozilla Firefox: mở trang cài đặt
about:configvà thay đổi giá trịbrowser.download.saveZoneInformationthành false.
Trong Windows, bạn hoàn toàn có thể vô hiệu hóa việc áp dụng thông tin vùng cho các tệp được tải xuống từ Internet bằng cách sử dụng tham số GPO đặc biệt Không lưu giữ thông tin vùng trong tệp đính kèm (Do not preserve zone information in file attachment)
Cấu hình người dùng (User Configuration) -> Mẫu quản trị (Administrative Templates) -> Cấu phần Windows (Windows Components) -> Trình quản lý tệp đính kèm (Attachment Manager)
Cảnh báo bảo mật khi mở tệp từ Network Share
Cửa sổ cảnh báo có thể xuất hiện khi chương trình được khởi chạy từ một thư mục mạng dùng chung bằng đường dẫn UNC. Sự cố này thường xảy ra đối với người dùng doanh nghiệp khi truy cập tài nguyên trong miền AD khác hoặc bằng địa chỉ IP. Trong trường hợp này, cách dễ nhất là thêm tên hoặc địa chỉ IP của máy chủ lưu trữ tệp đính kèm vào vùng Mạng nội bộ (Local Intranet zone) trong cài đặt Internet Explorer. Điều này sẽ chỉ ra rằng tài nguyên đó là đáng tin cậy. Để thực hiện nó bạn cần làm theo các bước:
- Bước 1: Đi tới Bảng điều khiển (Control Panel) → Tùy chọn Internet
- Bước 2: Đi đến Tab Bảo mật (Security)
- Bước 3: Mở Local Intranet → Sites → Advanced
- Bước 4: Trong cửa sổ tiếp theo, thêm tên hoặc địa chỉ IP của máy chủ. Ví dụ: \10.0.0.6, \srv.contoso.com hoặc \127.0.0.1 cho một máy tính cục bộ. Bạn có thể sử dụng một ký tự đại diện. Ví dụ: bạn có thể thêm tất cả các địa chỉ IP của mạng cục bộ vào vùng Intranet địa phương như: file: //192.168.1.*
Các cài đặt này được lưu trữ trong khóa đăng ký HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMap. Địa chỉ IP đáng tin cậy được chỉ định trong Ranges khóa đăng ký; máy chủ và tên miền – trong Domains.
Ngoài ra, bạn có thể thêm địa chỉ IP và tên DNS của các miền và máy chủ đáng tin cậy vào vùng Intranet Cục bộ bằng cách sử dụng GPO. Mở Local (gpedit.msc) hoặc Domain Group Policy Editor (gpmc.msc). Bật chính sách Cấu hình tính toán (Compute Configuration) -> Mẫu quản trị (Administrative Templates) -> Cấu phần Windows (Windows Components) -> Internet Explorer -> Bảng điều khiển Internet (Internet Control Panel) -> Trang bảo mật (Security Page) -> Danh sách chỉ định trang đến vùng (Site to Zone Assignment List). Trong cài đặt chính sách, bạn phải chỉ định danh sách các máy chủ hoặc miền đáng tin cậy ở định dạng sau:
- Server (máy chủ) tên (ví dụ: file://server_name, \server_name, server_name hay IP)
- Số vùng (1 cho Vùng mạng nội bộ)
Nếu cửa sổ cảnh báo bảo mật xuất hiện khi khởi chạy chương trình từ ổ đĩa mapped network, hãy thêm ký tự ổ đĩa (ví dụ: U: ) hoặc đường dẫn UNC vào vùng Intranet cục bộ.
Lưu các thay đổi chính sách và làm mới cài đặt GPO trên máy khách (gpupdate /force). Cảnh báo sẽ ngừng xuất hiện khi mở các tệp đính kèm từ các thư mục mạng chia sẻ được chỉ định.
Ngoài ra, bạn có thể bật các cài đặt sau trong phần GPO: Cấu hình người dùng (User Configuration) -> Mẫu quản trị (Administrative Templates) -> Thành phần Windows (Windows Components) -> Internet Explorer -> Bảng điều khiển Internet (Internet Control Panel) -> Trang bảo mật (Security Page). Đây là tùy chọn tốt nhất cho người dùng miền:
- Intranet Sites: Include all local (intranet) sites not listed in other zones (Bao gồm tất cả các site cục bộ (mạng nội bộ) không được liệt kê trong các khu vực khác)
- Intranet Sites: Include all network paths (UNCs) (Bao gồm tất cả các đường dẫn mạng (UNC))
- Turn on automatic detection of intranet (Bật tính năng tự động phát hiện mạng nội bộ)
Cảnh báo bảo mật mở tệp khi sử dụng chuyển hướng thư mục AppData
Nếu bạn đang sử dụng chuyển hướng thư mục AppData (trong trường hợp chuyển vùng hồ sơ), bạn có thể gặp phải cửa sổ “Open File – Security Warnings” khi khởi chạy ứng dụng từ thư mục hồ sơ.
Trong trường hợp này, bạn cần thêm máy chủ của mình (hoặc toàn bộ miền) nơi lưu trữ các cấu hình chuyển vùng vào vùng tin cậy của IE.
Sử dụng tùy chọn GPO Cấu hình người dùng (User Configuration) -> Chính sách (Policies) -> Mẫu quản trị (Administrative Templates) -> Cấu phần Windows (Windows Components) -> Internet Explorer -> Bảng điều khiển Internet (Internet Control Panel) -> Trang bảo mật (Security Page) -> Danh sách chỉ định trang đến vùng (Site to Zone Assignment List). Thêm tên máy chủ (miền) có giá trị 1.
Tắt cảnh báo bảo mật mở tệp cho các loại tệp thông qua GPO
Mặc dù không an toàn nhưng trong một số trường hợp, bạn nên tắt hoàn toàn sự xuất hiện của cảnh báo bảo mật cho một số loại tệp thông qua Chính sách nhóm (Group Policies).
Để thực hiện, trong GPO Editor, hãy đi tới: Cấu hình người dùng (User Configuration) -> Mẫu quản trị (Administrative Templates) -> Thành phần Windows (Windows Components) -> Trình quản lý tệp đính kèm (Attachment Manager).
- Bật chính sách Do not preserve zone information in file attachments (Không lưu thông tin vùng trong tệp đính kèm), tất cả các tệp đã tải xuống sẽ được chạy mà không có cảnh báo trên tất cả các máy tính.
- Bật tính năng Inclusion list for low file types (Danh sách các loại tập tin thấp), nó sẽ xác định danh sách các phần mở rộng tập tin mà bạn cho phép chạy như: exe; .vbs; .msi. Windows sẽ bỏ qua các các tệp có các phần mở rộng này và chạy chúng mà không có cảnh báo bảo mật.
Lưu ý: Chính sách này thêm phần mở rộng tệp vào tham số đăng ký LowRiskFileTypes: [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesAssociations]"LowRiskFileTypes"=".exe;.vbs;.msi;.bat;"
Tuy Local Group Policy Editor (gpedit.msc) bị thiếu trên phiên bản Windows 10 Home. Nhưng có một giải pháp để cài đặt nó.
Lưu chính sách, gán nó cho OU mục tiêu và áp dụng nó cho các máy khách bằng cách chạy gpupdate /force lệnh trên chúng.
Giờ đây, cảnh báo sẽ ngừng xuất hiện khi mở các tệp đình kèm có phần mở rộng được chỉ định với bất kỳ thông tin nào trong luồng Zone.Identifier. Bạn cũng có thể cho phép Internet Explorer chạy bất kỳ tệp nào trong các thuộc tính của Internet Explorer (Bảo mật (Security) -> Internet -> Mức tùy chỉnh (Custom level) -> Khác (Miscellaneous) -> Khởi chạy ứng dụng và tệp không an toàn (Launching applications and unsafe files), nhưng nó rất rủi ro.
Bạn có thể tắt hoàn toàn cửa sổ “Open File – Security Warnings” đối với các tệp không an toàn bằng cách sử dụng tùy chọn GPO Turn off the Security Settings Check feature (Tắt tính năng Kiểm tra Cài đặt Bảo mật) nằm trong phần Cấu hình Máy tính (Computer Configuration) -> Mẫu Quản trị (Administrative Templates) -> Thành phần Windows (Windows Components) -> Internet Explorer.
Hoặc bạn có thể cho phép bất kỳ tệp nào chạy mà không hiển thị “Open File – Security Warnings” bằng các lệnh sau:
REG ADD "HKLMSOFTWAREPoliciesMicrosoftInternet ExplorerSecurity" /V "DisableSecuritySettingsCheck" /T "REG_DWORD" /D "00000001" /F
REG ADD "HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3" /V "1806" /T "REG_DWORD" /D "00000000" /F
REG ADD "HKLMSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3" /V "1806" /T "REG_DWORD" /D "00000000" /F
Chúc bạn thành công !
