ในWindows 11คุณสามารถเปิดใช้งาน คุณสมบัติ “การป้องกันผู้ดูแลระบบ”เพื่อเพิ่มระดับความปลอดภัยเมื่อใช้งานแอปพลิเคชันที่ต้องการสิทธิ์ระดับสูงได้แล้ว ในคู่มือนี้ ผมจะอธิบายวิธีการตั้งค่าคุณสมบัตินี้ผ่านนโยบายกลุ่ม (Group Policy), รีจิสทรี (Registry) และความปลอดภัยของ Windows (Windows Security)
การป้องกันผู้ดูแลระบบคืออะไร?
การป้องกันผู้ดูแลระบบ (Administrator Protection) เป็นคุณสมบัติความปลอดภัยของ Windows 11 ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ที่มีสิทธิ์ในการดูแลระบบ โดยปกติแล้ว ผู้ใช้ในกลุ่ม "ผู้ดูแลระบบ"สามารถแก้ไขการตั้งค่าระบบและติดตั้งแอปพลิเคชันได้โดยไม่มีข้อจำกัด แม้ว่าความสามารถเหล่านี้จะมีประโยชน์ แต่ก็มีความเสี่ยงด้านความปลอดภัยอย่างมากเช่นกัน เนื่องจากผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อโจมตีระบบได้
คุณสมบัตินี้ช่วยลดความเสี่ยงเหล่านี้โดยลดโอกาสที่ผู้ใช้จะทำการเปลี่ยนแปลงระดับระบบโดยไม่ได้ตั้งใจ และป้องกันมัลแวร์จากการแก้ไขโดยไม่ได้รับอนุญาตโดยไม่แจ้งให้ทราบล่วงหน้า
ระบบป้องกันผู้ดูแลระบบทำงานอย่างไร?
คุณสมบัตินี้ใช้หลักการ “หลักการให้สิทธิ์ขั้นต่ำสุด” (Principle of Least Privilege หรือ PoLP)โดยถือว่าบัญชีผู้ดูแลระบบเป็นผู้ใช้ทั่วไปตามค่าเริ่มต้น สิทธิ์ระดับสูงจะได้รับอนุญาตก็ต่อเมื่อได้รับการอนุมัติอย่างชัดเจนเท่านั้น โดยใช้กระบวนการให้สิทธิ์แบบ “ทันเวลาพอดี” (Just-in-Time หรือ JIT)
ตัวอย่างเช่น หากคุณพยายามดำเนินการเกี่ยวกับการดูแลระบบ (เช่น การแก้ไขการตั้งค่าระบบหรือการติดตั้งแอปพลิเคชัน) คุณต้องอนุมัติการยกระดับสิทธิ์ก่อน ซึ่งสามารถทำได้โดยใช้การตรวจสอบสิทธิ์ Windows Hello (วิธีการเริ่มต้น) หรือให้ความยินยอมตามข้อความแจ้งเตือนในสภาพแวดล้อมที่ปลอดภัย (โดยไม่ต้องมีการตรวจสอบสิทธิ์เพิ่มเติม)
เมื่ออนุมัติงานแล้ว Windows 11 จะสร้างโทเค็นผู้ดูแลระบบแบบแยกต่างหากชั่วคราวโดยใช้บัญชีผู้ใช้แยกต่างหากที่สร้างโดยระบบ โทเค็นนี้จะถูกใช้เฉพาะในช่วงเวลาที่งานนั้นกำลังดำเนินการอยู่และจะถูกทำลายทันทีหลังจากนั้น ตามที่ Microsoft ระบุไว้ วิธีนี้จะช่วยให้มั่นใจได้ว่าสิทธิ์ของผู้ดูแลระบบจะไม่คงอยู่ถาวร การร้องขอสิทธิ์ระดับสูงในครั้งต่อไปจะทำซ้ำกระบวนการทั้งหมด ทำให้สภาพแวดล้อมมีความปลอดภัย
นอกจากนี้ ข้อความแจ้งเตือนยังใช้โทนสีที่แตกต่างกันเพื่อเป็นสัญญาณบ่งบอกถึงความเสี่ยงที่อาจเกิดขึ้นจากการกระทำดังกล่าว
การป้องกันโดยผู้ดูแลระบบเหมือนกับการควบคุมบัญชีผู้ใช้หรือไม่?
ถึงแม้ว่าอาจดูคล้ายกัน แต่ Administrator Protection ไม่เหมือนกับ User Account Control (UAC) Microsoft นิยาม UAC ว่าเป็น “คุณสมบัติการป้องกันเชิงลึก” ในขณะที่ Administrator Protection ถูกออกแบบมาเพื่อให้แน่ใจว่าการเข้าถึงหรือการแก้ไขโค้ดหรือข้อมูลของเซสชันที่มีสิทธิ์สูงจะไม่สามารถดำเนินการได้หากไม่ได้รับการยืนยันอย่างถูกต้องจากผู้ใช้
กล่าวโดยสรุป User Account Control มุ่งเน้นไปที่การแจ้งเตือนการเปลี่ยนแปลงทั่วทั้งระบบ ในขณะที่ Administrator Protection เสริมสร้างรูปแบบความปลอดภัยสำหรับบัญชีผู้ดูแลระบบโดยเฉพาะ ด้วยการลดการใช้สิทธิ์ในทางที่ผิดให้น้อยที่สุด
ในคู่มือ นี้ ผมจะอธิบายวิธีการเปิดใช้งานคุณสมบัติความปลอดภัยใหม่สำหรับผู้ดูแลระบบบน Windows 11 จำนวน 3 วิธี
คำเตือน:ก่อนดำเนินการต่อ โปรดตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการแก้ไขรีจิสทรีของ Windows การเปลี่ยนแปลงที่ไม่ถูกต้องอาจนำไปสู่ความไม่เสถียรของระบบหรือปัญหาในการทำงาน ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลระบบทั้งหมดก่อนทำการเปลี่ยนแปลงใดๆ ดำเนินการด้วยความระมัดระวังและความเข้าใจ
หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบจากการอัปเดตความปลอดภัยของ Windows ให้ทำตามขั้นตอนต่อไปนี้:
เปิดแอปพลิเคชันความปลอดภัยของ Windows
คลิกที่ การ ปกป้องบัญชี
คลิก การตั้ง ค่าการป้องกันผู้ดูแลระบบภายใต้หัวข้อ “การป้องกันผู้ดูแลระบบ”
เปิดใช้งานสวิตช์เปิด/ ปิด การป้องกันผู้ดูแลระบบ
รีสตาร์ทคอมพิวเตอร์
เมื่อคุณทำตามขั้นตอนเสร็จสิ้นแล้ว คุณสมบัติการรักษาความปลอดภัยจะถูกเปิดใช้งานบนคอมพิวเตอร์ของคุณ
หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบจากตัวแก้ไขนโยบายกลุ่มบน Windows 11 Pro ให้ทำตามขั้นตอนต่อไปนี้:
เปิดStart
ค้นหาgpeditแล้วคลิกผลลัพธ์แรกเพื่อเปิดโปรแกรมแก้ไขนโยบายกลุ่ม (Group Policy Editor )
เรียกดูตามเส้นทางต่อไปนี้:
การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายภายในเครื่อง > ตัวเลือกความปลอดภัย
คลิกขวาที่ นโยบาย “การควบคุมบัญชีผู้ใช้: กำหนดค่าประเภทของโหมดการอนุมัติของผู้ดูแลระบบ”แล้วเลือกตัวเลือกคุณสมบัติ
เลือกตัวเลือก“โหมดอนุมัติโดยผู้ดูแลระบบพร้อมการป้องกันโดยผู้ดูแลระบบ”
คลิก ปุ่ม " สมัคร "
คลิกปุ่มตกลง
รีสตาร์ทคอมพิวเตอร์
หลังจากทำตามขั้นตอนเสร็จสิ้น การตั้งค่าจะถูกนำไปใช้กับ Windows 11 Pro หรือ Enterprise และในครั้งต่อไปที่คุณเรียกใช้แอปพลิเคชันที่ต้องการสิทธิ์ระดับสูง คุณจะได้รับข้อความแจ้งให้ยินยอมต่อการกระทำดังกล่าว หรือยืนยันตัวตนโดยใช้วิธี Windows Hello ที่มีอยู่
หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 (Home และ Pro) ผ่านทาง Registry ให้ทำตามขั้นตอนต่อไปนี้:
เปิดStart
ค้นหาregeditแล้วคลิกผลลัพธ์แรกเพื่อเปิด Registry Editor
เปิดเส้นทางต่อไปนี้:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
คลิกขวาที่ คีย์ TypeOfAdminApprovalModeแล้วเลือกตัวเลือกModify
เปลี่ยนค่าเป็น2เพื่อเปิดใช้งานฟีเจอร์นี้
คลิกปุ่มตกลง
รีสตาร์ทคอมพิวเตอร์
เมื่อคุณทำตามขั้นตอนเสร็จสิ้น ระบบจะเปิดใช้งานการเข้าถึงแบบทันทีสำหรับการดำเนินการที่ต้องใช้สิทธิ์ผู้ดูแลระบบ โดยจะแทนที่ฟีเจอร์การควบคุมบัญชีผู้ใช้ในบัญชีของคุณ
หากต้องการยกเลิกการเปลี่ยนแปลง ให้ทำตามคำแนะนำเดิม แต่ในขั้นตอนที่ 5ให้ตั้งค่าเป็น1บันทึกการตั้งค่า และรีสตาร์ทคอมพิวเตอร์
ต่อไปนี้เป็นรายการคำถามที่พบบ่อย (FAQs) และคำตอบเกี่ยวกับการป้องกันผู้ดูแลระบบบน Windows 11
การป้องกันโดยผู้ดูแลระบบใน Windows 11 คืออะไร?
การป้องกันผู้ดูแลระบบเป็นคุณสมบัติด้านความปลอดภัยที่ออกแบบมาเพื่อป้องกันการยกระดับสิทธิ์โดยไม่ได้รับอนุญาตหรือโดยอัตโนมัติในบัญชีผู้ดูแลระบบ เมื่อเปิดใช้งานแล้ว จะต้องมีการยืนยันด้วยตนเองสำหรับการดำเนินการที่สำคัญและการเปลี่ยนแปลงระดับระบบ
มีการเปิดใช้งานการป้องกันผู้ดูแลระบบโดยค่าเริ่มต้นหรือไม่?
ไม่ครับ ในระบบส่วนใหญ่ ฟีเจอร์นี้จะถูกปิดใช้งานโดยค่าเริ่มต้น คุณต้องเปิดใช้งานด้วยตนเองผ่านการตั้งค่า นโยบายกลุ่ม หรือ PowerShell
การป้องกันโดยผู้ดูแลระบบแตกต่างจากการควบคุมบัญชีผู้ใช้ (UAC) อย่างไร?
UAC จะแจ้งให้ขอสิทธิ์การเข้าถึงระดับผู้ดูแลระบบทุกครั้งที่แอปขอสิทธิ์ดังกล่าว ในขณะที่ Administrator Protection จะเพิ่มมาตรการป้องกันเพิ่มเติมที่บล็อกการขอสิทธิ์ระดับผู้ดูแลระบบโดยอัตโนมัติ และบังคับใช้การควบคุมการตรวจสอบสิทธิ์ที่เข้มงวดมากขึ้น
ฉันสามารถเปิดใช้งานการป้องกันผู้ดูแลระบบโดยใช้ PowerShell หรือ Group Policy ได้หรือไม่?
ใช่แล้ว ใน Windows 11 Pro และ Enterprise คุณสามารถเปิดใช้งานได้โดยใช้ Group Policy หรือคำสั่ง PowerShell ที่แก้ไขนโยบายความปลอดภัยที่เกี่ยวข้อง
การเปิดใช้งานการป้องกันของผู้ดูแลระบบส่งผลกระทบต่อ Microsoft Defender หรือ Smart App Control หรือไม่?
ไม่ ฟีเจอร์นี้ทำงานควบคู่ไปกับส่วนประกอบด้านความปลอดภัยของ Windows อย่างไรก็ตาม มันสามารถช่วยเพิ่มประสิทธิภาพการป้องกันระบบโดยการป้องกันความพยายามในการยกระดับสิทธิ์ที่เป็นอันตราย ซึ่งเลเยอร์อื่นๆ อาจตรวจจับไม่ได้
ฉันสามารถปิดใช้งานการป้องกันผู้ดูแลระบบในภายหลังได้หรือไม่?
ใช่ คุณสามารถปิดใช้งานได้ทุกเมื่อจากรีจิสทรีหรือนโยบายกลุ่มเดียวกัน หากต้องการคืนค่าการทำงานกลับไปเป็นแบบเดิม
อัปเดต 31 มีนาคม 2569:คู่มือนี้ได้รับการปรับปรุงเพื่อให้มีความถูกต้องและสะท้อนถึงการเปลี่ยนแปลงในกระบวนการ
ในการใช้ Rufus เพื่อสร้าง USB สำหรับ Windows 11 เวอร์ชัน 24 ชั่วโมง ให้เปิดโปรแกรม เลือก "เปิดไฟล์ที่มีอยู่แล้ว" หรือ "ดาวน์โหลดไฟล์ ISO" และเลือกตัวเลือก "กำหนดเอง" ดูวิธีการได้ที่นี่
ในการดาวน์โหลดไฟล์ ISO ของ Windows 11 คุณสามารถใช้เว็บไซต์ของ Microsoft, Media Creation Tool, Rufus และ UUP Dump ได้ วิธีการมีดังนี้
ไมโครซอฟต์ปล่อยอัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2025 ซึ่งมีการเปลี่ยนแปลงและแก้ไขข้อบกพร่องสำหรับ Windows 10
WhyNotWin11 ดีกว่าแอป Microsoft PC Health Check ในการบอกคุณว่าทำไมพีซีของคุณจึงไม่สามารถใช้งาน Windows 11 ได้ รวมถึงปัญหาเกี่ยวกับ TPM 2.0 และการรองรับ CPU ด้วย
Recall ใน Windows 11 เป็นฟีเจอร์ AI ที่ติดตามทุกสิ่งที่คุณทำบนคอมพิวเตอร์และทำให้คุณสามารถค้นหากิจกรรมของคุณได้ นี่คือทุกสิ่งที่คุณจำเป็นต้องรู้
หากต้องการติดตั้ง Windows 11 ใหม่ ให้เปิด การตั้งค่า > ระบบ > การกู้คืน คลิก ติดตั้งใหม่ทันที แล้วคลิก ตกลง หรือใช้ตัวเลือก รีเซ็ตพีซีนี้โดยเก็บไฟล์ไว้
แอป PC Manager สำหรับ Windows 11 ปรากฏอยู่บนเว็บไซต์ของ Microsoft และเป็นแอปที่จะช่วยเพิ่มประสิทธิภาพการทำงานของระบบและรักษาความปลอดภัยของอุปกรณ์
เพิ่มประสิทธิภาพ Windows 11 ได้ฟรีด้วยเคล็ดลับที่ได้รับการพิสูจน์แล้ว ไม่จำเป็นต้องใช้ฮาร์ดแวร์หรือซอฟต์แวร์เพิ่มเติม เรียนรู้วิธีเร่งความเร็วพีซีของคุณโดยใช้เครื่องมือในตัว
หากต้องการเปิดใช้งาน Smart App Control บน Windows 11 ให้เปิดแอปความปลอดภัย ไปที่การควบคุมแอปและเบราว์เซอร์ การตั้งค่า Smart App Control และเปิดใช้งานฟีเจอร์นี้
ไมโครซอฟต์เตรียมขึ้นราคา Surface สูงสุดถึง 500 ดอลลาร์ในปี 2026 ต้นทุน RAM ที่สูงขึ้นผลักดันให้อุปกรณ์เหล่านี้เข้าสู่กลุ่มสินค้าพรีเมียม ส่งผลให้มูลค่าระหว่าง Windows และ Mac เปลี่ยนแปลงไป
