วิธีเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11

• ใน Windows 11 คุณสามารถเปิดใช้งานการป้องกันผู้ดูแลระบบเพื่อเพิ่มความปลอดภัยให้กับบัญชีผู้ดูแลระบบได้
• คุณสมบัตินี้ป้องกันการยกระดับสิทธิ์โดยไม่แจ้งให้ทราบล่วงหน้า และต้องมีการยืนยันโดยใช้ Windows Hello หรือข้อความขอความยินยอม
• คุณสามารถเปิดใช้งานได้ผ่านนโยบายกลุ่ม (Group Policy) ในตัวเลือกความปลอดภัย (Security Options) > โหมดการอนุมัติของผู้ดูแลระบบ (Admin Approval Mode)หรือในรีจิสทรีโดยการตั้ง ค่า TypeOfAdminApprovalModeเป็น2
• นอกจากนี้ ยังสามารถเปิดใช้งานฟีเจอร์นี้ผ่านแอป Windows Security ได้อีกด้วย

ในWindows 11คุณสามารถเปิดใช้งาน คุณสมบัติ “การป้องกันผู้ดูแลระบบ”เพื่อเพิ่มระดับความปลอดภัยเมื่อใช้งานแอปพลิเคชันที่ต้องการสิทธิ์ระดับสูงได้แล้ว ในคู่มือนี้ ผมจะอธิบายวิธีการตั้งค่าคุณสมบัตินี้ผ่านนโยบายกลุ่ม (Group Policy), รีจิสทรี (Registry) และความปลอดภัยของ Windows (Windows Security)

การป้องกันผู้ดูแลระบบคืออะไร?

การป้องกันผู้ดูแลระบบ (Administrator Protection) เป็นคุณสมบัติความปลอดภัยของ Windows 11 ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ที่มีสิทธิ์ในการดูแลระบบ โดยปกติแล้ว ผู้ใช้ในกลุ่ม "ผู้ดูแลระบบ"สามารถแก้ไขการตั้งค่าระบบและติดตั้งแอปพลิเคชันได้โดยไม่มีข้อจำกัด แม้ว่าความสามารถเหล่านี้จะมีประโยชน์ แต่ก็มีความเสี่ยงด้านความปลอดภัยอย่างมากเช่นกัน เนื่องจากผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อโจมตีระบบได้

คุณสมบัตินี้ช่วยลดความเสี่ยงเหล่านี้โดยลดโอกาสที่ผู้ใช้จะทำการเปลี่ยนแปลงระดับระบบโดยไม่ได้ตั้งใจ และป้องกันมัลแวร์จากการแก้ไขโดยไม่ได้รับอนุญาตโดยไม่แจ้งให้ทราบล่วงหน้า

ระบบป้องกันผู้ดูแลระบบทำงานอย่างไร?

คุณสมบัตินี้ใช้หลักการ “หลักการให้สิทธิ์ขั้นต่ำสุด” (Principle of Least Privilege หรือ PoLP)โดยถือว่าบัญชีผู้ดูแลระบบเป็นผู้ใช้ทั่วไปตามค่าเริ่มต้น สิทธิ์ระดับสูงจะได้รับอนุญาตก็ต่อเมื่อได้รับการอนุมัติอย่างชัดเจนเท่านั้น โดยใช้กระบวนการให้สิทธิ์แบบ “ทันเวลาพอดี” (Just-in-Time หรือ JIT)

ตัวอย่างเช่น หากคุณพยายามดำเนินการเกี่ยวกับการดูแลระบบ (เช่น การแก้ไขการตั้งค่าระบบหรือการติดตั้งแอปพลิเคชัน) คุณต้องอนุมัติการยกระดับสิทธิ์ก่อน ซึ่งสามารถทำได้โดยใช้การตรวจสอบสิทธิ์ Windows Hello (วิธีการเริ่มต้น) หรือให้ความยินยอมตามข้อความแจ้งเตือนในสภาพแวดล้อมที่ปลอดภัย (โดยไม่ต้องมีการตรวจสอบสิทธิ์เพิ่มเติม)

เมื่ออนุมัติงานแล้ว Windows 11 จะสร้างโทเค็นผู้ดูแลระบบแบบแยกต่างหากชั่วคราวโดยใช้บัญชีผู้ใช้แยกต่างหากที่สร้างโดยระบบ โทเค็นนี้จะถูกใช้เฉพาะในช่วงเวลาที่งานนั้นกำลังดำเนินการอยู่และจะถูกทำลายทันทีหลังจากนั้น ตามที่ Microsoft ระบุไว้ วิธีนี้จะช่วยให้มั่นใจได้ว่าสิทธิ์ของผู้ดูแลระบบจะไม่คงอยู่ถาวร การร้องขอสิทธิ์ระดับสูงในครั้งต่อไปจะทำซ้ำกระบวนการทั้งหมด ทำให้สภาพแวดล้อมมีความปลอดภัย

นอกจากนี้ ข้อความแจ้งเตือนยังใช้โทนสีที่แตกต่างกันเพื่อเป็นสัญญาณบ่งบอกถึงความเสี่ยงที่อาจเกิดขึ้นจากการกระทำดังกล่าว

การป้องกันโดยผู้ดูแลระบบเหมือนกับการควบคุมบัญชีผู้ใช้หรือไม่?

ถึงแม้ว่าอาจดูคล้ายกัน แต่ Administrator Protection ไม่เหมือนกับ  User Account Control (UAC) Microsoft  นิยาม UAC ว่าเป็น “คุณสมบัติการป้องกันเชิงลึก” ในขณะที่ Administrator Protection ถูกออกแบบมาเพื่อให้แน่ใจว่าการเข้าถึงหรือการแก้ไขโค้ดหรือข้อมูลของเซสชันที่มีสิทธิ์สูงจะไม่สามารถดำเนินการได้หากไม่ได้รับการยืนยันอย่างถูกต้องจากผู้ใช้

กล่าวโดยสรุป User Account Control มุ่งเน้นไปที่การแจ้งเตือนการเปลี่ยนแปลงทั่วทั้งระบบ ในขณะที่ Administrator Protection เสริมสร้างรูปแบบความปลอดภัยสำหรับบัญชีผู้ดูแลระบบโดยเฉพาะ ด้วยการลดการใช้สิทธิ์ในทางที่ผิดให้น้อยที่สุด

ในคู่มือ นี้ ผมจะอธิบายวิธีการเปิดใช้งานคุณสมบัติความปลอดภัยใหม่สำหรับผู้ดูแลระบบบน Windows 11 จำนวน 3 วิธี

• เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากแอปความปลอดภัย
• เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากนโยบายกลุ่ม
• เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากรีจิสทรี
• คำถามที่พบบ่อยเกี่ยวกับการป้องกันผู้ดูแลระบบบน Windows 11

คำเตือน:ก่อนดำเนินการต่อ โปรดตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการแก้ไขรีจิสทรีของ Windows การเปลี่ยนแปลงที่ไม่ถูกต้องอาจนำไปสู่ความไม่เสถียรของระบบหรือปัญหาในการทำงาน ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลระบบทั้งหมดก่อนทำการเปลี่ยนแปลงใดๆ ดำเนินการด้วยความระมัดระวังและความเข้าใจ

เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากแอปความปลอดภัย

หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบจากการอัปเดตความปลอดภัยของ Windows ให้ทำตามขั้นตอนต่อไปนี้:

1. เปิดแอปพลิเคชันความปลอดภัยของ Windows

    

    

2. คลิกที่ การ ปกป้องบัญชี

3. คลิก การตั้ง ค่าการป้องกันผู้ดูแลระบบภายใต้หัวข้อ “การป้องกันผู้ดูแลระบบ”

   

4. เปิดใช้งานสวิตช์เปิด/ ปิด การป้องกันผู้ดูแลระบบ

   

5. รีสตาร์ทคอมพิวเตอร์

เมื่อคุณทำตามขั้นตอนเสร็จสิ้นแล้ว คุณสมบัติการรักษาความปลอดภัยจะถูกเปิดใช้งานบนคอมพิวเตอร์ของคุณ

เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากนโยบายกลุ่ม

หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบจากตัวแก้ไขนโยบายกลุ่มบน Windows 11 Pro ให้ทำตามขั้นตอนต่อไปนี้:

1. เปิดStart​

2. ค้นหาgpeditแล้วคลิกผลลัพธ์แรกเพื่อเปิดโปรแกรมแก้ไขนโยบายกลุ่ม (Group Policy Editor )

3. เรียกดูตามเส้นทางต่อไปนี้:

   การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายภายในเครื่อง > ตัวเลือกความปลอดภัย

4. คลิกขวาที่ นโยบาย “การควบคุมบัญชีผู้ใช้: กำหนดค่าประเภทของโหมดการอนุมัติของผู้ดูแลระบบ”แล้วเลือกตัวเลือกคุณสมบัติ

   

5. เลือกตัวเลือก“โหมดอนุมัติโดยผู้ดูแลระบบพร้อมการป้องกันโดยผู้ดูแลระบบ”

   

6. คลิก ปุ่ม " สมัคร "

7. คลิกปุ่มตกลง

8. รีสตาร์ทคอมพิวเตอร์

หลังจากทำตามขั้นตอนเสร็จสิ้น การตั้งค่าจะถูกนำไปใช้กับ Windows 11 Pro หรือ Enterprise และในครั้งต่อไปที่คุณเรียกใช้แอปพลิเคชันที่ต้องการสิทธิ์ระดับสูง คุณจะได้รับข้อความแจ้งให้ยินยอมต่อการกระทำดังกล่าว หรือยืนยันตัวตนโดยใช้วิธี Windows Hello ที่มีอยู่

เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากรีจิสทรี

หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 (Home และ Pro) ผ่านทาง Registry ให้ทำตามขั้นตอนต่อไปนี้:

1. เปิดStart​

2. ค้นหาregeditแล้วคลิกผลลัพธ์แรกเพื่อเปิด Registry Editor

3. เปิดเส้นทางต่อไปนี้:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

4. คลิกขวาที่ คีย์ TypeOfAdminApprovalModeแล้วเลือกตัวเลือกModify

5. เปลี่ยนค่าเป็น2เพื่อเปิดใช้งานฟีเจอร์นี้

   

6. คลิกปุ่มตกลง

7. รีสตาร์ทคอมพิวเตอร์

เมื่อคุณทำตามขั้นตอนเสร็จสิ้น ระบบจะเปิดใช้งานการเข้าถึงแบบทันทีสำหรับการดำเนินการที่ต้องใช้สิทธิ์ผู้ดูแลระบบ โดยจะแทนที่ฟีเจอร์การควบคุมบัญชีผู้ใช้ในบัญชีของคุณ

หากต้องการยกเลิกการเปลี่ยนแปลง ให้ทำตามคำแนะนำเดิม แต่ในขั้นตอนที่ 5ให้ตั้งค่าเป็น1บันทึกการตั้งค่า และรีสตาร์ทคอมพิวเตอร์

คำถามที่พบบ่อยเกี่ยวกับการป้องกันผู้ดูแลระบบบน Windows 11

ต่อไปนี้เป็นรายการคำถามที่พบบ่อย (FAQs) และคำตอบเกี่ยวกับการป้องกันผู้ดูแลระบบบน Windows 11

การป้องกันโดยผู้ดูแลระบบใน Windows 11 คืออะไร?

การป้องกันผู้ดูแลระบบเป็นคุณสมบัติด้านความปลอดภัยที่ออกแบบมาเพื่อป้องกันการยกระดับสิทธิ์โดยไม่ได้รับอนุญาตหรือโดยอัตโนมัติในบัญชีผู้ดูแลระบบ เมื่อเปิดใช้งานแล้ว จะต้องมีการยืนยันด้วยตนเองสำหรับการดำเนินการที่สำคัญและการเปลี่ยนแปลงระดับระบบ

มีการเปิดใช้งานการป้องกันผู้ดูแลระบบโดยค่าเริ่มต้นหรือไม่?

ไม่ครับ ในระบบส่วนใหญ่ ฟีเจอร์นี้จะถูกปิดใช้งานโดยค่าเริ่มต้น คุณต้องเปิดใช้งานด้วยตนเองผ่านการตั้งค่า นโยบายกลุ่ม หรือ PowerShell

การป้องกันโดยผู้ดูแลระบบแตกต่างจากการควบคุมบัญชีผู้ใช้ (UAC) อย่างไร?

UAC จะแจ้งให้ขอสิทธิ์การเข้าถึงระดับผู้ดูแลระบบทุกครั้งที่แอปขอสิทธิ์ดังกล่าว ในขณะที่ Administrator Protection จะเพิ่มมาตรการป้องกันเพิ่มเติมที่บล็อกการขอสิทธิ์ระดับผู้ดูแลระบบโดยอัตโนมัติ และบังคับใช้การควบคุมการตรวจสอบสิทธิ์ที่เข้มงวดมากขึ้น

ฉันสามารถเปิดใช้งานการป้องกันผู้ดูแลระบบโดยใช้ PowerShell หรือ Group Policy ได้หรือไม่?

ใช่แล้ว ใน Windows 11 Pro และ Enterprise คุณสามารถเปิดใช้งานได้โดยใช้ Group Policy หรือคำสั่ง PowerShell ที่แก้ไขนโยบายความปลอดภัยที่เกี่ยวข้อง

การเปิดใช้งานการป้องกันของผู้ดูแลระบบส่งผลกระทบต่อ Microsoft Defender หรือ Smart App Control หรือไม่?

ไม่ ฟีเจอร์นี้ทำงานควบคู่ไปกับส่วนประกอบด้านความปลอดภัยของ Windows อย่างไรก็ตาม มันสามารถช่วยเพิ่มประสิทธิภาพการป้องกันระบบโดยการป้องกันความพยายามในการยกระดับสิทธิ์ที่เป็นอันตราย ซึ่งเลเยอร์อื่นๆ อาจตรวจจับไม่ได้

ฉันสามารถปิดใช้งานการป้องกันผู้ดูแลระบบในภายหลังได้หรือไม่?

ใช่ คุณสามารถปิดใช้งานได้ทุกเมื่อจากรีจิสทรีหรือนโยบายกลุ่มเดียวกัน หากต้องการคืนค่าการทำงานกลับไปเป็นแบบเดิม

อัปเดต 31 มีนาคม 2569:คู่มือนี้ได้รับการปรับปรุงเพื่อให้มีความถูกต้องและสะท้อนถึงการเปลี่ยนแปลงในกระบวนการ