วิธีเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11

  • ใน Windows 11 คุณสามารถเปิดใช้งานการป้องกันผู้ดูแลระบบเพื่อเพิ่มความปลอดภัยให้กับบัญชีผู้ดูแลระบบได้
  • คุณสมบัตินี้ป้องกันการยกระดับสิทธิ์โดยไม่แจ้งให้ทราบล่วงหน้า และต้องมีการยืนยันโดยใช้ Windows Hello หรือข้อความขอความยินยอม
  • คุณสามารถเปิดใช้งานได้ผ่านนโยบายกลุ่ม (Group Policy) ในตัวเลือกความปลอดภัย (Security Options) > โหมดการอนุมัติของผู้ดูแลระบบ (Admin Approval Mode)หรือในรีจิสทรีโดยการตั้ง ค่า TypeOfAdminApprovalModeเป็น2
  • นอกจากนี้ ยังสามารถเปิดใช้งานฟีเจอร์นี้ผ่านแอป Windows Security ได้อีกด้วย

ในWindows 11คุณสามารถเปิดใช้งาน คุณสมบัติ “การป้องกันผู้ดูแลระบบ”เพื่อเพิ่มระดับความปลอดภัยเมื่อใช้งานแอปพลิเคชันที่ต้องการสิทธิ์ระดับสูงได้แล้ว ในคู่มือนี้ ผมจะอธิบายวิธีการตั้งค่าคุณสมบัตินี้ผ่านนโยบายกลุ่ม (Group Policy), รีจิสทรี (Registry) และความปลอดภัยของ Windows (Windows Security)

การป้องกันผู้ดูแลระบบคืออะไร?

การป้องกันผู้ดูแลระบบ (Administrator Protection) เป็นคุณสมบัติความปลอดภัยของ Windows 11 ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ที่มีสิทธิ์ในการดูแลระบบ โดยปกติแล้ว ผู้ใช้ในกลุ่ม "ผู้ดูแลระบบ"สามารถแก้ไขการตั้งค่าระบบและติดตั้งแอปพลิเคชันได้โดยไม่มีข้อจำกัด แม้ว่าความสามารถเหล่านี้จะมีประโยชน์ แต่ก็มีความเสี่ยงด้านความปลอดภัยอย่างมากเช่นกัน เนื่องจากผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อโจมตีระบบได้

คุณสมบัตินี้ช่วยลดความเสี่ยงเหล่านี้โดยลดโอกาสที่ผู้ใช้จะทำการเปลี่ยนแปลงระดับระบบโดยไม่ได้ตั้งใจ และป้องกันมัลแวร์จากการแก้ไขโดยไม่ได้รับอนุญาตโดยไม่แจ้งให้ทราบล่วงหน้า

ระบบป้องกันผู้ดูแลระบบทำงานอย่างไร?

คุณสมบัตินี้ใช้หลักการ “หลักการให้สิทธิ์ขั้นต่ำสุด” (Principle of Least Privilege หรือ PoLP)โดยถือว่าบัญชีผู้ดูแลระบบเป็นผู้ใช้ทั่วไปตามค่าเริ่มต้น สิทธิ์ระดับสูงจะได้รับอนุญาตก็ต่อเมื่อได้รับการอนุมัติอย่างชัดเจนเท่านั้น โดยใช้กระบวนการให้สิทธิ์แบบ “ทันเวลาพอดี” (Just-in-Time หรือ JIT)

ตัวอย่างเช่น หากคุณพยายามดำเนินการเกี่ยวกับการดูแลระบบ (เช่น การแก้ไขการตั้งค่าระบบหรือการติดตั้งแอปพลิเคชัน) คุณต้องอนุมัติการยกระดับสิทธิ์ก่อน ซึ่งสามารถทำได้โดยใช้การตรวจสอบสิทธิ์ Windows Hello (วิธีการเริ่มต้น) หรือให้ความยินยอมตามข้อความแจ้งเตือนในสภาพแวดล้อมที่ปลอดภัย (โดยไม่ต้องมีการตรวจสอบสิทธิ์เพิ่มเติม)

เมื่ออนุมัติงานแล้ว Windows 11 จะสร้างโทเค็นผู้ดูแลระบบแบบแยกต่างหากชั่วคราวโดยใช้บัญชีผู้ใช้แยกต่างหากที่สร้างโดยระบบ โทเค็นนี้จะถูกใช้เฉพาะในช่วงเวลาที่งานนั้นกำลังดำเนินการอยู่และจะถูกทำลายทันทีหลังจากนั้น ตามที่ Microsoft ระบุไว้ วิธีนี้จะช่วยให้มั่นใจได้ว่าสิทธิ์ของผู้ดูแลระบบจะไม่คงอยู่ถาวร การร้องขอสิทธิ์ระดับสูงในครั้งต่อไปจะทำซ้ำกระบวนการทั้งหมด ทำให้สภาพแวดล้อมมีความปลอดภัย

นอกจากนี้ ข้อความแจ้งเตือนยังใช้โทนสีที่แตกต่างกันเพื่อเป็นสัญญาณบ่งบอกถึงความเสี่ยงที่อาจเกิดขึ้นจากการกระทำดังกล่าว

การป้องกันโดยผู้ดูแลระบบเหมือนกับการควบคุมบัญชีผู้ใช้หรือไม่?

ถึงแม้ว่าอาจดูคล้ายกัน แต่ Administrator Protection ไม่เหมือนกับ  User Account Control (UAC) Microsoft  นิยาม UAC ว่าเป็น “คุณสมบัติการป้องกันเชิงลึก” ในขณะที่ Administrator Protection ถูกออกแบบมาเพื่อให้แน่ใจว่าการเข้าถึงหรือการแก้ไขโค้ดหรือข้อมูลของเซสชันที่มีสิทธิ์สูงจะไม่สามารถดำเนินการได้หากไม่ได้รับการยืนยันอย่างถูกต้องจากผู้ใช้

กล่าวโดยสรุป User Account Control มุ่งเน้นไปที่การแจ้งเตือนการเปลี่ยนแปลงทั่วทั้งระบบ ในขณะที่ Administrator Protection เสริมสร้างรูปแบบความปลอดภัยสำหรับบัญชีผู้ดูแลระบบโดยเฉพาะ ด้วยการลดการใช้สิทธิ์ในทางที่ผิดให้น้อยที่สุด

ในคู่มือ นี้ ผมจะอธิบายวิธีการเปิดใช้งานคุณสมบัติความปลอดภัยใหม่สำหรับผู้ดูแลระบบบน Windows 11 จำนวน 3 วิธี

คำเตือน:ก่อนดำเนินการต่อ โปรดตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการแก้ไขรีจิสทรีของ Windows การเปลี่ยนแปลงที่ไม่ถูกต้องอาจนำไปสู่ความไม่เสถียรของระบบหรือปัญหาในการทำงาน ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลระบบทั้งหมดก่อนทำการเปลี่ยนแปลงใดๆ ดำเนินการด้วยความระมัดระวังและความเข้าใจ

เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากแอปความปลอดภัย

หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบจากการอัปเดตความปลอดภัยของ Windows ให้ทำตามขั้นตอนต่อไปนี้:

  1. เปิดแอปพลิเคชันความปลอดภัยของ Windows

     

     

  2. คลิกที่ การ ปกป้องบัญชี

  3. คลิก การตั้ง ค่าการป้องกันผู้ดูแลระบบภายใต้หัวข้อ “การป้องกันผู้ดูแลระบบ”

    วิธีเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11

  4. เปิดใช้งานสวิตช์เปิด/ ปิด การป้องกันผู้ดูแลระบบ

    วิธีเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11

  5. รีสตาร์ทคอมพิวเตอร์

เมื่อคุณทำตามขั้นตอนเสร็จสิ้นแล้ว คุณสมบัติการรักษาความปลอดภัยจะถูกเปิดใช้งานบนคอมพิวเตอร์ของคุณ

เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากนโยบายกลุ่ม

หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบจากตัวแก้ไขนโยบายกลุ่มบน Windows 11 Pro ให้ทำตามขั้นตอนต่อไปนี้:

  1. เปิดStart

  2. ค้นหาgpeditแล้วคลิกผลลัพธ์แรกเพื่อเปิดโปรแกรมแก้ไขนโยบายกลุ่ม (Group Policy Editor )

  3. เรียกดูตามเส้นทางต่อไปนี้:

    การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายภายในเครื่อง > ตัวเลือกความปลอดภัย

  4. คลิกขวาที่ นโยบาย “การควบคุมบัญชีผู้ใช้: กำหนดค่าประเภทของโหมดการอนุมัติของผู้ดูแลระบบ”แล้วเลือกตัวเลือกคุณสมบัติ

    วิธีเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11

  5. เลือกตัวเลือก“โหมดอนุมัติโดยผู้ดูแลระบบพร้อมการป้องกันโดยผู้ดูแลระบบ”

    วิธีเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11

  6. คลิก ปุ่ม " สมัคร "

  7. คลิกปุ่มตกลง

  8. รีสตาร์ทคอมพิวเตอร์

หลังจากทำตามขั้นตอนเสร็จสิ้น การตั้งค่าจะถูกนำไปใช้กับ Windows 11 Pro หรือ Enterprise และในครั้งต่อไปที่คุณเรียกใช้แอปพลิเคชันที่ต้องการสิทธิ์ระดับสูง คุณจะได้รับข้อความแจ้งให้ยินยอมต่อการกระทำดังกล่าว หรือยืนยันตัวตนโดยใช้วิธี Windows Hello ที่มีอยู่

เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากรีจิสทรี

หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 (Home และ Pro) ผ่านทาง Registry ให้ทำตามขั้นตอนต่อไปนี้:

  1. เปิดStart

  2. ค้นหาregeditแล้วคลิกผลลัพธ์แรกเพื่อเปิด Registry Editor

  3. เปิดเส้นทางต่อไปนี้:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  4. คลิกขวาที่ คีย์ TypeOfAdminApprovalModeแล้วเลือกตัวเลือกModify

  5. เปลี่ยนค่าเป็น2เพื่อเปิดใช้งานฟีเจอร์นี้

    วิธีเปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11

  6. คลิกปุ่มตกลง

  7. รีสตาร์ทคอมพิวเตอร์

เมื่อคุณทำตามขั้นตอนเสร็จสิ้น ระบบจะเปิดใช้งานการเข้าถึงแบบทันทีสำหรับการดำเนินการที่ต้องใช้สิทธิ์ผู้ดูแลระบบ โดยจะแทนที่ฟีเจอร์การควบคุมบัญชีผู้ใช้ในบัญชีของคุณ

หากต้องการยกเลิกการเปลี่ยนแปลง ให้ทำตามคำแนะนำเดิม แต่ในขั้นตอนที่ 5ให้ตั้งค่าเป็น1บันทึกการตั้งค่า และรีสตาร์ทคอมพิวเตอร์

คำถามที่พบบ่อยเกี่ยวกับการป้องกันผู้ดูแลระบบบน Windows 11

ต่อไปนี้เป็นรายการคำถามที่พบบ่อย (FAQs) และคำตอบเกี่ยวกับการป้องกันผู้ดูแลระบบบน Windows 11

การป้องกันโดยผู้ดูแลระบบใน Windows 11 คืออะไร?

การป้องกันผู้ดูแลระบบเป็นคุณสมบัติด้านความปลอดภัยที่ออกแบบมาเพื่อป้องกันการยกระดับสิทธิ์โดยไม่ได้รับอนุญาตหรือโดยอัตโนมัติในบัญชีผู้ดูแลระบบ เมื่อเปิดใช้งานแล้ว จะต้องมีการยืนยันด้วยตนเองสำหรับการดำเนินการที่สำคัญและการเปลี่ยนแปลงระดับระบบ

มีการเปิดใช้งานการป้องกันผู้ดูแลระบบโดยค่าเริ่มต้นหรือไม่?

ไม่ครับ ในระบบส่วนใหญ่ ฟีเจอร์นี้จะถูกปิดใช้งานโดยค่าเริ่มต้น คุณต้องเปิดใช้งานด้วยตนเองผ่านการตั้งค่า นโยบายกลุ่ม หรือ PowerShell

การป้องกันโดยผู้ดูแลระบบแตกต่างจากการควบคุมบัญชีผู้ใช้ (UAC) อย่างไร?

UAC จะแจ้งให้ขอสิทธิ์การเข้าถึงระดับผู้ดูแลระบบทุกครั้งที่แอปขอสิทธิ์ดังกล่าว ในขณะที่ Administrator Protection จะเพิ่มมาตรการป้องกันเพิ่มเติมที่บล็อกการขอสิทธิ์ระดับผู้ดูแลระบบโดยอัตโนมัติ และบังคับใช้การควบคุมการตรวจสอบสิทธิ์ที่เข้มงวดมากขึ้น

ฉันสามารถเปิดใช้งานการป้องกันผู้ดูแลระบบโดยใช้ PowerShell หรือ Group Policy ได้หรือไม่?

ใช่แล้ว ใน Windows 11 Pro และ Enterprise คุณสามารถเปิดใช้งานได้โดยใช้ Group Policy หรือคำสั่ง PowerShell ที่แก้ไขนโยบายความปลอดภัยที่เกี่ยวข้อง

การเปิดใช้งานการป้องกันของผู้ดูแลระบบส่งผลกระทบต่อ Microsoft Defender หรือ Smart App Control หรือไม่?

ไม่ ฟีเจอร์นี้ทำงานควบคู่ไปกับส่วนประกอบด้านความปลอดภัยของ Windows อย่างไรก็ตาม มันสามารถช่วยเพิ่มประสิทธิภาพการป้องกันระบบโดยการป้องกันความพยายามในการยกระดับสิทธิ์ที่เป็นอันตราย ซึ่งเลเยอร์อื่นๆ อาจตรวจจับไม่ได้

ฉันสามารถปิดใช้งานการป้องกันผู้ดูแลระบบในภายหลังได้หรือไม่?

ใช่ คุณสามารถปิดใช้งานได้ทุกเมื่อจากรีจิสทรีหรือนโยบายกลุ่มเดียวกัน หากต้องการคืนค่าการทำงานกลับไปเป็นแบบเดิม

อัปเดต 31 มีนาคม 2569:คู่มือนี้ได้รับการปรับปรุงเพื่อให้มีความถูกต้องและสะท้อนถึงการเปลี่ยนแปลงในกระบวนการ

ฝากความเห็น

วิธีดาวน์โหลดไฟล์ ISO ของ Windows 11 เวอร์ชัน 24 ชั่วโมง

วิธีดาวน์โหลดไฟล์ ISO ของ Windows 11 เวอร์ชัน 24 ชั่วโมง

ในการดาวน์โหลดไฟล์ ISO ของ Windows 11 24H2 ให้เปิดหน้าเว็บของ Microsoft เลือกตัวเลือกรูปภาพ เลือกภาษา แล้วคลิก ดาวน์โหลด 64 บิต

วิธีหลีกเลี่ยงการจ่ายเงินสำหรับการอัปเดตหลังจากที่ Windows 10 หมดอายุการใช้งานในปี 2025

วิธีหลีกเลี่ยงการจ่ายเงินสำหรับการอัปเดตหลังจากที่ Windows 10 หมดอายุการใช้งานในปี 2025

เพื่อหลีกเลี่ยงค่าใช้จ่ายเพิ่มเติม 30 ดอลลาร์สำหรับอัปเดตความปลอดภัยในการใช้งาน Windows 10 ต่อไป ควรทำการอัปเกรดเป็น Windows 11 บนพีซีที่รองรับและไม่รองรับ

ไมโครซอฟต์กล่าวว่า บางสิ่งที่ยิ่งใหญ่ กำลังจะมาถึง Windows 11

ไมโครซอฟต์กล่าวว่า บางสิ่งที่ยิ่งใหญ่ กำลังจะมาถึง Windows 11

ไมโครซอฟต์เตรียมประกาศข่าวสำคัญเกี่ยวกับ Windows 11 ในวันพฤหัสบดีนี้ โดยบอกเป็นนัยว่าประสบการณ์การใช้งานด้วยเสียงร่วมกับปัญญาประดิษฐ์ (AI) กำลังจะมาถึงระบบปฏิบัติการนี้

วิธีสร้าง USB ที่สามารถบูต Windows 11 ได้สำหรับฮาร์ดแวร์ที่ไม่รองรับ

วิธีสร้าง USB ที่สามารถบูต Windows 11 ได้สำหรับฮาร์ดแวร์ที่ไม่รองรับ

ต้องการติดตั้ง Windows 11 บนฮาร์ดแวร์ที่ไม่รองรับใช่ไหม? เรียนรู้ขั้นตอนการสร้าง USB บูตได้ด้วย Rufus หรือ Ventoy เพื่อข้าม TPM, Secure Boot และข้อจำกัดต่างๆ

วิธีบังคับอัปเกรดจาก Windows 11 เวอร์ชัน 24H2 เป็น 25H2

วิธีบังคับอัปเกรดจาก Windows 11 เวอร์ชัน 24H2 เป็น 25H2

ในการอัปเกรดจาก Windows 10 24H2 เป็น 25H2 ให้ใช้ตัวเลือกดาวน์โหลดและติดตั้งใน Windows Update หรือติดตั้งการอัปเดต KB5054156 ด้วยตนเอง

Build 26300.7674 (KB5074170) สำหรับ Windows 11 เน้นการแก้ไขข้อบกพร่อง ไม่ใช่การเพิ่มฟีเจอร์ใหม่ (Dev)

Build 26300.7674 (KB5074170) สำหรับ Windows 11 เน้นการแก้ไขข้อบกพร่อง ไม่ใช่การเพิ่มฟีเจอร์ใหม่ (Dev)

(KB5074170) Windows 11 build 26300.7674 เริ่มปล่อยให้ผู้ใช้ Insider ใช้งานแล้ว โดยมีการแก้ไขปัญหาเกี่ยวกับ File Explorer, Start, Search, ปัญหาด้านกราฟิก และบั๊กที่ทราบแล้ว

วิธีเปิดใช้งาน BitLocker บน Windows 11

วิธีเปิดใช้งาน BitLocker บน Windows 11

ในการเปิดใช้งาน BitLocker บน Windows 11 ให้เปิดการตั้งค่าพื้นที่จัดเก็บข้อมูล การตั้งค่า BitLocker และเปิดใช้งานคุณสมบัตินี้ สำหรับไดรฟ์แบบถอดได้ ให้ใช้ BitLocker To Go

วิธีการค้นหารหัสกู้คืน BitLocker บน Windows 11

วิธีการค้นหารหัสกู้คืน BitLocker บน Windows 11

หากต้องการค้นหารหัสกู้คืน BitLocker ของพีซีของคุณบน Windows 11 (หรือ 10) ให้เข้าสู่ระบบบัญชี Microsoft ของคุณทางออนไลน์และยืนยันการกู้คืนในหน้าอุปกรณ์

วิธีสร้าง USB ที่สามารถบูต Windows 11 (หรือ 10) จาก macOS

วิธีสร้าง USB ที่สามารถบูต Windows 11 (หรือ 10) จาก macOS

การสร้าง USB สำหรับติดตั้ง Windows 11 (หรือ 10) จาก macOS นั้นค่อนข้างซับซ้อนกว่าที่คิด แต่ก็ไม่ใช่เรื่องที่เป็นไปไม่ได้ นี่คือวิธีการทำ

การสนับสนุน Microsoft Edge สำหรับ Windows 10 จะสิ้นสุดลงในเดือนตุลาคม 2028

การสนับสนุน Microsoft Edge สำหรับ Windows 10 จะสิ้นสุดลงในเดือนตุลาคม 2028

Microsoft Edge บน Windows 10 จะยังคงได้รับการอัปเดตต่อไปจนถึงอย่างน้อยเดือนตุลาคม 2028 ซึ่งเป็นเวลานานหลังจากที่ระบบปฏิบัติการดังกล่าวสิ้นสุดการสนับสนุนอย่างเป็นทางการในปี 2025