วิธีเปิดใช้งานคุณสมบัติความปลอดภัย’การป้องกันผู้ดูแลระบบ’ใน Windows 11

ใน Windows 11 คุณสามารถเปิดใช้งานฟีเจอร์”การป้องกันผู้ดูแลระบบ”ได้แล้วเพื่อเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งเมื่อเรียกใช้แอปที่ต้องการการยกระดับ และในคู่มือนี้ ฉันจะอธิบายขั้นตอนในการกำหนดค่าฟีเจอร์นี้ผ่านความปลอดภัยของ Windows และนโยบายกลุ่ม.

การป้องกันผู้ดูแลระบบคืออะไร

การป้องกันผู้ดูแลระบบเป็นคุณลักษณะด้านความปลอดภัยใน Windows 11 ที่ออกแบบมาเพื่อปรับปรุงความปลอดภัยของบัญชีที่มีสิทธิ์ระดับผู้ดูแลระบบ โดยปกติแล้ว ผู้ใช้ในกลุ่ม”ผู้ดูแลระบบ”สามารถทำได้ แก้ไขการตั้งค่าที่สำคัญ ติดตั้งซอฟต์แวร์ และทำการเปลี่ยนแปลงทั้งระบบโดยไม่มีข้อจำกัด แม้ว่าความสามารถเหล่านี้จะมีประโยชน์ แต่ก็ยังมีความเสี่ยงด้านความปลอดภัยที่สำคัญด้วย เนื่องจากผู้ประสงค์ร้ายสามารถใช้ประโยชน์จากความสามารถเหล่านี้เพื่อประนีประนอมระบบได้

การป้องกันผู้ดูแลระบบช่วยลดความเสี่ยงเหล่านี้โดยลดโอกาสที่ผู้ใช้จะทำการเปลี่ยนแปลงระดับระบบโดย ข้อผิดพลาดและการป้องกันมัลแวร์จากการแก้ไขโดยไม่ได้รับอนุญาต

การป้องกันผู้ดูแลระบบทำงานอย่างไร

คุณลักษณะนี้ใช้ “หลักการของสิทธิพิเศษน้อยที่สุด”(PoLP) โดยถือว่าบัญชีผู้ดูแลระบบเป็น ผู้ใช้มาตรฐานตามค่าเริ่มต้น สิทธิ์การยกระดับจะได้รับเฉพาะเมื่อได้รับการอนุมัติอย่างชัดเจน ตามกระบวนการยกระดับ”ทันเวลา”(JIT)

ตัวอย่างเช่น หากคุณพยายามดำเนินการ งานการดูแลระบบ (เช่น การแก้ไขการตั้งค่าระบบหรือการติดตั้งแอปพลิเคชัน) คุณต้องอนุมัติการยกระดับก่อน ซึ่งสามารถทำได้โดยใช้การรับรองความถูกต้องของ Windows Hello (วิธีการเริ่มต้น) หรือยินยอมต่อข้อความเตือนในสภาพแวดล้อมที่ปลอดภัย (โดยไม่ต้องตรวจสอบความถูกต้องเพิ่มเติม)

เมื่องานได้รับการอนุมัติ Windows 11 จะสร้างโทเค็นผู้ดูแลระบบแบบแยกชั่วคราวโดยใช้ บัญชีผู้ใช้แยกต่างหากที่ระบบสร้างขึ้น โทเค็นนี้ถูกใช้ในช่วงเวลาของภารกิจเท่านั้น และจะถูกทำลายทันทีหลังจากนั้น ตามข้อมูลของ Microsoft สิ่งนี้ทำให้แน่ใจได้ว่าสิทธิ์ของผู้ดูแลระบบจะไม่คงอยู่ คำขอสิทธิ์ยกระดับที่ตามมาแต่ละครั้งจะทำซ้ำกระบวนการทั้งหมด โดยรักษาสภาพแวดล้อมที่ปลอดภัย

นอกจากนี้ ข้อความแจ้งยังใช้โทนสีที่แตกต่างกันเพื่อให้คุณเห็นคิวภาพของความเสี่ยงที่อาจเกิดขึ้นจากการดำเนินการ

การป้องกันผู้ดูแลระบบเหมือนกับการควบคุมบัญชีผู้ใช้หรือไม่

ไม่ แม้ว่าอาจจะดูคล้ายกัน แต่การป้องกันผู้ดูแลระบบก็ไม่เหมือนกับการควบคุมบัญชีผู้ใช้ (UAC) Microsoft กำหนด UAC เป็น “มีคุณลักษณะการป้องกันในเชิงลึกมากขึ้น” ในขณะที่การป้องกันผู้ดูแลระบบได้รับการออกแบบมาเพื่อให้แน่ใจว่าการเข้าถึงหรือการแทรกแซงโค้ดหรือข้อมูลของเซสชันที่ยกระดับจะไม่ดำเนินการหากไม่มีการยืนยันที่เหมาะสมจาก ผู้ใช้

โดยสรุป การควบคุมบัญชีผู้ใช้มุ่งเน้นไปที่การแจ้งเตือนการเปลี่ยนแปลงทั่วทั้งระบบ ในขณะที่การป้องกันผู้ดูแลระบบเสริมความแข็งแกร่งให้กับรูปแบบการรักษาความปลอดภัยสำหรับบัญชีผู้ดูแลระบบโดยเฉพาะโดยลดการใช้สิทธิ์ในทางที่ผิดให้เหลือน้อยที่สุด

ผู้ดูแลระบบคืออะไร ข้อกำหนดในการป้องกัน

คุณลักษณะนี้ยังอยู่ในการพัฒนา ดังนั้น คุณต้องลงทะเบียนคอมพิวเตอร์ของคุณใน Canary Channel ของ Windows Insider Program เพื่อดาวน์โหลดและติดตั้ง Windows 11 build 27774 หรือรุ่นที่สูงกว่าเพื่อเข้าถึงคุณลักษณะนี้

ในคู่มือนี้ ฉันจะสรุปสองวิธีในการเปิดใช้งานคุณลักษณะความปลอดภัยใหม่สำหรับผู้ดูแลระบบบน Windows 11

เปิดใช้งานการป้องกันผู้ดูแลระบบบน Windows 11 จากแอปความปลอดภัย

หากต้องการเปิด ในการป้องกันผู้ดูแลระบบใน Windows 11 ให้ทำตามขั้นตอนเหล่านี้:

เปิด เริ่ม

หน้าจอ @media เท่านั้น และ (ความกว้างขั้นต่ำ: 0px) และ (ความสูงขั้นต่ำ: 0px) { div [id ^=”bsa-zone_1659356505923-0_123456″] { ความกว้างขั้นต่ำ: 336px; ความสูงขั้นต่ำ: 280px; } } @media เท่านั้น หน้าจอ และ (ความกว้างขั้นต่ำ: 640px) และ (ความสูงขั้นต่ำ: 0px) { div[id^=”bsa-zone_1659356505923-0_123456″] { ความกว้างขั้นต่ำ: 728px; ความสูงขั้นต่ำ: 280px; } }

ค้นหา ความปลอดภัยของ Windows และคลิกผลลัพธ์ด้านบนสุดเพื่อเปิดแอป

คลิก การป้องกันบัญชี

คลิกตัวเลือก “การตั้งค่าการป้องกันของผู้ดูแลระบบ” ที่ด้านล่างของหน้า

เปิด “การป้องกันของผู้ดูแลระบบ” สวิตช์สลับ

รีสตาร์ท คอมพิวเตอร์

เมื่อคุณทำตามขั้นตอนแล้ว ระบบจะเปิดใช้งานการเข้าถึงแบบทันเวลาสำหรับการดำเนินการที่ต้องการสิทธิ์ของผู้ดูแลระบบ โดยแทนที่คุณลักษณะการควบคุมบัญชีผู้ใช้ในบัญชีของคุณ

เปิดใช้งานผู้ดูแลระบบ การป้องกันบน Windows 11 จากนโยบายกลุ่ม

หากต้องการเปิดใช้งานการป้องกันผู้ดูแลระบบจากตัวแก้ไขนโยบายกลุ่ม ให้ทำตามขั้นตอนเหล่านี้:

เปิด เริ่ม

ค้นหา gpedit แล้วคลิกด้านบน ผลลัพธ์เพื่อเปิด ตัวแก้ไขนโยบายกลุ่ม

เรียกดูเส้นทางต่อไปนี้:

การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายท้องถิ่น > ตัวเลือกความปลอดภัย

ขวา-คลิกนโยบาย “การควบคุมบัญชีผู้ใช้: กำหนดค่าประเภทโหมดการอนุมัติของผู้ดูแลระบบ” และเลือกตัวเลือก คุณสมบัติ

เลือก “การอนุมัติของผู้ดูแลระบบ โหมดที่มีการป้องกันผู้ดูแลระบบ” ตัวเลือก

คลิกปุ่ม นำไปใช้

คลิกปุ่ม ตกลง

คลิกขวา นโยบาย “การควบคุมบัญชีผู้ใช้: ลักษณะการทำงานของพรอมต์การยกระดับสำหรับผู้ดูแลระบบที่ทำงานด้วยการป้องกันผู้ดูแลระบบ” และเลือกตัวเลือกคุณสมบัติ

เลือกประสบการณ์พรอมต์ รวมถึง “พร้อมท์สำหรับข้อมูลประจำตัวเปิด ตัวเลือกเดสก์ท็อปที่ปลอดภัย” เพื่อตรวจสอบสิทธิ์กับ Windows Hello หรือตัวเลือก “พร้อมท์ขอความยินยอมบนเดสก์ท็อปที่ปลอดภัย” เพื่อยกระดับการแจ้งเตือนโดยไม่ต้องใช้ข้อมูลประจำตัว

คลิกปุ่ม ปุ่มใช้

คลิกปุ่มตกลง

รีสตาร์ทคอมพิวเตอร์

หลังจากทำตามขั้นตอนแล้ว การตั้งค่าจะมีผลกับ Windows 11 Pro หรือ Enterprise และครั้งต่อไปที่คุณเรียกใช้แอปพลิเคชันที่ต้องการการยกระดับ คุณจะได้รับข้อความแจ้งให้ยินยอมให้ดำเนินการหรือตรวจสอบสิทธิ์โดยใช้วิธีใดวิธีหนึ่งของ Windows Hello ที่มีอยู่

หน้าจอ @media เท่านั้น และ (นาที-ความกว้าง: 0px) และ (ความสูงขั้นต่ำ: 0px) { div[id^=”bsa-zone_1659356403005-2_123456″] { ความกว้างขั้นต่ำ: 336px; ความสูงขั้นต่ำ: 280px; } } @media เท่านั้น หน้าจอ และ (ความกว้างขั้นต่ำ: 640px) และ (ความสูงขั้นต่ำ: 0px) { div[id^=”bsa-zone_1659356403005-2_123456″] { ความกว้างขั้นต่ำ: 728px; ความสูงขั้นต่ำ: 280px; –