- การควบคุมการเข้าถึงโฟลเดอร์จะจำกัดว่าแอปพลิเคชันใดบ้างที่สามารถแก้ไขไฟล์ในตำแหน่งที่ได้รับการป้องกัน ซึ่งจะช่วยลดผลกระทบจากมัลแวร์เรียกค่าไถ่ได้
- ทำงานบน Windows 10, หน้าต่าง 11 และระบบปฏิบัติการ Windows Server รุ่นต่างๆ ตราบใดที่ Microsoft Defender เป็นโปรแกรมป้องกันไวรัสที่ทำงานอยู่
- ช่วยให้คุณสามารถเพิ่มโฟลเดอร์และแอปพลิเคชันที่เชื่อถือได้ จัดการโฟลเดอร์และแอปพลิเคชันเหล่านั้นได้จาก Windows Security หรือจากส่วนกลางด้วย Intune, GPO, Configuration Manager และอื่นๆ PowerShell.
- โปรแกรมนี้มีโหมดตรวจสอบ และสร้างเหตุการณ์โดยละเอียดเพื่อตรวจสอบการล็อกและปรับการตั้งค่าโดยไม่รบกวนการทำงาน
หากคุณกังวลเกี่ยวกับ มัลแวร์เรียกค่าไถ่และความปลอดภัยของไฟล์ของคุณใน Windows 11มีฟีเจอร์ในตัวอย่างหนึ่งที่คุณอาจปิดใช้งานอยู่ ซึ่งสามารถสร้างความแตกต่างอย่างมากได้ นั่นคือ การควบคุมการเข้าถึงโฟลเดอร์ มันไม่ใช่เวทมนตร์ และไม่ได้ทดแทนการสำรองข้อมูล แต่เป็นการเพิ่มชั้นการป้องกันอีกชั้นหนึ่ง และหากคุณต้องการปรับสิทธิ์การเข้าถึง คุณก็สามารถทำได้... กำหนดสิทธิ์การเข้าถึงให้กับโฟลเดอร์และไฟล์ซึ่งทำให้ชีวิตยุ่งยากซับซ้อนมากขึ้นสำหรับ มัลแวร์ ที่พยายามเข้ารหัสหรือลบเอกสารสำคัญที่สุดของคุณ
คุณสมบัตินี้รวมอยู่ใน Windows 11, Windows 10 และ Windows Server เวอร์ชันต่างๆ และมันทำงานร่วมกับ Microsoft Defender โดยปกติแล้วมันจะปิดใช้งานอยู่ เพราะมันค่อนข้างเข้มงวดและบางครั้งอาจบล็อกโปรแกรมที่ถูกต้อง แต่คุณสามารถปรับแต่งได้ตามต้องการ เปลี่ยนตำแหน่งเริ่มต้นเพิ่มโฟลเดอร์เพิ่มเติม อนุญาตแอปพลิเคชันเฉพาะ และจัดการผ่านนโยบายกลุ่ม Intune Configuration Manager หรือ PowerShell ได้ทั้งในคอมพิวเตอร์ที่บ้านและในสภาพแวดล้อมขององค์กร
การควบคุมการเข้าถึงโฟลเดอร์คืออะไรกันแน่?
การควบคุมการเข้าถึงโฟลเดอร์เป็นคุณสมบัติหนึ่งของ โปรแกรมป้องกันไวรัส Microsoft Defender ออกแบบมาเพื่อหยุดยั้งมัลแวร์เรียกค่าไถ่ และมัลแวร์ประเภทอื่นๆ ที่พยายามแก้ไขหรือลบไฟล์ในตำแหน่งที่ได้รับการป้องกันบางแห่ง แทนที่จะบล็อกทุกอย่างที่ทำงาน มันจะอนุญาตเฉพาะแอปพลิเคชันที่ถือว่าเชื่อถือได้เท่านั้นให้ทำการเปลี่ยนแปลงในโฟลเดอร์เหล่านั้น
ในทางปฏิบัติ การคุ้มครองนี้ขึ้นอยู่กับ รายชื่อแอปพลิเคชันที่เชื่อถือได้ และอีกรายชื่อหนึ่งของโฟลเดอร์ที่ได้รับการป้องกัน. ปพลิเคชัน แอปพลิเคชันที่มีชื่อเสียงดีและใช้งานกันอย่างแพร่หลายในระบบนิเวศของ Windows จะได้รับอนุญาตโดยอัตโนมัติ ในขณะที่แอปพลิเคชันที่ไม่รู้จักหรือน่าสงสัยจะไม่สามารถแก้ไขหรือลบไฟล์ในเส้นทางที่ควบคุมได้ แม้ว่าจะสามารถอ่านไฟล์เหล่านั้นได้ก็ตาม
สิ่งสำคัญคือต้องเข้าใจว่าฟังก์ชันนี้คืออะไร มันไม่ได้ป้องกันมัลแวร์จากการคัดลอกหรืออ่านข้อมูลสิ่งที่ระบบนี้ป้องกันคือการกระทำใดๆ ที่พยายามแก้ไข เข้ารหัส หรือลบไฟล์ที่ได้รับการปกป้อง หากผู้โจมตีสามารถแทรกซึมเข้าสู่ระบบของคุณได้ พวกเขายังคงสามารถขโมยข้อมูลได้ แต่การเข้าถึงเอกสารสำคัญของคุณจะทำได้ยากขึ้นมาก
การเข้าถึงโฟลเดอร์ที่ควบคุมได้ถูกออกแบบมาให้ทำงานควบคู่ไปกับ Microsoft Defender สำหรับอุปกรณ์ปลายทาง และพอร์ทัล Microsoft Defenderซึ่งคุณสามารถดูรายงานโดยละเอียดเกี่ยวกับสิ่งที่ถูกบล็อกหรือตรวจสอบได้ มีประโยชน์อย่างยิ่งโดยเฉพาะในบริษัทต่างๆ ในการตรวจสอบเหตุการณ์ด้านความปลอดภัย
ระบบปฏิบัติการที่เข้ากันได้และข้อกำหนดเบื้องต้น
ก่อนที่จะพิจารณาเปิดใช้งาน ควรตรวจสอบก่อนว่าใช้งานได้บนแพลตฟอร์มใดบ้าง การเข้าถึงโฟลเดอร์แบบควบคุมมีให้ใช้งานบน Windows 11, Windows 10 และ Windows Server รุ่นต่างๆรวมถึงระบบเฉพาะของ Microsoft บางระบบ เช่น Azure Stack HCI ด้วย
โดยเฉพาะอย่างยิ่ง ฟังก์ชันนี้ได้รับการสนับสนุนใน Windows 10 และ Windows 11 ในเวอร์ชันที่มี Microsoft Defender ในฐานะโปรแกรมป้องกันไวรัส และในฝั่งเซิร์ฟเวอร์นั้นรองรับใน Windows Server 2016 และเวอร์ชันที่ใหม่กว่า, Windows Server 2012 R2, Windows Server 2019 และเวอร์ชันต่อๆ มา รวมถึงระบบปฏิบัติการ Azure Stack HCI ตั้งแต่เวอร์ชัน 23H2 ขึ้นไป
รายละเอียดสำคัญประการหนึ่งคือ การควบคุมการเข้าถึงโฟลเดอร์ วิธีนี้ใช้ได้เฉพาะเมื่อโปรแกรมป้องกันไวรัสที่ใช้งานอยู่คือ Microsoft Defender เท่านั้นหากคุณใช้โปรแกรมป้องกันไวรัสจากผู้ผลิตรายอื่นที่ปิดใช้งาน Defender การตั้งค่าสำหรับฟีเจอร์นี้จะหายไปจากแอปความปลอดภัยของ Windows หรือใช้งานไม่ได้ และคุณจะต้องพึ่งพาการป้องกันแรนซัมแวร์ของผลิตภัณฑ์ที่คุณติดตั้งไว้แทน
ในสภาพแวดล้อมที่มีการจัดการ นอกเหนือจาก Defender แล้ว ยังจำเป็นต้องมีสิ่งต่อไปนี้ เครื่องมือต่างๆ เช่น Microsoft Intune, Configuration Manager หรือโซลูชัน MDM ที่ใช้งานร่วมกันได้ เพื่อให้สามารถใช้งานและจัดการนโยบายการเข้าถึงโฟลเดอร์แบบควบคุมจากส่วนกลางบนอุปกรณ์หลายเครื่องได้
วิธีการทำงานของการควบคุมการเข้าถึงโฟลเดอร์ภายในองค์กร
การทำงานของฟังก์ชันนี้ขึ้นอยู่กับหลักการสองประการ: ประการแรกคือ... โฟลเดอร์ที่ถือว่าได้รับการป้องกัน และในอีกด้านหนึ่ง แอปพลิเคชันที่ถือว่าน่าเชื่อถือการพยายามใดๆ ของแอปที่ไม่น่าเชื่อถือในการเขียน แก้ไข หรือลบไฟล์ในโฟลเดอร์เหล่านั้นจะถูกบล็อกหรือตรวจสอบ ขึ้นอยู่กับโหมดที่กำหนดค่าไว้
เมื่อเปิดใช้งานฟีเจอร์นี้ Windows จะทำเครื่องหมายสิ่งต่างๆ จำนวนหนึ่งว่าได้รับการปกป้อง โฟลเดอร์ผู้ใช้ทั่วไปมากซึ่งรวมถึงไฟล์ต่างๆ เช่น เอกสาร รูปภาพ วิดีโอ เพลง และรายการโปรด ทั้งจากบัญชีผู้ใช้งานและโฟลเดอร์สาธารณะ นอกจากนี้ ยังรวมถึงเส้นทางโปรไฟล์ระบบบางส่วน (เช่น โฟลเดอร์เอกสารในโปรไฟล์ระบบ) และพื้นที่สำคัญของระบบด้วย รองเท้า.
รายชื่อแอปพลิเคชันที่ได้รับอนุญาตจะถูกสร้างขึ้นจาก ชื่อเสียงและการแพร่หลายของซอฟต์แวร์ในระบบนิเวศของ Microsoftโปรแกรมที่ใช้งานกันอย่างแพร่หลายและไม่เคยแสดงพฤติกรรมที่เป็นอันตรายจะถือว่าน่าเชื่อถือและได้รับการอนุมัติโดยอัตโนมัติ ส่วนแอปพลิเคชันอื่นๆ ที่ไม่ค่อยเป็นที่รู้จัก เครื่องมือที่พัฒนาเอง หรือไฟล์ปฏิบัติการแบบพกพา อาจถูกบล็อกจนกว่าคุณจะอนุมัติด้วยตนเอง
ในองค์กรธุรกิจ นอกเหนือจากรายชื่ออัตโนมัติแล้ว ผู้ดูแลระบบยังสามารถ... เพิ่มหรืออนุญาตซอฟต์แวร์เฉพาะ ผ่านทาง Microsoft Intune, Configuration Manager, นโยบายกลุ่ม หรือการกำหนดค่า MDM เพื่อปรับแต่งสิ่งที่ถูกบล็อกและสิ่งที่ไม่ได้ถูกบล็อกภายในสภาพแวดล้อมขององค์กร
เพื่อประเมินผลกระทบก่อนการเทบล็อกแข็ง จำเป็นต้องมี... โหมดการตรวจสอบ วิธีนี้ช่วยให้แอปพลิเคชันทำงานได้ตามปกติ แต่จะบันทึกเหตุการณ์ที่ควรจะถูกบล็อกไว้ ซึ่งช่วยให้สามารถตรวจสอบได้อย่างละเอียดว่าการเปลี่ยนไปใช้โหมดบล็อกอย่างเข้มงวดจะขัดขวางกระบวนการทางธุรกิจหรือแอปพลิเคชันที่สำคัญหรือไม่
เหตุใดการป้องกันแรนซัมแวร์จึงมีความสำคัญมาก?
การโจมตีด้วยแรนซัมแวร์มีเป้าหมายที่ เข้ารหัสเอกสารของคุณและเรียกค่าไถ่ เพื่อกู้คืนการเข้าถึงของคุณ การควบคุมการเข้าถึงโฟลเดอร์มุ่งเน้นไปที่การป้องกันแอปพลิเคชันที่ไม่ได้รับอนุญาตจากการแก้ไขไฟล์ที่สำคัญที่สุดสำหรับคุณ ซึ่งโดยปกติจะอยู่ในโฟลเดอร์เอกสาร รูปภาพ วิดีโอ หรือโฟลเดอร์อื่นๆ ที่คุณจัดเก็บโครงการและข้อมูลส่วนตัวของคุณ
เมื่อแอปพลิเคชันที่ไม่รู้จักพยายามเข้าถึงไฟล์ในโฟลเดอร์ที่ได้รับการป้องกัน Windows จะสร้างข้อความแจ้งเตือน การแจ้งเตือนบนอุปกรณ์เพื่อแจ้งให้ทราบถึงการถูกบล็อกสามารถปรับแต่งการแจ้งเตือนนี้ได้ในสภาพแวดล้อมทางธุรกิจ โดยเพิ่มข้อมูลติดต่อภายในเพื่อให้ผู้ใช้ทราบว่าควรติดต่อใครหากต้องการความช่วยเหลือ หรือหากคิดว่าเป็นการแจ้งเตือนที่ผิดพลาด
นอกเหนือจากโฟลเดอร์ผู้ใช้ทั่วไปแล้ว ระบบยังปกป้องสิ่งต่อไปนี้ด้วย โฟลเดอร์ระบบและเซกเตอร์บูตลดช่องโหว่การโจมตีของมัลแวร์ที่พยายามเปลี่ยนแปลงการเริ่มต้นระบบหรือส่วนประกอบสำคัญของ Windows
ข้อดีอีกประการหนึ่งคือสามารถเปิดใช้งานอันแรกได้ โหมดตรวจสอบเพื่อวิเคราะห์ผลกระทบด้วยวิธีนี้ คุณจะสามารถดูได้ว่าโปรแกรมใดบ้างที่อาจถูกบล็อก ตรวจสอบบันทึก และปรับรายการโฟลเดอร์และแอปพลิเคชันที่อนุญาตก่อนที่จะดำเนินการบล็อกอย่างเข้มงวด เพื่อหลีกเลี่ยงปัญหาที่ไม่คาดคิดในสภาพแวดล้อมการใช้งานจริง
โฟลเดอร์ที่ได้รับการปกป้องโดยค่าเริ่มต้นใน Windows
โดยค่าเริ่มต้น Windows จะกำหนดให้ตำแหน่งไฟล์ทั่วไปหลายแห่งได้รับการป้องกัน ซึ่งรวมถึงทั้งสองอย่าง โฟลเดอร์โปรไฟล์ผู้ใช้เป็นโฟลเดอร์สาธารณะเพื่อให้เอกสาร รูปภาพ เพลง และวิดีโอส่วนใหญ่ของคุณได้รับการปกป้องโดยที่คุณไม่ต้องตั้งค่าเพิ่มเติมใดๆ
เส้นทางต่างๆ เช่น... c:\Users\ \Documents และ c:\Users\Public\Documentsรวมถึงเส้นทางที่เทียบเท่ากันสำหรับรูปภาพ วิดีโอ เพลง และรายการโปรด ตลอดจนเส้นทางที่เทียบเท่ากันสำหรับบัญชีระบบ เช่น LocalService, NetworkService หรือ systemprofile โดยมีเงื่อนไขว่าโฟลเดอร์เหล่านั้นต้องมีอยู่ในระบบ
สถานที่เหล่านี้จะแสดงให้เห็นอย่างชัดเจนในโปรไฟล์ของผู้ใช้ “พีซีเครื่องนี้” ใน File Explorerดังนั้น ไฟล์เหล่านี้จึงมักเป็นไฟล์ที่คุณใช้งานเป็นประจำทุกวันโดยไม่ต้องคิดมากเกี่ยวกับโครงสร้างโฟลเดอร์ภายในของ Windows
สิ่งสำคัญคือต้องใส่ใจ โฟลเดอร์ที่ได้รับการป้องกันตามค่าเริ่มต้นไม่สามารถลบออกจากรายการได้คุณสามารถเพิ่มโฟลเดอร์ของคุณเองในตำแหน่งอื่นๆ ได้ แต่โฟลเดอร์ที่มาจากโรงงานจะยังคงได้รับการปกป้องเสมอ เพื่อลดความเสี่ยงในการปิดใช้งานระบบป้องกันในพื้นที่สำคัญโดยไม่ตั้งใจ
วิธีเปิดใช้งานการเข้าถึงโฟลเดอร์ที่ควบคุมได้จากส่วนความปลอดภัยของ Windows
สำหรับผู้ใช้ตามบ้านส่วนใหญ่และธุรกิจขนาดเล็กหลายแห่ง วิธีที่ง่ายที่สุดในการเปิดใช้งานคุณสมบัตินี้คือ แอปพลิเคชัน Windows Security ที่ติดตั้งมาในระบบไม่ต้องติดตั้งอะไรเพิ่มเติม แค่เปลี่ยนตัวเลือกบางอย่างก็พอ
ขั้นแรก เปิดเมนู Start แล้วพิมพ์ “ความปลอดภัยของ Windows” หรือ “ความปลอดภัยของ Windows” จากนั้นเปิดแอปพลิเคชัน บนแผงหลัก ให้ไปที่ส่วน "การป้องกันไวรัสและภัยคุกคาม" ซึ่งเป็นที่ตั้งของตัวเลือกที่เกี่ยวข้องกับมัลแวร์ของ Defender
ในหน้าจอนั้น ให้เลื่อนลงมาจนกว่าจะพบส่วนสำหรับ “การป้องกันมัลแวร์เรียกค่าไถ่” แล้วคลิกที่ “จัดการการป้องกันแรนซัมแวร์” หากคุณใช้โปรแกรมป้องกันไวรัสจากผู้ผลิตรายอื่น คุณอาจเห็นการอ้างอิงถึงผลิตภัณฑ์นั้นที่นี่ คุณจะไม่สามารถใช้ฟีเจอร์นี้ได้ ในขณะที่โปรแกรมป้องกันไวรัสตัวนั้นกำลังทำงานอยู่
บนหน้าจอการป้องกันแรนซัมแวร์ คุณจะเห็นสวิตช์เปิดปิดที่เรียกว่า “การจำกัดการเข้าถึงโฟลเดอร์”เปิดใช้งาน และหากระบบแสดงคำเตือน User Account Control (UAC) ให้ยอมรับเพื่อใช้การเปลี่ยนแปลงด้วยสิทธิ์ผู้ดูแลระบบ
เมื่อเปิดใช้งานแล้ว ตัวเลือกเพิ่มเติมหลายรายการจะปรากฏขึ้น: ประวัติการบล็อก, โฟลเดอร์ที่ได้รับการป้องกัน และความสามารถในการอนุญาตให้แอปพลิเคชันเข้าถึงผ่านโฟลเดอร์ที่ควบคุมได้ จากตรงนี้คุณสามารถปรับแต่งการตั้งค่าได้ตามต้องการ
กำหนดค่าและปรับแต่งการเข้าถึงโฟลเดอร์ที่ควบคุม
เมื่อฟังก์ชันเริ่มทำงานแล้ว โดยปกติแล้วส่วนใหญ่ก็จะทำงานได้อย่างราบรื่น อย่าสังเกตเห็นสิ่งผิดปกติใดๆ ในชีวิตประจำวันของคุณอย่างไรก็ตาม คุณอาจได้รับคำเตือนเป็นครั้งคราว หากแอปพลิเคชันที่คุณใช้พยายามเขียนข้อมูลลงในโฟลเดอร์ที่ได้รับการป้องกัน และโฟลเดอร์นั้นไม่ได้อยู่ในรายการที่เชื่อถือได้
หากคุณได้รับการแจ้งเตือน คุณสามารถกลับไปที่ Windows Security ได้ตลอดเวลาและป้อนข้อมูล โปรแกรมป้องกันไวรัสและการป้องกันภัยคุกคาม > จัดการการป้องกันแรนซัมแวร์จากตรงนั้น คุณจะสามารถเข้าถึงการตั้งค่าสำหรับการบล็อก โฟลเดอร์ และแอปที่อนุญาตได้โดยตรง
ส่วนของ “ประวัติการบล็อก” แสดงรายการการบล็อกทั้งหมด รายงานฉบับนี้จะระบุรายละเอียดของเหตุการณ์ต่างๆ ได้แก่ ไฟล์หรือโปรแกรมที่ถูกหยุดการทำงาน เมื่อใด โฟลเดอร์ที่ได้รับการป้องกันที่พยายามเข้าถึง และระดับความรุนแรง (ต่ำ ปานกลาง สูง หรือรุนแรง) หากคุณแน่ใจว่าเป็นโปรแกรมที่เชื่อถือได้ คุณสามารถเลือกโปรแกรมนั้นและเลือก "อนุญาตบนอุปกรณ์" เพื่อปลดบล็อกได้
ในส่วน "โฟลเดอร์ที่ได้รับการป้องกัน" แอปพลิเคชันจะแสดงเส้นทางทั้งหมดที่อยู่ภายใต้การป้องกันการเข้าถึงโฟลเดอร์แบบควบคุม (Controlled Folder Access) จากนั้นคุณสามารถ... เพิ่มโฟลเดอร์ใหม่หรือลบโฟลเดอร์ที่คุณเพิ่มไว้แล้วอย่างไรก็ตาม โฟลเดอร์เริ่มต้นของ Windows เช่น โฟลเดอร์เอกสารหรือโฟลเดอร์รูปภาพ ไม่สามารถลบออกจากรายการได้
หากคุณรู้สึกว่าฟีเจอร์นี้รบกวนมากเกินไป คุณสามารถแจ้งได้เสมอ ปิดใช้งานสวิตช์การเข้าถึงโฟลเดอร์ที่ควบคุมอีกครั้ง จากหน้าจอเดียวกัน การเปลี่ยนแปลงจะเกิดขึ้นทันที และทุกอย่างจะกลับสู่สภาพเดิมก่อนเปิดใช้งาน แม้ว่าคุณจะสูญเสียเกราะป้องกันเพิ่มเติมจากมัลแวร์เรียกค่าไถ่ไปก็ตาม
เพิ่มหรือลบโฟลเดอร์ที่ได้รับการป้องกันเพิ่มเติม
ไม่ใช่ทุกคนที่จะบันทึกเอกสารไว้ในไลบรารีมาตรฐานของ Windows หากคุณมักทำงานจาก ไดรฟ์อื่นๆ โฟลเดอร์โครงการ หรือเส้นทางที่กำหนดเองคุณสนใจที่จะรวมสิ่งเหล่านี้ไว้ในขอบเขตของการป้องกันสำหรับการเข้าถึงโฟลเดอร์แบบควบคุม
หากใช้แอป Windows Security กระบวนการจะง่ายมาก: ในส่วนการป้องกันแรนซัมแวร์ ให้ไปที่ เลือก “โฟลเดอร์ที่ได้รับการป้องกัน” และยอมรับข้อความแจ้งเตือน UAC หากปรากฏขึ้น คุณจะเห็นรายการโฟลเดอร์ที่ได้รับการป้องกันในปัจจุบันและปุ่ม "เพิ่มโฟลเดอร์ที่ได้รับการป้องกัน"
การกดปุ่มนั้นจะเปิดหน้าต่างเบราว์เซอร์ขึ้นมาเพื่อให้ เลือกโฟลเดอร์ที่คุณต้องการเพิ่มเลือกเส้นทาง (ตัวอย่างเช่น โฟลเดอร์บนไดรฟ์อื่น ไดเร็กทอรีทำงานสำหรับโครงการของคุณ หรือแม้แต่ไดรฟ์เครือข่ายที่แมปไว้) แล้วยืนยัน จากนั้นเป็นต้นไป การพยายามแก้ไขโฟลเดอร์จากแอปที่ไม่น่าเชื่อถือจะถูกบล็อกหรือตรวจสอบ
หากภายหลังคุณตัดสินใจว่าไม่ต้องการปกป้องโฟลเดอร์ใดโฟลเดอร์หนึ่งอีกต่อไป คุณก็สามารถทำได้ เลือกจากรายการแล้วกด “ลบ”คุณสามารถลบได้เฉพาะโฟลเดอร์เพิ่มเติมที่คุณได้เพิ่มเข้าไปเท่านั้น โฟลเดอร์ที่ Windows กำหนดให้ได้รับการป้องกันโดยค่าเริ่มต้นจะไม่สามารถลบได้ เพื่อป้องกันไม่ให้พื้นที่สำคัญไม่ได้รับการป้องกันโดยที่คุณไม่รู้ตัว
นอกเหนือจากหน่วยท้องถิ่นแล้ว คุณยังสามารถระบุเพิ่มเติมได้อีกด้วย การแชร์เครือข่ายและไดรฟ์ที่แมปไว้สามารถใช้ตัวแปรสภาพแวดล้อมในเส้นทางได้ แม้ว่าจะไม่รองรับสัญลักษณ์ตัวแทน (wildcard) ก็ตาม วิธีนี้ช่วยเพิ่มความยืดหยุ่นในการรักษาความปลอดภัยของตำแหน่งต่างๆ ในสภาพแวดล้อมที่ซับซ้อนมากขึ้น หรือใช้กับสคริปต์การกำหนดค่าอัตโนมัติได้
อนุญาตให้ใช้งานแอปที่เชื่อถือได้ซึ่งถูกบล็อกไว้ก่อนหน้านี้
เป็นเรื่องปกติที่หลังจากเปิดใช้งานฟีเจอร์นี้แล้ว แอปพลิเคชันที่ถูกต้องตามกฎหมายบางแอปจะได้รับผลกระทบ โดยเฉพาะอย่างยิ่งหาก โปรแกรมจะบันทึกข้อมูลลงในโฟลเดอร์เอกสาร รูปภาพ หรือโฟลเดอร์ที่ได้รับการป้องกันเกมพีซี โปรแกรมสำนักงานที่ไม่ค่อยเป็นที่รู้จัก หรือโปรแกรมรุ่นเก่า อาจเกิดอาการค้างเมื่อพยายามพิมพ์ข้อความ
ในกรณีเหล่านี้ ระบบรักษาความปลอดภัยของ Windows เองก็มีตัวเลือกนี้ให้ “อนุญาตให้แอปพลิเคชันเข้าถึงผ่านโฟลเดอร์ที่ควบคุมได้”จากแผงควบคุมการป้องกันแรนซัมแวร์ ให้ไปที่ส่วนนี้แล้วคลิกที่ “เพิ่มแอปพลิเคชันที่อนุญาต”
คุณสามารถเลือกเพิ่มแอปพลิเคชันจากรายการได้ “แอปที่ถูกบล็อกล่าสุด” (สะดวกมากหากมีการบล็อกบางอย่างไว้แล้วและคุณต้องการอนุญาต) หรือเรียกดูแอปพลิเคชันทั้งหมดเพื่อคาดการณ์และทำเครื่องหมายโปรแกรมที่เชื่อถือได้บางโปรแกรมที่คุณทราบว่าจำเป็นต้องเขียนลงในโฟลเดอร์ที่ได้รับการป้องกัน
เมื่อเพิ่มแอปพลิเคชัน สิ่งสำคัญคือต้องทราบว่า ระบุเส้นทางที่แน่นอนไปยังไฟล์ปฏิบัติการเฉพาะตำแหน่งที่ตั้งนั้นเท่านั้นที่จะได้รับอนุญาต หากโปรแกรมมีอยู่ในเส้นทางอื่นที่มีชื่อเดียวกัน โปรแกรมจะไม่ถูกเพิ่มลงในรายการที่อนุญาตโดยอัตโนมัติ และอาจยังคงถูกบล็อกโดยการควบคุมการเข้าถึงโฟลเดอร์
สิ่งสำคัญที่ควรจำไว้คือ แม้จะอนุญาตแอปหรือบริการแล้วก็ตาม กระบวนการที่กำลังดำเนินอยู่อาจก่อให้เกิดเหตุการณ์ต่างๆ ต่อไปได้ จนกว่าจะหยุดและเริ่มต้นใหม่ กล่าวอีกนัยหนึ่ง คุณอาจต้องรีสตาร์ทแอปพลิเคชัน (หรือตัวบริการเอง) เพื่อให้ข้อยกเว้นใหม่มีผลอย่างสมบูรณ์
การจัดการองค์กรขั้นสูง: Intune, Configuration Manager และนโยบายกลุ่ม
ในสภาพแวดล้อมขององค์กร การเปลี่ยนการตั้งค่าทีละทีมด้วยตนเองนั้นไม่ใช่เรื่องปกติ แต่ กำหนดนโยบายรวมศูนย์ ซึ่งถูกนำไปใช้งานอย่างเป็นระบบ การเข้าถึงโฟลเดอร์แบบควบคุมได้ถูกรวมเข้ากับเครื่องมือการจัดการอุปกรณ์ต่างๆ ของ Microsoft
ตัวอย่างเช่น ด้วย Microsoft Intune คุณสามารถสร้าง... คำสั่งลดพื้นที่โจมตี สำหรับ Windows 10, Windows 11 และ Windows Server ภายในโปรไฟล์จะมีตัวเลือกเฉพาะสำหรับการเปิดใช้งานการควบคุมการเข้าถึงโฟลเดอร์ ซึ่งช่วยให้คุณเลือกโหมดต่างๆ ได้ เช่น "เปิดใช้งาน" "ปิดใช้งาน" "โหมดตรวจสอบ" "บล็อกการแก้ไขดิสก์เท่านั้น" หรือ "ตรวจสอบการแก้ไขดิสก์เท่านั้น"
จากคำสั่งเดียวกันใน Intune นั้น เป็นไปได้ เพิ่มโฟลเดอร์ที่ได้รับการป้องกันเพิ่มเติม (ซึ่งจะซิงค์กับแอปความปลอดภัยของ Windows บนอุปกรณ์ต่างๆ) และยังระบุแอปที่เชื่อถือได้ซึ่งจะมีสิทธิ์ในการเขียนไปยังโฟลเดอร์เหล่านั้นเสมอ ซึ่งเป็นการเสริมการตรวจจับอัตโนมัติของ Defender ที่อิงตามชื่อเสียง
หากองค์กรของคุณใช้ Microsoft Configuration Manager คุณสามารถปรับใช้นโยบายสำหรับ windows Defender การ์ดป้องกันการใช้ประโยชน์จาก “สินทรัพย์และการปฏิบัติตามข้อกำหนด > การป้องกันปลายทาง > Windows Defender Exploit Guard” จะสร้างนโยบายการป้องกันช่องโหว่ เลือกตัวเลือกการเข้าถึงโฟลเดอร์ที่ควบคุม และคุณสามารถเลือกได้ว่าจะบล็อกการเปลี่ยนแปลง ตรวจสอบเท่านั้น อนุญาตแอปอื่นๆ หรือเพิ่มโฟลเดอร์อื่นๆ
ในทางกลับกัน ฟังก์ชันนี้สามารถจัดการได้อย่างละเอียดมากยิ่งขึ้นโดยใช้ Group Policy Objects (GPOs) บรรณาธิการบริหารนโยบายกลุ่มภายในเมนู การกำหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ คุณสามารถเข้าถึงส่วนประกอบของ Windows ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัส Microsoft Defender และส่วน Exploit Guard ซึ่งมีนโยบายหลายอย่างที่เกี่ยวข้องกับการควบคุมการเข้าถึงโฟลเดอร์
นโยบายเหล่านี้ประกอบด้วยสิ่งต่อไปนี้: “ตั้งค่าการควบคุมการเข้าถึงโฟลเดอร์”ซึ่งช่วยให้คุณสามารถตั้งค่าโหมด (เปิดใช้งาน ปิดใช้งาน โหมดตรวจสอบ บล็อกการแก้ไขดิสก์เท่านั้น ตรวจสอบการแก้ไขดิสก์เท่านั้น) รวมถึงรายการสำหรับ "โฟลเดอร์ที่ได้รับการป้องกันที่กำหนดค่าไว้" หรือ "กำหนดค่าแอปพลิเคชันที่อนุญาต" โดยป้อนเส้นทางของโฟลเดอร์และไฟล์ปฏิบัติการพร้อมกับค่าที่ระบุเพื่อทำเครื่องหมายว่าเป็นแอปพลิเคชันที่อนุญาต
การใช้ PowerShell และ MDM CSP เพื่อทำให้การกำหนดค่าเป็นไปโดยอัตโนมัติ
สำหรับผู้ดูแลระบบและผู้ใช้ขั้นสูง PowerShell นำเสนอวิธีการที่ตรงไปตรงมามากในการ เปิดใช้งาน ปิดใช้งาน หรือปรับการเข้าถึงโฟลเดอร์ที่ถูกควบคุม โดยใช้คำสั่ง cmdlet ของ Microsoft Defender วิธีนี้มีประโยชน์อย่างยิ่งสำหรับสคริปต์การปรับใช้ การทำงานอัตโนมัติ หรือการเปลี่ยนแปลงแบบเป็นชุด
เริ่มต้นด้วยการเปิดหน้าต่าง PowerShell ด้วยสิทธิ์ผู้ดูแลระบบ: ค้นหา ในเมนู Start ให้คลิกขวาแล้วพิมพ์ “PowerShell” จากนั้นเลือก “Run as administrator”เมื่อเข้าไปข้างในแล้ว คุณสามารถ เปิดใช้งานฟังก์ชัน โดยใช้คำสั่ง cmdlet:
ตัวอย่าง: Set-MpPreference -EnableControlledFolderAccess Enabled
หากคุณต้องการประเมินพฤติกรรมโดยไม่ต้องบล็อกอะไรเลย คุณสามารถใช้สิ่งนี้ได้ โหมดการตรวจสอบ โดยการแทนที่ Enabled ด้วย AuditMode และหากคุณต้องการปิดใช้งานโดยสมบูรณ์ในภายหลัง ก็เพียงแค่ระบุ Disabled ในพารามิเตอร์เดียวกันนั้น วิธีนี้ช่วยให้คุณสามารถสลับจากโหมดหนึ่งไปยังอีกโหมดหนึ่งได้อย่างรวดเร็วตามต้องการ
หากต้องการปกป้องโฟลเดอร์เพิ่มเติมจาก PowerShell สามารถใช้ cmdlet นี้ได้ Add-MpPreference -ControlledFolderAccessProtectedFoldersโดยคุณจะต้องระบุพาธของโฟลเดอร์ที่คุณต้องการปกป้อง ตัวอย่างเช่น:
ตัวอย่าง: Add-MpPreference -ControlledFolderAccessProtectedFolders "c:\apps/"
ในทำนองเดียวกัน คุณสามารถอนุญาตแอปพลิเคชันเฉพาะเจาะจงได้โดยใช้ cmdlet Add-MpPreference -ControlledFolderAccessAllowedApplicationsระบุเส้นทางแบบเต็มไปยังไฟล์ปฏิบัติการ ตัวอย่างเช่น หากคุณต้องการอนุญาตโปรแกรมชื่อ test.exe ใน c:\apps คุณจะต้องใช้:
ตัวอย่าง: Add-MpPreference -ControlledFolderAccessAllowedApplications "c:\apps\test.exe"
ในสถานการณ์การบริหารจัดการ โทรศัพท์มือถือ (MDM) การกำหนดค่าจะถูกเปิดเผยผ่านช่องทางต่างๆ ผู้ให้บริการด้านการกำหนดค่า (CSPs)เช่น Defender/GuardedFoldersList สำหรับโฟลเดอร์ที่ได้รับการป้องกัน หรือ Defender/ControlledFolderAccessAllowedApplications สำหรับแอปพลิเคชันที่ได้รับอนุญาต ซึ่งช่วยให้สามารถผสานรวมนโยบายเหล่านี้เข้ากับโซลูชัน MDM ที่เข้ากันได้ในลักษณะรวมศูนย์
การบันทึกเหตุการณ์และการติดตามเหตุการณ์
เพื่อให้เข้าใจสิ่งที่เกิดขึ้นกับทีมของคุณอย่างถ่องแท้ สิ่งสำคัญคือต้องทบทวนสิ่งต่อไปนี้ เหตุการณ์ที่เกิดขึ้นจากการควบคุมการเข้าถึงโฟลเดอร์ เมื่อระบบทำการบล็อกหรือตรวจสอบการกระทำต่างๆ สามารถทำได้ทั้งจากพอร์ทัล Microsoft Defender และโดยตรงใน Windows Event Viewer
ในบริษัทที่ใช้ Microsoft Defender สำหรับอุปกรณ์ปลายทาง พอร์ทัล Microsoft Defender จะมีฟีเจอร์ต่างๆ ดังนี้ รายงานเหตุการณ์และการปิดกั้นโดยละเอียด เกี่ยวข้องกับการควบคุมการเข้าถึงโฟลเดอร์ ซึ่งรวมอยู่ในการตรวจสอบการแจ้งเตือนตามปกติ นอกจากนี้ คุณยังสามารถเริ่มการค้นหาขั้นสูง (การล่าหาขั้นสูง) เพื่อวิเคราะห์รูปแบบต่างๆ ในทุกอุปกรณ์ได้อีกด้วย
ตัวอย่างเช่นก การสอบถาม DeviceEvents ตัวอย่างทั่วไปอาจเป็นดังนี้:
ตัวอย่าง: DeviceEvents | where ActionType in ('ControlledFolderAccessViolationAudited','ControlledFolderAccessViolationBlocked')
ในทีมแต่ละทีม คุณสามารถพึ่งพาได้ Visor de eventos ของ Windowsไมโครซอฟต์มีมุมมองแบบกำหนดเอง (ไฟล์ cfa-events.xml) ที่สามารถนำเข้าเพื่อดูเฉพาะเหตุการณ์การเข้าถึงโฟลเดอร์ที่ถูกควบคุมได้อย่างกระชับ มุมมองนี้จะรวบรวมรายการต่างๆ เช่น เหตุการณ์ 5007 (การเปลี่ยนแปลงการกำหนดค่า), 1123 และ 1124 (การบล็อกหรือการตรวจสอบการเข้าถึงโฟลเดอร์ที่ถูกควบคุม) และ 1127/1128 (การบล็อกหรือการตรวจสอบการเขียนเซกเตอร์ดิสก์ที่ได้รับการป้องกัน)
เมื่อเกิดการบล็อก ผู้ใช้มักจะเห็นสิ่งต่อไปนี้ด้วย การแจ้งเตือนในระบบระบุว่าการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตถูกบล็อกแล้วตัวอย่างเช่น ข้อความเช่น “การเข้าถึงโฟลเดอร์ที่ถูกควบคุมได้บล็อกไม่ให้ C:\…\ApplicationName… ทำการเปลี่ยนแปลงในหน่วยความจำ” และประวัติการป้องกันจะแสดงเหตุการณ์เช่น “การเข้าถึงหน่วยความจำที่ได้รับการป้องกันถูกบล็อก” พร้อมวันที่และเวลา
การควบคุมการเข้าถึงโฟลเดอร์กลายเป็นเครื่องมือที่มีประสิทธิภาพมากสำหรับ เพื่อขัดขวางมัลแวร์เรียกค่าไถ่และภัยคุกคามอื่นๆ อย่างจริงจัง ระบบนี้พยายามทำลายไฟล์ของคุณ แต่ยังคงมีความยืดหยุ่นด้วยโหมดการตรวจสอบ รายการโฟลเดอร์และแอปพลิเคชันที่อนุญาต และการผสานรวมกับเครื่องมือการจัดการ เมื่อตั้งค่าอย่างถูกต้องและใช้งานร่วมกับการสำรองข้อมูลเป็นประจำและซอฟต์แวร์ป้องกันไวรัสที่ทันสมัย ระบบนี้เป็นหนึ่งในคุณสมบัติที่ดีที่สุดที่ Windows 11 มอบให้เพื่อรักษาความปลอดภัยของเอกสารสำคัญที่สุดของคุณ
นักเขียนผู้หลงใหลเกี่ยวกับโลกแห่งไบต์และเทคโนโลยีโดยทั่วไป ฉันชอบแบ่งปันความรู้ผ่านการเขียน และนั่นคือสิ่งที่ฉันจะทำในบล็อกนี้ เพื่อแสดงให้คุณเห็นสิ่งที่น่าสนใจที่สุดเกี่ยวกับอุปกรณ์ ซอฟต์แวร์ ฮาร์ดแวร์ แนวโน้มทางเทคโนโลยี และอื่นๆ เป้าหมายของฉันคือการช่วยคุณนำทางโลกดิจิทัลด้วยวิธีที่เรียบง่ายและสนุกสนาน