กำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุมโดยใช้นโยบายกลุ่ม & PowerShell

การเข้าถึงโฟลเดอร์ที่ควบคุม(Controlled folder access)เป็นคุณลักษณะป้องกันการบุกรุกที่มีให้ในMicrosoft Defender Exploit Guardซึ่งเป็นส่วนหนึ่งของMicrosoft Defender Antivirus (Microsoft Defender Antivirus)ได้รับการออกแบบมาเพื่อป้องกันแรนซัมแวร์จากการเข้ารหัสข้อมูล/ไฟล์ของคุณเป็นหลัก แต่ยังป้องกันไฟล์จากการเปลี่ยนแปลงที่ไม่ต้องการจากแอปพลิเคชันที่เป็นอันตรายอื่นๆ ในบทความนี้ เราจะแสดงวิธีกำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุมโดยใช้นโยบายกลุ่มและ PowerShell(configure Controlled Folder Access using Group Policy & PowerShell)ใน Windows 11/10

คุณลักษณะนี้เป็นทางเลือกในWindows 10แต่เมื่อเปิดใช้งาน คุณลักษณะนี้สามารถติดตามไฟล์ปฏิบัติการ สคริปต์ และDLL(DLLs)ที่พยายามเปลี่ยนแปลงไฟล์ในโฟลเดอร์ที่ได้รับการป้องกัน หากแอปหรือไฟล์เป็นอันตรายหรือไม่รู้จัก คุณลักษณะนี้จะบล็อกความพยายามในแบบเรียลไทม์ และคุณจะได้รับการแจ้งเตือนเกี่ยวกับกิจกรรมที่น่าสงสัย

กำหนดค่าการ เข้าถึงโฟลเดอร์ที่(Folder Access)ควบคุมโดยใช้นโยบายกลุ่ม(Group Policy)

ในการกำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุม(Controlled Folder Access)โดยใช้นโยบายกลุ่ม(Group Policy)คุณต้องเปิดใช้งานคุณลักษณะนี้ก่อน เมื่อเสร็จแล้ว คุณสามารถดำเนินการกำหนดค่าต่อไปนี้:

เพิ่มตำแหน่งใหม่สำหรับการป้องกันผ่านLocal Group Policy Editor

ควบคุมการเข้าถึงโฟลเดอร์-เพิ่มตำแหน่งใหม่สำหรับการป้องกัน

หากเปิดใช้งานการเข้าถึงโฟลเดอร์ที่ควบคุม โฟลเดอร์พื้นฐานจะถูกเพิ่มตามค่าเริ่มต้น หากคุณต้องปกป้องข้อมูลที่อยู่ในตำแหน่งอื่น คุณสามารถใช้ นโยบาย กำหนดค่าโฟลเดอร์ที่ได้รับการป้องกัน(Configure protected folders)เพื่อเพิ่มโฟลเดอร์ใหม่ได้

โดยใช้วิธีดังนี้:

  • กดปุ่มWindows key + Rเพื่อเรียกใช้กล่องโต้ตอบเรียกใช้
  • ในกล่องโต้ตอบ Run ให้พิมพ์และgpedit.mscกด Enter เพื่อเปิด Group Policy Editor(open Group Policy Editor)
  • ภายในLocal Group Policy Editorให้ใช้บานหน้าต่างด้านซ้ายเพื่อไปยังเส้นทางด้านล่าง:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
  • คลิกสองครั้งที่  นโยบาย กำหนดค่าโฟลเดอร์ที่ได้รับการป้องกัน(Configure protected folders)ในบานหน้าต่างด้านขวาเพื่อแก้ไขคุณสมบัติ
  • เลือก  ปุ่มตัว เลือกที่ เปิดใช้งาน(Enabled)
  • ภายใต้ส่วนตัวเลือก(Options)ให้คลิก ปุ่มแสดง(Show)
  • ระบุตำแหน่งที่คุณต้องการป้องกันโดยป้อนเส้นทางของโฟลเดอร์ (เช่น; F:MyData) ในช่องชื่อค่า(Value name)และเพิ่ม0ลงในช่องค่า (Value)ทำซ้ำขั้นตอนนี้เพื่อเพิ่มสถานที่อื่นๆ
  • คลิก   ปุ่มตกลง(OK)
  • คลิก   ปุ่มใช้(Apply)
  • คลิก   ปุ่มตกลง(OK)

โฟลเดอร์ใหม่จะถูกเพิ่มในรายการการป้องกันของ การ เข้าถึงโฟลเดอร์ ที่ ควบคุม (Controlled)หากต้องการยกเลิกการเปลี่ยนแปลง ให้ทำตามคำแนะนำด้านบน แต่เลือกตัวเลือก  ไม่ได้กำหนดค่า(Not Configured)หรือปิด(Disabled)ใช้งาน

แอปที่อนุญาตพิเศษใน การ เข้าถึงโฟลเดอร์ ที่ ควบคุม โดยใช้ (Controlled)Local Group Policy Editor

ควบคุมการเข้าถึงโฟลเดอร์ - แอปที่อนุญาตพิเศษ

  • เปิดตัวแก้ไขนโยบายกลุ่มภายใน
  • ภายในLocal Group Policy Editorให้ใช้บานหน้าต่างด้านซ้ายเพื่อไปยังเส้นทางด้านล่าง:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
  • คลิกสองครั้งที่ นโยบาย กำหนดค่าแอปพลิเคชันที่อนุญาต(Configure allowed applications)  ในบานหน้าต่างด้านขวาเพื่อแก้ไขคุณสมบัติ
  • เลือก  ปุ่มตัว เลือกที่ เปิดใช้งาน(Enabled)
  • ภายใต้ส่วนตัวเลือก(Options)ให้คลิก ปุ่มแสดง(Show)
  • ระบุตำแหน่งของ ไฟล์ .exeสำหรับแอป (เช่นC:Program Files (x86)GoogleChromeApplicationchrome.exe) ที่คุณต้องการอนุญาตใน ฟิลด์ ชื่อค่า(Value name)และเพิ่ม0 ลง ในฟิลด์ค่า (Value)ทำซ้ำขั้นตอนนี้เพื่อเพิ่มสถานที่อื่นๆ
  • คลิก   ปุ่มตกลง(OK)
  • คลิก   ปุ่มใช้(Apply)
  • คลิก   ปุ่มตกลง(OK)

ตอนนี้ แอปที่ระบุจะไม่ถูกบล็อกเมื่อเปิดการเข้าถึงโฟลเดอร์ที่ควบคุม และจะสามารถทำการเปลี่ยนแปลงกับไฟล์และโฟลเดอร์ที่มีการป้องกันได้ หากต้องการยกเลิกการเปลี่ยนแปลง ให้ทำตามคำแนะนำด้านบน แต่เลือกตัวเลือก  ไม่ได้กำหนดค่า(Not Configured)หรือปิด(Disabled)ใช้งาน

สำหรับ ผู้ใช้ Windows 11/10 Homeคุณสามารถเพิ่มคุณลักษณะ Local Group Policy Editor(add Local Group Policy Editor)จากนั้นทำตามคำแนะนำที่ให้ไว้ด้านบนหรือคุณสามารถใช้ วิธี PowerShellด้านล่าง

กำหนดค่าการ เข้าถึงโฟลเดอร์ที่(Folder Access)ควบคุมโดยใช้PowerShell

ในการกำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุม(Controlled Folder Access)โดยใช้นโยบายกลุ่ม(Group Policy)คุณต้องเปิดใช้งานคุณลักษณะนี้ก่อน เมื่อเสร็จแล้ว คุณสามารถดำเนินการกำหนดค่าต่อไปนี้:

เพิ่ม(Add)ตำแหน่งใหม่สำหรับการป้องกันโดยใช้PowerShell

  • กดปุ่ม Windows + X เพื่อ เปิด เมนูPower User(open Power User Menu)
  • แตะAบนแป้นพิมพ์เพื่อเปิด PowerShellในโหมดผู้ดูแลระบบ/โหมดยกระดับ
  • ในคอนโซลPowerShell ให้พิมพ์คำสั่งด้านล่าง แล้ว กด Enter
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"

ในคำสั่ง ให้แทนที่F: olderpath oaddตัวยึดตำแหน่งด้วยเส้นทางจริงสำหรับตำแหน่งและสั่งการได้ของแอปที่คุณต้องการอนุญาต ตัวอย่างเช่น คำสั่งของคุณควรมีลักษณะดังนี้:

Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"
  • หากต้องการลบโฟลเดอร์ ให้พิมพ์คำสั่งด้านล่างแล้วกดEnter :
Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"

แอปที่อนุญาตพิเศษใน การ เข้าถึงโฟลเดอร์ ที่ ควบคุม โดยใช้ (Controlled)PowerShell

  • เปิดPowerShellในโหมดผู้ดูแลระบบ/โหมดยกระดับ
  • ในคอนโซลPowerShell ให้พิมพ์คำสั่งด้านล่าง แล้ว กด Enter
Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

ในคำสั่ง ให้แทนที่F:path oappapp.exe ตัวยึดตำแหน่งด้วยเส้นทางจริงสำหรับตำแหน่งและสั่งการได้ของแอปที่คุณต้องการอนุญาต ตัวอย่างเช่น คำสั่งของคุณควรมีลักษณะดังนี้:

Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

คำสั่งข้างต้นจะเพิ่มChromeลงในรายการแอปที่อนุญาต และแอปจะได้รับอนุญาตให้เรียกใช้และทำการเปลี่ยนแปลงไฟล์ของคุณเมื่อเปิดใช้งานการเข้าถึงโฟลเดอร์ ที่ ควบคุม(Controlled)

  • หากต้องการลบแอป ให้พิมพ์คำสั่งด้านล่างแล้วกดEnter :
Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"

นั่นคือวิธีกำหนดค่าการเข้าถึงโฟลเดอร์ควบคุม(Controlled Folder Access)โดยใช้นโยบายกลุ่ม(Group Policy)และPowerShellในWindows 11/10 !



About the author

ฉันเป็นผู้ตรวจทานมืออาชีพและเพิ่มประสิทธิภาพการทำงาน ฉันชอบใช้เวลาออนไลน์เล่นวิดีโอเกม สำรวจสิ่งใหม่ ๆ และช่วยเหลือผู้คนเกี่ยวกับความต้องการด้านเทคโนโลยีของพวกเขา ฉันมีประสบการณ์กับ Xbox มาบ้างแล้วและได้ช่วยเหลือลูกค้าในการรักษาระบบของพวกเขาให้ปลอดภัยมาตั้งแต่ปี 2552



Related posts