กำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุมโดยใช้นโยบายกลุ่ม & PowerShell
การเข้าถึงโฟลเดอร์ที่ควบคุม(Controlled folder access)เป็นคุณลักษณะป้องกันการบุกรุกที่มีให้ในMicrosoft Defender Exploit Guardซึ่งเป็นส่วนหนึ่งของMicrosoft Defender Antivirus (Microsoft Defender Antivirus)ได้รับการออกแบบมาเพื่อป้องกันแรนซัมแวร์จากการเข้ารหัสข้อมูล/ไฟล์ของคุณเป็นหลัก แต่ยังป้องกันไฟล์จากการเปลี่ยนแปลงที่ไม่ต้องการจากแอปพลิเคชันที่เป็นอันตรายอื่นๆ ในบทความนี้ เราจะแสดงวิธีกำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุมโดยใช้นโยบายกลุ่มและ PowerShell(configure Controlled Folder Access using Group Policy & PowerShell)ใน Windows 11/10
คุณลักษณะนี้เป็นทางเลือกในWindows 10แต่เมื่อเปิดใช้งาน คุณลักษณะนี้สามารถติดตามไฟล์ปฏิบัติการ สคริปต์ และDLL(DLLs)ที่พยายามเปลี่ยนแปลงไฟล์ในโฟลเดอร์ที่ได้รับการป้องกัน หากแอปหรือไฟล์เป็นอันตรายหรือไม่รู้จัก คุณลักษณะนี้จะบล็อกความพยายามในแบบเรียลไทม์ และคุณจะได้รับการแจ้งเตือนเกี่ยวกับกิจกรรมที่น่าสงสัย
กำหนดค่าการ เข้าถึงโฟลเดอร์ที่(Folder Access)ควบคุมโดยใช้นโยบายกลุ่ม(Group Policy)
ในการกำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุม(Controlled Folder Access)โดยใช้นโยบายกลุ่ม(Group Policy)คุณต้องเปิดใช้งานคุณลักษณะนี้ก่อน เมื่อเสร็จแล้ว คุณสามารถดำเนินการกำหนดค่าต่อไปนี้:
เพิ่มตำแหน่งใหม่สำหรับการป้องกันผ่านLocal Group Policy Editor
หากเปิดใช้งานการเข้าถึงโฟลเดอร์ที่ควบคุม โฟลเดอร์พื้นฐานจะถูกเพิ่มตามค่าเริ่มต้น หากคุณต้องปกป้องข้อมูลที่อยู่ในตำแหน่งอื่น คุณสามารถใช้ นโยบาย กำหนดค่าโฟลเดอร์ที่ได้รับการป้องกัน(Configure protected folders)เพื่อเพิ่มโฟลเดอร์ใหม่ได้
โดยใช้วิธีดังนี้:
- กดปุ่มWindows key + Rเพื่อเรียกใช้กล่องโต้ตอบเรียกใช้
- ในกล่องโต้ตอบ Run ให้พิมพ์และ
gpedit.msc
กด Enter เพื่อเปิด Group Policy Editor(open Group Policy Editor) - ภายในLocal Group Policy Editorให้ใช้บานหน้าต่างด้านซ้ายเพื่อไปยังเส้นทางด้านล่าง:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- คลิกสองครั้งที่ นโยบาย กำหนดค่าโฟลเดอร์ที่ได้รับการป้องกัน(Configure protected folders)ในบานหน้าต่างด้านขวาเพื่อแก้ไขคุณสมบัติ
- เลือก ปุ่มตัว เลือกที่ เปิดใช้งาน(Enabled)
- ภายใต้ส่วนตัวเลือก(Options)ให้คลิก ปุ่มแสดง(Show)
- ระบุตำแหน่งที่คุณต้องการป้องกันโดยป้อนเส้นทางของโฟลเดอร์ (เช่น;
F:MyData
) ในช่องชื่อค่า(Value name)และเพิ่ม0ลงในช่องค่า (Value)ทำซ้ำขั้นตอนนี้เพื่อเพิ่มสถานที่อื่นๆ - คลิก ปุ่มตกลง(OK)
- คลิก ปุ่มใช้(Apply)
- คลิก ปุ่มตกลง(OK)
โฟลเดอร์ใหม่จะถูกเพิ่มในรายการการป้องกันของ การ เข้าถึงโฟลเดอร์ ที่ ควบคุม (Controlled)หากต้องการยกเลิกการเปลี่ยนแปลง ให้ทำตามคำแนะนำด้านบน แต่เลือกตัวเลือก ไม่ได้กำหนดค่า(Not Configured)หรือปิด(Disabled)ใช้งาน
แอปที่อนุญาตพิเศษใน การ เข้าถึงโฟลเดอร์ ที่ ควบคุม โดยใช้ (Controlled)Local Group Policy Editor
- เปิดตัวแก้ไขนโยบายกลุ่มภายใน
- ภายในLocal Group Policy Editorให้ใช้บานหน้าต่างด้านซ้ายเพื่อไปยังเส้นทางด้านล่าง:
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- คลิกสองครั้งที่ นโยบาย กำหนดค่าแอปพลิเคชันที่อนุญาต(Configure allowed applications) ในบานหน้าต่างด้านขวาเพื่อแก้ไขคุณสมบัติ
- เลือก ปุ่มตัว เลือกที่ เปิดใช้งาน(Enabled)
- ภายใต้ส่วนตัวเลือก(Options)ให้คลิก ปุ่มแสดง(Show)
- ระบุตำแหน่งของ ไฟล์ .exeสำหรับแอป (เช่น
C:Program Files (x86)GoogleChromeApplicationchrome.exe
) ที่คุณต้องการอนุญาตใน ฟิลด์ ชื่อค่า(Value name)และเพิ่ม0 ลง ในฟิลด์ค่า (Value)ทำซ้ำขั้นตอนนี้เพื่อเพิ่มสถานที่อื่นๆ - คลิก ปุ่มตกลง(OK)
- คลิก ปุ่มใช้(Apply)
- คลิก ปุ่มตกลง(OK)
ตอนนี้ แอปที่ระบุจะไม่ถูกบล็อกเมื่อเปิดการเข้าถึงโฟลเดอร์ที่ควบคุม และจะสามารถทำการเปลี่ยนแปลงกับไฟล์และโฟลเดอร์ที่มีการป้องกันได้ หากต้องการยกเลิกการเปลี่ยนแปลง ให้ทำตามคำแนะนำด้านบน แต่เลือกตัวเลือก ไม่ได้กำหนดค่า(Not Configured)หรือปิด(Disabled)ใช้งาน
สำหรับ ผู้ใช้ Windows 11/10 Homeคุณสามารถเพิ่มคุณลักษณะ Local Group Policy Editor(add Local Group Policy Editor)จากนั้นทำตามคำแนะนำที่ให้ไว้ด้านบนหรือคุณสามารถใช้ วิธี PowerShellด้านล่าง
กำหนดค่าการ เข้าถึงโฟลเดอร์ที่(Folder Access)ควบคุมโดยใช้PowerShell
ในการกำหนดค่าการเข้าถึงโฟลเดอร์ที่ควบคุม(Controlled Folder Access)โดยใช้นโยบายกลุ่ม(Group Policy)คุณต้องเปิดใช้งานคุณลักษณะนี้ก่อน เมื่อเสร็จแล้ว คุณสามารถดำเนินการกำหนดค่าต่อไปนี้:
เพิ่ม(Add)ตำแหน่งใหม่สำหรับการป้องกันโดยใช้PowerShell
- กดปุ่ม Windows + X เพื่อ เปิด เมนูPower User(open Power User Menu)
- แตะAบนแป้นพิมพ์เพื่อเปิด PowerShellในโหมดผู้ดูแลระบบ/โหมดยกระดับ
- ในคอนโซลPowerShell ให้พิมพ์คำสั่งด้านล่าง แล้ว กด Enter
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"
ในคำสั่ง ให้แทนที่F:olderpath oadd
ตัวยึดตำแหน่งด้วยเส้นทางจริงสำหรับตำแหน่งและสั่งการได้ของแอปที่คุณต้องการอนุญาต ตัวอย่างเช่น คำสั่งของคุณควรมีลักษณะดังนี้:
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"
- หากต้องการลบโฟลเดอร์ ให้พิมพ์คำสั่งด้านล่างแล้วกดEnter :
Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"
แอปที่อนุญาตพิเศษใน การ เข้าถึงโฟลเดอร์ ที่ ควบคุม โดยใช้ (Controlled)PowerShell
- เปิดPowerShellในโหมดผู้ดูแลระบบ/โหมดยกระดับ
- ในคอนโซลPowerShell ให้พิมพ์คำสั่งด้านล่าง แล้ว กด Enter
Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
ในคำสั่ง ให้แทนที่F:path oappapp.exe
ตัวยึดตำแหน่งด้วยเส้นทางจริงสำหรับตำแหน่งและสั่งการได้ของแอปที่คุณต้องการอนุญาต ตัวอย่างเช่น คำสั่งของคุณควรมีลักษณะดังนี้:
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
คำสั่งข้างต้นจะเพิ่มChromeลงในรายการแอปที่อนุญาต และแอปจะได้รับอนุญาตให้เรียกใช้และทำการเปลี่ยนแปลงไฟล์ของคุณเมื่อเปิดใช้งานการเข้าถึงโฟลเดอร์ ที่ ควบคุม(Controlled)
- หากต้องการลบแอป ให้พิมพ์คำสั่งด้านล่างแล้วกดEnter :
Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
นั่นคือวิธีกำหนดค่าการเข้าถึงโฟลเดอร์ควบคุม(Controlled Folder Access)โดยใช้นโยบายกลุ่ม(Group Policy)และPowerShellในWindows 11/10 !
Related posts
Folder Redirection Group Policy ไม่ได้ใช้เมื่อใช้ SCCM
ปิดใช้งาน Internet Explorer 11 เป็น standalone browser โดยใช้ Group Policy
วิธีการเพิ่ม Group Policy Editor เพื่อ Windows 10 Home Edition
Prevent installation จาก Programs จากที่ถอดออกได้ Media Source
เปลี่ยน Delivery Optimization Cache Drive สำหรับ Windows Updates
วิธีการระบุ Minimum and Maximum PIN length ใน Windows 10
วิธีล็อคการตั้งค่า Taskbar ทั้งหมดใน Windows 10
เปิดใช้งานหรือปิดใช้งานการเข้าถึง Firefox Add-ons Manager โดยใช้ Group Policy
Delete โปรไฟล์ผู้ใช้เก่าและไฟล์โดยอัตโนมัติใน Windows 10
เปิดใช้งานหรือปิดใช้งานการอัปเดต Zoom auto โดยใช้ Group Policy or Registry
Limit Office 365 Telemetry ใช้ Registry and Group Policy
วิธีการติดตั้งหรือ Update Group Policy Administrative Templates (ADMX)
Group Policy Settings Reference Guide สำหรับ Windows 10
วิธีเปิดใช้งาน Audio Sandbox ใน Edge browser
วิธีการเปิดหรือปิดการใช้งานบน Win32 Long Paths Windows 10
Download Group Policy Templates สำหรับ Microsoft Edge browser
เกิดข้อผิดพลาดเมื่อคุณเปิด Local Group Policy Editor ใน Windows 10
การบริหาร Templates (.admx) สำหรับ Windows 10 V2020
Group Policy Registry Location ใน Windows 10
วิธีการตั้งค่าวอลล์เปเปอร์เดสก์ท็อปโดยใช้ Group Policy or Registry Editor