Contact
Line : comsiam
Real-Time Protection คือหัวใจสำคัญของ Microsoft Defender บน Windows Server 2025 เพราะเป็นระบบที่คอยตรวจสอบไฟล์ โปรแกรม และกิจกรรมต่าง ๆ ภายในเซิร์ฟเวอร์แบบเรียลไทม์ หากพบไวรัส มัลแวร์ แรนซัมแวร์ หรือพฤติกรรมที่น่าสงสัย ระบบจะดำเนินการป้องกันทันทีโดยไม่ต้องรอการสแกนตามรอบ
ผู้ดูแลระบบจำนวนไม่น้อยติดตั้ง Microsoft Defender แล้ว แต่ลืมตรวจสอบว่า Real-Time Protection เปิดใช้งานอยู่หรือไม่ ส่งผลให้เซิร์ฟเวอร์มีความเสี่ยงด้านความปลอดภัยโดยไม่รู้ตัว
① Real-Time Protection คืออะไร
Real-Time Protection เป็นฟีเจอร์ของ Microsoft Defender ที่ทำงานอยู่เบื้องหลังตลอดเวลา
หน้าที่หลัก ได้แก่
- ตรวจสอบไฟล์ที่ถูกสร้างใหม่
- ตรวจสอบไฟล์ที่ถูกดาวน์โหลด
- ตรวจสอบโปรแกรมที่กำลังรัน
- วิเคราะห์พฤติกรรมผิดปกติ
- บล็อกภัยคุกคามอัตโนมัติ
- แจ้งเตือนผู้ดูแลระบบ
เมื่อเปิดใช้งาน ฟีเจอร์นี้จะช่วยลดโอกาสที่ Malware จะเข้ามาทำงานบนระบบได้อย่างมาก
② ทำไมต้องเปิด Real-Time Protection
หากเปิดเฉพาะ Scheduled Scan
เซิร์ฟเวอร์อาจถูกโจมตีก่อนถึงเวลาสแกน
ตัวอย่างเช่น
- ผู้ใช้ดาวน์โหลดไฟล์ติดไวรัส
- แรนซัมแวร์เริ่มเข้ารหัสข้อมูล
- Script อันตรายเริ่มทำงาน
- ผู้โจมตีอัปโหลดไฟล์ผ่านช่องโหว่เว็บ
Real-Time Protection จะช่วยหยุดเหตุการณ์เหล่านี้ตั้งแต่เริ่มต้น
③ วิธีตรวจสอบว่า Real-Time Protection เปิดอยู่หรือไม่
เปิด PowerShell แบบ Administrator
ใช้คำสั่ง
Get-MpComputerStatus
มองหาค่า
RealTimeProtectionEnabled : True
หากเป็น True แสดงว่าระบบกำลังป้องกันแบบเรียลไทม์อยู่
หากเป็น False ควรเปิดใช้งานทันที
④ วิธีเปิด Real-Time Protection ผ่าน PowerShell
เปิด PowerShell แบบ Administrator
ใช้คำสั่ง
Set-MpPreference -DisableRealtimeMonitoring $false
จากนั้นตรวจสอบอีกครั้ง
Get-MpComputerStatus
ควรแสดงผล
RealTimeProtectionEnabled : True
⑤ วิธีเปิดผ่าน Windows Security
เปิด
Windows Security
เลือก
Virus & Threat Protection
จากนั้นเลือก
Manage Settings
ตรวจสอบว่า
Real-Time Protection
อยู่ในสถานะ
On
หากเป็น Off ให้เปิดกลับทันที
⑥ วิธีตรวจสอบผ่าน Server Manager
ในบางองค์กรอาจใช้ Server Manager เป็นจุดตรวจสอบกลาง
ควรตรวจสอบว่า
- Microsoft Defender Service ทำงานอยู่
- ไม่มี Antivirus อื่นปิด Defender
- Security Status เป็นปกติ
⑦ สาเหตุที่ Real-Time Protection ปิดเอง
ปัญหาที่พบบ่อย
มี Antivirus ตัวอื่นติดตั้งอยู่
Windows อาจปิด Defender อัตโนมัติ
ถูกปิดผ่าน Group Policy
ตรวจสอบนโยบาย Domain
ถูกปิดผ่าน Script
องค์กรบางแห่งใช้ Script ปิด Defender เพื่อแก้ปัญหาด้าน Performance
Malware พยายามปิด Defender
ภัยคุกคามบางประเภทจะพยายามปิดระบบป้องกันก่อนโจมตี
⑧ วิธีตรวจสอบผ่าน Group Policy
เปิด
Group Policy Management
ตรวจสอบ
Computer Configuration
└ Administrative Templates
└ Microsoft Defender Antivirus
นโยบายสำคัญ
Turn off Microsoft Defender Antivirus
ควรตั้งเป็น
Disabled
หรือ
Not Configured
⑨ วิธีตรวจสอบ Service ที่เกี่ยวข้อง
เปิด
services.msc
ตรวจสอบ Service
Microsoft Defender Antivirus Service
สถานะที่ถูกต้อง
- Running
- Automatic
หากหยุดทำงานให้ Start Service ใหม่
⑩ ผลกระทบหากปิด Real-Time Protection
ความเสี่ยงที่อาจเกิดขึ้น
- Malware ติดตั้งตัวเองได้ทันที
- Ransomware เข้ารหัสไฟล์ได้ง่ายขึ้น
- Virus แพร่กระจายในเครือข่าย
- ผู้โจมตีใช้ช่องโหว่ได้สะดวกขึ้น
- ข้อมูลสำคัญสูญหาย
สำหรับ File Server หรือ Domain Controller ความเสี่ยงจะสูงมาก
⑪ แนวทางใช้งานในองค์กร
Server ประเภทต่าง ๆ ควรเปิด Real-Time Protection ทั้งหมด
เช่น
- Domain Controller
- DNS Server
- DHCP Server
- Hyper-V Host
- Application Server
- File Server
ทีมงาน comsiam พบว่าเซิร์ฟเวอร์จำนวนมากที่ติด Malware มักเกิดจาก Defender ถูกปิดหรือทำงานไม่สมบูรณ์
⑫ Best Practice
- เปิด Real-Time Protection ตลอดเวลา
- เปิด Cloud Protection
- เปิด Tamper Protection
- อัปเดต Signature ทุกวัน
- ตรวจสอบ Security Logs เป็นประจำ
- ทดสอบการทำงานทุกเดือน
องค์กรที่มีเซิร์ฟเวอร์จำนวนมากควรใช้ Group Policy บังคับการตั้งค่า Defender เพื่อป้องกันไม่ให้ผู้ดูแลระบบบางคนปิดฟีเจอร์สำคัญโดยไม่ตั้งใจ ซึ่งเป็นแนวทางที่ comsiam แนะนำสำหรับสภาพแวดล้อมระดับองค์กร
คำถามที่พบบ่อย (FAQ)
Real-Time Protection กินทรัพยากรเครื่องมากหรือไม่
ใน Windows Server 2025 ใช้ทรัพยากรน้อยกว่ารุ่นเก่ามาก
ปิด Real-Time Protection ได้หรือไม่
ทำได้ แต่ไม่แนะนำ
ต้องรีสตาร์ตเครื่องหลังเปิดหรือไม่
ส่วนใหญ่ไม่จำเป็น
จำเป็นต้องเปิดบน Domain Controller หรือไม่
จำเป็นอย่างยิ่ง
สรุป
Real-Time Protection เป็นกลไกป้องกันภัยคุกคามแบบเรียลไทม์ที่สำคัญที่สุดของ Microsoft Defender บน Windows Server 2025 การเปิดใช้งานฟีเจอร์นี้จะช่วยลดความเสี่ยงจากไวรัส มัลแวร์ และแรนซัมแวร์ได้อย่างมาก ผู้ดูแลระบบควรตรวจสอบสถานะอย่างสม่ำเสมอและไม่ควรปิดการทำงานเว้นแต่มีเหตุผลที่จำเป็นจริง ๆ
