วิธีใช้ WDAC (Windows Defender Application Control) บน Windows Server 2025 ควบคุมการรันโปรแกรมระดับ Enterprise

Windows Defender Application Control (WDAC) เป็นระบบควบคุมการรันโปรแกรมระดับสูงของ Microsoft ที่ออกแบบมาสำหรับองค์กรที่ต้องการความปลอดภัยสูงสุดบน Windows Server 2025

หาก AppLocker คือระบบ Allow List ระดับมาตรฐาน WDAC ก็คือเวอร์ชันที่เข้มงวดและปลอดภัยยิ่งกว่า โดยสามารถควบคุมได้ถึงระดับ Kernel Mode, Driver และ Code Integrity

Microsoft จัดให้ WDAC เป็นหนึ่งในองค์ประกอบสำคัญของแนวคิด Zero Trust และเป็นเทคโนโลยีที่ใช้ป้องกัน Malware, Ransomware และ Advanced Persistent Threat (APT) ได้อย่างมีประสิทธิภาพ

① WDAC คืออะไร

WDAC ย่อมาจาก

Windows Defender Application Control

เป็นระบบที่กำหนดว่า

  • โปรแกรมใดรันได้
  • Driver ใดรันได้
  • Script ใดรันได้
  • Code ใดได้รับอนุญาต

ทุกสิ่งที่ไม่ผ่าน Policy

จะถูกปฏิเสธทันที

② WDAC ต่างจาก AppLocker อย่างไร

AppLocker

  • ใช้งานง่าย
  • เหมาะกับองค์กรทั่วไป
  • ควบคุมระดับ User Mode

WDAC

  • ปลอดภัยสูงกว่า
  • ควบคุมระดับ Kernel
  • ป้องกัน Driver อันตราย
  • รองรับ Zero Trust

Microsoft แนะนำ WDAC สำหรับระบบสำคัญ

③ WDAC ป้องกันอะไรได้บ้าง

ช่วยลดความเสี่ยงจาก

  • Malware
  • Ransomware
  • Rootkit
  • Unsanctioned Software
  • Malicious Driver
  • Supply Chain Attack

โดยเฉพาะภัยคุกคามที่ Antivirus ตรวจจับได้ยาก

④ WDAC ทำงานอย่างไร

WDAC ใช้แนวคิด

Default Deny

กล่าวคือ

อนุญาตเฉพาะสิ่งที่ได้รับการรับรอง

และปฏิเสธทุกอย่างที่เหลือ

ซึ่งตรงข้ามกับแนวทาง Antivirus แบบดั้งเดิม

⑤ ข้อกำหนดก่อนใช้งาน

ควรมี

  • Windows Server 2025
  • Secure Boot
  • TPM 2.0
  • Virtualization-Based Security

แม้ไม่บังคับทั้งหมด แต่ช่วยเพิ่มประสิทธิภาพการป้องกันได้มาก

⑥ วิธีสร้าง WDAC Policy

เปิด PowerShell แบบ Administrator

สร้าง Policy พื้นฐาน

New-CIPolicy -Level Publisher -FilePath C:\WDAC\BasePolicy.xml

ระบบจะสร้าง XML Policy

ซึ่งสามารถปรับแต่งเพิ่มเติมได้

⑦ วิธีแปลง Policy เป็น Binary

WDAC ใช้ Binary Policy

แปลงด้วยคำสั่ง

ConvertFrom-CIPolicy C:\WDAC\BasePolicy.xml C:\WDAC\BasePolicy.bin

จากนั้นนำไปใช้งานบน Server

⑧ วิธี Deploy WDAC Policy

คัดลอกไฟล์

BasePolicy.bin

ไปยัง

C:\Windows\System32\CodeIntegrity

จากนั้นรีบูตเครื่อง

Policy จะเริ่มทำงาน

⑨ วิธีใช้ Audit Mode

ก่อนเปิด Enforcement

ควรใช้

Audit Mode

ข้อดี

  • ไม่บล็อกโปรแกรม
  • บันทึกเหตุการณ์
  • วิเคราะห์ผลกระทบ

ช่วยลดความเสี่ยงจากการตั้งค่าผิด

⑩ วิธีดู WDAC Logs

เปิด

eventvwr.msc

ไปที่

Applications and Services Logs
 └ Microsoft
     └ Windows
         └ CodeIntegrity

สามารถดู

  • โปรแกรมที่ถูกบล็อก
  • Driver ที่ถูกบล็อก
  • Code ที่ไม่ผ่าน Policy

ได้ทั้งหมด

⑪ วิธีสร้าง Policy ตาม Publisher

ตัวอย่าง

อนุญาตเฉพาะโปรแกรมจาก

  • Microsoft
  • Adobe
  • VMware

ข้อดี

  • ไม่ต้องสร้าง Rule ใหม่ทุกเวอร์ชัน
  • ดูแลง่ายกว่า Hash Rules

เหมาะสำหรับองค์กรส่วนใหญ่

⑫ วิธีสร้าง Policy ตาม File Hash

เหมาะสำหรับ

  • โปรแกรมภายในองค์กร
  • โปรแกรมเฉพาะทาง

มีความปลอดภัยสูง

แต่ต้องอัปเดต Policy ทุกครั้งที่ไฟล์เปลี่ยน

⑬ WDAC กับ Driver Security

WDAC สามารถควบคุม

  • Kernel Driver
  • Unsigned Driver
  • Malicious Driver

ได้โดยตรง

ซึ่ง AppLocker ไม่สามารถทำได้

⑭ WDAC กับ Ransomware

WDAC เป็นหนึ่งในแนวทางป้องกัน Ransomware ที่มีประสิทธิภาพสูง

เพราะไฟล์ที่ไม่ได้รับอนุญาต

จะไม่สามารถรันได้เลย

แม้ Antivirus จะยังไม่รู้จักไฟล์นั้นก็ตาม

⑮ ข้อผิดพลาดที่พบบ่อย

เปิด Enforced Mode ทันที

ส่งผลให้โปรแกรมสำคัญทำงานไม่ได้

ไม่ใช้ Audit Mode

ตรวจสอบผลกระทบไม่ได้

Policy แคบเกินไป

กระทบระบบงานจริง

ไม่ทดสอบใน Lab

เสี่ยงต่อ Production Environment

⑯ WDAC กับ Zero Trust

Zero Trust มีแนวคิด

Never Trust, Always Verify

WDAC เป็นหนึ่งในเทคโนโลยีที่สอดคล้องกับแนวคิดนี้มากที่สุด

เพราะไม่อนุญาตสิ่งใดโดยอัตโนมัติ

⑰ WDAC เหมาะกับ Server ประเภทใด

เหมาะอย่างยิ่งกับ

  • Domain Controller
  • PKI Server
  • Hyper-V Host
  • Database Server
  • Security Server

โดยเฉพาะระบบที่ต้องการ Security ระดับสูง

⑱ Best Practice สำหรับองค์กร

  • เริ่มจาก Audit Mode
  • ใช้ Publisher Rules เป็นหลัก
  • ทดสอบใน Lab ก่อน
  • เปิด Secure Boot
  • เปิด TPM 2.0
  • ตรวจสอบ Logs อย่างสม่ำเสมอ

ทีมงาน comsiam มักแนะนำให้เริ่มต้น WDAC ในสภาพแวดล้อมทดสอบก่อนเสมอ เพราะระบบมีความเข้มงวดสูงและอาจกระทบ Application ที่องค์กรใช้งานอยู่

ในหลายโครงการที่ comsiam ดูแล WDAC ถูกนำมาใช้ร่วมกับ Credential Guard, BitLocker และ Defender for Endpoint เพื่อสร้าง Security Framework ระดับ Enterprise ที่แข็งแกร่งมากขึ้น

⑲ FAQ

WDAC ดีกว่า AppLocker หรือไม่

ด้านความปลอดภัย ดีกว่า

WDAC ป้องกัน Ransomware ได้หรือไม่

ช่วยลดความเสี่ยงได้อย่างมาก

ควรใช้ Audit Mode ก่อนหรือไม่

ควรอย่างยิ่ง

WDAC ใช้แทน Antivirus ได้หรือไม่

ไม่ได้ ควรใช้ร่วมกัน

⑳ สรุป

WDAC เป็นระบบ Application Control ระดับ Enterprise ของ Windows Server 2025 ที่ช่วยควบคุมการรันโปรแกรม Driver และ Code ต่าง ๆ ตามแนวคิด Zero Trust Security ช่วยลดความเสี่ยงจาก Malware, Ransomware และภัยคุกคามขั้นสูงได้อย่างมีประสิทธิภาพ องค์กรที่ต้องการความปลอดภัยระดับสูงควรพิจารณาใช้งาน WDAC ร่วมกับเครื่องมือด้าน Security อื่น ๆ ของ Microsoft

㉑ คำถามชวนคิด

หากวันนี้มีไฟล์อันตรายที่ Antivirus ทุกตัวบนโลกยังไม่รู้จักถูกนำเข้ามาในเซิร์ฟเวอร์ของคุณ ระบบจะสามารถป้องกันไม่ให้ไฟล์นั้นทำงานได้หรือไม่?

ป้ายกำกับ

Related Posts

Trending now
วิธีทำ TikTok Affiliate ให้คนติดตามเพิ่มขึ้นทุกวัน (Follower Growth Strategy)
⭐ วิธีตั้งค่า Router ให้แรงที่สุดสำหรับคอนโด (ฉบับ 2026 อัปเดตล่าสุด)
Ultra Fiber 2026: ทำไมเน็ต 1Gbps ยังไม่เร็วพอ? (ฉบับ 2026 อัปเดตล่าสุด)
Wi-Fi 6
⭐ วิธีแก้ WiFi หลุดในคอนโด ปี 2026 (ฉบับ 2026 อัปเดตล่าสุด)