วิธีใช้ Device Guard บน Windows Server 2025 ป้องกันโปรแกรมอันตรายก่อนรันบนเซิร์ฟเวอร์

Device Guard เป็นฟีเจอร์ด้านความปลอดภัยระดับองค์กรของ Windows Server 2025 ที่ช่วยป้องกันการรันโปรแกรมที่ไม่ได้รับอนุญาตบนเซิร์ฟเวอร์ โดยแนวคิดหลักคือ “Allow Known Good, Block Everything Else” หรืออนุญาตเฉพาะสิ่งที่เชื่อถือได้ และบล็อกทุกอย่างที่เหลือ

ในอดีต Antivirus จะตรวจจับหลังจากโปรแกรมเริ่มทำงานแล้ว แต่ Device Guard เปลี่ยนแนวคิดใหม่ โดยป้องกันไม่ให้โปรแกรมต้องสงสัยเริ่มทำงานตั้งแต่แรก ลดความเสี่ยงจาก Malware, Ransomware และ Zero-Day Attack ได้อย่างมีประสิทธิภาพ

① Device Guard คืออะไร

Device Guard เป็นชุดเทคโนโลยีด้านความปลอดภัยของ Microsoft ที่ใช้

  • Virtualization-Based Security (VBS)
  • Code Integrity
  • Application Control

เพื่อควบคุมว่าโปรแกรมใดสามารถรันบนเซิร์ฟเวอร์ได้บ้าง

หากโปรแกรมไม่ผ่านนโยบายที่กำหนด ระบบจะบล็อกทันที

② Device Guard ป้องกันอะไรได้บ้าง

ภัยคุกคามที่ลดความเสี่ยงได้

  • Malware
  • Ransomware
  • Trojan
  • Backdoor
  • PowerShell อันตราย
  • Unauthorized Software
  • Zero-Day Exploit

เหมาะอย่างยิ่งสำหรับ

  • Domain Controller
  • File Server
  • Database Server
  • Hyper-V Host

③ Device Guard ทำงานอย่างไร

ระบบจะตรวจสอบ

  • Digital Signature
  • Publisher
  • Hash Value
  • Certificate

ก่อนอนุญาตให้โปรแกรมรัน

หากไม่ตรงกับนโยบาย

ระบบจะบล็อกทันที

จึงต่างจาก Antivirus ทั่วไปที่มักตรวจจับหลังเริ่มทำงานแล้ว

④ ข้อกำหนดก่อนใช้งาน

Server ควรรองรับ

  • UEFI
  • Secure Boot
  • TPM 2.0
  • Hyper-V
  • Virtualization Extension

ตรวจสอบสถานะ

systeminfo

หรือ

Get-ComputerInfo

⑤ เปิด Virtualization-Based Security (VBS)

Device Guard ต้องพึ่งพา VBS

เปิด

gpedit.msc

ไปที่

Computer Configuration
 └ Administrative Templates
     └ System
         └ Device Guard

เปิด

Turn On Virtualization Based Security

ตั้งค่าเป็น

Enabled

จากนั้นรีบูตเครื่อง

⑥ สร้าง Code Integrity Policy

เปิด PowerShell แบบ Administrator

สร้าง Policy

New-CIPolicy -Level Publisher -FilePath C:\Policy\ServerPolicy.xml

ระบบจะสร้างรายการโปรแกรมที่ได้รับอนุญาต

จากนั้นนำไปใช้งานในเครื่องปลายทาง

⑦ แปลง Policy เป็น Binary

Windows ใช้งานไฟล์ Binary Policy

ใช้คำสั่ง

ConvertFrom-CIPolicy C:\Policy\ServerPolicy.xml C:\Policy\ServerPolicy.bin

จากนั้นนำไป Deploy

⑧ Deploy Policy ไปยัง Server

คัดลอกไฟล์

ServerPolicy.bin

ไปยัง

C:\Windows\System32\CodeIntegrity

จากนั้น Restart Server

ระบบจะเริ่มบังคับใช้ Policy

⑨ วิธีตรวจสอบว่า Device Guard ทำงานหรือไม่

ใช้ PowerShell

Get-CimInstance Win32_DeviceGuard

ตรวจสอบค่า

SecurityServicesRunning

หากมีค่าแสดงผล

แสดงว่าระบบกำลังทำงาน

⑩ Audit Mode และ Enforced Mode

Audit Mode

บันทึก Log แต่ไม่บล็อก

เหมาะสำหรับทดสอบ

Enforced Mode

บล็อกจริง

เหมาะสำหรับ Production

แนะนำให้เริ่มจาก Audit Mode ก่อนเสมอ

⑪ ข้อผิดพลาดที่พบบ่อย

บล็อกโปรแกรมที่จำเป็น

เกิดจาก Policy เข้มงวดเกินไป

ไม่ทดสอบ Audit Mode ก่อน

ทำให้ระบบงานหยุดชะงัก

ลืมอัปเดต Policy

เมื่อมีโปรแกรมใหม่เข้าระบบ

Secure Boot ถูกปิด

ทำให้บางฟีเจอร์ทำงานไม่สมบูรณ์

⑫ Device Guard กับ AppLocker ต่างกันอย่างไร

AppLocker

  • ตั้งค่าง่าย
  • ใช้งานสะดวก
  • เหมาะกับองค์กรขนาดเล็ก

Device Guard

  • ปลอดภัยกว่า
  • ใช้ VBS
  • ป้องกันได้ลึกกว่า
  • เหมาะกับองค์กรขนาดกลางและใหญ่

หลายองค์กรเลือกใช้ทั้งสองระบบร่วมกัน

⑬ Best Practice สำหรับองค์กร

  • เปิด Secure Boot
  • เปิด TPM 2.0
  • เปิด VBS
  • เริ่มจาก Audit Mode
  • ทดสอบก่อน Deploy จริง
  • ตรวจสอบ Event Logs สม่ำเสมอ

ทีมงาน comsiam มักแนะนำให้เริ่มใช้งาน Device Guard กับ Domain Controller และ Server สำคัญก่อน จากนั้นค่อยขยายไปยังเครื่องอื่นภายในองค์กร

นอกจากนี้ comsiam ยังแนะนำให้สร้าง Baseline Policy กลางสำหรับทั้งองค์กร เพื่อให้การบริหารจัดการง่ายขึ้นในระยะยาว

⑭ FAQ

Device Guard จำเป็นหรือไม่

จำเป็นสำหรับองค์กรที่ต้องการควบคุมการรันโปรแกรมอย่างเข้มงวด

Device Guard ป้องกัน Ransomware ได้หรือไม่

ช่วยลดความเสี่ยงได้มาก เพราะบล็อกโปรแกรมที่ไม่ได้รับอนุญาต

ควรเริ่มจาก Audit Mode หรือไม่

ควรอย่างยิ่ง

Device Guard ส่งผลต่อ Performance หรือไม่

โดยทั่วไปมีผลกระทบน้อยมาก

⑮ สรุป

Device Guard เป็นเทคโนโลยีด้านความปลอดภัยระดับสูงของ Windows Server 2025 ที่ช่วยควบคุมว่าโปรแกรมใดสามารถรันบนระบบได้บ้าง โดยใช้แนวคิด Allow List และ Virtualization-Based Security เพื่อลดความเสี่ยงจาก Malware, Ransomware และโปรแกรมที่ไม่ได้รับอนุญาต องค์กรที่ต้องการยกระดับความปลอดภัยของเซิร์ฟเวอร์ควรพิจารณาใช้งานฟีเจอร์นี้ร่วมกับ Defender, Credential Guard และ AppLocker

⑯ คำถามชวนคิด

หากพนักงานหรือผู้โจมตีสามารถนำไฟล์ .exe แปลก ๆ มารันบนเซิร์ฟเวอร์ของคุณได้ทันทีโดยไม่มีการควบคุม คุณมั่นใจได้อย่างไรว่าระบบสำคัญขององค์กรจะปลอดภัยในระยะยาว?

ป้ายกำกับ

Related Posts

Trending now
วิธีเลือกสินค้า TikTok Affiliate ที่ขายได้ทั้งปี (Evergreen Product Strategy)
⭐ วิธีตั้งค่า Router ให้แรงที่สุดสำหรับคอนโด (ฉบับ 2026 อัปเดตล่าสุด)
Ultra Fiber 2026: ทำไมเน็ต 1Gbps ยังไม่เร็วพอ? (ฉบับ 2026 อัปเดตล่าสุด)
Wi-Fi 6
⭐ วิธีแก้ WiFi หลุดในคอนโด ปี 2026 (ฉบับ 2026 อัปเดตล่าสุด)