วิธีสร้างบัญชีผู้ใช้ภายในเครื่องที่ปลอดภัยสำหรับการใช้งานประจำวันใน Windows

การใช้ผู้ใช้คนเดียวกันที่มีสิทธิ์ผู้ดูแลระบบสำหรับทุกอย่างเป็นหนึ่งใน... ข้อผิดพลาดด้านความปลอดภัยที่พบบ่อยที่สุด ในระบบปฏิบัติการ Windows ทั้งที่บ้านและในสภาพแวดล้อมการทำงาน การแยกบัญชีผู้ใช้งานประจำวันออกจากบัญชีผู้ใช้งานที่มีสิทธิ์สูง และการทำความเข้าใจอย่างถ่องแท้เกี่ยวกับบัญชีผู้ใช้งานภายในระบบ เป็นกุญแจสำคัญในการลดความเสี่ยง ปกป้องความเป็นส่วนตัว และยับยั้งมัลแวร์

ตลอดบทความนี้ คุณจะได้เห็นขั้นตอนต่างๆ ทีละขั้นว่าอย่างไร สร้างและจัดการบัญชีผู้ใช้ภายในเครื่องที่ปลอดภัยสำหรับการใช้งานประจำวันใน Windows มีบัญชีผู้ใช้ประเภทใดบ้าง (รวมถึงบัญชีระบบที่ซ่อนอยู่) วิธีการตั้งค่าบัญชีเหล่านั้นใน Windows 10 และ Windows 11 มีการเปลี่ยนแปลงอะไรบ้างในเวอร์ชันล่าสุด และคุณควรนำนโยบายและแนวทางปฏิบัติที่ดีที่สุดใดมาใช้หากคุณจัดการคอมพิวเตอร์หลายเครื่องหรือห้องเรียนทั้งหมด

บัญชีผู้ใช้ภายในเครื่องใน Windows คืออะไร และทำไมการใช้งานจึงมีประโยชน์?

ใน Windows คุณสามารถล็อกอินด้วย บัญชี Microsoft หรือบัญชีท้องถิ่นบัญชี Microsoft เชื่อมโยงกับที่อยู่อีเมล (Outlook, Hotmail, Live ฯลฯ) และทำงานร่วมกับ OneDrive, Microsoft Store, การซิงค์การตั้งค่า, Xbox, Office และบริการคลาวด์อื่นๆ ทั้งหมดนี้ดีเยี่ยม แต่ก็หมายความว่าข้อมูลของคุณจะถูกเปิดเผยมากขึ้น และคุณจะต้องพึ่งพาตัวตนออนไลน์ของคุณมากขึ้นด้วย

ในทางกลับกัน บัญชีท้องถิ่นคือบัญชีที่ มันมีอยู่เฉพาะในอุปกรณ์นั้นเท่านั้นผู้ใช้มีโฟลเดอร์โปรไฟล์ เอกสาร รูปภาพ เดสก์ท็อป ฯลฯ แต่การตั้งค่าและไฟล์ไม่ได้ซิงโครไนซ์กับคลาวด์ของ Microsoft แนวทางนี้เสนอ... ความเป็นส่วนตัวที่มากขึ้น และช่วยลดช่องโหว่ด้านความปลอดภัยในกรณีที่คุณไม่ต้องการหรือไม่จำเป็นต้องเชื่อมต่อกับบริการออนไลน์ของบริษัท

ในสภาพแวดล้อมที่มีผู้ใช้หลายคนใช้พีซีร่วมกัน (เช่น ครอบครัวขนาดใหญ่ สำนักงาน ห้องเรียน ห้องปฏิบัติการ หรือธุรกิจขนาดเล็ก) การสร้างโปรไฟล์ผู้ใช้แยกต่างหากจะช่วยป้องกันปัญหาต่างๆ ได้ บางคนดูข้อมูลของคนอื่นระบบจะแยกการตั้งค่า ประวัติการเข้าชมเว็บไซต์ และแอปพลิเคชันที่ติดตั้งไว้สำหรับผู้ใช้แต่ละราย ทำให้การปฏิบัติตามนโยบายการคุ้มครองข้อมูลทำได้ง่ายขึ้น

ระบบปฏิบัติการ Windows 8, 10 และ 11 ยังคงอนุญาตให้ใช้บัญชีผู้ใช้ภายในเครื่องได้เช่นเดียวกับเวอร์ชันก่อนหน้า แม้ว่าระบบจะพยายามผลักดันให้คุณใช้บัญชีเหล่านั้นก็ตาม บัญชีของ Microsoft สำหรับทุกสิ่งคุณสามารถสลับระหว่างบัญชี Microsoft และบัญชีท้องถิ่นของคุณได้ตลอดเวลาโดยไม่สูญเสียข้อมูล หากคุณทำอย่างถูกต้อง

บัญชีผู้ใช้ภายในเครื่องและบัญชีผู้ใช้ระบบ: มีกี่ประเภทและใช้ทำอะไรบ้าง

Windows จะสร้างชุดของสิ่งต่างๆ โดยอัตโนมัติ บัญชีท้องถิ่นเริ่มต้น เมื่อคุณติดตั้งระบบ ไฟล์บางไฟล์จะเป็นไฟล์เฉพาะของผู้ใช้ และบางไฟล์จะเป็นไฟล์เฉพาะของระบบ ซึ่งใช้ภายในโดย Windows เองและบริการบางอย่าง ไฟล์เหล่านี้ทำงานแตกต่างกันและมีสิทธิ์การเข้าถึงไม่เหมือนกัน ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องทำความเข้าใจไฟล์เหล่านี้เพื่อหลีกเลี่ยงการทำให้ระบบเสียหายหรือเกิดช่องโหว่

บัญชีผู้ใช้ภายในเครื่องเริ่มต้น

บัญชีผู้ใช้ภายในเครื่องเริ่มต้นคือบัญชีที่ระบบสร้างไว้แล้ว สร้างขึ้นระหว่างการติดตั้งไฟล์เหล่านี้ไม่สามารถลบได้ แม้ว่าจะสามารถเปลี่ยนชื่อหรือปิดใช้งานได้ในบางกรณี ไฟล์ทั้งหมดจะจัดเก็บอยู่ในคอมพิวเตอร์และมีสิทธิ์เฉพาะบนอุปกรณ์นั้นเท่านั้น โดยไม่มีสิทธิ์เข้าถึงทรัพยากรเครือข่ายโดยอัตโนมัติ

ในเวอร์ชัน Pro ขึ้นไป คุณสามารถใช้คอนโซลเพื่อดูและจัดการบัญชีเหล่านี้ได้ การจัดการอุปกรณ์ > ผู้ใช้และกลุ่มในเครื่อง > ผู้ใช้จากตรงนั้น คุณสามารถสร้างผู้ใช้แบบกำหนดเอง เปลี่ยนรหัสผ่าน ปิดใช้งานบัญชี ฯลฯ ได้ ในเวอร์ชัน Home นั้น งานเหล่านี้ส่วนใหญ่ทำได้จากแอปการตั้งค่า หรือใช้คำสั่งต่างๆ

บัญชีผู้ดูแลระบบ

บัญชีผู้ดูแลระบบภายในเครื่องที่ติดตั้งมาด้วยคือบัญชีที่มีสิทธิ์เข้าถึงข้อมูลดังกล่าว ควบคุมทีมได้อย่างสมบูรณ์รหัส SID ของคุณลงท้ายด้วย 500 นี่คือบัญชีผู้ใช้แรกที่ถูกสร้างขึ้นระหว่างการติดตั้ง Windows แม้ว่าในเวอร์ชันใหม่ๆ บัญชีนี้มักจะถูกปิดใช้งาน และจะมีการสร้างบัญชีผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบสำหรับผู้ใช้หลักแทน

ด้วยบัญชีนี้ คุณสามารถ... แก้ไขไฟล์ บริการ สิทธิ์ หรือการตั้งค่าใดๆสิ่งนี้ทำให้พวกเขาสามารถควบคุมทรัพยากร เปลี่ยนแปลงสิทธิ์ของผู้ใช้ และกำหนดสิทธิ์พิเศษได้ ด้วยเหตุนี้เอง มันจึงเป็นช่องทางที่น่าดึงดูดใจอย่างมากสำหรับผู้โจมตีและมัลแวร์ และการมีอยู่ของบัญชีประเภทนี้เป็นที่รู้จักกันดีในแทบทุกเวอร์ชันของ Windows

ด้วยเหตุผลด้านความปลอดภัย คุณไม่สามารถลบบัญชีผู้ดูแลระบบได้ แต่คุณสามารถ... เปลี่ยนชื่อหรือปิดใช้งานไมโครซอฟต์แนะนำว่าไม่ควรใช้บัญชีนี้สำหรับการเข้าสู่ระบบปกติ และควรจำกัดจำนวนบัญชีที่อยู่ในกลุ่มผู้ดูแลระบบให้น้อยที่สุดเท่าที่จะเป็นไปได้ แนวทางปฏิบัติที่ดีคือควรใช้บัญชีมาตรฐานในการทำงานเสมอ และใช้สิทธิ์ระดับสูง (เรียกใช้ในฐานะผู้ดูแลระบบและการควบคุมบัญชีผู้ใช้) เฉพาะเมื่อจำเป็นเท่านั้น

บัญชีผู้ใช้ชั่วคราว

บัญชีผู้ใช้แบบ Guest มีไว้สำหรับผู้ใช้งาน ใช้เป็นครั้งคราวหรือใช้ครั้งเดียว พวกเขาต้องการเข้าถึงคอมพิวเตอร์อย่างรวดเร็วโดยไม่ต้องสร้างบัญชีของตนเอง รหัส SID ของมันลงท้ายด้วย 501 มีสิทธิ์การใช้งานที่จำกัดมาก และออกแบบมาเพื่อการใช้งานชั่วคราวโดยไม่มีการปรับแต่งอย่างละเอียด

โดยค่าเริ่มต้น บัญชีผู้ใช้ทั่วไป (Guest account) จะมาพร้อมกับ... ปิดใช้งานและไม่มีรหัสผ่านหากเปิดใช้งานอย่างไม่ระมัดระวัง อาจก่อให้เกิดความเสี่ยงร้ายแรง เนื่องจากสามารถให้สิทธิ์การเข้าถึงแบบไม่ระบุตัวตนได้ สมาชิกเพียงรายเดียวในกลุ่ม Guests ที่มีอยู่แล้ว (SID S-1-5-32-546) มีสิทธิ์เฉพาะในการล็อกอินเข้าสู่ระบบภายในเครื่องเท่านั้น

หากคุณเปิดใช้งานด้วยเหตุผลใดก็ตาม ขอแนะนำให้จำกัดการใช้งานให้มากที่สุดเท่าที่จะเป็นไปได้ โดยไม่อนุญาตให้ใช้งานผ่านเครือข่าย ป้องกันไม่ให้พวกเขาดูบันทึกเหตุการณ์ และตรวจสอบกิจกรรมของคุณบ่อยๆ เพื่อป้องกันไม่ให้ผู้อื่นนำไปใช้โดยไม่ได้ตั้งใจเพื่อเปิดบริการหรือทรัพยากรต่างๆ ทิ้งไว้

บัญชีเริ่มต้น (DSMA)

DefaultAccount หรือที่รู้จักกันในชื่อ บัญชีผู้ใช้ที่จัดการโดยระบบโดยค่าเริ่มต้น (DSMA)เป็นบัญชีผู้ใช้มาตรฐานที่จัดการโดยระบบ ซึ่งถูกนำมาใช้เพื่อรองรับแอปพลิเคชันแบบหลายผู้ใช้ (MUMA) และสถานการณ์สมัยใหม่บางอย่าง (เช่น Xbox หรือสภาพแวดล้อมการใช้งานแบบแชร์เซสชัน)

บัญชีนี้โดยปกติแล้วคือ ปิดใช้งานตามค่าเริ่มต้น บนเดสก์ท็อปและเซิร์ฟเวอร์ Windows ที่มีประสบการณ์การใช้งานเดสก์ท็อป บัญชีนี้จะมี RID ที่รู้จัก (503) และอยู่ในกลุ่มบัญชีที่ระบบจัดการเป็นพิเศษ (SID S-1-5-32-581) Windows จะสร้างบัญชีนี้ขึ้นเองในตัวจัดการบัญชีความปลอดภัย (SAM) ในครั้งแรกที่คอมพิวเตอร์เริ่มต้นทำงาน

ในแง่ของสิทธิ์การเข้าถึง ระบบนี้ทำงานเหมือนผู้ใช้ทั่วไป แต่ได้รับการออกแบบมาเพื่อให้แอปพลิเคชันที่จำเป็นต้องทำงานอยู่เบื้องหลังและตอบสนองต่อการเปลี่ยนแปลงเซสชันของผู้ใช้ สามารถทำงานได้... ทำงานในบริบทที่เป็นอิสระจากบริบทของผู้ใช้งานที่เป็นมนุษย์ไมโครซอฟต์แนะนำไม่ให้แก้ไขการตั้งค่าเริ่มต้น เนื่องจากอาจทำให้ระบบรักษาความปลอดภัยในปัจจุบันหรืออนาคตเสียหายได้โดยไม่ก่อให้เกิดประโยชน์ด้านความปลอดภัยใดๆ อย่างแท้จริง

บัญชี WDAGUtility

WDAGUtilityAccount เป็นบัญชีภายในเครื่องอีกบัญชีหนึ่งที่ใช้โดย การปกป้องแอปพลิเคชัน Windows Defender (Windows Defender Application Guard) ทราบ SID ของมัน (ลงท้ายด้วย 504) และโดยค่าเริ่มต้นจะไม่จัดอยู่ในกลุ่มใดๆ

บัญชีนี้ใช้สำหรับแยกสภาพแวดล้อมการท่องเว็บหรือการประมวลผลที่ระบบปกป้องไว้ในคอนเทนเนอร์ โดยปกติแล้ว คุณไม่ควรแตะต้องบัญชีนี้ ระบบปฏิบัติการ Windows จะเปิดใช้งานและกำหนดค่าโดยอัตโนมัติ เมื่อจำเป็น

บัญชี WSI

WSIAccount ปรากฏใน Windows 11 และออกแบบมาเพื่อรองรับการใช้งาน กิจกรรมที่เกี่ยวข้องกับเว็บจากหน้าจอล็อกหรือหน้าจอเข้าสู่ระบบตัวอย่างเช่น ใช้เพื่อเข้าถึงหน้าเว็บของผู้ให้บริการข้อมูลประจำตัวเมื่อคุณต้องการรีเซ็ตรหัสผ่านหรือใช้การตรวจสอบสิทธิ์ผ่านเว็บก่อนที่จะเข้าสู่ระบบอย่างสมบูรณ์

บัญชีนี้มี SID ที่ทราบแน่ชัดซึ่งลงท้ายด้วย 1001 และโดยค่าเริ่มต้นจะเป็นส่วนหนึ่งของกลุ่มผู้ใช้ (Users) ย้ำอีกครั้งว่านี่คือบัญชีบริการ (service account) ไม่ควรใช้งานในลักษณะโต้ตอบ และห้ามแก้ไขด้วยตนเอง เว้นแต่ว่า Microsoft จะระบุไว้ในเอกสารสำหรับกรณีเฉพาะนั้นๆ

บัญชี HelpAssistant

HelpAssistant เป็นบัญชีผู้ใช้ในเครื่องของ Windows เปิดใช้งานเฉพาะระหว่างเซสชันการช่วยเหลือระยะไกลเท่านั้นเมื่อผู้ใช้ขอความช่วยเหลือผ่านการเชิญ (ทางอีเมล ไฟล์ ฯลฯ) ระบบจะสร้างบัญชีนี้ขึ้นมาโดยมีสิทธิ์การใช้งานจำกัด เพื่อให้ผู้ให้ความช่วยเหลือสามารถเชื่อมต่อและควบคุมคอมพิวเตอร์ภายใต้การดูแลได้

บัญชีผู้ใช้จะยังคงถูกปิดใช้งานจนกว่าจะมีคำขอความช่วยเหลือระยะไกลที่ค้างอยู่ บัญชีผู้ใช้นี้ได้รับการจัดการโดยบริการ Remote Desktop Help Session Manager และเป็นส่วนหนึ่งของกลุ่มที่เกี่ยวข้องกับ Remote Desktop และ Terminal Server (ตัวอย่างเช่น กลุ่มที่มี SID S-1-5-13 และ S-1-5-14 ซึ่งรวมถึงผู้ใช้บริการ Remote Desktop และ Remote Interactive Logon)

ใน Windows Server นั้น Remote Assistance ไม่ได้ติดตั้งมาโดยค่าเริ่มต้น และเป็นโปรแกรมที่ต้องติดตั้งเพิ่มเติม ส่วนประกอบเสริมจนกว่าจะมีการติดตั้งและใช้งาน บัญชี HelpAssistant ก็จะไม่เกิดประโยชน์อะไร

บัญชีผู้ใช้ระบบภายใน: SYSTEM, Local Service และ Network Service

นอกเหนือจากบัญชีผู้ใช้แล้ว Windows ยังมีอีกหลายอย่าง บัญชีระบบภายใน ซึ่งไม่ได้มีไว้สำหรับล็อกอินในฐานะผู้ใช้ทั่วไป แต่มีไว้เพื่อให้ระบบและบริการต่างๆ สามารถทำงานได้

สิ่งที่มีอำนาจมากที่สุดคือบัญชี ระบบ (SID S-1-5-18) ระบบปฏิบัติการเคอร์เนลและบริการต่างๆ ที่ต้องการสิทธิ์สูงสุด รวมถึงงานติดตั้ง จะใช้สิทธิ์นี้ สิทธิ์นี้จะไม่ปรากฏในตัวจัดการผู้ใช้ และไม่สามารถเพิ่มลงในกลุ่มได้ แต่คุณจะเห็นสิทธิ์นี้ในรายการสิทธิ์ NTFS ซึ่งโดยปกติจะอยู่ในตำแหน่งนั้น ควบคุมไฟล์ทั้งหมดได้อย่างสมบูรณ์ ของปริมาณในท้องถิ่น

บัญชี บริการท้องถิ่น (LOCAL SERVICE, SID S-1-5-19) ระบบนี้ได้รับการออกแบบมาเพื่อเรียกใช้บริการต่างๆ ด้วยสิทธิ์ขั้นต่ำบนเครื่อง และใช้ข้อมูลประจำตัวที่ไม่ระบุตัวตนบนเครือข่าย ด้วยวิธีนี้ หากบริการใดที่ใช้บัญชีนี้ถูกบุกรุก ผู้โจมตีจะมีช่องทางในการดำเนินการน้อยลง

ในขณะเดียวกัน บัญชีดังกล่าว บริการเครือข่าย (NETWORK SERVICE, SID S-1-5-20) โปรแกรมนี้ทำงานโดยอาศัยข้อมูลประจำตัวของคอมพิวเตอร์เองในการสื่อสารกับเซิร์ฟเวอร์ระยะไกลอื่นๆ ดังนั้น โปรแกรมจึงแสดงตัวต่อเครือข่ายในฐานะคอมพิวเตอร์ ไม่ใช่ผู้ใช้ทั่วไป แต่ยังคงรักษาสิทธิ์การเข้าถึงในระดับจำกัดไว้ในเครื่องนั้นๆ

สร้างบัญชีผู้ใช้ภายในเครื่องที่ปลอดภัยสำหรับการใช้งานประจำวันใน Windows 10 และ Windows 11

นอกเหนือจากบัญชีแบบบูรณาการแล้ว วิธีปฏิบัติทั่วไปคือการสร้าง ผู้ใช้ท้องถิ่นมาตรฐาน สำหรับการใช้งานประจำวัน คุณสามารถมีบัญชีผู้ดูแลระบบหนึ่งบัญชีหรือมากกว่านั้น ซึ่งจะใช้เฉพาะเมื่อคุณต้องการติดตั้งซอฟต์แวร์ แก้ไขการตั้งค่าทั่วไป หรือทำการบำรุงรักษาเท่านั้น Windows มีหลายวิธีในการสร้างบัญชีเหล่านี้ ขึ้นอยู่กับว่าคุณต้องการใช้ส่วนติดต่อผู้ใช้แบบกราฟิกหรือแบบบรรทัดคำสั่ง

สร้างจากแอปการตั้งค่า

ใน Windows 10 และ 11 วิธีที่ "ใช้งานง่าย" ที่สุดสำหรับผู้ใช้ส่วนใหญ่คือการใช้แอปพลิเคชัน การตั้งค่า > บัญชีจากตรงนั้น คุณสามารถสร้างทั้งบัญชีผู้ใช้ภายในเครื่องและบัญชีผู้ใช้ที่ใช้ Microsoft ID ได้ และในภายหลังสามารถเปลี่ยนประเภทของบัญชีเหล่านั้นได้ (ผู้ใช้ทั่วไปหรือผู้ดูแลระบบ)

ขั้นตอนโดยทั่วไปคือ: ไปที่บัญชี แล้วป้อนข้อมูล ครอบครัวและผู้ใช้อื่น ๆ (บน Windows 10) หรือบน ผู้ใช้อื่น ๆ (ใน Windows 11) คลิกที่ เพิ่มบัญชี และเมื่อระบบขอให้ป้อนอีเมลหรือหมายเลขโทรศัพท์ ให้เลือกตัวเลือกนั้น ไม่มี tengo los datos de inicio de sesión de esta personaในขั้นตอนต่อไป แทนที่จะเปิดอีเมล Microsoft ใหม่ ให้เลือก "เพิ่มผู้ใช้ที่ไม่มีบัญชี Microsoft"

จากนั้น คุณเพียงแค่ต้องระบุ ชื่อผู้ใช้และรหัสผ่านเพื่อความปลอดภัย โปรดป้อนรหัสผ่านซ้ำอีกครั้ง และตั้งคำถามเพื่อความปลอดภัยอีกสามข้อ การตอบสนองต่อการฟื้นตัวคุณสามารถเว้นช่องรหัสผ่านว่างไว้ได้ แต่ในเกือบทุกสถานการณ์จริงนั้นไม่ควรทำเช่นนั้น เมื่อสร้างบัญชีแล้ว บัญชีจะปรากฏในส่วนผู้ใช้รายอื่น และคุณสามารถเปลี่ยนประเภทบัญชีเป็นผู้ดูแลระบบได้หากจำเป็น

การสร้างบัญชีสมาชิกในครอบครัว (โดยใช้บัญชี Microsoft)

หากคุณต้องการสร้างบัญชีสำหรับผู้เยาว์หรือผู้ใช้ที่คุณต้องการสมัครใช้งาน การควบคุมโดยผู้ปกครองและกฎการใช้เวลาอยู่หน้าจอคุณสามารถใช้ตัวเลือกสำหรับครอบครัวได้ ในกรณีนี้ จำเป็นต้องมีบัญชี Microsoft เนื่องจากมีการควบคุมแบบรวมศูนย์ผ่านบริการ Family Safety

ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบและลงชื่อเข้าใช้ด้วยบัญชี Microsoft สามารถไปที่ บัญชี > ครอบครัว เพิ่มสมาชิก และระบุว่าสมาชิกนั้นจะเข้าร่วมหรือไม่ ผู้จัดงานหรือสมาชิก และเชื่อมโยงที่อยู่อีเมลของคุณ (หรือสร้างอีเมลใหม่สำหรับเด็ก) การตั้งค่าอื่นๆ ทั้งหมด (ตัวกรอง ข้อจำกัด รายงาน) จะจัดการในภายหลังผ่านเว็บไซต์ Microsoft Family Safety

สร้างจากส่วนการจัดการอุปกรณ์

ในสภาพแวดล้อมทางเทคนิคที่ซับซ้อนมากขึ้น การจัดการทีมเป็นเครื่องมือที่สะดวกมากสำหรับ สร้างผู้ใช้ภายในเครื่องหลายคนได้อย่างรวดเร็วโดยเฉพาะใน Windows Pro หรือ Enterprise

จากเมนูบริบทของปุ่ม Start ให้เปิด Computer Management ขยาย Local Users and Groups > Users แล้วใช้ตัวเลือกเพื่อ ผู้ใช้ใหม่ส่วนนี้กำหนดชื่อผู้ใช้ ชื่อเต็ม (ถ้ามี) คำอธิบาย และรหัสผ่าน คุณสามารถกำหนดให้เปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก ป้องกันไม่ให้ผู้ใช้เปลี่ยนรหัสผ่าน หรือตั้งค่าให้รหัสผ่านไม่หมดอายุได้

หลังจากคลิก "สร้าง" หน้าต่างจะยังคงเปิดอยู่เผื่อในกรณีที่คุณต้องการสร้างผู้ใช้หลายคนพร้อมกัน ซึ่งมีประโยชน์มากในห้องเรียนหรือห้องปฏิบัติการที่มีนักเรียนจำนวนมาก วิธีนี้จะสร้างผู้ใช้เพียงคนเดียวเท่านั้น ผู้ใช้ท้องถิ่นไม่ใช่บัญชีของ Microsoft และจากคุณสมบัติของผู้ใช้แต่ละคน คุณสามารถกำหนดการเป็นสมาชิกกลุ่มได้ (ตัวอย่างเช่น ผู้ใช้ หรือ ผู้ดูแลระบบ)

สร้างด้วย Netplwiz

Netplwiz เป็นเครื่องมือคลาสสิกสำหรับระบบปฏิบัติการ Windows จัดการบัญชีและตัวเลือกการเข้าสู่ระบบสามารถเรียกใช้งานได้จากเมนู Run โดยพิมพ์ netplwiz และโปรแกรมนี้จะช่วยให้คุณสามารถเพิ่มบัญชี เปลี่ยนรหัสผ่าน และกำหนดค่าได้ว่าผู้ใช้จะต้องป้อนรหัสผ่านเมื่อเข้าสู่ระบบหรือไม่

จากแท็บผู้ใช้ ให้คลิก เพิ่ม และตัวช่วยสร้างจะเสนอให้สร้างบัญชี Microsoft หรือหากเลือกตัวเลือกที่เหมาะสมแล้ว บัญชีผู้ใช้ในเครื่องโดยไม่ใช้บัญชี Microsoftแม้ว่าจะซ่อนอยู่บ้าง แต่ขั้นตอนก็คล้ายคลึงกับแอปการตั้งค่า คือ ชื่อผู้ใช้ รหัสผ่าน และหากมี ก็ให้ระบุกลุ่มสมาชิกด้วย

การสร้างจากคอนโซล: net user และ PowerShell

เมื่อต้องจัดการหลายทีมหรือทำงานในโหมดปลอดภัย คอนโซลจะเป็นพันธมิตรของคุณ ด้วยคำสั่งแบบคลาสสิก ผู้ใช้เน็ต คุณสามารถสร้างผู้ใช้ได้ด้วยบรรทัดเดียว ตัวอย่างเช่น:

net user operator SecurePassword123! /add

ถ้าหากคุณต้องการให้บัญชีนั้นอยู่ในกลุ่มใดกลุ่มหนึ่งในภายหลัง คุณสามารถใช้วิธีต่อไปนี้:

net localgroup Administrators operator /add เพื่อกำหนดสิทธิ์ผู้ดูแลระบบ หรือเพิ่มเข้าไปในกลุ่มผู้ใช้หากต้องการให้เป็นเพียงผู้ใช้ทั่วไป วิธีนี้เหมาะสำหรับสคริปต์และการติดตั้งอัตโนมัติ

ใน PowerShell คำสั่ง cmdlet คือ ใหม่-LocalUser มันช่วยให้ควบคุมได้มากขึ้นและมีไวยากรณ์ที่ทันสมัย ​​คุณสามารถสร้างบัญชีและกำหนดรหัสผ่านที่ปลอดภัยซึ่งแปลงเป็น SecureString แล้วใช้งานได้เลย เพิ่มสมาชิกกลุ่มท้องถิ่น เพื่อเพิ่มเข้าไปในกลุ่มที่เกี่ยวข้อง วิธีนี้มีประโยชน์อย่างยิ่งสำหรับผู้ดูแลระบบ เมื่อใช้ร่วมกับเครื่องมืออัตโนมัติหรือโมดูล Microsoft.PowerShell.LocalAccounts

การเปลี่ยนแปลงล่าสุดใน Windows 11: OOBE, คำสั่งต่างๆ และการสร้างบัญชีผู้ใช้ในเครื่อง

ใน Windows 11 เวอร์ชันล่าสุด โดยเฉพาะตั้งแต่ build 24H2 เป็นต้นไป ไมโครซอฟต์ได้ทำการเปลี่ยนแปลงบางอย่าง การปิดเส้นทาง "ที่ไม่เป็นทางการ" เพื่อหลีกเลี่ยงข้อกำหนดในการใช้บัญชี Microsoft ระหว่างการติดตั้งครั้งแรก

กลอุบายที่รู้จักกันดี OOBE\BYPASSNOฟังก์ชันที่เคยอนุญาตให้คุณบังคับใช้ตัวเลือกบัญชีท้องถิ่นในวิซาร์ดการตั้งค่าเริ่มต้น (Out-of-Box Experience หรือ OOBE) นั้นหยุดทำงานแล้ว เมื่อพยายามใช้งานใน 24H2 ระบบจะรีสตาร์ทวิซาร์ดและนำคุณกลับไปยังหน้าจอเดิม โดยไม่มีทางลัดสำหรับบัญชีท้องถิ่นเหมือนแต่ก่อน

อย่างไรก็ตาม ยังมีทางเลือกที่มีประสิทธิภาพอื่นๆ อีก หนึ่งในวิธีที่สะอาดที่สุดคือการใช้ข้อความต่อไปนี้บนหน้าจอเพื่อระบุว่าจำเป็นต้องมีการเชื่อมต่ออินเทอร์เน็ต: กด Shift+F10 เพื่อเปิดคอนโซล และดำเนินการคำสั่งภายในเช่น OOBE: เริ่ม ms-cxh:localonlyซึ่งจะทำให้ผู้ช่วยแสดงเส้นทางการสร้างบัญชีในเครื่องโดยไม่เชื่อมโยงกับอีเมล

อีกหนึ่งตัวเลือกแบบคลาสสิกคือ ติดตั้ง Windows แบบออฟไลน์การถอดสายเคเบิลเครือข่ายหรือปิดใช้งาน Wi-Fi ก่อนหรือระหว่างขั้นตอนการตั้งค่าก็อาจช่วยได้เช่นกัน ในหลายๆ ระบบ หากคอมพิวเตอร์ตรวจไม่พบการเชื่อมต่ออินเทอร์เน็ต ระบบจะเสนอตัวเลือกให้สร้างบัญชีผู้ใช้ในเครื่องโดยอัตโนมัติในระหว่างขั้นตอนการตั้งค่าเริ่มต้น โดยไม่ต้องดำเนินการเพิ่มเติมใดๆ

สุดท้ายนี้ ยังมีทางเลือกอีกอย่างหนึ่งเสมอคือ ติดตั้งโดยใช้บัญชี Microsoft จากนั้นสร้างบัญชีผู้ใช้ในเครื่อง จากเมนูการตั้งค่าหรือคอนโซล ให้ย้ายการใช้งานประจำวันของคุณไปยังบัญชีนั้น และหากต้องการ ให้แปลงบัญชี Microsoft เป็นบัญชีท้องถิ่นจาก บัญชี > ข้อมูลของคุณ > เข้าสู่ระบบด้วยบัญชีท้องถิ่น ขั้นตอนนี้อาจซับซ้อนกว่าเล็กน้อย แต่ได้รับการสนับสนุนอย่างเต็มที่และเสถียร

ความปลอดภัยและแนวปฏิบัติที่ดีที่สุดในการใช้งานบัญชีท้องถิ่นในชีวิตประจำวัน

การมีบัญชีจำนวนมากนั้นไร้ประโยชน์หากการตั้งค่าไม่รัดกุม บัญชีภายในองค์กรจะให้ความปลอดภัยอย่างแท้จริงได้ก็ต่อเมื่อมีการรวมเข้าด้วยกัน แนวทางปฏิบัติการใช้งานที่ดี ด้วยการตั้งค่า UAC สิทธิ์การเข้าถึง และนโยบายกลุ่มอย่างถูกต้อง โดยเฉพาะในสภาพแวดล้อมขององค์กร

ใช้บัญชีมาตรฐานสำหรับการใช้งานทั่วไปในชีวิตประจำวัน

คำแนะนำทั่วไปจาก Microsoft และผู้เชี่ยวชาญด้านความปลอดภัยทุกคนนั้นชัดเจน: ให้ใช้ บัญชีมาตรฐานสำหรับการจัดการงานประจำวัน (การท่องเว็บ อีเมล โปรแกรมสำนักงาน เกม ฯลฯ) และสงวนบัญชีที่มีสิทธิ์ผู้ดูแลระบบไว้เฉพาะสำหรับการกระทำที่จำเป็นจริงๆ เท่านั้น และเมื่อเป็นไปได้ ให้เปิดใช้งานบัญชีเหล่านั้น การตรวจสอบสิทธิ์แบบหลายปัจจัย.

El การควบคุมบัญชีผู้ใช้ (UAC) วิธีนี้ช่วยได้มาก แม้ว่าจะล็อกอินด้วยบัญชีที่อยู่ในกลุ่มผู้ดูแลระบบ UAC ก็ยังใช้โมเดล "การอนุมัติจากผู้ดูแลระบบ" กล่าวคือ ผู้ใช้จะทำงานในโหมดปกติจนกว่าจะมีการกระทำใดที่ต้องการสิทธิ์ระดับสูง ซึ่งในขณะนั้นระบบจะแสดงคำเตือนและขอการยืนยันหรือข้อมูลประจำตัว

UAC ยังส่งผลต่อวิธีการทำงานของบัญชีผู้ใช้ในเครื่องเมื่อใช้เพื่อวัตถุประสงค์ต่างๆ ด้วย การเข้าถึงระยะไกลหรือผ่านเครือข่ายตัวอย่างเช่น เมื่อเข้าสู่ระบบผ่านการเข้าสู่ระบบเครือข่าย (NET USE, การเชื่อมต่อที่ใช้ร่วมกัน ฯลฯ) Windows สามารถออกโทเค็นผู้ใช้มาตรฐานที่ไม่มีสิทธิ์ยกระดับ ซึ่งจะป้องกันไม่ให้บัญชีนั้นเข้าถึงทรัพยากรการดูแลระบบ เช่น C$ หรือ ADMIN$ วิธีนี้ช่วยลดพื้นที่การโจมตีสำหรับการแพร่กระจายไปยังระบบอื่นหลังจากการขโมยข้อมูลประจำตัว

จำกัดการใช้งานบัญชีภายในเครื่องที่มีสิทธิ์ผู้ดูแลระบบจากระยะไกล

หนึ่งในวิธีการโจมตีที่พบบ่อยที่สุดในเครือข่าย Windows คือการเคลื่อนที่แบบแนวนอน (Lateral Movement) โดยใช้ประโยชน์จากช่องโหว่ต่างๆ แฮชรหัสผ่านที่นำกลับมาใช้ใหม่ บนคอมพิวเตอร์หลายเครื่อง หากบัญชีผู้ดูแลระบบในเครื่องนั้นมีรหัสผ่านเดียวกันในพีซีหลายเครื่อง ผู้โจมตีที่เจาะระบบเครื่องใดเครื่องหนึ่งได้ก็สามารถใช้ข้อมูลประจำตัวเหล่านั้นเพื่อโจมตีเครื่องอื่นๆ ต่อไปได้

เพื่อลดความเสี่ยงนี้ มีกลยุทธ์เสริมหลายประการ ประการแรกคือ ปฏิเสธการเข้าสู่ระบบจากเครือข่าย และบริการเดสก์ท็อประยะไกลจะเข้าสู่ระบบด้วยบัญชีผู้ใช้ภายในเครื่องที่เป็นสมาชิกของกลุ่มผู้ดูแลระบบ โดยดำเนินการผ่านนโยบายกลุ่ม โดยใช้นโยบายต่อไปนี้:

• ปฏิเสธการเข้าถึงเครือข่ายสำหรับอุปกรณ์นี้ตั้งค่าไว้สำหรับ “บัญชีผู้ใช้ภายในเครื่องและเป็นสมาชิกของกลุ่มผู้ดูแลระบบ”
• ปฏิเสธการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกลรวมถึงการระบุว่าเป็น “บัญชีผู้ใช้ในเครื่อง และเป็นสมาชิกของกลุ่มผู้ดูแลระบบ” ด้วย

นโยบายเหล่านี้จะถูกนำไปใช้ใน การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายภายใน > การกำหนดสิทธิ์ผู้ใช้ และจะถูกกระจายผ่าน GPO ไปยังหน่วยงานในองค์กรที่มีเวิร์กสเตชันและเซิร์ฟเวอร์ที่คุณต้องการปกป้อง

มาตรการสำคัญอีกประการหนึ่งคือการควบคุมพฤติกรรมของ UAC ในการเข้าถึงระยะไกลโดยการกำหนดค่าในรีจิสทรี LocalAccountTokenFilterPolicy ภายใต้ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System สามารถกำหนดค่านี้ได้โดยใช้ GPO ที่อิงตาม Registry Preferences โดยกำหนดเป็น REG_DWORD ที่มีข้อมูลเป็น 0 เพื่อบังคับใช้การกรองโทเค็นและจำกัดการยกระดับสิทธิ์ของบัญชีผู้ใช้ภายในเครื่องผ่านเครือข่าย

รหัสผ่านที่ไม่ซ้ำกันและสุ่มสำหรับบัญชีผู้ใช้ภายในเครื่องที่มีสิทธิ์พิเศษ

การใช้รหัสผ่านผู้ดูแลระบบท้องถิ่นเดียวกันในคอมพิวเตอร์ทุกเครื่องนั้นเป็นสิ่งที่ไม่ควรทำ ความเสี่ยงมหาศาลการรั่วไหลของรหัสผ่านหรือแฮชของรหัสผ่านนั้น จะเปิดช่องให้เครื่องคอมพิวเตอร์ทุกเครื่องที่มีการตั้งค่าเหมือนกันถูกโจมตีไปด้วย ซึ่งจะส่งผลต่อเนื่องกันไป

วิธีแก้ปัญหานี้เกี่ยวข้องกับการจัดตั้ง รหัสผ่านที่ไม่ซ้ำกันและสุ่มขึ้นมา สำหรับบัญชีผู้ใช้แต่ละบัญชีที่มีสิทธิ์พิเศษ วิธีนี้ทำให้การโจมตีแบบ pass-the-hash ทำได้ยากมาก เนื่องจากแฮชที่ถูกขโมยไปนั้นใช้ได้เฉพาะบนเครื่องที่ได้มาเท่านั้น ไม่ใช่บนเครื่องอื่น ๆ

ไมโครซอฟต์มีวิธีการหลายอย่างในการสุ่มแบบอัตโนมัติ วิธีที่แนะนำมากที่สุดในปัจจุบันคือการใช้งาน LAPS (โซลูชันรหัสผ่านผู้ดูแลระบบภายใน)ซอฟต์แวร์นี้สร้างและหมุนเวียนรหัสผ่านที่ซับซ้อนสำหรับบัญชีผู้ดูแลระบบในเครื่อง และจัดเก็บไว้ในรูปแบบเข้ารหัสใน Active Directory ซึ่งเข้าถึงได้เฉพาะผู้ดูแลระบบที่ได้รับอนุญาตเท่านั้น ตัวเลือกอื่นๆ ได้แก่ การจัดหาเครื่องมือระดับองค์กรจาก การจัดการรหัสผ่านที่มีสิทธิ์พิเศษ หรือพัฒนาสคริปต์แบบกำหนดเองที่สร้างรหัสผ่านที่ปลอดภัยเป็นระยะ สิ่งสำคัญคือต้องหลีกเลี่ยงการใช้รหัสผ่านคงที่ร่วมกัน และหลีกเลี่ยงการใช้รหัสผ่านเดียวกันเพื่อให้ทุกคนจำได้

การปกป้องข้อมูลประจำตัวและกระบวนการที่ละเอียดอ่อน: LSASS และ Credential Guard

Windows จะจัดเก็บข้อมูลประจำตัวและรหัสลับด้านความปลอดภัยในระหว่างกระบวนการนี้ LSASS (บริการระบบย่อยของ Local Security Authority)ซึ่งควบคุมเซสชันผู้ใช้และการตรวจสอบความถูกต้อง หากผู้โจมตีสามารถอ่านหน่วยความจำของ LSASS ได้ พวกเขาสามารถดึงแฮชรหัสผ่านและตั๋ว Kerberos เพื่อใช้ในการเคลื่อนย้ายไปยังส่วนอื่น ๆ ของระบบได้ นอกจากนี้ ยังควรระมัดระวังด้วย ตรวจสอบว่าข้อมูลประจำตัวของคุณรั่วไหลหรือไม่ และดำเนินการอย่างรวดเร็ว

ดังนั้น ในเวิร์กสเตชันและเซิร์ฟเวอร์รุ่นใหม่ จึงควรตั้งค่า LSASS เป็นแบบนี้ ไฟแสดงสถานะการป้องกันกระบวนการ (PPL)เป็นการเสริมสร้างความเป็นอิสระจากกระบวนการที่ไม่น่าเชื่อถือ นอกจากนี้ ระบบปัจจุบันหลายระบบยังอนุญาตให้เปิดใช้งานได้ Credential Guardซึ่งใช้เทคโนโลยีเวอร์ชวลไลเซชันบนฮาร์ดแวร์เพื่อแยกข้อมูลประจำตัวและความลับ รวมถึงลดโอกาสในการขโมยแฮชด้วย

มาตรการเหล่านี้ ควบคู่ไปกับการแบ่งส่วนบัญชีภายในอย่างเหมาะสม การใช้รหัสผ่านที่ไม่ซ้ำกัน และการจำกัดการเข้าสู่ระบบจากระยะไกล จะส่งผลให้สภาพแวดล้อมมีความยืดหยุ่นต่อการโจมตีแบบยกระดับและการเคลื่อนที่ในแนวนอนมากขึ้น

การจัดการบัญชีภายในขั้นสูงและการบริหารจัดการระยะไกล

บนตัวควบคุมโดเมน บัญชีโดเมนจะได้รับการจัดการผ่าน Active Directory และเครื่องมือทั่วไป แต่ก็ยังสามารถใช้วิธีอื่นได้อีกด้วย ผู้ใช้และกลุ่มในท้องถิ่น เพื่อจัดการบัญชีบนคอมพิวเตอร์ระยะไกลที่ไม่ใช่ตัวควบคุมโดเมน โดยมีเงื่อนไขว่าเครือข่ายและนโยบายอนุญาตให้มีการบริหารจัดการจากระยะไกล

นอกเหนือจาก GUI แล้ว ผู้ดูแลระบบยังมีเครื่องมือแบบดั้งเดิมอื่นๆ เช่น NET.EXE USER และ NET.EXE LOCALGROUP สำหรับการจัดการผู้ใช้และกลุ่มในเครื่องโดยใช้สคริปต์ และโมดูล Microsoft.PowerShell.LocalAccounts เพื่อสร้าง แก้ไข และลบบัญชีผู้ใช้โดยอัตโนมัติด้วย PowerShell

มอบหมายให้ถูกต้อง สิทธิ์ของผู้ใช้และการอนุญาตการเข้าถึง นอกจากนี้ยังเป็นพื้นฐานอีกด้วย สิทธิ์ต่างๆ (เช่น การสำรองไฟล์ การปิดเครื่องคอมพิวเตอร์ การเข้าสู่ระบบภายในเครื่องหรือผ่านเครือข่าย) ถูกกำหนดไว้ในนโยบายความปลอดภัยภายในเครื่องหรือโดเมน ในขณะที่การอนุญาตจะถูกนำไปใช้กับวัตถุเฉพาะ (ไฟล์ โฟลเดอร์ เครื่องพิมพ์) ผ่าน ACLs

บนตัวควบคุมโดเมน ผู้ใช้และกลุ่มภายในเครื่องไม่สามารถใช้จัดการบัญชีภายในเครื่องบนตัวควบคุมนั้นได้ แต่สามารถใช้เพื่อสั่งการให้ดูแลระบบคอมพิวเตอร์สมาชิกที่อยู่ห่างไกลได้ การแยกส่วนนี้ช่วยรักษาความสมดุล การรักษาความปลอดภัยโดเมนที่กำหนดไว้อย่างชัดเจน เทียบกับบัญชีท้องถิ่นของแต่ละเครื่อง

โดยรวมแล้ว ความเข้าใจอย่างถ่องแท้เกี่ยวกับบัญชีแบบบูรณาการ การใช้บัญชีท้องถิ่นมาตรฐานสำหรับการดำเนินงานประจำวัน การจำกัดบัญชีผู้ดูแลระบบอย่างเข้มงวด การบังคับใช้นโยบายการจำกัดการเข้าสู่ระบบจากระยะไกล การปกป้อง LSASS และการรับรองว่ารหัสผ่านมีเอกลักษณ์เฉพาะตัว ล้วนเป็นรากฐานสำคัญสำหรับ... บัญชีท้องถิ่นเป็นเครื่องมือที่ปลอดภัยและเชื่อถือได้ ทั้งที่บ้านและในเครือข่ายธุรกิจ ห้องเรียน หรือห้องปฏิบัติการ ที่ผู้ใช้จำนวนมากใช้ร่วมกันอุปกรณ์ แต่ไม่ควรแบ่งปันความเสี่ยงหรือข้อมูล