BitLocker การเข้ารหัสไดรฟ์แบบถอดได้

Chon Yut 0 แต้มความนิยม
2026-07-02T04:57:23.38+00:00

นโยบายความปลอดภัยของเราได้กำหนดไว้ว่า หากพนักงานเสียบ USB thumb drive ส่วนตัวเข้ากับเครื่อง Windows 11 ขององค์กร จะต้องถูกบล็อกไม่ให้เขียนข้อมูลลงไป เว้นแต่ไดรฟ์นั้นจะถูกเข้ารหัสด้วย BitLocker อย่างสมบูรณ์ กฎ Endpoint Security ใดที่ใช้ป้องกันการเขียนข้อมูลไปยังอุปกรณ์ถอดได้ที่ไม่ได้เข้ารหัส ?

Windows สําหรับธุรกิจ | Windows 365 Business
0 ความคิดเห็น ไม่มีข้อคิดเห็น

1 คำตอบ

เรียงลำดับตาม: มีประโยชน์มากที่สุด
  1. Harry Phan 24,325 แต้มความนิยม ที่ปรึกษาอิสระ
    2026-07-02T08:25:08.2333333+00:00

    Hi Chon Yut,

    นโยบายของ Windows ที่ออกแบบมาเพื่อรองรับข้อกำหนดนี้โดยตรงคือ**"Deny write access to removable drives not protected by BitLocker"** หากเปิดใช้งานนโยบายนี้ อุปกรณ์จัดเก็บข้อมูลแบบถอดได้ (เช่น USB Flash Drive) ที่ไม่ได้เข้ารหัสด้วย BitLocker จะถูกเมานต์ในโหมด Read-Only ทำให้ผู้ใช้สามารถอ่านข้อมูลได้แต่ไม่สามารถเขียนข้อมูลลงไปได้ ส่วนอุปกรณ์ที่เข้ารหัสด้วย BitLocker To Go จะยังคงสามารถอ่านและเขียนข้อมูลได้ตามปกติ

    สำหรับ Group Policy สามารถกำหนดค่าได้ที่:

    Computer Configuration

    └ Administrative Templates

        └ Windows Components

           └ BitLocker Drive Encryption

              └ Removable Data Drives

                 └ Deny write access to removable drives not protected by BitLocker

    จากนั้นตั้งค่าเป็น Enabled

    หากอุปกรณ์ Windows 11 ถูกบริหารจัดการผ่าน Microsoft Intune สามารถปรับใช้การตั้งค่านี้ผ่าน Endpoint Security > Disk Encryption หรือ Settings Catalog ได้ เมื่อ Policy ถูกบังคับใช้แล้ว ผู้ใช้จะไม่สามารถคัดลอกหรือบันทึกข้อมูลลง USB ที่ไม่ได้เข้ารหัสได้จนกว่าจะเปิดใช้งาน BitLocker บนอุปกรณ์ดังกล่าว

    หากต้องการเพิ่มระดับการควบคุมด้านความปลอดภัย สามารถใช้ร่วมกับ Removable Storage Access Policies หรือ Microsoft Defender for Endpoint Device Control เพื่อจำกัดการใช้งาน USB ตาม Vendor, Device ID หรือ Serial Number ได้ อย่างไรก็ตาม สำหรับข้อกำหนดที่ว่า "อนุญาตให้เขียนข้อมูลได้เฉพาะ USB ที่เข้ารหัสด้วย BitLocker เท่านั้น" นโยบาย BitLocker ข้างต้นถือเป็นแนวทางที่ Microsoft แนะนำและรองรับโดยตรงที่สุด

    https://support.microsoft.com/en-us/topic/windows-10-extended-security-updates-esu-program-45638ee7-85cc-405c-8f72-03886ed0ff33

    Harry.

    คำตอบนี้มีประโยชน์หรือไม่

    0 ความคิดเห็น ไม่มีข้อคิดเห็น

คำตอบของคุณ

คำตอบสามารถทำเครื่องหมายว่า “ยอมรับ” โดยผู้เขียนคำถาม และ “แนะนำ” โดยผู้ดูแลระบบ ซึ่งจะช่วยให้ผู้ใช้ทราบว่าคำตอบนั้นแก้ไขปัญหาของผู้เขียนได้