IIS Security Checklist บน Windows Server 2022 เช็กลิสต์ความปลอดภัยที่ผู้ดูแลระบบต้องทำก่อนขึ้น Production
การติดตั้ง IIS และเปิดเว็บไซต์ให้ใช้งานได้เป็นเพียงจุดเริ่มต้นเท่านั้น สิ่งที่สำคัญไม่แพ้กันคือการตรวจสอบความปลอดภัยก่อนนำระบบขึ้นใช้งานจริง (Production)
จากสถิติด้าน Cyber Security ส่วนใหญ่ของการถูกเจาะระบบไม่ได้เกิดจากช่องโหว่ระดับสูง แต่เกิดจากการตั้งค่าพื้นฐานที่ผิดพลาด เช่น เปิด TLS รุ่นเก่า, ไม่มี Security Headers, ไม่อัปเดต Patch หรือไม่มีการตรวจสอบ Log
บทความนี้รวบรวม IIS Security Checklist สำหรับ Windows Server 2022 ที่ผู้ดูแลระบบควรตรวจสอบทุกครั้งก่อนเปิดให้บริการจริงบนอินเทอร์เน็ต
🔐 หมวดที่ 1 Operating System Security
① ติดตั้ง Windows Update ล่าสุด
ตรวจสอบ
Get-HotFix
ต้องติดตั้ง Security Update ล่าสุดเสมอ
② เปิด Microsoft Defender
ตรวจสอบ
Get-MpComputerStatus
สถานะควรเป็น
Real-Time Protection = True
③ เปิด Windows Firewall
ตรวจสอบ
Get-NetFirewallProfile
ทุก Profile ควรเป็น
Enabled
④ ปิด Service ที่ไม่จำเป็น
เช่น
FTP
SNMP
Telnet
Remote Registry
หากไม่ได้ใช้งาน
🔐 หมวดที่ 2 HTTPS และ SSL
⑤ ติดตั้ง SSL Certificate
ตรวจสอบวันหมดอายุ
⑥ บังคับ HTTPS
Redirect
HTTP → HTTPS
⑦ เปิด HSTS
Header
Strict-Transport-Security
⑧ เปิด TLS 1.2
⑨ เปิด TLS 1.3
⑩ ปิด SSL 3.0
⑪ ปิด TLS 1.0
⑫ ปิด TLS 1.1
🔐 หมวดที่ 3 IIS Hardening
⑬ ปิด Directory Browsing
ตรวจสอบ
Directory Browsing
ต้องเป็น
Disabled
⑭ ปิด TRACE Method
ผ่าน
Request Filtering
⑮ ซ่อน IIS Version
ไม่ควรแสดง
Microsoft-IIS/10.0
⑯ ลบ X-Powered-By Header
⑰ เปิด Request Filtering
⑱ ซ่อน Hidden Segments
เช่น
App_Data
bin
🔐 หมวดที่ 4 Security Headers
⑲ เปิด HSTS
⑳ เปิด X-Frame-Options
㉑ เปิด X-Content-Type-Options
㉒ เปิด Content-Security-Policy
㉓ เปิด Referrer-Policy
㉔ เปิด Permissions-Policy
🔐 หมวดที่ 5 Authentication
㉕ ใช้ Password Policy
ขั้นต่ำ
12 Characters
㉖ เปิด MFA
สำหรับ Admin
㉗ เปิด Account Lockout
เช่น
5 Attempts
㉘ ใช้ Least Privilege
🔐 หมวดที่ 6 File Security
㉙ จำกัด File Upload
㉚ บล็อก Extension อันตราย
เช่น
.exe
.bat
.ps1
.cmd
㉛ กำหนด NTFS Permissions
อย่างเหมาะสม
㉜ แยก Upload Folder
🔐 หมวดที่ 7 Monitoring
㉝ เปิด IIS Logging
㉞ เปิด Audit Logging
㉟ เปิด Event Logging
㊱ ตรวจสอบ Logs ทุกวัน
㊲ ตั้ง Alert Notification
🔐 หมวดที่ 8 Network Security
㊳ เปิด Firewall
㊴ จำกัด IP Address
สำหรับ Admin Panel
㊵ ใช้ VPN สำหรับระบบภายใน
㊶ ใช้ Geo Blocking
หากเหมาะสม
🔐 หมวดที่ 9 Backup
㊷ Backup Website
㊸ Backup Database
㊹ Backup SSL Certificate
㊺ Backup IIS Configuration
㊻ ทดสอบ Restore จริง
🔐 หมวดที่ 10 Vulnerability Assessment
㊼ สแกนช่องโหว่
อย่างน้อยทุกไตรมาส
㊽ ใช้ Security Baseline
㊾ ตรวจสอบ CIS Benchmark
㊿ ทำ Security Review เป็นประจำ
📊 คะแนนความพร้อมก่อนขึ้น Production
| รายการ | สถานะ |
|---|---|
| HTTPS | ✅ |
| TLS 1.2/1.3 | ✅ |
| HSTS | ✅ |
| Security Headers | ✅ |
| Request Filtering | ✅ |
| Logging | ✅ |
| Backup | ✅ |
| MFA | ✅ |
| Vulnerability Scan | ✅ |
หากผ่านทั้งหมด
ถือว่าพร้อมสำหรับ Production
❌ ความผิดพลาดที่พบบ่อย
เปิด HTTPS แต่ยังใช้ TLS 1.0
ไม่มี MFA
ไม่เคยทดสอบ Restore Backup
ไม่มี Audit Log
ไม่ตรวจสอบ IIS Logs
🛡️ Best Practices
① ใช้ Checklist ทุกครั้งก่อนขึ้นระบบจริง
② ทบทวน Security ทุกเดือน
③ สแกนช่องโหว่ทุกไตรมาส
④ อัปเดต Patch ทันทีเมื่อมี Security Update
⑤ ทดสอบ Disaster Recovery อย่างน้อยปีละ 1 ครั้ง
⑥ ตรวจสอบบัญชีผู้ใช้งานเป็นประจำ
⑦ ใช้ Security Baseline มาตรฐานองค์กร
ทีมงาน comsiam ใช้ Checklist ลักษณะนี้ก่อนเปิดเว็บไซต์ใหม่ทุกครั้งบน IIS Windows Server 2022 เพื่อให้มั่นใจว่าระบบมีความพร้อมทั้งด้านประสิทธิภาพ ความปลอดภัย และความสามารถในการกู้คืนเมื่อเกิดเหตุการณ์ไม่คาดคิด
🎯 สรุป
IIS Security Checklist เป็นเครื่องมือสำคัญสำหรับผู้ดูแลระบบ Windows Server 2022 ที่ช่วยลดความผิดพลาดจากการตั้งค่าพื้นฐาน และเพิ่มความมั่นใจว่าระบบมีมาตรการป้องกันที่เหมาะสมก่อนเปิดใช้งานจริง
การตรวจสอบทั้งด้าน HTTPS, Security Headers, Authentication, Logging, Backup และ Vulnerability Assessment อย่างครบถ้วน จะช่วยให้เว็บไซต์มีความปลอดภัยสูงขึ้น ลดความเสี่ยงจากการโจมตี และพร้อมสำหรับการใช้งานในสภาพแวดล้อม Production ระดับองค์กร