วิธีป้องกัน Brute Force Attack บน IIS Windows Server 2022 ป้องกันการเดารหัสผ่านและการยึดบัญชี

June 19, 2026

Brute Force Attack เป็นหนึ่งในรูปแบบการโจมตีที่พบมากที่สุดบนเว็บไซต์และระบบออนไลน์ โดยผู้โจมตีจะใช้โปรแกรมอัตโนมัติลอง Username และ Password จำนวนมหาศาลจนกว่าจะเข้าสู่ระบบได้สำเร็จ

แม้รหัสผ่านจะไม่รั่วไหล แต่หากไม่มีมาตรการป้องกันที่เหมาะสม ผู้โจมตีอาจใช้เวลาหลายชั่วโมงหรือหลายวันในการลองรหัสผ่านแบบอัตโนมัติได้

สำหรับ IIS Windows Server 2022 การป้องกัน Brute Force ไม่ได้อยู่ที่ Web Server เพียงอย่างเดียว แต่ต้องใช้หลายมาตรการร่วมกัน ตั้งแต่ Password Policy, Rate Limiting, MFA และ Monitoring

บทความนี้จะอธิบายแนวทางป้องกัน Brute Force Attack ที่ใช้จริงในองค์กรและระบบ Production

🔐 Brute Force Attack คืออะไร

Brute Force คือ

การเดารหัสผ่าน

แบบอัตโนมัติ

โดยใช้

Dictionary Attack

Password Spray

Credential Stuffing

Automated Login Attempts

🚨 ผลกระทบของ Brute Force

🔓 ยึดบัญชีผู้ใช้

🔓 ยึดบัญชี Administrator

🔓 เข้าถึงข้อมูลสำคัญ

🔓 ติดตั้ง Malware

🔓 ยึด Server

🎯 เป้าหมายที่ถูกโจมตีบ่อย

Login Page

Admin Panel

Outlook Web Access

VPN Portal

Remote Desktop Gateway

API Authentication

🔍 วิธีตรวจสอบ Brute Force

เปิด

IIS Logs

ตำแหน่ง

C:\inetpub\logs\LogFiles

มองหา

IP เดียว

ส่ง Request Login จำนวนมาก

🔍 ตรวจสอบ Event Viewer

เปิด

eventvwr.msc

เลือก

Security

Event สำคัญ

หมายถึง

Failed Logon

หากพบจำนวนมาก

อาจกำลังถูกโจมตี

🚀 วิธีที่ 1 ใช้ Account Lockout Policy

เปิด

gpedit.msc

ไปที่

Computer Configuration

เลือก

Windows Settings

เลือก

Security Settings

เลือก

Account Policies

เลือก

Account Lockout Policy

ตั้งค่า

5 Attempts

ล็อกบัญชี

หลังกรอกรหัสผิด

5 ครั้ง

🚀 วิธีที่ 2 ใช้ Dynamic IP Restrictions

ติดตั้ง

Dynamic IP Restrictions

IIS สามารถบล็อก

IP ที่ส่ง Request มากเกินไป

🚀 วิธีที่ 3 ใช้ CAPTCHA

สำหรับ

Login

Register

Forgot Password

ช่วยลด Bot Automation

🚀 วิธีที่ 4 ใช้ Multi-Factor Authentication

MFA

ถือเป็นมาตรการที่มีประสิทธิภาพสูงมาก

แม้ Password รั่ว

ก็ยังเข้าสู่ระบบไม่ได้

🚀 วิธีที่ 5 ใช้ Password Policy

กำหนด

ความยาวขั้นต่ำ

ความซับซ้อน

อายุรหัสผ่าน

Password History

ตัวอย่าง

12 Characters Minimum

🚀 วิธีที่ 6 ใช้ Cloudflare WAF

สร้าง Rule

ตรวจจับ

Login Flood

Bot Login

Credential Stuffing

🚀 วิธีที่ 7 จำกัดประเทศ

สำหรับระบบภายใน

อนุญาตเฉพาะ

Thailand

หรือประเทศที่เกี่ยวข้อง

🚀 วิธีที่ 8 เปลี่ยน URL Login

ตัวอย่าง

แทน

/admin

ใช้

/secure-portal

ช่วยลด Bot Scan

🚀 วิธีที่ 9 เปิด Logging

เก็บข้อมูล

Username

IP

Login Time

ช่วยวิเคราะห์เหตุการณ์

🔍 ตรวจสอบ Top Failed Logins

PowerShell

Get-WinEvent

ค้นหา

เพื่อดู

Failed Login

🔍 ตรวจสอบ Top IP

วิเคราะห์จาก

IIS Logs

Firewall Logs

SIEM

หาผู้โจมตี

ที่พยายาม Login มากที่สุด

🚨 สัญญาณว่าอาจกำลังถูก Brute Force

Failed Login จำนวนมาก

Request Login เพิ่มขึ้นผิดปกติ

IP เดียวเรียก Login หลายร้อยครั้ง

CPU สูงในช่วง Login

Event ID 4625 จำนวนมาก

❌ ความเข้าใจผิดที่พบบ่อย

ใช้ Password ยากก็พอ

❌ ไม่จริง

Firewall ป้องกันได้ทั้งหมด

❌ ไม่จริง

HTTPS ป้องกัน Brute Force

❌ ไม่เกี่ยวข้อง

📋 Brute Force Protection Checklist

✅ Account Lockout

✅ MFA

✅ CAPTCHA

✅ Dynamic IP Restrictions

✅ Password Policy

✅ WAF

✅ Logging

✅ Monitoring

🛡️ Best Practices

① เปิด MFA ทุกบัญชีสำคัญ

② ใช้ Password 12 ตัวอักษรขึ้นไป

③ เปิด Account Lockout

④ ใช้ CAPTCHA

⑤ ตรวจสอบ Failed Login ทุกวัน

⑥ ใช้ WAF

⑦ ทำ Security Review เป็นประจำ

ทีมงาน comsiam กำหนด MFA, Account Lockout Policy และ Dynamic IP Restrictions เป็นมาตรฐานสำหรับ IIS Windows Server 2022 ทุกระบบที่มีหน้า Login เพื่อช่วยลดความเสี่ยงจาก Brute Force Attack และ Credential Stuffing ที่เกิดขึ้นตลอดเวลาบนอินเทอร์เน็ต

🎯 สรุป

Brute Force Attack เป็นหนึ่งในภัยคุกคามที่พบได้บ่อยที่สุดสำหรับเว็บไซต์และระบบออนไลน์ โดยมุ่งเป้าไปที่การเดารหัสผ่านและยึดบัญชีผู้ใช้งาน

การใช้ MFA, Account Lockout Policy, CAPTCHA, Dynamic IP Restrictions และ Password Policy ร่วมกัน จะช่วยสร้างการป้องกันหลายชั้น ลดโอกาสที่ผู้โจมตีจะเข้าถึงระบบได้สำเร็จ และเพิ่มความปลอดภัยให้กับ IIS Windows Server 2022 ในสภาพแวดล้อม Production