Web Server Hardening Checklist บน Windows Server 2022 คู่มือเสริมความปลอดภัยก่อนเปิดใช้งานจริง
Web Server คือหนึ่งในระบบที่ถูกโจมตีมากที่สุดบนอินเทอร์เน็ต เพราะเป็นจุดที่เปิดให้ผู้ใช้งานจากภายนอกเข้าถึงได้โดยตรง ไม่ว่าจะเป็นเว็บไซต์องค์กร เว็บแอปพลิเคชัน ร้านค้าออนไลน์ หรือระบบภายในที่เปิดให้ใช้งานผ่านอินเทอร์เน็ต
การติดตั้ง IIS อย่างเดียวไม่เพียงพอสำหรับการใช้งานจริงในระดับ Production จำเป็นต้องมีการ Hardening หรือปรับแต่งระบบเพื่อลดช่องโหว่และลด Attack Surface ให้มากที่สุด
บทความนี้รวบรวม Web Server Hardening Checklist สำหรับ Windows Server 2022 ที่สามารถใช้เป็นแนวทางมาตรฐานก่อนเปิดให้บริการจริง
🔐 หมวดที่ 1 Operating System Hardening
① ติดตั้ง Windows Update ล่าสุด
ตรวจสอบ
Get-HotFix
ติดตั้ง Security Patch ล่าสุดเสมอ
② เปิด Microsoft Defender
ตรวจสอบ
Get-MpComputerStatus
สถานะควรเป็น
Real-Time Protection = True
③ เปิด Windows Firewall
ตรวจสอบ
Get-NetFirewallProfile
ทุก Profile ควรเปิดใช้งาน
④ ปิด Service ที่ไม่จำเป็น
ตัวอย่าง
Telnet
FTP
SNMP
Print Spooler
Remote Registry
🔐 หมวดที่ 2 IIS Hardening
⑤ ติดตั้งเฉพาะ IIS Components ที่จำเป็น
หลีกเลี่ยง
Install All Features
⑥ ปิด Directory Browsing
⑦ ปิด TRACE Method
⑧ ซ่อน IIS Version
⑨ ลบ X-Powered-By Header
⑩ เปิด Request Filtering
⑪ ซ่อน Hidden Segments
เช่น
App_Data
bin
🔐 หมวดที่ 3 SSL และ HTTPS
⑫ ติดตั้ง SSL Certificate
⑬ Redirect HTTP ไป HTTPS
⑭ เปิด HSTS
⑮ เปิด TLS 1.2
⑯ เปิด TLS 1.3
⑰ ปิด SSL 3.0
⑱ ปิด TLS 1.0
⑲ ปิด TLS 1.1
🔐 หมวดที่ 4 Security Headers
⑳ Strict-Transport-Security
㉑ X-Frame-Options
㉒ X-Content-Type-Options
㉓ Content-Security-Policy
㉔ Referrer-Policy
㉕ Permissions-Policy
🔐 หมวดที่ 5 Access Control
㉖ ใช้ Least Privilege
㉗ แยก Application Pool
㉘ จำกัดสิทธิ์ NTFS
㉙ จำกัด IP Address
㉚ ใช้ VPN สำหรับระบบภายใน
🔐 หมวดที่ 6 Authentication Security
㉛ Password Policy
ขั้นต่ำ
12 Characters
㉜ เปิด MFA
㉝ เปิด Account Lockout
㉞ ตรวจสอบบัญชีผู้ใช้สม่ำเสมอ
🔐 หมวดที่ 7 File Security
㉟ จำกัด File Upload
㊱ บล็อก Extension อันตราย
เช่น
.exe
.bat
.cmd
.ps1
㊲ แยก Upload Folder
㊳ ปิด Execute Permission
ใน Upload Directory
🔐 หมวดที่ 8 Monitoring
㊴ เปิด IIS Logging
㊵ เปิด Audit Logging
㊶ เปิด Event Logging
㊷ ตรวจสอบ Logs ทุกวัน
㊸ ตั้ง Alert Monitoring
🔐 หมวดที่ 9 Network Security
㊹ เปิด Firewall
㊺ ใช้ Geo Blocking
㊻ เปิด Dynamic IP Restrictions
㊼ ใช้ WAF
㊽ ใช้ CDN
🔐 หมวดที่ 10 Backup และ Recovery
㊾ Backup Website
㊿ Backup Database
51 Backup SSL Certificate
52 Backup IIS Configuration
53 ทดสอบ Restore จริง
🔐 หมวดที่ 11 Vulnerability Management
54 สแกนช่องโหว่เป็นประจำ
55 ใช้ Security Baseline
56 ตรวจสอบ CIS Benchmark
57 ตรวจสอบ Compliance
58 จัดทำ Incident Response Plan
📊 ระดับความพร้อมของ Web Server
| ระดับ | สถานะ |
|---|---|
| ต่ำ | ทำได้ต่ำกว่า 50% |
| ปานกลาง | ทำได้ 50–80% |
| สูง | ทำได้มากกว่า 80% |
| Production Ready | ผ่านทุกหัวข้อสำคัญ |
🚨 จุดที่มักถูกมองข้าม
ไม่มี MFA
ไม่มี Audit Logs
ไม่เคยทดสอบ Restore
เปิด TLS 1.0 อยู่
ไม่มี WAF
ไม่มี Monitoring
🛡️ Best Practices
① ใช้ Hardening Checklist ทุกครั้งก่อนเปิดระบบ
② ตรวจสอบ Security รายเดือน
③ Patch ระบบทันทีเมื่อมีช่องโหว่สำคัญ
④ ทำ Vulnerability Scan ทุกไตรมาส
⑤ ทดสอบ Backup Restore อย่างสม่ำเสมอ
⑥ เปิด WAF สำหรับเว็บไซต์ที่เปิดสู่สาธารณะ
⑦ จัดทำเอกสาร Security Baseline ขององค์กร
ทีมงาน comsiam ใช้แนวทาง Hardening Checklist นี้กับ Web Server ทุกเครื่องก่อนนำขึ้น Production เพื่อช่วยลดความเสี่ยงจากการโจมตี เพิ่มความเสถียร และทำให้ระบบมีมาตรฐานด้านความปลอดภัยที่สอดคล้องกับแนวทางขององค์กรสมัยใหม่
🎯 สรุป
Web Server Hardening เป็นกระบวนการสำคัญที่ช่วยลดช่องโหว่และเพิ่มความปลอดภัยให้กับ IIS บน Windows Server 2022 โดยครอบคลุมทั้งระบบปฏิบัติการ Web Server การเข้ารหัส การควบคุมสิทธิ์ การตรวจสอบเหตุการณ์ และการสำรองข้อมูล
การใช้ Hardening Checklist อย่างเป็นระบบจะช่วยให้ Web Server มีความพร้อมสำหรับการใช้งานจริง ลดโอกาสถูกโจมตี และช่วยให้การบริหารจัดการระบบในระยะยาวมีประสิทธิภาพมากยิ่งขึ้น