วิธีตั้งค่า Account Lockout Policy บน Windows Server 2022 ป้องกัน Brute Force Attack
Account Lockout Policy เป็นหนึ่งในมาตรการด้านความปลอดภัยพื้นฐานที่สำคัญที่สุดของ Windows Server 2022 เพราะช่วยป้องกันการโจมตีแบบ Brute Force Attack ซึ่งเป็นวิธีที่ Hacker ใช้เดารหัสผ่านซ้ำ ๆ จนกว่าจะเข้าสู่ระบบสำเร็จ
หากไม่มี Account Lockout Policy ผู้โจมตีสามารถทดลองรหัสผ่านได้ไม่จำกัดครั้ง ทำให้บัญชีผู้ใช้งานมีความเสี่ยงสูงต่อการถูกยึด
Microsoft จึงแนะนำให้ทุกองค์กรกำหนด Account Lockout Policy ตั้งแต่เริ่มติดตั้ง Windows Server 2022
🔍 Account Lockout Policy คืออะไร
Account Lockout Policy คือระบบล็อกบัญชีชั่วคราว
เมื่อมีการใส่รหัสผ่านผิดเกินจำนวนที่กำหนด
ตัวอย่าง
ใส่รหัสผิด 5 ครั้ง
↓
Account Locked
↓
รอ 30 นาที
↓
กลับมาใช้งานได้
ช่วยลดโอกาสการเดารหัสผ่านได้อย่างมาก
🛡️ ทำไมต้องใช้ Account Lockout Policy
ช่วยป้องกัน
✅ Brute Force Attack
✅ Password Guessing
✅ Credential Stuffing
✅ Password Spray Attack
ถือเป็น Security Baseline ที่ควรเปิดใช้งานทุกองค์กร
🚨 ตัวอย่าง Brute Force Attack
ผู้โจมตีพยายาม Login
admin123
password123
welcome123
company123
หลายพันครั้งต่อวัน
หากไม่มี Account Lockout
ระบบจะอนุญาตให้ทดลองได้ไม่จำกัด
🔒 หลักการทำงานของ Account Lockout
มี 3 ค่าหลัก
Account Lockout Threshold
จำนวนครั้งที่ใส่รหัสผิด
ตัวอย่าง
5
Account Lockout Duration
ระยะเวลาที่บัญชีถูกล็อก
ตัวอย่าง
30 นาที
Reset Account Lockout Counter After
เวลาที่ระบบรีเซ็ตตัวนับ
ตัวอย่าง
30 นาที
🚀 วิธีเปิด Account Lockout Policy
กด
Windows + R
พิมพ์
secpol.msc
กด Enter
📂 ไปยัง Password Policy
เลือก
Security Settings
→
Account Policies
→
Account Lockout Policy
⚙️ ตั้งค่า Account Lockout Threshold
เปิด
Account Lockout Threshold
กำหนดค่า
5
หรือ
10
ครั้ง
สำหรับองค์กรส่วนใหญ่
⏱️ ตั้งค่า Account Lockout Duration
เปิด
Account Lockout Duration
กำหนด
30 นาที
เป็นค่าที่นิยมใช้งาน
🔄 ตั้งค่า Reset Counter
เปิด
Reset Account Lockout Counter After
กำหนด
30 นาที
ให้สอดคล้องกับ Lockout Duration
🌐 ตั้งค่าผ่าน Group Policy
สำหรับ Domain
เปิด
gpmc.msc
ไปที่
Computer Configuration
→
Windows Settings
→
Security Settings
→
Account Policies
→
Account Lockout Policy
🏢 ค่าแนะนำสำหรับองค์กร
Microsoft แนะนำ
Threshold = 10
Duration = 15 นาที
Reset Counter = 15 นาที
ส่วนหลายองค์กรนิยม
Threshold = 5
Duration = 30 นาที
Reset Counter = 30 นาที
เพื่อความปลอดภัยสูงขึ้น
🔎 ตรวจสอบ Account Lockout Event
Event ID
4740
หมายถึง
Account Locked Out
สามารถดูได้จาก
Event Viewer
→
Security Log
🚨 ตรวจสอบต้นทางของการ Lockout
ใน Event
4740
จะมีข้อมูล
Caller Computer Name
ช่วยระบุเครื่องที่ทำให้บัญชีถูกล็อก
🔥 Account Lockout กับ RDP
RDP เป็นเป้าหมายหลักของ Brute Force
จึงควรใช้
✅ Account Lockout
✅ NLA
✅ MFA
✅ VPN
ร่วมกัน
👤 ยกเว้น Service Account หรือไม่
ควรระวัง
หากเปิด Lockout กับ Service Account
อาจทำให้ Service หยุดทำงาน
จึงควรวางแผนให้เหมาะสม
⚠️ ข้อผิดพลาดที่พบบ่อย
❌ Threshold ต่ำเกินไป
เช่น
1
ครั้ง
ทำให้ User ถูกล็อกบ่อย
❌ ไม่ตรวจสอบ Event Log
❌ ไม่แจ้งผู้ใช้งาน
❌ ไม่ใช้ MFA ร่วมกัน
☁️ ใช้ร่วมกับ Microsoft Entra ID
หากใช้งาน Hybrid Environment
ควรใช้
Smart Lockout
MFA
Conditional Access
ร่วมกัน
เพื่อเพิ่มความปลอดภัย
📊 Security Checklist
ตรวจสอบให้ครบ
✅ Account Lockout Enabled
✅ Threshold Configured
✅ Duration Configured
✅ Reset Counter Configured
✅ Event 4740 Monitored
✅ MFA Enabled
🏢 แนวทางสำหรับองค์กร
Microsoft แนะนำ
เปิด Account Lockout
ใช้ Strong Password
ใช้ MFA
ตรวจสอบ Security Log
ใช้ Conditional Access
ร่วมกัน
ทีมดูแลระบบของ comsiam มักกำหนด Account Lockout Policy บน Windows Server 2022 ที่ 5 ครั้ง และล็อกบัญชี 30 นาที เพื่อช่วยลดความเสี่ยงจาก Brute Force Attack และ Password Spray Attack
🚀 Security Best Practices
Threshold 5–10 ครั้ง
Lockout 15–30 นาที
เปิด MFA
ใช้ Strong Password
ตรวจสอบ Event 4740
ใช้ VPN สำหรับ Remote Access
สรุป
Account Lockout Policy เป็นหนึ่งในมาตรการ Security Hardening ที่สำคัญของ Windows Server 2022 เพราะช่วยป้องกันการเดารหัสผ่านและลดความเสี่ยงจาก Brute Force Attack ได้อย่างมีประสิทธิภาพ
สำหรับองค์กรและผู้ดูแลระบบของ comsiam การใช้ Account Lockout ร่วมกับ MFA, VPN และ NLA จะช่วยเพิ่มความปลอดภัยของระบบและลดโอกาสการถูกยึดบัญชีผู้ใช้งานได้อย่างมาก