วิธี Audit การเข้าถึงไฟล์บน Windows Server 2022 เพื่อดูว่าใครเปิด แก้ไข หรือลบไฟล์

 ในองค์กรที่มีผู้ใช้งานจำนวนมาก การรู้ว่าใครเปิดไฟล์ แก้ไขไฟล์ คัดลอกไฟล์ หรือลบไฟล์ ถือเป็นเรื่องสำคัญอย่างมาก โดยเฉพาะข้อมูลด้านการเงิน ทรัพยากรบุคคล เอกสารลูกค้า และข้อมูลภายในองค์กร

Windows Server 2022 มีระบบ File Auditing ที่ช่วยบันทึกกิจกรรมการเข้าถึงไฟล์ทั้งหมด ทำให้สามารถตรวจสอบย้อนหลังได้ว่าใครทำอะไรกับไฟล์ เมื่อไร และจากเครื่องไหน

บทความนี้จะอธิบายวิธีเปิด Audit การเข้าถึงไฟล์บน Windows Server 2022 แบบละเอียด พร้อมแนวทางใช้งานจริงในองค์กร

File Auditing คืออะไร

File Auditing คือระบบบันทึกเหตุการณ์เกี่ยวกับไฟล์

ตัวอย่าง

• เปิดไฟล์

• แก้ไขไฟล์

• ลบไฟล์

• เปลี่ยนชื่อไฟล์

• เปลี่ยน Permission

• เข้าถึงโฟลเดอร์

ข้อมูลทั้งหมดจะถูกเก็บไว้ใน

Security Log

ของ Windows

ทำไมต้องเปิด File Auditing

ประโยชน์หลัก

• ตรวจสอบผู้กระทำ

• ตรวจสอบเวลาที่เกิดเหตุ

• วิเคราะห์ปัญหาข้อมูลสูญหาย

• รองรับ Compliance

• เพิ่มความปลอดภัย

ทีมงาน comsiam มักเปิด File Auditing กับโฟลเดอร์สำคัญทุกแห่งในองค์กร

ขั้นตอนที่ 1 เปิด Audit Policy

เปิด

Group Policy Management

หรือ

gpedit.msc

ไปที่

Computer Configuration

↓

Windows Settings

↓

Security Settings

↓

Advanced Audit Policy Configuration

↓

Object Access

เปิด Audit File System

เลือก

Audit File System

เปิด

Success

และ

Failure

อัปเดต Policy

PowerShell

gpupdate /force

ขั้นตอนที่ 2 เปิด Auditing บนโฟลเดอร์

คลิกขวาโฟลเดอร์

ตัวอย่าง

D:\Shared

↓

Properties

↓

Security

↓

Advanced

↓

Auditing

เพิ่มผู้ใช้งาน

เลือก

Everyone

หรือ

Domain Users

เลือกกิจกรรมที่ต้องการบันทึก

ตัวอย่าง

Read

Write

Delete

Modify

แนะนำสำหรับองค์กร

เลือก

Delete

และ

Modify

ก่อน

เพื่อลดปริมาณ Log

ขั้นตอนที่ 3 ตรวจสอบ Log

เปิด

Event Viewer

↓

Windows Logs

↓

Security

Event ID ที่สำคัญ

Event ID 4663

File Access

Event ID 4656

Handle Request

Event ID 4660

Object Deleted

Event ID 4670

Permission Changed

ตัวอย่างการตรวจสอบไฟล์ถูกลบ

ค้นหา

Event ID 4660

จะพบข้อมูล

• User

• File Name

• Date Time

• Computer

ตรวจสอบผ่าน PowerShell

ค้นหา Event

Get-WinEvent `
-LogName Security `
-MaxEvents 100

กรอง Event ID

Get-WinEvent `
-FilterHashtable @{
LogName='Security'
Id=4663
}

ตรวจสอบว่าใครเปิดไฟล์

ค้นหา

Accesses: ReadData

ภายใน Event

ตรวจสอบว่าใครแก้ไขไฟล์

ค้นหา

WriteData

ตรวจสอบว่าใครลบไฟล์

ค้นหา

Delete

ข้อควรระวัง

การ Audit ทุกไฟล์

อาจสร้าง Log จำนวนมาก

ตัวอย่าง

หลาย GB ต่อวัน

ในองค์กรขนาดใหญ่

แนวทางที่แนะนำ

Audit เฉพาะ

• HR

• Finance

• Management

• Legal

หรือข้อมูลสำคัญเท่านั้น

ปัญหาที่พบบ่อย

ไม่พบ Event

ตรวจสอบ

Audit Policy

ก่อน

Event เยอะเกินไป

ลดการ Audit

เฉพาะ

Delete
Modify

Security Log เต็ม

เพิ่มขนาด Log

ใน

Event Viewer Properties

แนวทางความปลอดภัยที่แนะนำ

① เปิด Audit เฉพาะโฟลเดอร์สำคัญ

② Audit Delete และ Modify

③ สำรอง Security Log

④ ใช้ Event Forwarding

⑤ ตรวจสอบ Log รายสัปดาห์

⑥ จำกัดสิทธิ์ Full Control

⑦ เปิด Shadow Copy ควบคู่กัน

ทีมงาน comsiam แนะนำให้ Audit อย่างน้อยกิจกรรม Delete และ Modify เพราะเป็นเหตุการณ์ที่มักเกี่ยวข้องกับข้อมูลสูญหายมากที่สุด

Best Practices สำหรับ Windows Server 2022

• เปิด Advanced Audit Policy

• Audit เฉพาะข้อมูลสำคัญ

• ตรวจสอบ Event ID 4663

• ตรวจสอบ Event ID 4660

• สำรอง Log อย่างสม่ำเสมอ

• เปิด Shadow Copy

• ใช้ร่วมกับ Backup

สรุป

File Auditing บน Windows Server 2022 ช่วยให้สามารถตรวจสอบได้ว่าใครเปิด แก้ไข หรือลบไฟล์ ช่วยเพิ่มความปลอดภัยและช่วยวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกับข้อมูลสูญหายได้อย่างมีประสิทธิภาพ

หากใช้งานร่วมกับ Shadow Copy และ Backup จะช่วยให้การบริหารจัดการ File Server มีความปลอดภัยและตรวจสอบย้อนหลังได้อย่างครบถ้วน