วิธีบล็อก IP Address ที่ไม่ต้องการบน Windows Server 2022 ป้องกัน Hacker และ Bot Attack
Windows Server 2022 มักถูกสแกนและโจมตีจาก IP Address จำนวนมากบนอินเทอร์เน็ต โดยเฉพาะ Server ที่เปิดบริการสาธารณะ เช่น Remote Desktop (RDP), Web Server, VPN หรือ File Server
แม้จะมี Firewall เปิดใช้งานอยู่ แต่หากไม่มีการบล็อก IP ที่มีพฤติกรรมน่าสงสัย ผู้โจมตีสามารถพยายามเชื่อมต่อเข้ามาได้ตลอดเวลา
การบล็อก IP Address เป็นหนึ่งในวิธี Security Hardening ที่ง่าย รวดเร็ว และมีประสิทธิภาพในการลดความเสี่ยงจาก Brute Force Attack, Port Scanning และการโจมตีอัตโนมัติ
🔍 ทำไมต้องบล็อก IP Address
Server ที่เชื่อมต่ออินเทอร์เน็ตมักถูกสแกนตลอด 24 ชั่วโมง
ตัวอย่างพฤติกรรมที่ควรบล็อก
Login ผิดซ้ำหลายครั้ง
Port Scanning
Bot Attack
Brute Force Attack
Malicious Traffic
การบล็อก IP ช่วยลดภาระระบบและลดความเสี่ยงจากการโจมตี
🚨 สัญญาณว่า IP กำลังโจมตี Server
ตรวจสอบจาก
Event Viewer
หรือ
Firewall Log
หากพบ
Login Failed หลายร้อยครั้ง
พยายามเข้าหลายพอร์ต
เชื่อมต่อผิดปกติ
ควรพิจารณาบล็อก IP ดังกล่าว
🛡️ วิธีบล็อก IP ผ่าน Windows Firewall
เปิด
wf.msc
หรือ
Windows Defender Firewall with Advanced Security
จากนั้นเลือก
Inbound Rules
🚀 สร้าง Rule ใหม่
เลือก
New Rule
เลือก
Custom
กด
Next
จนถึงหน้า
Scope
🔒 กำหนด Remote IP Address
เลือก
These IP Addresses
กด
Add
ใส่ IP ที่ต้องการบล็อก
ตัวอย่าง
203.0.113.100
🚫 กำหนด Action เป็น Block
ในหน้า
Action
เลือก
Block the Connection
จากนั้นกด Next
🏷️ ตั้งชื่อ Rule
ตัวอย่าง
Block Suspicious IP
หรือ
Block Brute Force Source
เพื่อให้ง่ายต่อการจัดการ
⚙️ วิธีบล็อก IP ผ่าน PowerShell
ตัวอย่าง
New-NetFirewallRule -DisplayName "Block Hacker IP" -Direction Inbound -RemoteAddress 203.0.113.100 -Action Block
Rule จะมีผลทันที
🔎 ดูรายการ IP ที่ถูกบล็อก
รัน
Get-NetFirewallRule
หรือ
Get-NetFirewallRule | Where-Object {$_.Action -eq "Block"}
เพื่อดู Rule ที่ใช้บล็อก
❌ ลบ Rule บล็อก IP
ตัวอย่าง
Remove-NetFirewallRule -DisplayName "Block Hacker IP"
ใช้เมื่อไม่ต้องการบล็อก IP ดังกล่าวอีก
🔄 บล็อกหลาย IP พร้อมกัน
ตัวอย่าง
New-NetFirewallRule -DisplayName "Block Multiple IP" -Direction Inbound -RemoteAddress 203.0.113.100,203.0.113.101,203.0.113.102 -Action Block
เหมาะกับการบล็อกกลุ่มผู้โจมตี
🌐 บล็อกทั้ง Subnet
ตัวอย่าง
New-NetFirewallRule -DisplayName "Block Subnet" -Direction Inbound -RemoteAddress 203.0.113.0/24 -Action Block
ช่วยลดการสร้าง Rule จำนวนมาก
🔥 บล็อกประเทศ (Geo Blocking)
Windows Firewall ไม่รองรับ Geo Blocking โดยตรง
แต่สามารถใช้
FortiGate
Sophos
Cloudflare
WAF
Reverse Proxy
เพื่อบล็อกประเทศที่ไม่เกี่ยวข้องกับธุรกิจ
📋 ตรวจสอบ Firewall Log
เปิด
Windows Defender Firewall Properties
เปิด Logging
จากนั้นตรวจสอบไฟล์
C:\Windows\System32\LogFiles\Firewall
เพื่อดูการเชื่อมต่อที่ถูกบล็อก
🔍 ตรวจสอบ Event Log
เปิด
Event Viewer
ดู
Security Log
และ
Firewall Events
เพื่อหาต้นทางการโจมตี
⚠️ ระวังการบล็อก IP ผิด
ก่อนบล็อก
ควรตรวจสอบให้แน่ใจว่า
ไม่ใช่
❌ ลูกค้า
❌ พนักงาน
❌ VPN Gateway
❌ ระบบ Monitoring
เพราะอาจกระทบการใช้งานจริง
🔐 ใช้ร่วมกับ Account Lockout Policy
การบล็อก IP ควรทำร่วมกับ
Account Lockout
MFA
VPN
NLA
เพื่อเพิ่มประสิทธิภาพการป้องกัน
🏢 แนวทางสำหรับองค์กร
องค์กรส่วนใหญ่ควรบล็อก
Known Malicious IP
Brute Force Source
Scanner Network
Unauthorized Country
อย่างสม่ำเสมอ
ทีมดูแลระบบของ comsiam มักตรวจสอบ Firewall Log ทุกสัปดาห์ และสร้าง Rule บล็อก IP ที่มีพฤติกรรม Login Failed ซ้ำจำนวนมากบน Windows Server 2022 เพื่อลดความเสี่ยงจากการโจมตีอัตโนมัติ
📊 Security Checklist
ตรวจสอบให้ครบ
✅ Firewall Enabled
✅ Logging Enabled
✅ Suspicious IP Blocked
✅ Security Logs Reviewed
✅ Account Lockout Enabled
✅ VPN Enabled
✅ MFA Enabled
🚀 Security Best Practices
แนวทางที่แนะนำ
เปิด Firewall
เปิด Logging
ตรวจสอบ Login Failed
บล็อก IP น่าสงสัย
ตรวจสอบ Rule เป็นประจำ
ใช้ MFA และ VPN ร่วมกัน
ช่วยลดความเสี่ยงจากการโจมตีได้อย่างมาก
สรุป
การบล็อก IP Address ที่ไม่ต้องการบน Windows Server 2022 เป็นมาตรการด้าน Security Hardening ที่ช่วยลดการโจมตีจาก Hacker, Bot และ Brute Force Attack ได้อย่างมีประสิทธิภาพ
สำหรับองค์กรและผู้ดูแลระบบของ comsiam การตรวจสอบ Firewall Log และสร้าง Rule บล็อก IP ที่มีพฤติกรรมผิดปกติอย่างสม่ำเสมอ จะช่วยให้ Windows Server 2022 มีความปลอดภัยสูงขึ้นและลดภาระของระบบจากทราฟฟิกที่ไม่พึงประสงค์