วิธีป้องกัน Brute Force Attack บน Windows Server 2022 ลดความเสี่ยงถูกแฮกรหัสผ่าน

 Brute Force Attack เป็นหนึ่งในวิธีโจมตีที่พบมากที่สุดบน Windows Server 2022 โดยเฉพาะเครื่องที่เปิด Remote Desktop (RDP), VPN หรือบริการที่ต้องใช้ Username และ Password ในการเข้าสู่ระบบ

ผู้โจมตีจะใช้โปรแกรมอัตโนมัติทดลองรหัสผ่านหลายพันหรือหลายล้านครั้ง จนกว่าจะพบรหัสผ่านที่ถูกต้อง หาก Server ไม่มีมาตรการป้องกันที่ดี อาจถูกยึดระบบภายในเวลาไม่นาน

บทความนี้จะสอนวิธีป้องกัน Brute Force Attack บน Windows Server 2022 ตามแนวทาง Security Best Practice ที่องค์กรทั่วโลกใช้งานจริง

🚨 Brute Force Attack คืออะไร

Brute Force Attack คือการพยายามเดารหัสผ่านซ้ำ ๆ

ตัวอย่าง

Administrator
Admin123
Password123
Welcome123
Company123

โดยใช้ Bot หรือ Script อัตโนมัติ

เป้าหมายหลัก

• Remote Desktop

• VPN

• Web Application

• SSH

• Email Server

⚠️ อันตรายของ Brute Force Attack

หากผู้โจมตีเข้าสู่ระบบได้สำเร็จ

อาจเกิดผลกระทบ

• ขโมยข้อมูล

• ติดตั้ง Malware

• ติดตั้ง Ransomware

• ยึด Domain Controller

• ลบข้อมูล

• สร้าง Backdoor

หลายเหตุการณ์ Ransomware เริ่มต้นจาก Brute Force Attack

🔍 วิธีตรวจสอบว่ากำลังถูกโจมตีหรือไม่

เปิด

Event Viewer

ไปที่

Windows Logs

เลือก

Security

ตรวจสอบ Event ID

4625

หมายถึง

Failed Logon Attempt

หากพบจำนวนมากผิดปกติ อาจกำลังถูกโจมตี

🔒 ① ตั้งค่า Account Lockout Policy

วิธีที่มีประสิทธิภาพที่สุดคือ

Account Lockout Policy

เปิด

gpedit.msc

ไปที่

Computer Configuration
 └ Windows Settings
   └ Security Settings
     └ Account Policies
       └ Account Lockout Policy

ค่าที่แนะนำ

Account Lockout Threshold = 5
Account Lockout Duration = 15
Reset Counter After = 15

🔑 ② ใช้รหัสผ่านที่แข็งแรง

Password ควรมี

• อย่างน้อย 12 ตัวอักษร

• ตัวพิมพ์ใหญ่

• ตัวพิมพ์เล็ก

• ตัวเลข

• อักขระพิเศษ

ตัวอย่าง

G7@wR#92Lm!P

หลีกเลี่ยง

Admin123
Password123
12345678

🛡️ ③ เปิด Password Complexity

เปิดใช้งาน

Password must meet complexity requirements

ผ่าน Group Policy

ช่วยป้องกันรหัสผ่านที่คาดเดาได้ง่าย

🌐 ④ จำกัด IP ที่เข้า RDP ได้

ไม่ควรเปิด RDP ให้ทุก IP ทั่วโลก

ใช้

• Windows Firewall

• VPN

• Security Gateway

อนุญาตเฉพาะ

• สำนักงาน

• ผู้ดูแลระบบ

• VPN Network

เท่านั้น

🚪 ⑤ เปลี่ยนพอร์ต RDP

ค่าเริ่มต้น

3389

เป็นพอร์ตที่ Hacker สแกนก่อนเสมอ

แม้การเปลี่ยนพอร์ตจะไม่ใช่การป้องกันโดยตรง

แต่ช่วยลด Bot Attack ได้มาก

🔐 ⑥ เปิด Network Level Authentication (NLA)

NLA บังคับให้ผู้ใช้ยืนยันตัวตนก่อนสร้าง Remote Session

ข้อดี

• ลดภาระ Server

• ลดความเสี่ยงจาก Attack

• ป้องกันการเชื่อมต่อที่ไม่จำเป็น

ควรเปิดใช้งานทุกเครื่อง

📱 ⑦ ใช้ Multi-Factor Authentication (MFA)

MFA คือการเพิ่มการยืนยันตัวตนอีกชั้น

ตัวอย่าง

• Microsoft Authenticator

• OTP

• Hardware Token

แม้รหัสผ่านรั่ว

ผู้โจมตีก็ยังเข้าสู่ระบบไม่ได้

🔥 ⑧ เปิด Windows Firewall

Windows Firewall สามารถช่วยจำกัดการเชื่อมต่อ

ตัวอย่าง

• Block Country IP

• Block Suspicious Network

• Allow Trusted IP Only

ช่วยลดความเสี่ยงจาก Bot Scanner

📋 ⑨ เปิด Audit Policy

เปิดการบันทึก

Logon Events

Account Management

Privilege Use

เพื่อให้ตรวจสอบการโจมตีได้

🔎 ⑩ ตรวจสอบ Event ID สำคัญ

เหตุการณ์ที่ควรติดตาม

4624

Login Success

4625

Login Failed

4740

Account Locked

4672

Special Privileges Assigned

ช่วยให้พบการโจมตีได้เร็วขึ้น

🚫 ⑪ ปิดบัญชี Administrator เดิม

หลายองค์กรยังใช้

Administrator

เป็นชื่อบัญชีหลัก

ผู้โจมตีรู้ชื่อนี้อยู่แล้ว

ควร

• Rename Administrator

• สร้าง Admin ใหม่

• จำกัดการใช้งาน

ช่วยลดความเสี่ยงได้ระดับหนึ่ง

👤 ⑫ แยก Admin กับ User Account

ไม่ควรใช้ Admin Account ทำงานประจำวัน

ควรมี

• User Account

• Admin Account

แยกออกจากกัน

หาก User ถูกโจมตี จะไม่กระทบสิทธิ์ระดับสูง

☁️ ⑬ ใช้ Microsoft Defender

Defender สามารถตรวจจับ

• Credential Attack

• Password Spray Attack

• Brute Force Tool

• Malware

ที่เกี่ยวข้องกับการโจมตีรหัสผ่านได้

🚨 ⑭ ใช้ VPN ก่อนเข้า RDP

แนวทางที่ปลอดภัยที่สุด

คือ

Internet
   ↓
VPN
   ↓
Windows Server 2022

แทนการเปิด RDP ออกอินเทอร์เน็ตโดยตรง

🏢 แนวทางสำหรับองค์กร

Microsoft แนะนำ

✅ Account Lockout

✅ MFA

✅ NLA

✅ VPN

✅ Firewall

✅ Audit Policy

✅ Strong Password

ใช้งานพร้อมกัน

ทีมดูแลระบบของ comsiam มักปิดการเข้าถึง RDP จากอินเทอร์เน็ตโดยตรง และบังคับให้เชื่อมต่อผ่าน VPN ก่อนทุกครั้งเพื่อลดความเสี่ยงจาก Brute Force Attack

📊 Security Checklist

ตรวจสอบให้ครบ

✅ Account Lockout Enabled

✅ Password Complexity Enabled

✅ Strong Password

✅ Firewall Enabled

✅ NLA Enabled

✅ MFA Enabled

✅ VPN Enabled

✅ Audit Policy Enabled

✅ Defender Enabled

หากครบทุกข้อ จะลดความเสี่ยงจาก Brute Force ได้อย่างมาก

🔐 Security Best Practices

แนวทางที่แนะนำ

1. อย่าเปิด RDP ตรงออกอินเทอร์เน็ต

2. ใช้ VPN

3. ใช้ MFA

4. เปิด Account Lockout

5. ตรวจสอบ Log ทุกวัน

6. อัปเดตระบบสม่ำเสมอ

ทั้งหมดนี้ช่วยป้องกันการโจมตีได้ดีกว่าการพึ่ง Password เพียงอย่างเดียว

สรุป

Brute Force Attack เป็นภัยคุกคามที่เกิดขึ้นทุกวันบนอินเทอร์เน็ต โดยเฉพาะ Windows Server 2022 ที่เปิด Remote Desktop หรือบริการสำหรับผู้ดูแลระบบ

การใช้ Account Lockout Policy, MFA, VPN, Password Complexity และการตรวจสอบ Security Log อย่างสม่ำเสมอ จะช่วยลดความเสี่ยงจากการถูกเดารหัสผ่านและการยึดระบบได้อย่างมีประสิทธิภาพ

สำหรับองค์กรและผู้ดูแลระบบของ comsiam การป้องกัน Brute Force Attack ควรถือเป็นมาตรฐานพื้นฐานของ Security Hardening ที่ต้องทำกับ Windows Server 2022 ทุกเครื่อง