วิธีป้องกัน Ransomware บน File Server Windows Server 2022 แบบมืออาชีพ
Ransomware คือภัยคุกคามที่อันตรายที่สุดประเภทหนึ่งสำหรับองค์กรในปัจจุบัน เพราะสามารถเข้ารหัสไฟล์ทั้งหมดบน File Server ภายในเวลาไม่กี่นาที ทำให้พนักงานไม่สามารถเข้าถึงข้อมูลได้ และอาจส่งผลให้ธุรกิจหยุดชะงักทันที
Windows Server 2022 มีฟีเจอร์ด้านความปลอดภัยหลายอย่างที่ช่วยลดความเสี่ยงจาก Ransomware ได้อย่างมีประสิทธิภาพ หากมีการวางระบบที่ถูกต้อง
บทความนี้จะอธิบายวิธีป้องกัน Ransomware บน File Server Windows Server 2022 พร้อมแนวทางที่องค์กรระดับมืออาชีพใช้งานจริง
Ransomware คืออะไร
Ransomware คือ Malware ที่ทำการ
เข้ารหัสไฟล์
เปลี่ยนนามสกุลไฟล์
ล็อกข้อมูล
เรียกค่าไถ่
ตัวอย่างไฟล์ที่ถูกโจมตี
.docx
.xlsx
.pdf
.jpg
.zip
ทำไม File Server จึงเป็นเป้าหมายหลัก
เพราะ File Server มักเก็บ
ข้อมูลลูกค้า
เอกสารบัญชี
เอกสารบุคคล
ข้อมูลโครงการ
ข้อมูลองค์กร
หากถูกเข้ารหัส
ผู้ใช้งานทั้งองค์กรจะได้รับผลกระทบทันที
สัญญาณเตือนก่อนถูกโจมตี
ไฟล์เปลี่ยนนามสกุล
เปิดไฟล์ไม่ได้
CPU สูงผิดปกติ
มีไฟล์ถูกแก้ไขจำนวนมาก
Storage ใช้งานหนักผิดปกติ
Antivirus แจ้งเตือน
ทีมงาน comsiam แนะนำให้ตรวจสอบ Event Log และ File Activity อย่างสม่ำเสมอ
วิธีที่ 1 อัปเดต Windows Server 2022
สิ่งสำคัญที่สุดคือ
Windows Update
ตรวจสอบอัปเดต
PowerShell
Get-HotFix
ติดตั้ง Patch ล่าสุด
เปิด
Windows Update
เป็นประจำ
วิธีที่ 2 ใช้ Microsoft Defender
Windows Server 2022 มี
Microsoft Defender
ในตัว
ตรวจสอบสถานะ
Get-MpComputerStatus
อัปเดตฐานข้อมูลไวรัส
Update-MpSignature
สแกนระบบ
Start-MpScan -ScanType FullScan
วิธีที่ 3 ใช้ NTFS Permission อย่างถูกต้อง
ไม่ควรให้
Everyone
Full Control
กับ Shared Folder
ควรใช้
Least Privilege
ให้สิทธิ์เท่าที่จำเป็น
วิธีที่ 4 เปิด Shadow Copy
Shadow Copy ช่วยกู้คืนไฟล์ได้รวดเร็ว
แม้ไฟล์จะถูกเข้ารหัส
เปิด Shadow Copy
บนทุก Data Drive
โดยเฉพาะ
D:
E:
F:
วิธีที่ 5 สำรองข้อมูลทุกวัน
Backup คือเกราะป้องกันสำคัญที่สุด
แนะนำ
Daily Backup
ใช้หลัก 3-2-1
3 Copies
2 Media
1 Offsite
วิธีที่ 6 ใช้ FSRM File Screening
ติดตั้ง
File Server Resource Manager
สร้าง File Screen
บล็อกไฟล์
*.lock
*.encrypted
*.crypt
หรือไฟล์ผิดปกติอื่น ๆ
วิธีที่ 7 เปิด File Auditing
ตรวจสอบ
ใครแก้ไขไฟล์
ใครลบไฟล์
ใครเข้าถึงข้อมูล
เปิด Audit Policy
Audit File System
วิธีที่ 8 แยกสิทธิ์ตามแผนก
ตัวอย่าง
HR
Finance
IT
Sales
ช่วยลดการแพร่กระจายของ Ransomware
วิธีที่ 9 ปิด SMB 1.0
SMB 1.0 มีช่องโหว่จำนวนมาก
ตรวจสอบ
Get-WindowsOptionalFeature `
-Online `
-FeatureName SMB1Protocol
ปิด SMB 1.0
Disable-WindowsOptionalFeature `
-Online `
-FeatureName SMB1Protocol
วิธีที่ 10 ใช้ VLAN แยก Server
แยก
User Network
Server Network
Backup Network
ออกจากกัน
วิธีที่ 11 ใช้ MFA
สำหรับ
VPN
RDP
Administrator
ช่วยลดความเสี่ยงจากการขโมยรหัสผ่าน
วิธีที่ 12 จำกัดการใช้ RDP
เปลี่ยนจาก
Allow All
เป็น
Allow Specific IP
เท่านั้น
วิธีที่ 13 ใช้ Immutable Backup
Backup ที่ไม่สามารถแก้ไขหรือลบได้
เช่น
Immutable Storage
วิธีที่ 14 ตรวจสอบ Event Log
เปิด
Event Viewer
ตรวจสอบ
Security
System
Defender
วิธีที่ 15 ทดสอบ Restore
Backup ที่กู้คืนไม่ได้
ถือว่าไม่มีค่า
ควรทดสอบ
Restore
อย่างน้อยเดือนละครั้ง
ปัญหาที่พบบ่อย
มี Backup แต่กู้คืนไม่ได้
ไม่ได้ทดสอบ Restore
Shadow Copy หายหมด
Ransomware บางชนิดลบ Shadow Copy
จึงต้องมี Backup เพิ่มเติม
ใช้ Antivirus แต่ยังติด
เพราะสิทธิ์ผู้ใช้มากเกินไป
หรือระบบไม่ได้อัปเดต
แนวทางความปลอดภัยที่แนะนำ
① อัปเดต Windows สม่ำเสมอ
② เปิด Defender
③ เปิด Shadow Copy
④ สำรองข้อมูลทุกวัน
⑤ ใช้ 3-2-1 Backup
⑥ เปิด File Auditing
⑦ ปิด SMB 1.0
ทีมงาน comsiam แนะนำให้ใช้ Shadow Copy ร่วมกับ Offsite Backup เสมอ เพราะหาก Ransomware ทำลายข้อมูลใน Server ยังสามารถกู้คืนจาก Backup ภายนอกได้
Best Practices สำหรับ Windows Server 2022
เปิด Defender
เปิด Shadow Copy
ใช้ Backup 3-2-1
ปิด SMB 1.0
ใช้ MFA
จำกัดสิทธิ์ผู้ใช้งาน
ทดสอบ Restore เป็นประจำ
สรุป
Ransomware เป็นภัยคุกคามที่สามารถสร้างความเสียหายร้ายแรงให้กับองค์กรได้ แต่ Windows Server 2022 มีเครื่องมือหลายอย่างที่ช่วยลดความเสี่ยงได้อย่างมาก
การใช้ NTFS Permission, Shadow Copy, Backup, Defender และ File Auditing ร่วมกัน จะช่วยให้ File Server มีความปลอดภัยสูงขึ้นและสามารถกู้คืนข้อมูลได้รวดเร็วเมื่อเกิดเหตุไม่คาดคิด