วิธีตรวจสอบ Security Baseline บน Windows Server 2025 เพื่อค้นหาช่องโหว่ก่อนถูกโจมตี

Security Baseline คือชุดค่ามาตรฐานด้านความปลอดภัยที่ Microsoft และผู้เชี่ยวชาญด้าน Cybersecurity แนะนำให้ใช้งานบน Windows Server เพื่อให้ระบบมีระดับความปลอดภัยที่เหมาะสมตั้งแต่เริ่มต้น

ปัญหาของหลายองค์กรไม่ใช่การไม่มีระบบป้องกัน แต่เป็นการตั้งค่าที่ไม่ถูกต้อง เช่น เปิด SMBv1, ปิด Firewall, ใช้รหัสผ่านอ่อนแอ หรือเปิดบริการที่ไม่จำเป็น ซึ่งกลายเป็นช่องทางให้ผู้โจมตีเข้าถึงระบบได้

การตรวจสอบ Security Baseline จึงเป็นหนึ่งในงานสำคัญที่สุดของผู้ดูแล Windows Server 2025 เพราะช่วยค้นหาความเสี่ยงก่อนที่จะเกิดเหตุการณ์จริง

① Security Baseline คืออะไร

Security Baseline คือชุดค่าคอนฟิกมาตรฐานด้านความปลอดภัยที่ควรมีบนเซิร์ฟเวอร์

ครอบคลุม

• Password Policy
• Account Policy
• Firewall
• Defender
• Audit Policy
• User Rights
• Network Security
• SMB Settings
• Remote Access

เป้าหมายคือทำให้ทุกเซิร์ฟเวอร์ในองค์กรมีมาตรฐานเดียวกัน

② ทำไม Security Baseline จึงสำคัญ

ประโยชน์หลัก

• ลดช่องโหว่ที่เกิดจากการตั้งค่าผิด
• ลด Human Error
• รองรับ Compliance
• ลดความเสี่ยงจาก Malware
• ลดความเสี่ยงจาก Ransomware

หลายเหตุการณ์ด้านความปลอดภัยเกิดจากการตั้งค่าที่ไม่ปลอดภัยมากกว่าช่องโหว่ของซอฟต์แวร์

③ ตัวอย่าง Security Baseline ที่ควรมี

ตัวอย่างที่ Microsoft แนะนำ

• เปิด Windows Defender
• เปิด Firewall
• ปิด SMBv1
• เปิด Audit Policy
• เปิด BitLocker
• เปิด Secure Boot
• เปิด Credential Guard
• เปิด Tamper Protection

หากเซิร์ฟเวอร์ยังไม่มีค่าเหล่านี้ ควรปรับปรุงทันที

④ วิธีตรวจสอบ Password Policy

เปิด PowerShell

net accounts

ตรวจสอบ

• Minimum Password Length
• Password Age
• Lockout Policy

ตัวอย่างที่แนะนำ

Minimum Password Length : 12

หรือมากกว่า

⑤ วิธีตรวจสอบ Windows Defender

ใช้คำสั่ง

Get-MpComputerStatus

ตรวจสอบค่า

AntivirusEnabled
RealTimeProtectionEnabled

ควรเป็น

True

ทั้งหมด

⑥ วิธีตรวจสอบ Firewall

ใช้คำสั่ง

Get-NetFirewallProfile

ค่า

Enabled : True

ควรเปิดทุก Profile

• Domain
• Private
• Public

⑦ วิธีตรวจสอบ SMBv1

SMBv1 เป็นโปรโตคอลเก่าที่มีความเสี่ยงสูง

ตรวจสอบ

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

หากพบว่า

Enabled

ควรปิดทันที

⑧ วิธีตรวจสอบ Audit Policy

ใช้คำสั่ง

auditpol /get /category:*

ควรเปิดการบันทึก

• Logon
• Account Management
• Object Access
• Policy Change

เพื่อให้สามารถตรวจสอบเหตุการณ์ย้อนหลังได้

⑨ วิธีตรวจสอบ Secure Boot

ตรวจสอบ

Confirm-SecureBootUEFI

ผลลัพธ์ที่ควรได้

True

หากเป็น False ควรตรวจสอบ BIOS/UEFI

⑩ วิธีตรวจสอบ BitLocker

ใช้คำสั่ง

Get-BitLockerVolume

ดูค่า

ProtectionStatus

ควรอยู่ในสถานะ

On

สำหรับเซิร์ฟเวอร์ที่เก็บข้อมูลสำคัญ

⑪ วิธีตรวจสอบ TPM

ใช้คำสั่ง

Get-Tpm

ค่าที่ควรเป็น

TpmPresent : True
TpmReady : True

หากไม่มี TPM ควรวางแผนอัปเกรดฮาร์ดแวร์ในอนาคต

⑫ วิธีตรวจสอบ Security Baseline ผ่าน Microsoft Security Compliance Toolkit

Microsoft มีเครื่องมือฟรี

Security Compliance Toolkit

สำหรับเปรียบเทียบค่าคอนฟิกของเซิร์ฟเวอร์กับมาตรฐานที่แนะนำ

สามารถตรวจสอบ

• Policy
• Registry
• Security Settings
• Group Policy

ได้ในครั้งเดียว

บทความถัดไปของเราจะเจาะลึกเครื่องมือนี้โดยเฉพาะ

⑬ ข้อผิดพลาดที่พบบ่อย

เปิด Firewall แต่เปิดทุก Port

ปลอดภัยน้อยกว่าที่คิด

ใช้รหัสผ่านสั้น

ยังพบได้ในหลายองค์กร

ปิด Audit Logs

ทำให้ตรวจสอบเหตุการณ์ย้อนหลังไม่ได้

ใช้ค่า Default ทุกอย่าง

ไม่ได้หมายความว่าปลอดภัยเสมอไป

⑭ Security Baseline สำหรับ Domain Controller

ควรตรวจสอบเป็นพิเศษ

• Password Policy
• Audit Policy
• Defender
• Credential Guard
• Secure Boot
• SMB Settings

เพราะ Domain Controller เป็นเป้าหมายอันดับต้น ๆ ของผู้โจมตี

⑮ Best Practice สำหรับองค์กร

• ตรวจสอบ Baseline ทุกเดือน
• ใช้มาตรฐานเดียวกันทั้งองค์กร
• จัดทำ Security Checklist
• ตรวจสอบหลัง Patch ทุกครั้ง
• ตรวจสอบหลังติดตั้ง Software ใหม่

ทีมงาน comsiam แนะนำให้องค์กรสร้าง Baseline กลางสำหรับ Windows Server ทุกเครื่อง และตรวจสอบตามรอบเวลาอย่างสม่ำเสมอ เพราะความปลอดภัยที่ดีที่สุดคือการป้องกันก่อนเกิดเหตุ

ในหลายองค์กรที่ comsiam ดูแล การตรวจสอบ Security Baseline ถูกกำหนดเป็นงานประจำรายเดือนและเป็นหนึ่งใน KPI ของทีม Infrastructure

⑯ FAQ

Security Baseline จำเป็นหรือไม่

จำเป็นอย่างมากสำหรับองค์กร

ควรตรวจสอบบ่อยแค่ไหน

อย่างน้อยเดือนละ 1 ครั้ง

Security Baseline ป้องกันการโจมตีได้หรือไม่

ช่วยลดความเสี่ยงได้อย่างมาก

ใช้กับ Server ทุกประเภทได้หรือไม่

ได้ ทั้ง File Server, Domain Controller และ Application Server

⑰ สรุป

Security Baseline เป็นรากฐานสำคัญของการรักษาความปลอดภัย Windows Server 2025 การตรวจสอบและปรับปรุงค่าต่าง ๆ ให้เป็นไปตามมาตรฐานจะช่วยลดช่องโหว่และความเสี่ยงจากการโจมตีได้อย่างมีประสิทธิภาพ องค์กรที่มี Security Baseline ที่ดีมักสามารถป้องกันปัญหาได้ตั้งแต่ก่อนเกิดเหตุจริง

⑱ คำถามชวนคิด

วันนี้คุณมั่นใจหรือไม่ว่า Windows Server ทุกเครื่องในองค์กรถูกตั้งค่าความปลอดภัยตามมาตรฐานเดียวกัน และไม่มีเครื่องใดกำลังเป็น “จุดอ่อน” ที่ผู้โจมตีสามารถใช้เป็นทางเข้าของทั้งระบบ?