วิธี Audit File Access บน Windows Server 2025 ตรวจสอบว่าใครเปิด แก้ไข ลบ หรือเข้าถึงไฟล์สำคัญ

Audit File Access เป็นหนึ่งในฟีเจอร์ด้านความปลอดภัยที่สำคัญที่สุดสำหรับ File Server บน Windows Server 2025 เพราะช่วยให้ผู้ดูแลระบบสามารถตรวจสอบย้อนหลังได้ว่าใครเป็นผู้เข้าถึงไฟล์ เปิดไฟล์ แก้ไขไฟล์ ลบไฟล์ หรือพยายามเข้าถึงข้อมูลสำคัญภายในองค์กร

ในหลายเหตุการณ์ด้าน Cybersecurity และ Insider Threat ความเสียหายไม่ได้เกิดจาก Hacker ภายนอกเสมอไป แต่เกิดจากบัญชีผู้ใช้งานที่มีสิทธิ์เข้าถึงข้อมูลอยู่แล้ว การเปิด Audit File Access จึงเป็นเครื่องมือสำคัญสำหรับการสืบสวนเหตุการณ์และป้องกันข้อมูลรั่วไหล

หากองค์กรของคุณมี File Server ที่เก็บเอกสารลูกค้า ข้อมูลการเงิน หรือข้อมูลสำคัญทางธุรกิจ การเปิด File Auditing ควรเป็นมาตรฐานพื้นฐานทันที

① Audit File Access คืออะไร

Audit File Access คือการบันทึกเหตุการณ์ที่เกี่ยวข้องกับการเข้าถึงไฟล์และโฟลเดอร์

สามารถตรวจสอบได้ว่า

• ใครเปิดไฟล์
• ใครแก้ไขไฟล์
• ใครลบไฟล์
• ใครเปลี่ยนชื่อไฟล์
• ใครเข้าถึงโฟลเดอร์
• ใครพยายามเข้าถึงไฟล์แต่ถูกปฏิเสธ

ข้อมูลทั้งหมดจะถูกบันทึกลง Security Event Log

② ทำไมต้องเปิด Audit File Access

ประโยชน์หลัก

• ตรวจสอบการเข้าถึงข้อมูลสำคัญ
• ตรวจสอบการลบไฟล์
• ตรวจสอบ Insider Threat
• ตรวจสอบ Data Leakage
• ใช้เป็นหลักฐานในการสืบสวน

หลายมาตรฐาน Compliance กำหนดให้ต้องสามารถติดตามการเข้าถึงข้อมูลสำคัญได้

③ Event ID สำคัญที่ควรรู้

Event ID 4663

มีการเข้าถึงไฟล์หรือโฟลเดอร์

Event ID 4656

มีการร้องขอสิทธิ์เข้าถึงไฟล์

Event ID 4658

Handle ถูกปิด

Event ID 4660

ไฟล์ถูกลบ

Event ID 4670

มีการเปลี่ยน Permission

Event เหล่านี้เป็นหัวใจสำคัญของ File Auditing

④ วิธีเปิด Audit File Access ผ่าน Group Policy

เปิด

gpmc.msc

ไปที่

Computer Configuration
 └ Windows Settings
     └ Security Settings
         └ Advanced Audit Policy Configuration
             └ Object Access

เปิด

Audit File System

เลือก

Success
Failure

ทั้งสองรายการ

⑤ วิธีเปิด Audit File Access ผ่าน Command Line

ตรวจสอบสถานะ

auditpol /get /subcategory:"File System"

เปิดใช้งาน

auditpol /set /subcategory:"File System" /success:enable /failure:enable

⑥ วิธีกำหนด Auditing ให้กับโฟลเดอร์

คลิกขวาโฟลเดอร์

เลือก

Properties

→

Security

→

Advanced

→

Auditing

เพิ่มผู้ใช้งานหรือกลุ่มที่ต้องการติดตาม

เช่น

Everyone

หรือ

Domain Users

⑦ สิทธิ์ที่ควร Audit

ตัวอย่างที่นิยม

• Read
• Write
• Modify
• Delete
• Change Permissions

ไม่จำเป็นต้องเปิดทุกสิทธิ์เสมอไป เพราะอาจสร้าง Log จำนวนมาก

⑧ วิธีดู Log การเข้าถึงไฟล์

เปิด

eventvwr.msc

ไปที่

Windows Logs
 └ Security

กรอง Event ID

4663

จะพบรายละเอียดการเข้าถึงไฟล์

⑨ วิธีตรวจสอบว่าใครลบไฟล์

กรอง Event

4660

หรือ

4663

ตรวจสอบ

• Username
• File Name
• เวลา
• Computer Name

ข้อมูลเหล่านี้มีประโยชน์มากในการสืบสวนเหตุการณ์

⑩ วิธีตรวจสอบว่าใครแก้ไขไฟล์

ตรวจสอบ Event 4663

ดูค่า

Accesses

ตัวอย่าง

WriteData
AppendData

บ่งบอกว่ามีการแก้ไขไฟล์

⑪ วิธีตรวจสอบการเข้าถึงไฟล์ลับ

ตัวอย่างโฟลเดอร์

D:\Finance
D:\HR
D:\Executive

ควรเปิด Auditing เป็นพิเศษ

เพื่อป้องกันข้อมูลรั่วไหล

⑫ ผลกระทบด้าน Performance

Audit File Access สามารถสร้าง Log จำนวนมาก

โดยเฉพาะ

• File Server ขนาดใหญ่
• Shared Folder ขนาดใหญ่

จึงควรกำหนดเฉพาะโฟลเดอร์สำคัญ

ไม่ควรเปิดทั้งดิสก์โดยไม่มีเหตุผล

⑬ ข้อผิดพลาดที่พบบ่อย

เปิด Audit แต่ไม่กำหนด Auditing Entry

จะไม่เกิด Log

Audit ทุกไฟล์

ทำให้ Log โตเร็วมาก

ไม่ตรวจสอบ Log

ทำให้ข้อมูลไม่มีประโยชน์

ไม่ส่ง Log ไปเก็บส่วนกลาง

เสี่ยงต่อการสูญหายของหลักฐาน

⑭ Audit File Access กับ Data Leakage

Audit File Access ช่วยตรวจจับ

• การคัดลอกข้อมูลจำนวนมาก
• การเข้าถึงข้อมูลผิดปกติ
• การลบไฟล์จำนวนมาก
• การเข้าถึงไฟล์นอกเวลางาน

จึงมีบทบาทสำคัญในการป้องกัน Data Leakage

⑮ Audit File Access สำหรับ File Server

File Server เป็นระบบที่ควรเปิด Auditing มากที่สุด

โดยเฉพาะ

• ฝ่ายการเงิน
• ฝ่ายบุคคล
• ฝ่ายบริหาร
• เอกสารสัญญา
• ฐานข้อมูลลูกค้า

เนื่องจากเป็นเป้าหมายหลักของ Insider Threat

⑯ Best Practice สำหรับองค์กร

• Audit เฉพาะโฟลเดอร์สำคัญ
• เปิด Success และ Failure
• ส่ง Log ไป SIEM
• ตรวจสอบ Event 4663 เป็นประจำ
• เก็บ Log ระยะยาว
• สร้าง Alert เมื่อมีการลบไฟล์จำนวนมาก

ทีมงาน comsiam มักกำหนด File Auditing สำหรับโฟลเดอร์การเงินและข้อมูลลูกค้าเป็นลำดับแรก เพราะเป็นข้อมูลที่มีความอ่อนไหวและมีผลกระทบสูงหากเกิดการรั่วไหล

หลายองค์กรที่ comsiam ดูแลสามารถระบุผู้ใช้งานที่ลบหรือแก้ไขไฟล์สำคัญได้ภายในไม่กี่นาที เนื่องจากมีการตั้งค่า Audit File Access อย่างถูกต้องตั้งแต่แรก

⑰ FAQ

Audit File Access กินพื้นที่ Log มากหรือไม่

มาก หากเปิดกับทุกไฟล์

ควรเปิดทั้ง Success และ Failure หรือไม่

ควรเปิดทั้งสองแบบ

Event ID สำคัญที่สุดคืออะไร

4663

File Server ควรเปิดหรือไม่

ควรอย่างยิ่ง

⑱ สรุป

Audit File Access เป็นเครื่องมือสำคัญสำหรับ Windows Server 2025 ที่ช่วยติดตามการเข้าถึงไฟล์และโฟลเดอร์สำคัญภายในองค์กร ทำให้สามารถตรวจสอบได้ว่าใครเปิด แก้ไข หรือลบไฟล์เมื่อใด ช่วยสนับสนุนการสืบสวนเหตุการณ์ด้านความปลอดภัย การป้องกัน Data Leakage และการบริหารจัดการข้อมูลอย่างมืออาชีพ

⑲ คำถามชวนคิด

หากพรุ่งนี้มีไฟล์สัญญามูลค่าหลายล้านบาทหายไปจาก File Server ของคุณ คุณสามารถระบุได้หรือไม่ว่าใครเป็นคนเปิด แก้ไข หรือลบไฟล์นั้นเป็นคนสุดท้าย?