Contact
Line : comsiam
Account Lockout คือระบบความปลอดภัยของ Active Directory ที่ช่วยป้องกันการเดารหัสผ่าน (Brute Force Attack) โดยหากมีการกรอก Password ผิดหลายครั้ง ระบบจะ “ล็อกบัญชี” ชั่วคราวทันที
ฟีเจอร์นี้สำคัญมากสำหรับองค์กร เพราะช่วยลดความเสี่ยงจาก:
- Hacker
- Bot Attack
- Password Guessing
- Malware
- Insider Threat
หลายองค์กรตั้ง Password Policy แล้ว แต่ไม่ได้ตั้ง Account Lockout ทำให้ Hacker สามารถลอง Password ได้ไม่จำกัด ดังนั้น Account Lockout ถือเป็น Security พื้นฐานที่สำคัญมากบน Windows Server 2025 ซึ่งทีม comsiam มักตั้งทันทีหลังติดตั้ง Domain Controller
บทความนี้จะสอนการตั้งค่า Account Lockout แบบละเอียด พร้อม Best Practice สำหรับองค์กรจริง
① Account Lockout คืออะไร
คือระบบที่:
Lock Account ชั่วคราว
เมื่อ:
กรอก Password ผิดหลายครั้ง
② ทำไม Account Lockout สำคัญ
ช่วยป้องกัน:
- Brute Force
- Password Guessing
- Bot Login
หากไม่มี:
Hacker อาจลอง Password ได้เรื่อยๆ
③ ตัวอย่างการทำงาน
ตัวอย่าง:
- กรอกผิด 5 ครั้ง
- ระบบ Lock 15 นาที
User จะ Login ไม่ได้ชั่วคราว
④ สิ่งที่ต้องมี ก่อนตั้งค่า
ต้องมี:
- ติดตั้ง Active Directory แล้ว
- ใช้ Domain Controller
⑤ วิธีเปิด Group Policy Management
เปิด:
Server Manager
> Tools
> Group Policy Managementหรือใช้:
gpmc.msc⑥ วิธี Edit Default Domain Policy
คลิกขวา:
Default Domain Policyเลือก:
Edit⑦ Path สำหรับ Account Lockout
ไปที่:
Computer Configuration
> Policies
> Windows Settings
> Security Settings
> Account Policies
> Account Lockout Policy⑧ Account Lockout Threshold คืออะไร
กำหนดว่า:
กรอก Password ผิดกี่ครั้งถึง Lock
แนะนำ:
5 Attempts⑨ ค่า Threshold ที่เหมาะสม
ทั่วไป:
5 ครั้งองค์กร Security สูง:
3 ครั้งไม่ควร:
0เพราะแปลว่า:
ไม่ Lock เลย
⑩ Account Lockout Duration คืออะไร
Lock นานเท่าไร
แนะนำ:
15 Minutesบางองค์กรใช้:
30 Minutes⑪ Reset Account Lockout Counter คืออะไร
รีเซ็ตจำนวนครั้งผิดเมื่อผ่านกี่นาที
แนะนำ:
15 Minutes⑫ วิธี Force GPO
ใช้:
gpupdate /forceจากนั้น:
รอ Replication
⑬ วิธีทดสอบ Account Lockout
ลองกรอก Password ผิดหลายครั้ง
หากสำเร็จ:
จะขึ้น:
Account locked out⑭ วิธีปลดล็อก User
เปิด:
Active Directory Users and Computersคลิก User → Properties
ไปที่:
Accountติ๊กออก:
Unlock account⑮ วิธีดูว่าใคร Lock Account
เปิด:
Event Viewerดู Event:
4740⑯ วิธีดูเครื่องที่ทำให้ Lock
ใน Event Viewer จะเห็น:
- Computer Name
- Source Workstation
ช่วยหาเครื่องที่กรอก Password ผิด
⑰ สาเหตุที่ Account Lockout บ่อย
พบบ่อย:
- Password เก่าค้าง
- Outlook จำ Password เก่า
- Service ใช้ Password เดิม
- Drive Mapping เก่า
⑱ วิธีแก้ Account Lockout ซ้ำๆ
ตรวจสอบ:
- Saved Credentials
- Mobile Mail
- VPN
- Service Account
⑲ วิธีใช้ Fine-Grained Lockout Policy
สามารถ:
ตั้ง Lockout แยกตาม Group ได้
เช่น:
- Admin → เข้มงวด
- User ทั่วไป → ปกติ
เหมาะกับองค์กรใหญ่
⑳ แนวทาง Lockout ที่ดีสำหรับองค์กร
แนะนำ:
Threshold: 5
Duration: 15
Reset Counter: 15สมดุล:
- Security
- User Experience
㉑ ปัญหาที่พบบ่อย
User โดน Lock บ่อย
สาเหตุ:
Password เก่าค้าง
GPO ไม่ทำงาน
สาเหตุ:
DNS ผิด
Replication Error
User Unlock แล้ว Lock อีก
สาเหตุ:
Service ยังใช้ Password เก่า
㉒ วิธีตรวจสอบ GPO
ใช้:
gpresult /rและ:
rsop.msc㉓ แนวทาง Security เพิ่มเติม
แนะนำ:
- ใช้ MFA
- Monitor Failed Login
- ใช้ SIEM
- Alert Event 4740
หลายองค์กรโดน Password Spray Attack โดยไม่รู้ตัว ซึ่งทีม comsiam มักแนะนำให้ Monitor Lockout Event เสมอ
㉔ สิ่งที่ไม่ควรทำ
ไม่ควร:
- ตั้ง Threshold สูงเกิน
- ปิด Lockout
- Unlock โดยไม่ตรวจสอบ
- ใช้ Password เดาง่าย
㉕ Account Lockout กับ MFA ต่างกันยังไง
Account Lockout
กันเดา Password
MFA
เพิ่มชั้นยืนยันตัวตน
ปัจจุบัน:
องค์กรควรใช้ทั้งคู่
㉖ สรุป
Account Lockout บน Windows Server 2025 เป็น Security Feature สำคัญที่ช่วยป้องกันการเดารหัสผ่านและการโจมตีแบบ Brute Force
หากตั้งค่าอย่างถูกต้อง:
- ลดความเสี่ยงโดน Hack
- ป้องกัน Bot Attack
- เพิ่มความปลอดภัยของ Domain
โดยเฉพาะองค์กรที่ใช้ Active Directory Account Lockout ถือเป็น Security ขั้นพื้นฐานที่ต้องมีเสมอ
