Contact
Line : comsiam
Audit File Access เป็นหนึ่งในฟีเจอร์ด้านความปลอดภัยที่สำคัญที่สุดสำหรับ File Server บน Windows Server 2025 เพราะช่วยให้ผู้ดูแลระบบสามารถตรวจสอบย้อนหลังได้ว่าใครเป็นผู้เข้าถึงไฟล์ เปิดไฟล์ แก้ไขไฟล์ ลบไฟล์ หรือพยายามเข้าถึงข้อมูลสำคัญภายในองค์กร
ในหลายเหตุการณ์ด้าน Cybersecurity และ Insider Threat ความเสียหายไม่ได้เกิดจาก Hacker ภายนอกเสมอไป แต่เกิดจากบัญชีผู้ใช้งานที่มีสิทธิ์เข้าถึงข้อมูลอยู่แล้ว การเปิด Audit File Access จึงเป็นเครื่องมือสำคัญสำหรับการสืบสวนเหตุการณ์และป้องกันข้อมูลรั่วไหล
หากองค์กรของคุณมี File Server ที่เก็บเอกสารลูกค้า ข้อมูลการเงิน หรือข้อมูลสำคัญทางธุรกิจ การเปิด File Auditing ควรเป็นมาตรฐานพื้นฐานทันที
① Audit File Access คืออะไร
Audit File Access คือการบันทึกเหตุการณ์ที่เกี่ยวข้องกับการเข้าถึงไฟล์และโฟลเดอร์
สามารถตรวจสอบได้ว่า
- ใครเปิดไฟล์
- ใครแก้ไขไฟล์
- ใครลบไฟล์
- ใครเปลี่ยนชื่อไฟล์
- ใครเข้าถึงโฟลเดอร์
- ใครพยายามเข้าถึงไฟล์แต่ถูกปฏิเสธ
ข้อมูลทั้งหมดจะถูกบันทึกลง Security Event Log
② ทำไมต้องเปิด Audit File Access
ประโยชน์หลัก
- ตรวจสอบการเข้าถึงข้อมูลสำคัญ
- ตรวจสอบการลบไฟล์
- ตรวจสอบ Insider Threat
- ตรวจสอบ Data Leakage
- ใช้เป็นหลักฐานในการสืบสวน
หลายมาตรฐาน Compliance กำหนดให้ต้องสามารถติดตามการเข้าถึงข้อมูลสำคัญได้
③ Event ID สำคัญที่ควรรู้
Event ID 4663
มีการเข้าถึงไฟล์หรือโฟลเดอร์
Event ID 4656
มีการร้องขอสิทธิ์เข้าถึงไฟล์
Event ID 4658
Handle ถูกปิด
Event ID 4660
ไฟล์ถูกลบ
Event ID 4670
มีการเปลี่ยน Permission
Event เหล่านี้เป็นหัวใจสำคัญของ File Auditing
④ วิธีเปิด Audit File Access ผ่าน Group Policy
เปิด
gpmc.msc
ไปที่
Computer Configuration
└ Windows Settings
└ Security Settings
└ Advanced Audit Policy Configuration
└ Object Access
เปิด
Audit File System
เลือก
Success
Failure
ทั้งสองรายการ
⑤ วิธีเปิด Audit File Access ผ่าน Command Line
ตรวจสอบสถานะ
auditpol /get /subcategory:"File System"
เปิดใช้งาน
auditpol /set /subcategory:"File System" /success:enable /failure:enable
⑥ วิธีกำหนด Auditing ให้กับโฟลเดอร์
คลิกขวาโฟลเดอร์
เลือก
Properties
→
Security
→
Advanced
→
Auditing
เพิ่มผู้ใช้งานหรือกลุ่มที่ต้องการติดตาม
เช่น
Everyone
หรือ
Domain Users
⑦ สิทธิ์ที่ควร Audit
ตัวอย่างที่นิยม
- Read
- Write
- Modify
- Delete
- Change Permissions
ไม่จำเป็นต้องเปิดทุกสิทธิ์เสมอไป เพราะอาจสร้าง Log จำนวนมาก
⑧ วิธีดู Log การเข้าถึงไฟล์
เปิด
eventvwr.msc
ไปที่
Windows Logs
└ Security
กรอง Event ID
4663
จะพบรายละเอียดการเข้าถึงไฟล์
⑨ วิธีตรวจสอบว่าใครลบไฟล์
กรอง Event
4660
หรือ
4663
ตรวจสอบ
- Username
- File Name
- เวลา
- Computer Name
ข้อมูลเหล่านี้มีประโยชน์มากในการสืบสวนเหตุการณ์
⑩ วิธีตรวจสอบว่าใครแก้ไขไฟล์
ตรวจสอบ Event 4663
ดูค่า
Accesses
ตัวอย่าง
WriteData
AppendData
บ่งบอกว่ามีการแก้ไขไฟล์
⑪ วิธีตรวจสอบการเข้าถึงไฟล์ลับ
ตัวอย่างโฟลเดอร์
D:\Finance
D:\HR
D:\Executive
ควรเปิด Auditing เป็นพิเศษ
เพื่อป้องกันข้อมูลรั่วไหล
⑫ ผลกระทบด้าน Performance
Audit File Access สามารถสร้าง Log จำนวนมาก
โดยเฉพาะ
- File Server ขนาดใหญ่
- Shared Folder ขนาดใหญ่
จึงควรกำหนดเฉพาะโฟลเดอร์สำคัญ
ไม่ควรเปิดทั้งดิสก์โดยไม่มีเหตุผล
⑬ ข้อผิดพลาดที่พบบ่อย
เปิด Audit แต่ไม่กำหนด Auditing Entry
จะไม่เกิด Log
Audit ทุกไฟล์
ทำให้ Log โตเร็วมาก
ไม่ตรวจสอบ Log
ทำให้ข้อมูลไม่มีประโยชน์
ไม่ส่ง Log ไปเก็บส่วนกลาง
เสี่ยงต่อการสูญหายของหลักฐาน
⑭ Audit File Access กับ Data Leakage
Audit File Access ช่วยตรวจจับ
- การคัดลอกข้อมูลจำนวนมาก
- การเข้าถึงข้อมูลผิดปกติ
- การลบไฟล์จำนวนมาก
- การเข้าถึงไฟล์นอกเวลางาน
จึงมีบทบาทสำคัญในการป้องกัน Data Leakage
⑮ Audit File Access สำหรับ File Server
File Server เป็นระบบที่ควรเปิด Auditing มากที่สุด
โดยเฉพาะ
- ฝ่ายการเงิน
- ฝ่ายบุคคล
- ฝ่ายบริหาร
- เอกสารสัญญา
- ฐานข้อมูลลูกค้า
เนื่องจากเป็นเป้าหมายหลักของ Insider Threat
⑯ Best Practice สำหรับองค์กร
- Audit เฉพาะโฟลเดอร์สำคัญ
- เปิด Success และ Failure
- ส่ง Log ไป SIEM
- ตรวจสอบ Event 4663 เป็นประจำ
- เก็บ Log ระยะยาว
- สร้าง Alert เมื่อมีการลบไฟล์จำนวนมาก
ทีมงาน comsiam มักกำหนด File Auditing สำหรับโฟลเดอร์การเงินและข้อมูลลูกค้าเป็นลำดับแรก เพราะเป็นข้อมูลที่มีความอ่อนไหวและมีผลกระทบสูงหากเกิดการรั่วไหล
หลายองค์กรที่ comsiam ดูแลสามารถระบุผู้ใช้งานที่ลบหรือแก้ไขไฟล์สำคัญได้ภายในไม่กี่นาที เนื่องจากมีการตั้งค่า Audit File Access อย่างถูกต้องตั้งแต่แรก
⑰ FAQ
Audit File Access กินพื้นที่ Log มากหรือไม่
มาก หากเปิดกับทุกไฟล์
ควรเปิดทั้ง Success และ Failure หรือไม่
ควรเปิดทั้งสองแบบ
Event ID สำคัญที่สุดคืออะไร
4663
File Server ควรเปิดหรือไม่
ควรอย่างยิ่ง
⑱ สรุป
Audit File Access เป็นเครื่องมือสำคัญสำหรับ Windows Server 2025 ที่ช่วยติดตามการเข้าถึงไฟล์และโฟลเดอร์สำคัญภายในองค์กร ทำให้สามารถตรวจสอบได้ว่าใครเปิด แก้ไข หรือลบไฟล์เมื่อใด ช่วยสนับสนุนการสืบสวนเหตุการณ์ด้านความปลอดภัย การป้องกัน Data Leakage และการบริหารจัดการข้อมูลอย่างมืออาชีพ
⑲ คำถามชวนคิด
หากพรุ่งนี้มีไฟล์สัญญามูลค่าหลายล้านบาทหายไปจาก File Server ของคุณ คุณสามารถระบุได้หรือไม่ว่าใครเป็นคนเปิด แก้ไข หรือลบไฟล์นั้นเป็นคนสุดท้าย?
