วิธี Audit Logon บน Windows Server 2025 ตรวจสอบว่าใครเข้าใช้งานเซิร์ฟเวอร์ เมื่อไร และจากที่ไหน

Audit Logon เป็นหนึ่งในหัวข้อสำคัญที่สุดของการรักษาความปลอดภัยบน Windows Server 2025 เพราะช่วยให้ผู้ดูแลระบบสามารถตรวจสอบได้ว่าใครเข้าสู่ระบบ เมื่อใด ใช้วิธีใด และมีความพยายามเข้าสู่ระบบที่ล้มเหลวหรือไม่

ในหลายเหตุการณ์ด้าน Cybersecurity ผู้โจมตีสามารถเข้าถึงระบบได้เป็นเวลาหลายวันหรือหลายสัปดาห์ก่อนถูกตรวจพบ สาเหตุสำคัญคือองค์กรไม่ได้เปิด Logon Auditing หรือไม่ได้ตรวจสอบ Log อย่างสม่ำเสมอ

หากต้องการสร้าง Security Monitoring ที่ดี การเปิด Audit Logon ถือเป็นจุดเริ่มต้นที่สำคัญที่สุด

① Audit Logon คืออะไร

Audit Logon คือการบันทึกเหตุการณ์ที่เกี่ยวข้องกับการเข้าสู่ระบบ

ครอบคลุม

  • Login สำเร็จ
  • Login ล้มเหลว
  • Remote Desktop Login
  • Domain Login
  • Service Account Login
  • Network Authentication

ข้อมูลเหล่านี้จะถูกบันทึกลง Security Event Log

② ทำไมต้องเปิด Audit Logon

ประโยชน์หลัก

  • ตรวจสอบผู้ใช้งานย้อนหลัง
  • ตรวจจับ Brute Force Attack
  • ตรวจจับบัญชีถูกขโมย
  • ตรวจจับการเข้าใช้งานผิดปกติ
  • ใช้ในการสืบสวนเหตุการณ์

Audit Logon เป็นหนึ่งในข้อกำหนดของหลายมาตรฐาน Compliance

③ Event ID สำคัญที่ควรรู้

Event ID 4624

Login สำเร็จ

Event ID 4625

Login ล้มเหลว

Event ID 4634

Logout

Event ID 4648

ใช้ Credential แบบ Explicit

Event ID 4672

Login ด้วยสิทธิ์ระดับสูง

ผู้ดูแลระบบควรคุ้นเคยกับ Event เหล่านี้

④ วิธีเปิด Audit Logon ผ่าน Group Policy

เปิด

gpmc.msc

ไปที่

Computer Configuration
 └ Windows Settings
     └ Security Settings
         └ Advanced Audit Policy Configuration
             └ Audit Policies
                 └ Logon/Logoff

เปิดนโยบาย

Audit Logon

เลือก

Success
Failure

ทั้งสองรายการ

⑤ วิธีเปิด Audit Logon ผ่าน Command Line

ตรวจสอบสถานะ

auditpol /get /subcategory:"Logon"

เปิดการบันทึก

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

มีประโยชน์มากสำหรับการ Deploy หลายเครื่อง

⑥ วิธีดู Logon Events

เปิด

eventvwr.msc

ไปที่

Windows Logs
 └ Security

ค้นหา

4624
4625

จะพบข้อมูลการเข้าสู่ระบบทั้งหมด

⑦ วิธีกรองเฉพาะ Login สำเร็จ

ใน Event Viewer

เลือก

Filter Current Log

ใส่

4624

ระบบจะแสดงเฉพาะ Login สำเร็จ

ช่วยลดเวลาการวิเคราะห์ Log

⑧ วิธีกรอง Login ล้มเหลว

กรอง Event ID

4625

ข้อมูลนี้มีประโยชน์มากในการตรวจจับ

  • Brute Force Attack
  • Password Spray
  • Credential Stuffing

⑨ วิธีดู Source IP Address

เปิด Event รายการ 4624 หรือ 4625

ดูค่า

Source Network Address

ตัวอย่าง

192.168.1.100

ช่วยระบุได้ว่าการเชื่อมต่อมาจากเครื่องใด

⑩ วิธีตรวจสอบ RDP Login

Event สำคัญ

4624

ตรวจสอบ

Logon Type

ค่า

10

หมายถึง

Remote Desktop Login

ข้อมูลนี้มีความสำคัญมากในการตรวจสอบการเข้าถึง Server

⑪ วิธีตรวจจับ Brute Force Attack

สัญญาณที่พบบ่อย

  • Event 4625 จำนวนมาก
  • หลาย Username
  • หลาย Password
  • มาจาก IP เดียวกัน

ควรสร้าง Alert อัตโนมัติเมื่อพบเหตุการณ์ลักษณะนี้

⑫ วิธีตรวจสอบ Administrator Login

ค้นหา Event

4672

เหตุการณ์นี้บ่งชี้ว่ามีการ Login ด้วยสิทธิ์ระดับสูง

เช่น

  • Domain Admin
  • Enterprise Admin
  • Local Administrator

ควรตรวจสอบทุกครั้ง

⑬ การเก็บ Log ระยะยาว

Security Log อาจเต็มได้เร็ว

แนะนำ

  • Event Forwarding
  • SIEM
  • Log Server
  • Microsoft Sentinel

เพื่อเก็บข้อมูลระยะยาว

⑭ ข้อผิดพลาดที่พบบ่อย

เปิด Audit แต่ไม่ตรวจสอบ

ทำให้ข้อมูลไม่มีประโยชน์

เก็บ Log สั้นเกินไป

ข้อมูลสำคัญอาจถูกลบ

ไม่เปิด Failure Audit

พลาดการตรวจจับการโจมตี

ไม่มี Alert

ทำให้รู้เหตุการณ์ช้าเกินไป

⑮ Audit Logon สำหรับ Domain Controller

Domain Controller ควรเปิด Audit Logon เสมอ

เนื่องจากเกี่ยวข้องกับ

  • Authentication
  • Kerberos
  • Active Directory
  • Domain Security

ถือเป็นหนึ่งใน Security Baseline ที่สำคัญที่สุด

⑯ Best Practice สำหรับองค์กร

  • เปิด Success Audit
  • เปิด Failure Audit
  • ตรวจสอบ Event 4624 และ 4625 ทุกวัน
  • ตรวจสอบ Event 4672 ทุกวัน
  • ส่ง Log ไปยัง SIEM
  • กำหนด Alert อัตโนมัติ

ทีมงาน comsiam มักเริ่มการวิเคราะห์เหตุการณ์ด้าน Security จาก Audit Logon ก่อนเสมอ เพราะเป็นแหล่งข้อมูลที่ช่วยระบุผู้ใช้งานและจุดเริ่มต้นของเหตุการณ์ได้ดีที่สุด

หลายองค์กรที่ comsiam เข้าไปช่วยตรวจสอบพบว่าปัญหาหลายอย่างสามารถตรวจพบได้เร็วกว่านี้มาก หากมีการตรวจสอบ Audit Logon อย่างสม่ำเสมอ

⑰ FAQ

ควรเปิด Success และ Failure Audit หรือไม่

ควรเปิดทั้งสองอย่าง

Event ID ที่สำคัญที่สุดคืออะไร

4624 และ 4625

Security Log เก็บได้นานแค่ไหน

ขึ้นอยู่กับขนาด Log และการตั้งค่า

Domain Controller จำเป็นต้องเปิดหรือไม่

จำเป็นอย่างยิ่ง

⑱ สรุป

Audit Logon เป็นรากฐานสำคัญของการตรวจสอบความปลอดภัยบน Windows Server 2025 ช่วยให้ผู้ดูแลระบบทราบว่าใครเข้าใช้งานระบบ เมื่อใด จากที่ไหน และมีความพยายามเข้าสู่ระบบที่ผิดปกติหรือไม่ การเปิดและตรวจสอบ Audit Logon อย่างสม่ำเสมอสามารถช่วยตรวจจับภัยคุกคามได้ตั้งแต่ระยะเริ่มต้นก่อนที่ความเสียหายจะขยายวงกว้าง

⑲ คำถามชวนคิด

หากคืนนี้มีคน Login เข้าสู่ Domain Controller ของคุณตอนตีสามจาก IP ที่ไม่เคยเห็นมาก่อน คุณมีระบบอะไรที่สามารถแจ้งเตือนคุณได้ทันทีหรือไม่?

ป้ายกำกับ

Related Posts

Trending now
วิธีทำ TikTok Affiliate ให้คนติดตามเพิ่มขึ้นทุกวัน (Follower Growth Strategy)
⭐ วิธีตั้งค่า Router ให้แรงที่สุดสำหรับคอนโด (ฉบับ 2026 อัปเดตล่าสุด)
Ultra Fiber 2026: ทำไมเน็ต 1Gbps ยังไม่เร็วพอ? (ฉบับ 2026 อัปเดตล่าสุด)
Wi-Fi 6
⭐ วิธีแก้ WiFi หลุดในคอนโด ปี 2026 (ฉบับ 2026 อัปเดตล่าสุด)