วิธีป้องกัน Pass-the-Hash บน Windows Server 2025 ลดความเสี่ยงจากการยึดครอง Active Directory

Pass-the-Hash (PtH) เป็นหนึ่งในเทคนิคการโจมตีที่อันตรายที่สุดในระบบ Windows และ Active Directory เพราะผู้โจมตีไม่จำเป็นต้องรู้รหัสผ่านจริงของผู้ใช้ เพียงแค่ได้ NTLM Hash มาก็สามารถใช้ยืนยันตัวตนและเคลื่อนที่ภายในเครือข่าย (Lateral Movement) ได้

ในหลายเหตุการณ์ Ransomware ระดับองค์กร ผู้โจมตีเริ่มต้นจากเครื่อง Workstation เพียงเครื่องเดียว ก่อนจะใช้ Pass-the-Hash เพื่อขยายสิทธิ์ไปยัง File Server, Application Server และ Domain Controller จนสามารถควบคุมทั้ง Domain ได้

Windows Server 2025 มีฟีเจอร์หลายอย่างที่ช่วยลดความเสี่ยงจากการโจมตีประเภทนี้ หากตั้งค่าอย่างถูกต้อง

① Pass-the-Hash คืออะไร

Pass-the-Hash คือเทคนิคที่ใช้

NTLM Hash

แทนรหัสผ่านจริง

เมื่อผู้โจมตีได้ Hash ของบัญชีใดบัญชีหนึ่ง

สามารถใช้ Hash นั้นเพื่อ

  • Login
  • เชื่อมต่อ SMB
  • ใช้ WinRM
  • ใช้ Remote Management

โดยไม่จำเป็นต้องรู้ Password จริง

② ทำไม Pass-the-Hash จึงอันตราย

ข้อเสียหลัก

  • ไม่ต้องถอดรหัส Password
  • ใช้ Hash ได้โดยตรง
  • เคลื่อนที่ภายในเครือข่ายได้รวดเร็ว
  • ขยายสิทธิ์ได้ง่าย

จึงเป็นเทคนิคที่นิยมใช้มากใน Advanced Attack

③ Pass-the-Hash เกิดขึ้นได้อย่างไร

ขั้นตอนทั่วไป

  1. เครื่องติด Malware
  2. ผู้โจมตีเข้าถึงระบบ
  3. ดึงข้อมูลจาก LSASS
  4. ได้ NTLM Hash
  5. ใช้ Hash ไปยังเครื่องอื่น

หากไม่มีมาตรการป้องกัน

การโจมตีสามารถลุกลามได้รวดเร็ว

④ เครื่องมือที่มักถูกใช้

ตัวอย่าง

  • Mimikatz
  • Impacket
  • CrackMapExec
  • PsExec

เครื่องมือเหล่านี้มักถูกใช้ใน Penetration Test และการโจมตีจริง

⑤ วิธีลดความเสี่ยงด้วย Credential Guard

Credential Guard เป็นฟีเจอร์สำคัญที่สุด

ช่วยแยกข้อมูล Credential ออกจากระบบปฏิบัติการ

ตรวจสอบสถานะ

Get-CimInstance Win32_DeviceGuard

ควรเปิดใช้งานบน

  • Domain Controller
  • Admin Workstation
  • Management Server

⑥ ใช้ Protected Users Group

Active Directory มี Group พิเศษ

Protected Users

สมาชิกในกลุ่มนี้จะ

  • ลดการใช้ NTLM
  • ลด Credential Caching
  • เพิ่มความปลอดภัยในการ Authentication

เหมาะกับบัญชีระดับสูง

⑦ จำกัดการใช้ Domain Admin

ข้อผิดพลาดที่พบบ่อย

คือใช้ Domain Admin ทำงานทุกวัน

แนวทางที่แนะนำ

  • ใช้บัญชีปกติสำหรับงานทั่วไป
  • ใช้บัญชี Admin เฉพาะเมื่อจำเป็น

ลดโอกาสที่ Hash สำคัญจะถูกขโมย

⑧ ใช้ Local Administrator Password Solution (LAPS)

LAPS ช่วยให้

Local Administrator ของแต่ละเครื่อง

มีรหัสผ่านแตกต่างกัน

หากเครื่องหนึ่งถูกโจมตี

ผู้โจมตีจะไม่สามารถใช้รหัสผ่านเดียวกันกับเครื่องอื่นได้

⑨ เปิด Windows Defender Credential Protection

ตรวจสอบ Defender

Get-MpComputerStatus

เปิด

  • Real-Time Protection
  • Tamper Protection
  • Cloud Protection

ช่วยลดความเสี่ยงจาก Malware ที่พยายามดึง Credential

⑩ ปิด NTLM หากเป็นไปได้

Kerberos ปลอดภัยกว่า NTLM

ตรวจสอบการใช้งาน

Get-WinEvent -LogName Security

วิเคราะห์ว่าระบบใดยังพึ่งพา NTLM

แล้ววางแผนลดการใช้งาน

⑪ ใช้ SMB Signing

SMB Signing ช่วยลดความเสี่ยงจาก

  • Credential Relay
  • Session Hijacking

เปิดใช้งาน

Set-SmbServerConfiguration -RequireSecuritySignature $true

⑫ เปิด Windows Defender Firewall

จำกัดการเข้าถึง

  • SMB
  • WinRM
  • RPC

เฉพาะเครื่องที่จำเป็น

ช่วยลด Lateral Movement

⑬ ใช้ Tiered Administration

แบ่งระดับการบริหาร

ตัวอย่าง

Tier 0

Domain Controller

Tier 1

Server

Tier 2

Workstation

ห้ามใช้บัญชี Tier 0 บน Tier 2

ช่วยลดความเสี่ยงจาก Credential Theft

⑭ ตรวจสอบ Event Logs ที่เกี่ยวข้อง

Event สำคัญ

4624
4625
4648
4672

ใช้ตรวจจับพฤติกรรมผิดปกติ

โดยเฉพาะการ Login จากเครื่องที่ไม่คุ้นเคย

⑮ ใช้ MFA สำหรับบัญชีสำคัญ

MFA ไม่ได้ป้องกัน Pass-the-Hash โดยตรง

แต่ช่วยลดโอกาสที่บัญชีจะถูกยึดครอง

โดยเฉพาะ

  • Administrator
  • Domain Admin
  • Service Account สำคัญ

⑯ ข้อผิดพลาดที่พบบ่อย

ใช้ Domain Admin ทุกวัน

เสี่ยงมาก

ไม่เปิด Credential Guard

ทำให้ Hash ถูกดึงได้ง่ายขึ้น

ใช้ Local Admin เดียวกันทุกเครื่อง

เพิ่มโอกาสการแพร่กระจาย

ไม่ตรวจสอบ Security Logs

ทำให้ตรวจจับการโจมตีได้ช้า

⑰ สัญญาณที่อาจบ่งบอกการโจมตีแบบ Pass-the-Hash

ตัวอย่าง

  • Login จากหลายเครื่องในเวลาสั้น ๆ
  • Administrator Login ผิดปกติ
  • การใช้บัญชีเดียวกันหลายจุดพร้อมกัน
  • SMB Authentication ผิดปกติ

ควรตรวจสอบทันที

⑱ Best Practice สำหรับองค์กร

  • เปิด Credential Guard
  • ใช้ LAPS
  • จำกัด Domain Admin
  • เปิด SMB Signing
  • ใช้ MFA
  • ตรวจสอบ Security Logs ทุกวัน

ทีมงาน comsiam มักจัดให้ Credential Guard และ LAPS เป็นมาตรการพื้นฐานสำหรับองค์กรที่ใช้ Active Directory เพราะเป็นสองเครื่องมือที่ช่วยลดความเสี่ยงจาก Pass-the-Hash ได้อย่างมีประสิทธิภาพ

ในหลายโครงการที่ comsiam เข้าไปประเมินความปลอดภัย พบว่าการใช้บัญชี Administrator ซ้ำหลายเครื่องยังคงเป็นจุดอ่อนสำคัญที่เปิดโอกาสให้การโจมตีแบบ Pass-the-Hash ขยายวงได้อย่างรวดเร็ว

⑲ FAQ

Pass-the-Hash ต้องรู้ Password หรือไม่

ไม่จำเป็น

Credential Guard ป้องกันได้หรือไม่

ช่วยลดความเสี่ยงได้มาก

LAPS จำเป็นหรือไม่

แนะนำอย่างยิ่ง

Kerberos ปลอดภัยกว่า NTLM หรือไม่

โดยทั่วไปปลอดภัยกว่า

⑳ สรุป

Pass-the-Hash เป็นหนึ่งในการโจมตีที่อันตรายที่สุดสำหรับระบบ Active Directory เพราะผู้โจมตีสามารถใช้ NTLM Hash แทนรหัสผ่านจริงได้ การเปิด Credential Guard, ใช้ LAPS, จำกัดการใช้ Domain Admin และตรวจสอบ Security Logs อย่างสม่ำเสมอ จะช่วยลดความเสี่ยงจากการโจมตีประเภทนี้ได้อย่างมีประสิทธิภาพ

㉑ คำถามชวนคิด

หากวันนี้ผู้โจมตีสามารถดึง NTLM Hash ของ Administrator จากเครื่องหนึ่งในองค์กรได้ เขาจะสามารถเดินทางต่อไปยัง Server และ Domain Controller เครื่องอื่นได้ง่ายแค่ไหน?

ป้ายกำกับ

Related Posts

Trending now
วิธีทำ TikTok Affiliate ให้คนติดตามเพิ่มขึ้นทุกวัน (Follower Growth Strategy)
⭐ วิธีตั้งค่า Router ให้แรงที่สุดสำหรับคอนโด (ฉบับ 2026 อัปเดตล่าสุด)
Ultra Fiber 2026: ทำไมเน็ต 1Gbps ยังไม่เร็วพอ? (ฉบับ 2026 อัปเดตล่าสุด)
Wi-Fi 6
⭐ วิธีแก้ WiFi หลุดในคอนโด ปี 2026 (ฉบับ 2026 อัปเดตล่าสุด)