Status
Promotion
Help & Support
แนวทางการตรวจหาไวรัสสำหรับคอมพิวเตอร์องค์กรที่ใช้ Windows Server
การรักษาความปลอดภัยของระบบ Windows Server เป็นหัวใจสำคัญของการป้องกันภัยคุกคามทางไซเบอร์ในองค์กร เซิร์ฟเวอร์มักทำหน้าที่เป็นศูนย์กลางของข้อมูลและบริการ หากมีมัลแวร์แฝงตัวอยู่ อาจทำให้เกิดความเสียหายทางธุรกิจ การรั่วไหลของข้อมูล หรือการหยุดชะงักของระบบ บทความนี้จะแนะนำแนวทางการตรวจหาไวรัสที่เหมาะสม พร้อมตัวอย่างการตั้งค่า
เลือกใช้ซอฟต์แวร์ Antivirus ที่เหมาะสมกับ Windows Server
ควรเลือกซอฟต์แวร์ที่รองรับวินโดวส์เซิร์ฟเวอร์และสามารถจัดการผ่านระบบศูนย์กลาง เช่น
Microsoft Defender for Endpoint (Server)
SentinelOne Singularity
ESET Server Security
Kaspersky Endpoint Security for Server
ตั้งค่าการสแกนไวรัสเป็นประจำ
ตัวอย่างการตั้ง Scheduled Scan บน Windows Defender (Windows Server 2016/2019/2022):
- เปิด Task Scheduler
- สร้าง Task ใหม่
- ตั้งชื่อว่า Defender Weekly Scan
- ในแท็บ Actions:
- เลือก “Start a program”
- พิมพ์คำสั่ง:
Powershell.exe -Command "Start-MpScan -ScanType FullScan"
- ตั้งเวลา Trigger เป็นทุกสัปดาห์ช่วงกลางคืน
- เปิดการป้องกันแบบเรียลไทม์ (Real-Time Protection)
ตรวจสอบด้วย PowerShell
Get-MpPreference | Select-Object -Property DisableRealtimeMonitoringหากค่าคืนกลับเป็น True แสดงว่า ปิดอยู่ ให้เปิดด้วยคำสั่ง:
Set-MpPreference -DisableRealtimeMonitoring $falseตั้งค่าการอัปเดตฐานข้อมูลไวรัสอัตโนมัติ
ตั้งการอัปเดตอัตโนมัติทุกวัน
Set-MpPreference -SignatureUpdateInterval 1หรือตั้ง Scheduled Task ให้รันคำสั่งนี้
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdateจำกัดสิทธิ์ผู้ใช้งานในระบบเซิร์ฟเวอร์
- ห้ามใช้บัญชี Administrator สำหรับการใช้งานทั่วไป
- ใช้ Group Policy ปิดการรัน .exe, .bat, .vbs จาก Temp หรือ Desktop โดยใช้ Software Restriction Policy หรือ AppLocker
ใช้ Sentinel One เพื่อเพิ่มการป้องกันแบบเชิงลึก (EDR)
SentinelOne เป็น EDR (Endpoint Detection and Response) ที่ทำงานด้วย AI โดยไม่ต้องพึ่ง Signature เป็นหลัก สามารถติดตั้งบนวินโดวส์เซิร์ฟเวอร์ได้ง่าย และมีระบบควบคุมจากศูนย์กลาง
ตัวอย่างการติดตั้ง SentinelOne Agent บน Windows Server
- เข้า Console ของ SentinelOne
- เลือก “Install Agent”
- เลือก Platform เป็น “Windows”
- ดาวน์โหลดตัวติดตั้ง .exe
- รันคำสั่งติดตั้งใน Command Prompt ด้วยสิทธิ์ Administrator
SentinelInstaller.exe /SITE_TOKEN=xxxxxxxxxxxxxxxxx /quietระบบจะเริ่มการป้องกันแบบ Real-Time ทันที และข้อมูลการตรวจจับจะถูกส่งไปยัง SentinelOne Console เพื่อการติดตามและวิเคราะห์
ตั้งค่าการอัปเดตฐานข้อมูลไวรัสอัตโนมัติ
เครื่องมือที่แนะนำ
Process Explorer (จาก Microsoft Sysinternals)
Autoruns – ดูโปรแกรมที่รันอัตโนมัติ
Event Viewer – ตรวจสอบ Log เช่น Application Crash, Account Lockout, RDP Login
ตั้งระบบแจ้งเตือนและรายงาน
ในกรณีที่ใช้ SentinelOne หรือ Defender for Endpoint สามารถกำหนด Alert Policy ให้แจ้งทางอีเมล หรือ webhook ไปยังระบบ SIEM ได้ทันทีเมื่อพบการโจมตีหรือการรันโปรแกรมต้องสงสัย
สร้างแผนรับมือเหตุการณ์ (Incident Response Plan)
ควรกำหนดขั้นตอนดังนี้
กักกันเครื่องที่ติดมัลแวร์ (Isolate)
แจ้งทีมความปลอดภัยหรือผู้ดูแลระบบ
ตรวจสอบ Logs, Process และกิจกรรมล่าสุด
ลบหรือ Rollback การเปลี่ยนแปลง (SentinelOne มีฟีเจอร์นี้)
ทำรายงานสรุปเหตุการณ์และปรับปรุงมาตรการป้องกัน
สรุป
Windows Server เป็นระบบที่ต้องการการป้องกันอย่างรัดกุม การใช้ซอฟต์แวร์ป้องกันไวรัสที่เหมาะสมอย่าง Sentinel One ร่วมกับการตั้งค่าระบบให้มีการสแกนไวรัส การอัปเดตฐานข้อมูล และการควบคุมสิทธิ์ผู้ใช้งาน จะช่วยให้องค์กรลดความเสี่ยงจากมัลแวร์และไวรัสได้อย่างมีประสิทธิภาพ ทั้งนี้ ควรมีแผนตอบสนองเหตุการณ์เพื่อให้สามารถแก้ไขปัญหาได้อย่างรวดเร็วและเป็นระบบ
สอบถามข้อมูลบริการ
- Categories:
- Windows Server
