net user มันคือ “ดาบสองคม” ที่อันตรายมากจริง ๆ ในมุมมองของความปลอดภัย ( Cybersecurity )
เหตุผลที่ Microsoft ยังไม่เอาออก แม้จะรู้ว่ามันเป็นช่องโหว่ที่ Hacker ชอบใช้ ( เช่น การทำ Privilege Escalation หรือการสร้าง User ลับ ๆ ไว้ในระบบ ) มีแง่มุมที่น่าสนใจดังนี้ครับ
- ปัญหาของ “Admin Rights” ไม่ใช่ที่ตัวคำสั่ง
ในมุมของ Microsoft เขาไม่ได้มองว่าตัวคำสั่งnet userคือช่องโหว่ แต่มองว่า “สิทธิ์ของผู้ใช้งาน” คือปัญหา- ถ้า User ไม่มีสิทธิ์ Admin จะไม่สามารถใช้
net userแก้ไขระบบได้ - ถ้า Hacker เข้าถึงสิทธิ์ Admin ได้แล้ว ต่อให้ไม่มี
net userเขาก็สามารถใช้ PowerShell, Registry, หรือ API อื่น ๆ เพื่อสร้าง User ได้อยู่ดี
- ถ้า User ไม่มีสิทธิ์ Admin จะไม่สามารถใช้
- ความอันตรายในมือ Hacker
Hacker ชอบnet userเพราะ- ไม่ต้องพึ่งพา Software ภายนอก: มันติดมากับ Windows ทุกเครื่อง ( Living off the Land )
- ตรวจจับยากกว่า Malware: การรันคำสั่งพื้นฐานของระบบ บางครั้ง Antivirus หรือ EDR อาจจะมองข้ามไปเพราะถือว่าเป็นเครื่องมือจัดการปกติ
- แนวทางการแก้ไขของ Microsoft ( แทนที่จะลบทิ้ง )
แทนที่จะลบคำสั่งออก Microsoft เลือกที่จะ “จำกัดสิทธิ์” แทน เช่น- LAPS ( Local Administrator Password Solution ): บังคับจัดการรหัสผ่าน Admin แบบสุ่มและเปลี่ยนบ่อย ๆ ทำให้การใช้
net userเดาสุ่มทำได้ยากขึ้น - Windows Defender Application Control ( WDAC ): บล็อกไม่ให้รันคำสั่งบางอย่างหากไม่ได้ทำผ่าน Script ที่ได้รับอนุญาต
- PowerShell Logging: พยายามผลักดันให้คนไปใช้ PowerShell เพราะมันมีระบบ Log ที่ละเอียดมาก ( ใครทำอะไร รู้หมด ) ในขณะที่
net userบันทึก Log ได้น้อยกว่า
- LAPS ( Local Administrator Password Solution ): บังคับจัดการรหัสผ่าน Admin แบบสุ่มและเปลี่ยนบ่อย ๆ ทำให้การใช้
วิธีป้องกันความเสี่ยงในเครื่องของคุณ
หากคุณกังวลเรื่องความปลอดภัย แนะนำให้ทำสิ่งเหล่านี้ครับ
- อย่าใช้ User สิทธิ์ Admin ทำงานทั่วไป: ใช้ Standard User เป็นหลัก เพื่อให้
net userทำอะไรไม่ได้หากโดนโจมตี - เปิดใช้ 2FA / MFA: หากเป็นไปได้ เพื่อป้องกันการขโมยรหัสผ่านไปใช้สร้าง User ใหม่
- ตรวจสอบรายชื่อ User บ่อยๆ: พิมพ์
net userเฉยๆ เพื่อดูว่ามีชื่อแปลกปลอมโผล่มาไหม ( ก่อนลงโปรแกรมใหม่ๆ การเช็ค User หลังลงโปรแกรมก็เป็นเรื่องที่ดีครับ )
อ่านเพิ่มเติม