หลังจากทราบจุดอ่อนแลัว ถึงเวลาป้องกันตัวในการป้องกันปัญหา การป้องกันคำสั่ง net user ไม่ให้ถูกนำไปใช้ในทางที่ผิด ต้องมองเป็น 2 ส่วนครับ คือ การป้องกันภายในตัว Windows เอง และ การป้องกันการเข้าถึงจากภายนอก ( Physical Access ) ดังนี้ครับ
การป้องกันระดับระบบปฏิบัติการ ( OS Level )
วิธีเหล่านี้จะช่วยจำกัดสิทธิ์ไม่ให้ User ทั่วไปหรือ Hacker ที่เจาะเข้ามาเบื้องต้นใช้คำสั่งนี้ได้
- เลิกใช้สิทธิ์ Administrator ในการทำงานทั่วไป: นี่คือปราการด่านแรกครับ
net userจะทำงานไม่ได้เลยถ้าผู้ใช้ไม่มีสิทธิ์ Admin ดังนั้นควรใช้บัญชี Standard User ในการใช้งานประจำวัน - ใช้ AppLocker หรือ Windows Defender Application Control ( WDAC ): คุณสามารถตั้งค่า Policy เพื่อ Block การรันไฟล์
net.exeได้โดยตรง ( ไฟล์นี้อยู่ที่C:\Windows\System32\net.exe) หากบล็อกไฟล์นี้ คำสั่งnet user,net localgroupทั้งหมดจะใช้งานไม่ได้ทันที - เปิดใช้งานสิทธิ์แบบ Just-In-Time ( JIT ): ในระดับองค์กร จะใช้ระบบที่ให้สิทธิ์ Admin ชั่วคราวเฉพาะตอนที่จำเป็นเท่านั้น เพื่อลดโอกาสที่ Hacker จะรันคำสั่งจัดการ User ได้ตลอดเวลา
การป้องกันระดับฮาร์ดแวร์และการบูต ( Physical & Boot Level )
เพื่อป้องกันเทคนิค “Windows PE” หรือการใช้ USB บูตเข้ามาแก้รหัสผ่านที่คุณกังวล
- เปิดใช้งาน BitLocker ( สำคัญที่สุด ): หากคุณเข้ารหัส Drive ไว้ เมื่อ Hacker บูตเข้า Windows PE เขาจะ “มองไม่เห็นข้อมูล” และไม่สามารถเข้าถึงไฟล์
cmd.exeหรือSAM databaseเพื่อเปลี่ยนรหัสผ่านได้เลย - ตั้งรหัสผ่าน BIOS / UEFI: เพื่อล็อคไม่ให้ผู้อื่นเปลี่ยนลำดับการบูต ( Boot Order ) ไปบูตจาก USB ได้โดยไม่ได้รับอนุญาต
- เปิดใช้งาน Secure Boot: ช่วยป้องกันการรัน OS หรือเครื่องมือแปลกปลอมที่ไม่ได้ลงทะเบียนความปลอดภัยไว้ก่อนบูตเข้า Windows
การป้องกันเทคนิค Sticky Keys ( Shift 5 ครั้ง )
เพื่อไม่ให้ใครมาทับไฟล์ sethc.exe แล้วเรียก CMD หน้าจอ Log-in ได้
- ปิดฟีเจอร์ Sticky Keys: ไปที่
Settings > Accessibility > Keyboardแล้วปิด Sticky Keys - ตรวจสอบความสมบูรณ์ของไฟล์ระบบ: หมั่นรันคำสั่ง
sfc /scannowเพื่อให้ Windows ตรวจสอบว่าไฟล์ระบบอย่างsethc.exeถูกแก้ไขหรือแทนที่ด้วยcmd.exeหรือไม่
การตรวจสอบ ( Monitoring & Logging )
หากป้องกันไม่ได้ 100% อย่างน้อยต้องรู้ตัวเมื่อมีการใช้งาน
- เปิด Audit Account Management: ตั้งค่าใน Group Policy (
GPO) ให้บันทึก Log ทุกครั้งที่มีการสร้าง, ลบ หรือเปลี่ยนรหัสผ่าน User ( Event ID 4720, 4722, 4724 ) - ใช้ EDR ( Endpoint Detection and Response ): Software ความปลอดภัยสมัยใหม่จะแจ้งเตือนทันทีหากมีการรัน
net.exeในลักษณะที่ผิดปกติ ( เช่น รันจาก Script หรือรันในเวลาที่ไม่ควร )
สรุปคำแนะนำสำหรับผู้ใช้ทั่วไป
| สิ่งที่ควรทำ | เหตุผล |
| เปิด BitLocker | ป้องกันการใช้ Windows PE มาเจาะรหัส |
| ใช้ Standard User | ทำให้คำสั่ง net user ไร้ผลทันที |
| ตั้งรหัสผ่าน BIOS | ป้องกันการแอบบูตจาก USB |
คำเตือนส่งท้าย: ก่อนที่จะทำการบล็อกหรือจำกัดสิทธิ์ net.exe อย่าลืมทำ Snapshot หรือ Backup ตามที่คุณบันทึกไว้เสมอครับ เพราะบางครั้ง Software ติดตั้งโปรแกรมบางตัวอาจจำเป็นต้องใช้คำสั่งนี้ในการสร้าง Service Account หากบล็อกไว้อาจทำให้ลงโปรแกรมบางอย่างไม่ผ่านได้
อ่านเพิ่มเติม