วิธีตั้งค่า Password Policy บน Domain Controller ~ 115ITCHECKPOINT

สำหรับบทความนี้จะพูดถึงการกำหนด Password Policy ให้ผู้ใช้งานใช้ password ที่มีความแข็งแกร่งยิ่งขึ้น และป้องกันจาก การถูกโจมตีจากผู้ไม่ประสงค์ดี.

ใน AD DS จะมี Password Policy ที่ถูกตั้งค่าใน Group Policy ซึ่งจะถูก apply ไปยังผู้ใช้งานทั้งหมดภายใน domain โดยจะมีค่าเริ่มต้นดังนี้.

Enforce password history: ค่าเริ่มต้น 24 password remembers.

กำหนดให้ user ห้าม reused password ย้อนหลังไป 24 ครั้ง. นั้นหมายถึงว่า password ครั้งที่ 1 จะต้องห้ามซ้ำกับ password ครั้งที่ 2-24 เราจะสามารถนำเอา password ครั้งที่ 1 มาใช้ใหม่ได้ในครั้งที่ 25 และวนไปเรื่อยๆ เหมื่อนงูกินห่าง.

Maximum password age: ค่าเริ่มต้น 42 Days.

กำหนดให้ password สามารถใช้ได้ถึงจำนวนวันที่กำหนดเมื่อเลยระยะเวลาที่กำหนด ระบบจะให้เปลี่ยน password (Password expired).

Minimum password age: ค่าเริ่มต้น 1 Day.

กำหนดให้ user สามารถเปลี่ยน password ได้ ถ้าหาก set 0 user จะสามารถเปลี่ยน password ได้ตลอดเวลา แต่ถ้าตั้งค่าเป็น 1 วัน ผู้ใช้จะสามารถเปลี่ยน password ได้วันละครั้งเท่านั้น..

Minumum password length: ค่าเริ่มต้น 7 charectors.

การกำหนดความยาวของ password เช่น ถ้ากำหนดเป็น 7 อักขระ ผู้ใช้งานจะต้องตั้ง password ให้ยาวไม่น้อยกว่า 7 อักขระ แต่สามารถตั้งให้ยาวกว่า 7 อักขระได้

Password must meet complexity requirements: ค่าเริ่มต้น Enabled (เปิดใช้งาน)

กำหนดให้ตั้ง strong password เช่น password อาจจะต้องมีตัวอักษร ตัวพิมพ์ใหญ่ (A-Z) ตัวพิมพ์เล็ก (a-z) ตัวเลข (0-9) และตัวอัคระพิเศษ ('-!"#$%&()*,./:;?@[]^_`{|}~+<=>) เป็นต้น.

Store password using reverible encryptiom: ค่าเริ่มต้น Disabled (ปิดการใช้งาน).

กำหนดให้สำหรับ application ที่ต้องใช้ password ในการ authentication และจะต้องสามารถ decrypt password ได้เป็นต้น.

การตั้วค่า Password Policy ขึ้นอยู่กับความต้องการขององค์กร ไม่ว่าจะเป็นการตั้งค่าให้เข้ากับองค์กร หรือต้องการปรับปรุ่งส่วนของ security แต่ถ้าหากยังไม่มี idia เลย Microsoft มีส่วนที่แนะนำให้ตั้งค่าดังนี้.

สำหรับค่า setting ที่ทาง Microsoft recommend มีดังนี้.

Endorce password history: 24. (ใช้ค่าเริ่มต้น)
Maximum password age: 42 วัน > 90 วัน (แนะนำระหว่า
30-90 วัน)
Minimum password age: 1 วัน (ใช้ค่าเริ่มต้น)
minumum password length: 7 > 8 อักขระ
Password must meet complexity requirements: Enabled (ใช้ค่าเริ่มต้น)
Store password using reverible encryptiom: Disabled (ใช้ค่าเริ่มต้น)

การตั้งค่า Password Policy.

ก่อนอื่นมาสำรวจค่าเริ่มต้นของ Password Policy ก่อน

1. เปิด Server Manager > Tools > Group Policy Management (GPM).

2. ในหน้า GPM ไปที่ root domain คลิกที่ Default Domain Policy > Edit...

3. ไปที่ Computer Configuration >Policies > Windows Settings > Security Settings > Accpint Policy > Password Policy เราจะเห็นว่ามี Policy settings ของ Password Policy ปรากฏอยู่.

4. ในบทความนี้จะตั้งค่าตาม Microsoft แนะนำ นั้นหมายถึงว่าเรามีการเปลี่ยนแปลงแค่บาง setting เท่านั้น.

5. ให้เราดับเบิลคลิด GPO หรือคลิกขวาที่ setting และเลือก properties ก็ได้ จากภาพด้านล่าง แสดง setting ของ Enforce password history เราสามารถกำหนดค่าจำนวน ครั้งให้ password remember ได้ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting set to 24).

6. จากภาพด้านล่าง แสดง setting ของ Maximum password age เราสามารถกำหนดค่าจำนวน วันให้ password expired ตั้งค่าเป็น 90 วัน แล้วคลิก OK.

7. จากภาพด้านล่าง แสดง setting ของ Minimum password edge เราสามารถกำหนดค่าจำนวน วัน ในการจำกัดอายุของ password ได้ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting to 1 day).

8. จากภาพด้านล่าง แสดง setting ของ Minimum password length เราสามารถกำหนดค่าจำนวน อักขระของ password ได้ส่วนนี้ตั้งค่าเป็น 8 characters. หลังจากนั้นให้กด OK.

9. จากภาพด้านล่าง แสดง setting ของ Password must meet complexity requirements เราสามารถ Enabled (เปิดการใช้งาน) หรือ Disabled (ปิดการใช้งาน) สำหรับใช้งาน password complexity ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting to Enabled).

10. จากภาพด้านล่าง แสดง setting ของ Store password using reverible encryptiom เราสามารถ Enabled (เปิดการใช้งาน) หรือ Disabled (ปิดการใช้งาน) สำหรับส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting set to Disabled).