ป้องกันผู้ใช้งาน (non-admin) Join domain

ในบทความนี้จะเป็นของการปรับแต่ง (Tunning) ระบบหลังจากการติดตั้ง Domain Controller เสร็จเรียบร้อยแล้ว. ในบทความนี้จะเป็นการปรับในส่วนของการ join domain. โดยค่า default ของ Domain Controller จะยอมให้ user ธรรมดา (Domain Users) สามารถนำ Computer เข้ามา join domain ได้โดยที่ไม่จำเป็นต้องมีสิทธิ์ที่สู่ง. แต่จะถูกจำกัดด้วยจำนวน devices ที่สามารถนำมา join domain ได้สู่งสุด 10 devices (Ref. Link).

ตัวอย่าง: จากรูปด้านล่างจะเห็นว่า User ที่ชื่อ Jesus Graham อยู่ในกลุ่มของ Domain Users ซึ่งเป็น User ธรรมดา.

ผู้ใช้สามารถนำ Computer มา join domain ได้เลย.

ผลลัพท์ที่ได้เขาสามารถ join domain ได้.

สำหรับการป้องกันไม่ให้ User สามารถ join domain ได้มี 2 วิธี.

วิธีที่ 1: แก้ไข้ที่ Active Directory ในส่วนของ machine account.

1. เปิด ADSI Edit Tools ไปที่ Server Manager > Tools > ADSI Edit หลังจากนั้นให้คลิกขวาที่ ADSI Edit > Connect to > ในหัวข้อ Select a well know Naming Context: Default naming context > คลิก OK.

2. ให้แตกที่ Default naming context > คลิกขวาที่ DC=115itckp,DC=Local > Properties > ให้หา Attribue name "ms-DS-MachineAccountQuota" ให้เปลี่ยน value เป็น "0".

วิธีที่ 2: แก้ไขที่ Group Policy ของ Default Domain Controllers Policy.

โดย Add workstations to domain ถูกกำหนดเป็น "NT AUTHORITY\Authenticated Users"

1. ให้เปิด Group Policy Management ขึ้นมา แล้วไปที่ Domain > Group Policy Objects > Default Domain Controllers Policy > คลิกขวา เลือก Edit...

2. ให้ไปที่ Computer Configuration > Policies> Windows settings >Security Settings > Local Policies > User Rights Assignment > ให้เลือก Policy ชื่อ "Add workstations to domain" > ดับเบิลคลิกที่ Policy.

3. ให้เลือกที่ Authenticated Users แล้วกด Remove เสร็จแล้วให้กด OK.

4. ในหน้า Policy จะเป็นค่าว่าง.

5. ในหน้า Settings จะเป็นค่า blank.

ทดสอบหลังจากการปรับแต่ง.

ใช้ User ปกติทำการ join domain อีกครั้ง.

หลังจากนั้นจะพบกับ error ตามรูปด้านล่างนี้.

หมายเหตุ:

สุดท้ายหลังจากกำหนดค่าเรียบร้อยแล้ว User ธรรมดาจะไม่สามารถ join domain ได้ แต่ User ที่มีสิทธิ์เป็น Domain Admin หรือ user ที่ถูกมอบหมายสิทธิ์ (delegate) จะคงยังสามารถ join domain ได้ปกติ.

Read More

วิธีตั้งค่า Account Lockout Policy

Account Lockout Policy ช่วยป้องกันจากการพยายามที่จะเข้าสู่ระบบโดยการเด่าสุ่ม password อาจจะมาจากผู้ไม่ประสงค์ดี หรืออาจจะมาจาก hacker ที่พยายามจะเข้าสู่ระบบผ่าน user ที่มีสิทธิ์สู่ง แต่อย่างไรก็ตาม Account Lockout Policy ช่วยได้แค่ส่วนหนึ่งแต่ถ้าให้แข็งแกร่งจะต้องกำหนด Password Policy ให้แข็งแกร่งตามไปด้วย.

สำหรับการตั้งค่า Account Lockout Policy ที่ Microsoft แนะนำ.

• Account lockout threshold ตั้งค่าเป็น 15 นาที.
• Account lockout duration 10 ครั้ง (CIS_Benchmark_v3.0.0. แนะนำให้ set 5 ครั้ง)
• Reset account lockout counter after 15 นาที.
• Allow Administrator account lockout ตั้งค่าเป็น Enabled..

ตั้งค่า Account Lockout Policy.

จากรรูปด้านล่างเป็นค่า default ของ Account Lockout Policy.

1. เปิด GPM ขึ้นมาแล้วเลือกไปที่ domain (115itckp.local) > Group Policy Objects > เลือกที่ Default Domain Policy > คลิกขวาเลือก Edit...

2. เลือก Computer Configuration > Policies > Windows Settings > Security Settings >Account Policy > Account Lockout Policy.

จากรูปแสดง Account Lockout Policy ที่เราสามารถกำหนดได้ เราสามารถตั้งค่าได้โดยดับเบิลคลิกที่ Policy settings หรือ คลิกขวาเลือก properties.

3. ในหน้าต่าง Account lockout duration policy.

• ให้เลือก "Define this policy setting"
• Account is locked out for: 15 minutes

หลังจากนั้นจะมีหน้าต่างแนะนำ(บังคับ)ให้ตั้งค่าตามที่แสดงให้กด OK เราสามารถเปลี่ยนแปลงที่หลังได้.

4. ในหน้าต่าง Account lockout threshold.

• เลือก Define this policy settings
• Account will lock out after: 10 invalid logon attempts.

หลังจากนัั้นให้กด OK จะมีหน้าต้าง suggested setting บังคับให้เปิดใช้งาน Allow Administrator account lockout ให้กด OK.

5. เข้ามาตรวจสอบว่า Policy setting "Allow Administrator account lockout" ได้เปิดใช้งาน (Enabled).

6. หน้าต่าง Reset account lockout counter after.

• เลือก Define this policy settings.
• กำหนดค่า Reset account lockout counter after: 15 minutes.

หลังจากนั้นให้เลือก OK.

7. สุดท้ายจะได้ค่า Configuration ตามด้านล่างนี้.

ตรวจสอบค่าที่เกี่ยวข้องกับ Account Lockout Policy.

ส่วนที่ 1: ส่วนที่ใช้ในการนับ bad password count.

1. ไปที่ User> คลิกขวา Properties > attribute editor > find attribute name "badPwdCount" and "batPasswordTime"

จากภาพจะแสดง attribute ที่ใช้ในการเก็บค่า ฺpassword failed (badPwdCount) และเวลาล่าสุดที่ event เกิดขึ้น (batPasswordTime).

ส่วนที่ 2 จะเป็นส่วนที่บงบอกว่าสถาณะของ account (locked or unlock)

การดูสถานะ Account ว่า lock หรือ ไม่ lock สั่งเกตุที่แท็บ Account จะมี checkbox และมีขอความว่า Unlock account.

• ถ้าหาก Unlock account (account ไม่ถูก lock)
• ถ้าหาก Unlock account. This account is currently locked out on this Active Directory Domain Controller (account ถูก locked)

ทดสอบผลของการตั้งค่า Account Lockout Policy.

เมื่อผู้ใช้พยายามที่จะ sing-in โดยใส่ password ผิดเกิดที่ policy ได้กำหนดคือ 10 ครั้ง.

จากรูปด้านล่างนี้แสดง badPwdCount จะมีค่าเป็น 5 แสดงว่า user ใส่ password ผิดมาแล้ว 5 ครั้ง.

หลังจากผู้ใช้งาน sign-in ผิดเกิน 10 ครั้ง จะมีข้อความแจ้ง "The referenced account is currently locked out and may not be logged on to. หลังจากนี้ถึงจะใส่ password ถูกต้อง ก็เข้าระบบไม่ได้อยู่ดี. แต่ในช่วงที่โดน locked จะไม่มีการนับ badPwdCount ต่อ.

หลังจากนั้นมาตรวจสอบใน Attribute editor > จะมีส่วนของ badPwdCount เท่ากับ 10.

หมายเหตุ: ค่า badPwdCount และ badPasswordTime จะไม่ถูก Replication ไปยัง domain controller ตัวอื่น.

แต่ในส่วของการ Unblock account จะมีเหมือนกัน.

สำหรับการ Unlock account มีดังนี้.

วิธีที่ 1: รอให้ reset account.

ในกรณีถ้าหากเราตั้งค่า Reset account lockout counter after ให้สามารถ reset account เองหลังจากผ่านไปกี่นาที.

การ Unlock account โดย Reset account lockout counter after โดยค่านี้ตั้งไวที่ 15 นาที.

จากรูปด้านล่าง เทียบเวลาที่ account lock out และ เวลาปัจจุบัน ณ. วันนั้น.

ฺbadpasswordtime = 3: 10: 10 PM และ currentime = 3: 27:19 PM ผ่านมาเป็นเวลาประมาณ 17 นาที. (17>15) ตัว Account lock จะทำการ reset ให้เอง. และ user สามารถเข้าใช้งานได้ปกติ.

วิธีที่ 2: การ Unlock account โดย Administrator.

หาก User ใส่ password ผิดและทำให้ account lock ตามรูปด้านล่างนี้ เราสามารถให้ Administrator เป็นคน unlock account ให้ได้.

โดย admin สามารถเข้าไปใน ADUC แล้วเลือก User ที่ต้องการ unlock โดยคลิกขวา เลือก Properties > ไปที่แท็บ Account สั่งเกตุว่าหลังคำว่า Unlock account จะมีขอความ "This account is currently locked out on this Active Directory Domain Controller" แสดงว่า account โดน locked แล้ว เราสามารถ unblock account ได้ดังนี้.

• เลือก chekbox ที่หน้า Unlock account
• กด OK หรือ Apply หลังจากนั้นข้อความ "This account is currently locked out on this Active Directory Domain Controller" จะหายไป แสดงว่าถูก unlock เรียบร้อยแล้ว
• ค่า badPwdCount จะถูก reset เป็น "0"

อ้างอิง.

รายละเอียด Account Lockout Policy.

Ref: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/account-lockout-policy

Read More

วิธีตั้งค่า Password Policy บน Domain Controller

สำหรับบทความนี้จะพูดถึงการกำหนด Password Policy ให้ผู้ใช้งานใช้ password ที่มีความแข็งแกร่งยิ่งขึ้น และป้องกันจาก การถูกโจมตีจากผู้ไม่ประสงค์ดี.

ใน AD DS จะมี Password Policy ที่ถูกตั้งค่าใน Group Policy ซึ่งจะถูก apply ไปยังผู้ใช้งานทั้งหมดภายใน domain โดยจะมีค่าเริ่มต้นดังนี้.

Enforce password history: ค่าเริ่มต้น 24 password remembers.

กำหนดให้ user ห้าม reused password ย้อนหลังไป 24 ครั้ง. นั้นหมายถึงว่า password ครั้งที่ 1 จะต้องห้ามซ้ำกับ password ครั้งที่ 2-24 เราจะสามารถนำเอา password ครั้งที่ 1 มาใช้ใหม่ได้ในครั้งที่ 25 และวนไปเรื่อยๆ เหมื่อนงูกินห่าง.

Maximum password age: ค่าเริ่มต้น 42 Days.

กำหนดให้ password สามารถใช้ได้ถึงจำนวนวันที่กำหนดเมื่อเลยระยะเวลาที่กำหนด ระบบจะให้เปลี่ยน password (Password expired).

Minimum password age: ค่าเริ่มต้น 1 Day.

กำหนดให้ user สามารถเปลี่ยน password ได้ ถ้าหาก set 0 user จะสามารถเปลี่ยน password ได้ตลอดเวลา แต่ถ้าตั้งค่าเป็น 1 วัน ผู้ใช้จะสามารถเปลี่ยน password ได้วันละครั้งเท่านั้น..

Minumum password length: ค่าเริ่มต้น 7 charectors.

การกำหนดความยาวของ password เช่น ถ้ากำหนดเป็น 7 อักขระ ผู้ใช้งานจะต้องตั้ง password ให้ยาวไม่น้อยกว่า 7 อักขระ แต่สามารถตั้งให้ยาวกว่า 7 อักขระได้

Password must meet complexity requirements: ค่าเริ่มต้น Enabled (เปิดใช้งาน)

กำหนดให้ตั้ง strong password เช่น password อาจจะต้องมีตัวอักษร ตัวพิมพ์ใหญ่ (A-Z) ตัวพิมพ์เล็ก (a-z) ตัวเลข (0-9) และตัวอัคระพิเศษ ('-!"#$%&()*,./:;?@[]^_`{|}~+<=>) เป็นต้น.

Store password using reverible encryptiom: ค่าเริ่มต้น Disabled (ปิดการใช้งาน).

กำหนดให้สำหรับ application ที่ต้องใช้ password ในการ authentication และจะต้องสามารถ decrypt password ได้เป็นต้น.

การตั้วค่า Password Policy ขึ้นอยู่กับความต้องการขององค์กร ไม่ว่าจะเป็นการตั้งค่าให้เข้ากับองค์กร หรือต้องการปรับปรุ่งส่วนของ security แต่ถ้าหากยังไม่มี idia เลย Microsoft มีส่วนที่แนะนำให้ตั้งค่าดังนี้.

สำหรับค่า setting ที่ทาง Microsoft recommend มีดังนี้.

• Endorce password history: 24. (ใช้ค่าเริ่มต้น)
• Maximum password age: 42 วัน > 90 วัน (แนะนำระหว่า
•  30-90 วัน)
• Minimum password age: 1 วัน  (ใช้ค่าเริ่มต้น)
• minumum password length: 7  > 8 อักขระ
• Password must meet complexity requirements: Enabled  (ใช้ค่าเริ่มต้น)
• Store password using reverible encryptiom: Disabled  (ใช้ค่าเริ่มต้น)

การตั้งค่า Password Policy.

ก่อนอื่นมาสำรวจค่าเริ่มต้นของ Password Policy ก่อน

1. เปิด Server Manager > Tools > Group Policy Management (GPM).

2. ในหน้า GPM ไปที่ root domain คลิกที่ Default Domain Policy > Edit...

3. ไปที่ Computer Configuration >Policies > Windows Settings > Security Settings > Accpint Policy > Password Policy เราจะเห็นว่ามี Policy settings ของ Password Policy ปรากฏอยู่.

4. ในบทความนี้จะตั้งค่าตาม Microsoft แนะนำ นั้นหมายถึงว่าเรามีการเปลี่ยนแปลงแค่บาง setting เท่านั้น.

5. ให้เราดับเบิลคลิด GPO หรือคลิกขวาที่ setting และเลือก properties ก็ได้ จากภาพด้านล่าง แสดง setting ของ Enforce password history เราสามารถกำหนดค่าจำนวน ครั้งให้ password remember ได้ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting set to 24).

6. จากภาพด้านล่าง แสดง setting ของ Maximum password age เราสามารถกำหนดค่าจำนวน วันให้ password expired ตั้งค่าเป็น 90 วัน แล้วคลิก OK.

7. จากภาพด้านล่าง แสดง setting ของ Minimum password edge เราสามารถกำหนดค่าจำนวน วัน ในการจำกัดอายุของ password ได้ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting to 1 day).

8. จากภาพด้านล่าง แสดง setting ของ Minimum password length เราสามารถกำหนดค่าจำนวน อักขระของ password ได้ส่วนนี้ตั้งค่าเป็น 8 characters. หลังจากนั้นให้กด OK.

9. จากภาพด้านล่าง แสดง setting ของ Password must meet complexity requirements เราสามารถ Enabled (เปิดการใช้งาน) หรือ Disabled (ปิดการใช้งาน) สำหรับใช้งาน password complexity ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting to Enabled).

10. จากภาพด้านล่าง แสดง setting ของ Store password using reverible encryptiom เราสามารถ Enabled (เปิดการใช้งาน) หรือ Disabled (ปิดการใช้งาน) สำหรับส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting set to Disabled).

11. เราจะได้ค่า settings ตามรูป.

ทดสอบหลังการตั้งค่า Password Policy.

ส่วนของ Admin.

ผู้ดูแลระบบ (Administrator) สร้าง user ใหม่โดยใส่ password แค่เพียง 7 อักขระ

 

เมื่อทำการกด Finish จะแสดงหน้า error ดังรูป.

ส่วนของ User.

เมื่อ User ต้องการเปลี่ยน password โดยกด Ctrl+Alt+Del และเลือก Change a password และใส่ password มีจำนวน 7 อักขระ.

ผู้ใช้งานจะไม่สามารถเปลี่ยน password ได้จะแสดงข้อความดังรูปด้านล่างนี้.

หลงจากนั้นให้ลองเพิ่มจำนวนของ password เป็น 8 อักขระตาม Password Policy ที่เราได้กำหนดไว้.

ผู้ใช้งานก็สามารถเปลี่ยน Password ได้ตามปกติ.

Read More