วิธีตั้งค่า Password Policy บน Domain Controller

สำหรับบทความนี้จะพูดถึงการกำหนด Password Policy ให้ผู้ใช้งานใช้ password ที่มีความแข็งแกร่งยิ่งขึ้น และป้องกันจาก การถูกโจมตีจากผู้ไม่ประสงค์ดี.

ใน AD DS จะมี Password Policy ที่ถูกตั้งค่าใน Group Policy ซึ่งจะถูก apply ไปยังผู้ใช้งานทั้งหมดภายใน domain โดยจะมีค่าเริ่มต้นดังนี้.

Enforce password history: ค่าเริ่มต้น 24 password remembers.

กำหนดให้ user ห้าม reused password ย้อนหลังไป 24 ครั้ง. นั้นหมายถึงว่า password ครั้งที่ 1 จะต้องห้ามซ้ำกับ password ครั้งที่ 2-24 เราจะสามารถนำเอา password ครั้งที่ 1 มาใช้ใหม่ได้ในครั้งที่ 25 และวนไปเรื่อยๆ เหมื่อนงูกินห่าง.

Maximum password age: ค่าเริ่มต้น 42 Days.

กำหนดให้ password สามารถใช้ได้ถึงจำนวนวันที่กำหนดเมื่อเลยระยะเวลาที่กำหนด ระบบจะให้เปลี่ยน password (Password expired).

Minimum password age: ค่าเริ่มต้น 1 Day.

กำหนดให้ user สามารถเปลี่ยน password ได้ ถ้าหาก set 0 user จะสามารถเปลี่ยน password ได้ตลอดเวลา แต่ถ้าตั้งค่าเป็น 1 วัน ผู้ใช้จะสามารถเปลี่ยน password ได้วันละครั้งเท่านั้น..

Minumum password length: ค่าเริ่มต้น 7 charectors.

การกำหนดความยาวของ password เช่น ถ้ากำหนดเป็น 7 อักขระ ผู้ใช้งานจะต้องตั้ง password ให้ยาวไม่น้อยกว่า 7 อักขระ แต่สามารถตั้งให้ยาวกว่า 7 อักขระได้

Password must meet complexity requirements: ค่าเริ่มต้น Enabled (เปิดใช้งาน)

กำหนดให้ตั้ง strong password เช่น password อาจจะต้องมีตัวอักษร ตัวพิมพ์ใหญ่ (A-Z) ตัวพิมพ์เล็ก (a-z) ตัวเลข (0-9) และตัวอัคระพิเศษ ('-!"#$%&()*,./:;?@[]^_`{|}~+<=>) เป็นต้น.

Store password using reverible encryptiom: ค่าเริ่มต้น Disabled (ปิดการใช้งาน).

กำหนดให้สำหรับ application ที่ต้องใช้ password ในการ authentication และจะต้องสามารถ decrypt password ได้เป็นต้น.

การตั้วค่า Password Policy ขึ้นอยู่กับความต้องการขององค์กร ไม่ว่าจะเป็นการตั้งค่าให้เข้ากับองค์กร หรือต้องการปรับปรุ่งส่วนของ security แต่ถ้าหากยังไม่มี idia เลย Microsoft มีส่วนที่แนะนำให้ตั้งค่าดังนี้.

สำหรับค่า setting ที่ทาง Microsoft recommend มีดังนี้.

• Endorce password history: 24. (ใช้ค่าเริ่มต้น)
• Maximum password age: 42 วัน > 90 วัน (แนะนำระหว่า
•  30-90 วัน)
• Minimum password age: 1 วัน  (ใช้ค่าเริ่มต้น)
• minumum password length: 7  > 8 อักขระ
• Password must meet complexity requirements: Enabled  (ใช้ค่าเริ่มต้น)
• Store password using reverible encryptiom: Disabled  (ใช้ค่าเริ่มต้น)

การตั้งค่า Password Policy.

ก่อนอื่นมาสำรวจค่าเริ่มต้นของ Password Policy ก่อน

1. เปิด Server Manager > Tools > Group Policy Management (GPM).

2. ในหน้า GPM ไปที่ root domain คลิกที่ Default Domain Policy > Edit...

3. ไปที่ Computer Configuration >Policies > Windows Settings > Security Settings > Accpint Policy > Password Policy เราจะเห็นว่ามี Policy settings ของ Password Policy ปรากฏอยู่.

4. ในบทความนี้จะตั้งค่าตาม Microsoft แนะนำ นั้นหมายถึงว่าเรามีการเปลี่ยนแปลงแค่บาง setting เท่านั้น.

5. ให้เราดับเบิลคลิด GPO หรือคลิกขวาที่ setting และเลือก properties ก็ได้ จากภาพด้านล่าง แสดง setting ของ Enforce password history เราสามารถกำหนดค่าจำนวน ครั้งให้ password remember ได้ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting set to 24).

6. จากภาพด้านล่าง แสดง setting ของ Maximum password age เราสามารถกำหนดค่าจำนวน วันให้ password expired ตั้งค่าเป็น 90 วัน แล้วคลิก OK.

7. จากภาพด้านล่าง แสดง setting ของ Minimum password edge เราสามารถกำหนดค่าจำนวน วัน ในการจำกัดอายุของ password ได้ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting to 1 day).

8. จากภาพด้านล่าง แสดง setting ของ Minimum password length เราสามารถกำหนดค่าจำนวน อักขระของ password ได้ส่วนนี้ตั้งค่าเป็น 8 characters. หลังจากนั้นให้กด OK.

9. จากภาพด้านล่าง แสดง setting ของ Password must meet complexity requirements เราสามารถ Enabled (เปิดการใช้งาน) หรือ Disabled (ปิดการใช้งาน) สำหรับใช้งาน password complexity ส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting to Enabled).

10. จากภาพด้านล่าง แสดง setting ของ Store password using reverible encryptiom เราสามารถ Enabled (เปิดการใช้งาน) หรือ Disabled (ปิดการใช้งาน) สำหรับส่วนนี้ไม่มีการเปลี่ยนแปลง (ใช้ default setting set to Disabled).

11. เราจะได้ค่า settings ตามรูป.

ทดสอบหลังการตั้งค่า Password Policy.

ส่วนของ Admin.

ผู้ดูแลระบบ (Administrator) สร้าง user ใหม่โดยใส่ password แค่เพียง 7 อักขระ

 

เมื่อทำการกด Finish จะแสดงหน้า error ดังรูป.

ส่วนของ User.

เมื่อ User ต้องการเปลี่ยน password โดยกด Ctrl+Alt+Del และเลือก Change a password และใส่ password มีจำนวน 7 อักขระ.

ผู้ใช้งานจะไม่สามารถเปลี่ยน password ได้จะแสดงข้อความดังรูปด้านล่างนี้.

หลงจากนั้นให้ลองเพิ่มจำนวนของ password เป็น 8 อักขระตาม Password Policy ที่เราได้กำหนดไว้.

ผู้ใช้งานก็สามารถเปลี่ยน Password ได้ตามปกติ.

Read More

วิธีตั้งค่า Time sychronization บน Domain Controller.

#Tunning.

ในระบบสิ่งที่สำคัญอีกอย่างนึ่งคือเรื่องของ "เวลา" (Time) ไม่ว่าจะเป็นในส่วนของ Computer devices, applications ร่วมถึง network services ต่างๆ ถ้าหากเวลาไม่ตรงกันอาจจะทำให้เกิดปัญขึ้นได้ เช่นทำให้ข้อมูลที่ถูกแก้ไขไม่ถูกต้อง บ้าง application อาจจะทำงานผิดพลาดหรือแม้กระทั้งเรื่องของ event logs อาจจะทำให้ event ที่เกิดขึ้นจริงและเวลาไม่ตรงกัน ทำให้การแก้ปัญหายากขึ้น.

Network Time Protocol (NTP) Server เป็นอุปกรณ์ที่ใช้สำหรับเทียบเวลาอาจจะเป็น Physical และ application ก็ได้.

ตัวอย่าง Diagram ในบทความนี้.

จากรูปด้านบน.

1- เป็น NTP server ที่ให้บริการสำหรับ sync เวลาในบทความนี้จะเลือกของทาง กรมอุทกศาสตร์ กองทัพเรือ โดยทางเว็บไซต์จะให้บริการอยู่ 2 servers.

• time.navy.mi.th
• time2.navy.mi.th

.Ref: http://www.time.navy.mi.th/

สำหรับผู้ให้บริการ NTP Server ยังมีอีกหลายๆ ผู้ให้บริการภายในประเทศไทย.

2- เป็น server ที่ทำหน้าเป็น NTP server เพื่อให้บริการเทียบเวลาภายในองค์กรจะใช้เป็น apps หรือเป็น Host server ก็ได้. ในบทความนี้จะใช้ Endian Firewall (Freeware) ซึ่งมี feature สำหรับทำเป็น NTP Server โดยจะ sync time กับ time.navy.mi.th, time2.navy.mi.th.

3- กำหนด DC ที่ถือ PDC emulator ทำหน้าที่เป็นตัว sync time.

4- สำหรับ DC ตัวอื่นจะ sync time กับ DC ที่ถือ PDC emulator.

5- Client จะ sync time กับ DC ที่ตัวเองเชื่อมต่ออยู่ ณ. เวลานั้น.

Analyzer จาก BPA.

สำหรับเรื่องของการตั้งค่า time sync จะมีแจ้งเตือนใน Best Practices Analyzer.

จากรูปเป็นการรัน BPA สำหรับ DC จะเห็นว่ามี Error เกี่ยวกับ DC ที่ถือ PDC emulator master ไม่มีการตั้งค่า synchronization time.

ส่วนของ Application ที่ทำหน้าที่เป็น NTP Server.

• ตัวอย่างข้อมูล time souece http://www.time.navy.mi.th/ 
• ตัวอย่าง NTP server (application) ใช้เป็นตัว Endian firewall ซึ่งเป็น Freeware. 

1. จากรูปแสดง Time server ซึ่งจะ sync time มาจาก 2 servers. (time.navy.mi.th, time2.navy.mi.th) ซึ่ง application มี IP Address 172.16.10.254 (เปิดใช้งาน NTP server).

2. เริ่มตั้งค่า Time sync โดย.

ใ้ห้เปิด command line ด้วย run as administrator.

1. เช็ตว่าเครื่องใหนถือ PDC emulator role.
2. ตรวจสอบ Hostname เพื่อมั่นใจว่าตั้งค่าถูกเครื่อง.
3. Run command เพื่อตั้งค่า time sync.
4. หลังจากนั้นให้ run คำสังเพื่อ update การตั้งค่า

Example:

w32tm.exe /config /syncfromflags:manual /manualpeerlists:172.16.10.254,0x8 /reliable:yes /update

ตรวจสอบหลังตั้งค่า

1. เราสามารถตรวจสอบค่า configuration หลังติดตั้ง โดยเปิด Registry Editor โดยไปที่ Windows >Run > พิมพ์ regedit แล้วกด Enter.

เมื่อ registry editor เปิดขึ้นมาไปที่ HKEY_Local_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters ให้ดูค่า NtpServer จะแสดงค่าของ Time server.

2. แสดงการตรวจสอบก่อนและหลังโดยใช้ command line.

ตรวจสอบด้วย cmdlet "w32tm /query /status"

ตรวจสอบด้วย cmdlet "w32tm /query /peers"

ตรวจสอบด้วย cmdlet "w32tm /query /Configuration"

ตรวจสอบ Server และ Client.

ตรวจสอบที่ DC ที่ทำหน้าที่เป็น Time sync (PDC emulator)

จากรูปแสดงให้เห็นว่าเครื่อง DC ที่ถือ PDC emulator จะทำการ sync time (source) จาก NTP Server หมายเลข 172.16.10.254.

ตรวจสอบที่ DC ที่อยู่ภายใน domain เดียวกัน.

จากรูปตรวจสอบเครื่อง DC ที่อยู่ภายใน domain เดียวกันสั่งเกตุว่า sync time (source) จาก เครื่อง DC ที่ถือ PDCemulator อีกที่นึง

ตรวจสอบที่ Client ที่อยู่ภายใน domain.

ในส่วนแรกจะเป็นคำสั่งในการตรวจสอบว่า Client เกาะอยู่ที่ AD ตัวใหนโดยใช้คำสั่ง!

"nltest /dsgetdc:<domain.com>" จะสังเกตุว่า DC ที่เกาะอยู่เป็น ITC-AD02

หลังขากนั้นทำการดูสถาณะของ Time sync จะเห็นว่า sync time source จาก ITC-AD02.115itckp.local.

สรุปได้ว่า:

1. DC ที่ถือ PDC emulator จะเป็นตัวหลักในเรื่องของ sync time.
2. DC ตัวที่เหลือจะมา sync กับ DC ที่ทำหน้าที่เป็น NTP Server.
3. Client จะ sync time กับ DC ที่มันเกาะ ณ. เวลานั้น.

สุดท้ายเรากลับมา scan ด้วย ฺBPA อีกครั้งสังเกตุว่า Error ก่อนหน้านี้ได้หายไปแล้ว.

อ้างอิง:

ข้อมูล PDC emulator role.

Ref: https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles#pdc-emulator-fsmo-role

ข้อมูล NTP Server (Thailand)

Ref: http://www.time.navy.mi.th/

Read More

วิธีนำเครื่อง Computer เข้าสู่ระบบ Domain (Join Domain)

ในบทความนี้จะเป็นการนำเครื่อง Computer เข้ามาเป็นสมากชิกของ Domain (join domain) เพื่อที่เราจะสามารถความคุมหรือตั้งค่าผ่านต่างๆ โดยใช้ GPO และเราสามารถมั่นใจว่า Computer ที่เข้ามาใช้ระบบมีความปลอดภัยและน่าเชื่อถือ.

ตั้งค่า Network ก่อน join domain.

ก่อนที่จะนำเครื่อง Computer join domain เราจะต้องแน่ใจว่า computer สามารถติดต่อกับ Domain Controller ให้ได้ก่อน.

ตั้งค่า IP Address สำหรับ Computer client.

• IP Address: 172.16.10.200
• Subnet mask: 255.255.255.0
• Default gateway: 172.16.10.254
• Preferred DNS server: 172.16.10.11 (ITC-AD01)
• Alternate DNS server: 172.16.10.12 (ITC-AD02)

1. Sign-in computer ด้วย local administrator ให้เลือกไปที่ Windows > Settings.

2. ให้เลือก Network & internet > เลือก Ethernet.

3. ให้เลือก Edit ที่ IP assignment.

4. ตั้งค่า Network ตามที่ได้กำหนดข้างต้น หลังจากนั้นให้กด Save.

5. หลังจากบันทึกแล้วจะแสดงรายละเอียดของ IP Address.

6. ทดสอบการเชื่อมต่อ (connection) ระหว่าง Client และ Domain Controller.

โดยเราสามารถเช็ค DNS loopup และ connection ดั่งนี้.

• ใช้คำสั่ง nslookup แล้วตามด้วย domain name.
• จะ return addresses ของ DC ที่อยู่ในระยย
• ทดสอบด้วยการใช้คำสั่ง ping ไปยัง domain เพื่อทดสอบ connectiont (จะต้อง allow ICMP port)

ขั้นตอนการ Join domain.

ข้อมูลที่ใช้ในการ join domain มีดังนี้.

• ชื่อของ Domain หรือ NetBIOS domain name ใช้เป็น "115itckp"
• ใช้ User account ในการ join domain โดยค่าเริ่มต้น user สามารถ join domain ได้ (User สามารถ join domain ได้แต่ถูกจำกัดไว้ไม่เกิด 10 devices Link )
• Sign-in ด้วย local administrator.

1. sign-in ด้วย local administrator (itcadmin เป็น account ที่ถูกสร้างในขณะที่ติดตั้ง) แล้วไปที่ปุ่ม Windows > เลือก Settings..

2. .ให้เลือก System > About > เลือกที่ Domain or workgroup.

3.เลือกแท็บ Computer Name > เลือก Change.... ในตัวอย่างจะมีการกรอกข้อมูล 2 หัวข้อ.

• กรอกชื่อ Computer name: ITC-PC01 (ในกรณีที่ไม่ได้เปลี่ยนชื่อ Computer ตั้งแต่แรกอยู่แล้ว).
• Member of Domain: 115itckp (ใช้ Net BIOS domain name).

หลังจากนั้นให้เลือก OK.

4. หลังจากนั้นจะมีหน้าต่าง Welcome to the domain 115itckp domain ให้เลือก OK.

5. เครื่อง Computer จะให้ restart เพื่อ apply การตั้งค่า ให้คลิก OK ทั้ง 3 หน้าต่าง.

6. ให้กดปุ่ม Restart now เพื่อทำการ restart ได้เลย.

7. หลังจาก restart เครื่องกลับมาแล้ว เวลาจะ sign-in เข้าระบบจะแสดงข้อความ Sign in to: 115ITCKP.

ทดสอบเข้าใช้งาน Computer หลัง join domain.

หลังจากที่เราได้ join domain เสร็จแล้วเราสามารถใช้ user account ที่ถูกสร้างบน domain controller ในการ sing-in เข้าระบบได้เลย.

1. เข้าใช้งานระบบด้วย User ที่ถูกสร้างบน AD DS โดยใส่ Username และ password แล้วกด Enter.

2. ระบบจะแจ้งให้ User change password ในครั้งแรกที่ทำการ logon ให้เลือก OK.

3. ให้ตั้ง Password ใหม่โดยจะต้องห้ามซ้ำกับ password เดิม.

4. โดยกรอก New password และ Confirm password และกดปุ่ม Enter.

5. ให้กด OK.

6. เมื่อเปลี่ยน password สำเร็จจะแสดง account ที่ใช้ในการ sign-in เข้าระบบ computer.

7. เราสามารถตรวจสอบ computer ว่าเป็น member ของ domain ได้โดยไปที่ Windows > Settings > Account > Access work or school > สังเกตุว่าจะมี icon Connected to 115ITCKP AD domain

ตรวจสอบในระบบ Domain Controller

1. เปิด ADUC แล้วไปที่ OU ชื่อ Computers สังเกตุว่ามี Computer ที่เราได้ join domain มาอยู่ที่ OU นี้.

ตรวจสอบที่ DNS Server.

1. ไปที่ Server Manage > Tools > DNS server > เข้าไปที่ Forward Lookup Zone > เลือก 115itckp.local >สั่งเกตุว่าจะมี Host (A) ของ Client ถูกสร้างขึ้นมาใน DNS server ด้วย.

Read More