Password Complexity Policy
- Details
- Category: GPO Corner
- Published on 09/09/2012
- Hits: 31239
รหัสผ่านที่เข้มงวดบน Windows Server 2008 R2 นั้นเราคงเคยพบกันมาบ้างแล้ว อาการที่ว่าก็คือ เราไม่สามารถตั้งค่ารหัสผ่านแบบมักง่ายได้ โดยจะต้องมีการตั้งรหัสผ่านที่มีทั้งตัวพิมพ์เล็ก-ใหญ่, ตัวเลข, อัขระพิเศษ ปะปนกันไป จึงจะผ่าน Policy ที่ได้ถูกควบคุมไว้ แต่บางครั้งเราก็ต้องการทดสอบอะไรบางอย่างซึ่งไม่ต้องการความยุ่งยากในการพิมพ์ Password ขนาดนั้น
เราสามารถแก้ไข Password Policy นี้ได้โดยการเปิด Group Policy Management ขึ้นมา แล้วให้สร้าง Group Policy ใหม่
คลิกขวาที่ Group Policy Objects เลือก New
Dialog New GPO ตั้งชื่อ GPO ว่า Password Complexity
คลิกขวาที่ GPO Password Complexity เลือก Edit
Browse Policy ไปที่ Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy
ซึ่งจะมีอยู่ 2 Policy ที่น่าสนใจ อย่างแรกคือ Password must meet complexity requirements ให้ Disabled และอีกตัวก็คือ Minimum Password Length อันนี้ผมเสริมมาเอง ให้ตั้งค่าเป็น 1
สิ่งที่ผมจะให้จำไว้คือ ในเมื่อ Policy นี้ถูกสร้างขึ้นมาใหม่ คุณอาจจะคิดว่า ทำไมจึงไม่ตั้งค่าเป็น Not Defined ไปล่ะ เหตุผลก็คือ Policy ที่คุณสร้างขึ้นมาใหม่นี้ แท้จริงแล้วถ้าหากคุณไปตรวจสอบ Default Group Policy คุณจะพบว่ามันมีการตั้งค่าใช้งาน Group Policy นี้ไว้อยู่แล้ว ซึ่งถ้าหากคุณสร้าง Group Policy ขึ้นมาใหม่แล้วระบุเป็น Not Defined มันก็จะทำให้ Policy ของคุณไม่ทำงาน เพราะมันจะไปเลือกใช้ Policy ที่ได้ถูก Defined ไว้นั่นเอง
คราวนี้มาดูกรณีนี้ครับ ด้วยเหตุผลที่ว่า Default Domain Policy ที่มีอยู่แล้วนั้น ได้กำหนด Policy เกี่ยวกับ Password Complexity ไว้แล้ว
แต่ Group Policy ที่เราสร้างขึ้นมาใหม่ ดันไปขัดแย้งกับ Policy ของเดิม
ซึ่งจะทำให้ Policy ที่คุณสร้างขึ้นมาใหม่นั้น ไม่มีผลอีกเช่นเดียวกัน กรณีนี้คุณจะทำอย่างไร ผมมีทางเลือกให้ 2 อย่างก็คือ ให้คุณ Disable Default Domain Policy นี้ไป
ซึ่งเป็นทางเลือกที่ผมไม่แนะนำ เพราะหากเราลองทำตัวแบบเป็นคนมึน ๆ เบลอ ๆ แล้วล่ะก็ คุณจะไม่สามารถทราบได้ว่า Policy เดิมนั้นถูกกำหนดค่าใดไว้บ้าง และยิ่งเป็น Domain Policy แล้วล่ะก็ อาจจะมีผลกับการใช้งานในระดับ Domain เลยก็ได้ ดังนั้นทางเลือกที่ 2 คือการทำ Enforce Policy ที่ GPO อันใหม่
จากนั้นเปิด CMD ขึ้นมาแล้วพิมพ์คำสั่ง gpupdate /force บนเครื่อง Domain Controller นี่แหล่ะ
ทดสอบ Reset Password ที่ user1 บน AD ไปเลย โดยการตั้งรหัสผ่าน 1 ตัวเท่านั้น
เรียบร้อย
คำเตือน การเปลี่ยน Password Policy ด้วยวิธีนี้ ควรใช้สำหรับการทดสอบระบบภายในเท่านั้น ไม่ควรนำไปใช้งานจริง เพราะมีความเสี่ยงด้านความปลอดภัยเป็นอย่างมาก