ITSESA.COM บทความ Windows Server

Password Complexity Policy

Password Complexity Policy

รหัสผ่านที่เข้มงวดบน Windows Server 2008 R2 นั้นเราคงเคยพบกันมาบ้างแล้ว อาการที่ว่าก็คือ เราไม่สามารถตั้งค่ารหัสผ่านแบบมักง่ายได้ โดยจะต้องมีการตั้งรหัสผ่านที่มีทั้งตัวพิมพ์เล็ก-ใหญ่, ตัวเลข, อัขระพิเศษ ปะปนกันไป จึงจะผ่าน Policy ที่ได้ถูกควบคุมไว้ แต่บางครั้งเราก็ต้องการทดสอบอะไรบางอย่างซึ่งไม่ต้องการความยุ่งยากในการพิมพ์ Password ขนาดนั้น

เราสามารถแก้ไข Password Policy นี้ได้โดยการเปิด Group Policy Management ขึ้นมา แล้วให้สร้าง Group Policy ใหม่

คลิกขวาที่ Group Policy Objects เลือก New

New Group Policy

Dialog New GPO ตั้งชื่อ GPO ว่า Password Complexity

New GPO

คลิกขวาที่ GPO Password Complexity เลือก Edit

Edit GPO

Browse Policy ไปที่ Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy

ซึ่งจะมีอยู่ 2 Policy ที่น่าสนใจ อย่างแรกคือ Password must meet complexity requirements ให้ Disabled และอีกตัวก็คือ Minimum Password Length อันนี้ผมเสริมมาเอง ให้ตั้งค่าเป็น 1

Password Policy

สิ่งที่ผมจะให้จำไว้คือ ในเมื่อ Policy นี้ถูกสร้างขึ้นมาใหม่ คุณอาจจะคิดว่า ทำไมจึงไม่ตั้งค่าเป็น Not Defined ไปล่ะ เหตุผลก็คือ Policy ที่คุณสร้างขึ้นมาใหม่นี้ แท้จริงแล้วถ้าหากคุณไปตรวจสอบ Default Group Policy คุณจะพบว่ามันมีการตั้งค่าใช้งาน Group Policy นี้ไว้อยู่แล้ว ซึ่งถ้าหากคุณสร้าง Group Policy ขึ้นมาใหม่แล้วระบุเป็น Not Defined มันก็จะทำให้ Policy ของคุณไม่ทำงาน เพราะมันจะไปเลือกใช้ Policy ที่ได้ถูก Defined ไว้นั่นเอง

คราวนี้มาดูกรณีนี้ครับ ด้วยเหตุผลที่ว่า Default Domain Policy ที่มีอยู่แล้วนั้น ได้กำหนด Policy เกี่ยวกับ Password Complexity ไว้แล้ว

Default Domain Policy

แต่ Group Policy ที่เราสร้างขึ้นมาใหม่ ดันไปขัดแย้งกับ Policy ของเดิม

Complexity Password GPO

ซึ่งจะทำให้ Policy ที่คุณสร้างขึ้นมาใหม่นั้น ไม่มีผลอีกเช่นเดียวกัน กรณีนี้คุณจะทำอย่างไร ผมมีทางเลือกให้ 2 อย่างก็คือ ให้คุณ Disable Default Domain Policy นี้ไป

Disable Default Domain Policy

ซึ่งเป็นทางเลือกที่ผมไม่แนะนำ เพราะหากเราลองทำตัวแบบเป็นคนมึน ๆ เบลอ ๆ แล้วล่ะก็ คุณจะไม่สามารถทราบได้ว่า Policy เดิมนั้นถูกกำหนดค่าใดไว้บ้าง และยิ่งเป็น Domain Policy แล้วล่ะก็ อาจจะมีผลกับการใช้งานในระดับ Domain เลยก็ได้ ดังนั้นทางเลือกที่ 2 คือการทำ Enforce Policy ที่ GPO อันใหม่

Enforced Policy

จากนั้นเปิด CMD ขึ้นมาแล้วพิมพ์คำสั่ง gpupdate /force บนเครื่อง Domain Controller นี่แหล่ะ

ทดสอบ Reset Password ที่ user1 บน AD ไปเลย โดยการตั้งรหัสผ่าน 1 ตัวเท่านั้น

Reset Password

เรียบร้อย

Password Changed

คำเตือน การเปลี่ยน Password Policy ด้วยวิธีนี้ ควรใช้สำหรับการทดสอบระบบภายในเท่านั้น ไม่ควรนำไปใช้งานจริง เพราะมีความเสี่ยงด้านความปลอดภัยเป็นอย่างมาก

Share
comments

Interest:

Last Article

microsoft-azure-onlineสอนใช้งาน Microsoft Azure...
03/06/2021
endian-firewall-online-courseคอร์สการติดตั้งไฟวอลล์ และเครือข่าย Network ด้วย Endian...
01/05/2018
mcse-windows-server-2016แนวทางการสอบ MCSE Windows Server 2016 และการสอบ MCSA Windows Server...
28/06/2017
windows-server-2016-course-onlineอบรม Windows Server คอร์สออนไลน์ภาษาไทย ก้าวสู่ System Admin กับ Windows...
06/06/2017
update-ms17-010-wannacryptอัพเดท Windows ป้องกัน WANNACRY ไวรัสเรียกค่าไถ่ WannaCrypt หรือ Wana...
15/05/2017