Contact
Line : comsiam
Password Policy คือหนึ่งในระบบ Security สำคัญที่สุดของ Active Directory เพราะเป็นตัวกำหนดว่า Password ของ User ในองค์กรต้อง:
- ยาวเท่าไร
- ซับซ้อนแค่ไหน
- เปลี่ยนทุกกี่วัน
- Lock Account เมื่อกรอกผิดกี่ครั้ง
หลายองค์กรโดน Ransomware หรือถูก Hack เพราะใช้ Password อ่อนเกินไป เช่น:
- 123456
- password
- company123
ดังนั้นการตั้ง Password Policy ที่ดีบน Windows Server 2025 ถือเป็นพื้นฐาน Security ที่สำคัญมาก ซึ่งทีม comsiam มักตั้งเป็นขั้นตอนแรกหลังติดตั้ง Domain Controller
บทความนี้จะสอนการตั้งค่า Password Policy แบบละเอียด พร้อม Best Practice สำหรับองค์กรจริง
① Password Policy คืออะไร
Password Policy คือกฎเกี่ยวกับ Password ของ User
ใช้กำหนด:
- ความยาว Password
- ความซับซ้อน
- อายุ Password
- การ Lock Account
② ทำไม Password Policy สำคัญมาก
หาก Password อ่อน:
- เดาง่าย
- Brute Force ง่าย
- เสี่ยงโดน Hack
องค์กรส่วนใหญ่:
ใช้ GPO บังคับ Password ทั้งบริษัท
③ สิ่งที่ต้องมี ก่อนตั้ง Password Policy
ต้องมี:
- ติดตั้ง Active Directory แล้ว
- ใช้ Domain Controller
④ วิธีเปิด Group Policy Management
เปิด:
Server Manager
> Tools
> Group Policy Managementหรือใช้:
gpmc.msc⑤ Password Policy ควรตั้งที่ไหน
แนะนำ:
ตั้งใน:
Default Domain Policyเพราะมีผลทั้ง Domain
⑥ วิธี Edit Default Domain Policy
คลิกขวา:
Default Domain Policyเลือก:
Edit⑦ Path สำหรับ Password Policy
ไปที่:
Computer Configuration
> Policies
> Windows Settings
> Security Settings
> Account Policies
> Password Policy⑧ Minimum Password Length คืออะไร
กำหนดความยาวขั้นต่ำ
แนะนำ:
12 Charactersขั้นต่ำจริงๆ:
ไม่ควรต่ำกว่า:
8 Characters⑨ Password Complexity คืออะไร
บังคับให้ Password ต้องมี:
- A-Z
- a-z
- 0-9
- Symbol
เปิด:
Password must meet complexity requirementsเลือก:
Enabled⑩ Maximum Password Age คืออะไร
บังคับเปลี่ยน Password ทุกกี่วัน
แนะนำ:
90 Daysบางองค์กรใช้:
60 Days⑪ Minimum Password Age คืออะไร
กัน User เปลี่ยน Password ซ้ำทันที
แนะนำ:
1 Day⑫ Enforce Password History คืออะไร
กัน User ใช้ Password เดิมซ้ำ
แนะนำ:
24 Passwords⑬ Store Password Using Reversible Encryption
ควรเป็น:
Disabledเพราะไม่ปลอดภัย
⑭ วิธีตั้งค่า Account Lockout
ไปที่:
Account Lockout Policy⑮ Account Lockout Threshold คืออะไร
กรอก Password ผิดกี่ครั้งถึง Lock
แนะนำ:
5 Attempts⑯ Account Lockout Duration
Lock นานเท่าไร
แนะนำ:
15 Minutes⑰ Reset Account Lockout Counter
รีเซ็ต Counter ภายในกี่นาที
แนะนำ:
15 Minutes⑱ วิธี Force GPO
ใช้:
gpupdate /force⑲ วิธีตรวจสอบ Password Policy
ใช้ CMD:
net accountsจะเห็น:
- Password Length
- Lockout
- Age
⑳ วิธีทดสอบ Password Policy
ลอง:
- ตั้ง Password สั้น
- ตั้ง Password ง่าย
หากโดน Block:
แปลว่าสำเร็จ
㉑ Fine-Grained Password Policy คืออะไร
ใช้ตั้ง Password Policy แยกตาม Group
ตัวอย่าง:
- Admin → Password เข้มงวด
- User ทั่วไป → ปกติ
เหมาะกับองค์กรใหญ่
㉒ Password Policy ที่แนะนำสำหรับองค์กร
ตัวอย่าง:
Length: 12+
Complexity: Enabled
History: 24
Max Age: 90 Days
Lockout: 5 Attempts㉓ ปัญหาที่พบบ่อย
Password Policy ไม่ทำงาน
สาเหตุ:
- GPO ไม่ Apply
- DNS ผิด
- Policy ซ้อนกัน
User เปลี่ยน Password ไม่ได้
สาเหตุ:
Minimum Password Age
Account Lockout บ่อย
สาเหตุ:
Service เก็บ Password เก่า
㉔ วิธีตรวจสอบ GPO
ใช้:
gpresult /rและ:
rsop.msc㉕ แนวทาง Password Security ที่ดี
แนะนำ:
- ใช้ MFA
- ใช้ Password Manager
- ใช้ Password ยาว
- Monitor Failed Login
หลายองค์กรยังใช้ Password อ่อนมาก ซึ่งทีม comsiam มักแนะนำให้ใช้ MFA ร่วมกับ Password Policy เสมอ
㉖ สิ่งที่ไม่ควรทำ
ไม่ควร:
- ใช้ Password สั้น
- ปิด Complexity
- ไม่ Lock Account
- ใช้ Password เดิมทั้งบริษัท
㉗ Password Policy กับ MFA ต่างกันยังไง
Password Policy
ควบคุม Password
MFA
เพิ่ม Layer ความปลอดภัย
ปัจจุบัน:
องค์กรควรใช้ทั้งสองอย่าง
㉘ สรุป
Password Policy บน Windows Server 2025 เป็นพื้นฐาน Security สำคัญของ Active Directory และองค์กรทั้งหมด
หากตั้งค่าดี:
- ลดความเสี่ยงโดน Hack
- ป้องกัน Brute Force
- เพิ่มความปลอดภัยของ User
โดยเฉพาะองค์กรที่ใช้ Domain Password Policy ถือเป็น Security ขั้นพื้นฐานที่ต้องมีเสมอ
