Cách thay đổi Domain Password Policy trên Windows Server 2008 R2 Active Directory

Đôi khi Password Policy làm cho bạn quá khó chịu, hoặc nó không phù hợp với chính sách của bạn thì bạn có thể tắt nó đi

Có mật khẩu mạnh trong mạng Active Directory(AD) đảm bảo rằng tin tặc không thể bẻ khóa mật khẩu của người dùng. Theo mặc định,trong miền Active Directory, người dùng sẽ được yêu cầu thay đổi mật khẩu sau mỗi 42 ngày và họ sẽ không thể sử dụng cùng một mật khẩu cũ, ít nhất là trong một thời gian.

Mật khẩu của họ cũng cần phải có 7 ký tự trở lên và chứa sự kết hợp của các ký tự, chẳng hạn như số, chữ hoa, chữ thường và không phải chữ và số.

Các cài đặt mật khẩu này là tốt nhất khi bắt đầu, nhưng chúng có thể không phù hợp với các yêu cầu của tổ chức Active Directory của bạn.

Trong bài viết này,Ting3s.com sẽ chỉ cho bạn cách định cấu hình và thiết lập Password Policy Active Directory.


1. Default Domain Password Policy

Active Directory Domain đi kèm với Default Domain Password Policy, giúp cải thiện bảo mật thông qua việc tăng cường bảo mật.

Chính sách này nhằm mục đích bắt buộc mật khẩu phải có đủ độ phức tạp, lâu hơn bình thường và hết hạn sau một thời gian.

Chính sách này hoạt động hiệu quả với các chính sách khác như Lockout Policy, cho phép bạn ngăn chặn các cuộc tấn công bằng cách giới hạn số lượng đăng nhập không chính xác được phép.


2. Cách xem Domain Password Policy

Chính sách mật khẩu được liên kết với miền gốc và được định cấu hình thông qua Group Policy. Để xem chính sách mật khẩu miền AD hiện tại, bạn hãy làm theo các bước sau:

- Mở bảng điều khiển Group Policy Management bằng cách nhấn Windows + X để mở hộp thoại Run, sau đó nhập vào lệnh gpmc.msc.

Cách thay đổi Domain Password Policy trên Windows Server 2008 R2 Active Directory

- Tại ngăn cửa sổ bên trái bạn tìm đến mục có tên Default Domain Policy > nhấn chuột phải chọn Edit

Cách thay đổi Domain Password Policy trên Windows Server 2008 R2 Active Directory

- Trong trình Group Policy Management Editor, tìm đến nút Password Policy bằng cách tìm theo các đường dẫn sau: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy

Cách thay đổi Domain Password Policy trên Windows Server 2008 R2 Active Directory


- Tại đây có 4 chính sách dành cho mật khẩu như sau:

1. Enforce password history: Thực thi lịch sử mật khẩu, nhớ 24 mật khẩu gần đây nhất

Cài đặt này buộc người dùng phải tạo mật khẩu mới và duy nhất bằng cách ngăn họ sử dụng lại mật khẩu cũ quá thường xuyên. Giá trị mặc định là 24,có nghĩa là người dùng sẽ không thể sử dụng lại 1 mật khẩu,nếu chưa sử dụng đủ 24 mật khẩu mới.

2. Maximun password age: Tuổi mật khẩu tối đa, hết hạn sau 42 ngày

Khi mật khẩu hết hạn 42 ngày, kể từ ngày tạo, ngày thay đổi,hệ thống sẽ yêu cầu thay đổi mật khẩu.

3. Minimum password age: Tuổi mật khẩu tối thiểu, hết hạn sau 1 ngày.

Cài đặt này giúp Enforce password history từ chối người dùng thay đổi mật khẩu quá thường xuyên,mặc định là 1 ngày, có nghĩa là sau 1 ngày thì bạn mới có thể thay đổi mật khẩu khác.

4. Minimum password length: Độ dài mật khẩu tối thiểu, 7 ký tự.

Mặc định cho cài đặt này là 7 ngày, có nghĩa là tất cả mật khẩu sẽ phải được tạo với ít nhất 7 ký tự.

5. Password must meet complexity requirements: Mật khẩu phải đáp ứng các yêu cầu phức tạp.

Khi bật tính năng này, bạn sẽ yêu cầu người dùng tạo mật khẩu phức tạp dựa trên các nguyên tắc nhất định:

- Người dùng không thể sử dụng tên tài khoản hoặc tên của người dùng ở bất kỳ đâu trên mật khẩu. Không được phép sử dụng 2 ký tự của tên liên tiếp.

- Người dùng phải bao gồm 3 loại ký tự khác nhau từ bất kỳ số nào(0-9), chữ hoa và chữ thường và các ký tự không phải chữ cái(@,$,&,#).

- Mật khẩu phải có ít nhất 6 ký tự

6. Store passwords using reversible encryption: Không lưu trữ mật khẩu bằng mã hóa có thể đảo ngược

Thông thường, mật khẩu đã mã hóa không thể được chuyển thành văn bản thuần túy. Nhưng trong một số trường hợp, người dùng sẽ cần sử dụng mật khẩu của họ với một số ứng dụng nhất định để có quyền truy cập vào miền.

Rất có thể, ứng dụng sẽ không thể giải mã mật khẩu, vì vậy bạn cần bật Mã hóa có thể đảo ngược.

Bạn không nên bật cài đặt này trừ khi có nhu cầu cụ thể cho ứng dụng. Nếu bạn bật, hãy thực hiện trên từng cở sở từng người dùng.

Close Menu