Mến chào bạn đọc. Hôm nay có 1 bạn khách hàng muốn đặt Password đơn giản cho User chạy trên Windows Server 2022 mà bạn ấy đã mua bản quyền từ www.KeyPhanMem.VN và www.KeyBanQuyen.VN .Nên sẵn mình viết bài giới thiệu :
Để từ đó bạn đọc hay khách hàng có thể cân nhắc thiệt hơn khi tắt hoặc bật Password Complexity Requirements.
Tính năng “Password must meet complexity requirements” (Yêu cầu mật khẩu phải đáp ứng độ phức tạp) đã được Microsoft giới thiệu và bắt đầu áp dụng từ Windows Server 2000.
Nó được ra mắt cùng thời điểm với Active Directory (AD).
Kể từ Windows Server 2000, chính sách này đã được bật mặc định trên tất cả các máy Domain Controllers (thông qua Default Domain Policy) và trên các máy chủ độc lập (standalone servers) để tăng cường bảo mật.
Vì vậy, tất cả các phiên bản sau này (như Windows Server 2003, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, và Windows Server 2022, Windows Server 2025) đều kế thừa và duy trì chính sách bảo mật quan trọng này.
Tính năng Password Complexity Requirements trong Windows là gì?Đầu tiền bạn cần mở Command Prompt hoặc PowerShell với quyền Administrator lên.
Thực thi lệnh : secpol.msc để tiến hành truy cập vào : Local Security Policy .
Cấu hình Password Complexity Requirements trong Windows là gì?
Tiếp đó nhìn sang bên trái, chúng ta chọn : Account Policies / Password Policy và nhìn sang bên phải chú ý tới : Password must meet complexity requirements .
Truy cập Local Security Policy trong Windows Server
Tới đây bạn nháy chuột phải và chọn Prroperties hoặc nháy đúp chuột để bật hoặc tắt Password Complexity Requirements được rồi.
Tắt hoặc bật Password Complexity Requirements trong Windows là gì?
CỰC KỲ CÓ HẠI. Tắt tính năng “Password complexity requirements” (Yêu cầu mật khẩu phức tạp) là một rủi ro bảo mật NGHIÊM TRỌNG, đặc biệt là trên một máy chủ (Server).
Tính năng này là tuyến phòng thủ cơ bản và quan trọng nhất của máy chủ, buộc người dùng phải tạo mật khẩu mạnh. Khi bạn tắt nó đi, bạn đang mở toang cánh cửa cho kẻ tấn công.
Dưới đây là các tác hại trực tiếp:
Đây là rủi ro lớn nhất và ngay lập tức.
Đó là một máy chủ thử nghiệm (Lab ảo), được cô lập hoàn toàn (không kết nối Internet, không kết nối mạng công ty), và chỉ dùng để cài đặt, thử nghiệm phần mềm trong thời gian ngắn,học tập chứ không áp dụng vào mô hình thực tế.
KHÔNG BAO GIỜ được tắt tính năng này trên một máy chủ đang hoạt động thực tế (Production Environment).
Tính năng Password Complexity Requirements trong Windows là gì?
Để từ đó bạn đọc hay khách hàng có thể cân nhắc thiệt hơn khi tắt hoặc bật Password Complexity Requirements.
Tính năng “Password must meet complexity requirements” (Yêu cầu mật khẩu phải đáp ứng độ phức tạp) đã được Microsoft giới thiệu và bắt đầu áp dụng từ Windows Server 2000.
Nó được ra mắt cùng thời điểm với Active Directory (AD).
Kể từ Windows Server 2000, chính sách này đã được bật mặc định trên tất cả các máy Domain Controllers (thông qua Default Domain Policy) và trên các máy chủ độc lập (standalone servers) để tăng cường bảo mật.
Vì vậy, tất cả các phiên bản sau này (như Windows Server 2003, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, và Windows Server 2022, Windows Server 2025) đều kế thừa và duy trì chính sách bảo mật quan trọng này.
Thực thi lệnh : secpol.msc để tiến hành truy cập vào : Local Security Policy .
Tiếp đó nhìn sang bên trái, chúng ta chọn : Account Policies / Password Policy và nhìn sang bên phải chú ý tới : Password must meet complexity requirements .
Tới đây bạn nháy chuột phải và chọn Prroperties hoặc nháy đúp chuột để bật hoặc tắt Password Complexity Requirements được rồi.
CỰC KỲ CÓ HẠI. Tắt tính năng “Password complexity requirements” (Yêu cầu mật khẩu phức tạp) là một rủi ro bảo mật NGHIÊM TRỌNG, đặc biệt là trên một máy chủ (Server).
Tính năng này là tuyến phòng thủ cơ bản và quan trọng nhất của máy chủ, buộc người dùng phải tạo mật khẩu mạnh. Khi bạn tắt nó đi, bạn đang mở toang cánh cửa cho kẻ tấn công.
Dưới đây là các tác hại trực tiếp:
Đây là rủi ro lớn nhất và ngay lập tức.
- Tấn công Từ điển (Dictionary Attack):Hacker sẽ sử dụng một danh sách (từ điển) gồm hàng triệu mật khẩu đơn giản, phổ biến nhất.
- Khi bạn tắt “complexity”, những mật khẩu như 123456, password, admin, administrator, 123@abc… trở nên hợp lệ.
- Một phần mềm tấn công có thể thử hàng ngàn mật khẩu này mỗi giây. Mật khẩu “123” của bạn sẽ bị bẻ khóa trong chưa đầy 1 giây.
- Tấn công Dò Mật Khẩu (Brute Force): Kẻ tấn công sẽ thử mọi tổ hợp ký tự. Nếu mật khẩu của bạn chỉ là số (ví dụ: 123456), thời gian để bẻ khóa là cực nhanh so với một mật khẩu phức tạp (ví dụ: P@ssw0rd!2025).
Một khi kẻ tấn công đoán được mật khẩu đơn giản của tài khoản Administrator, chúng sẽ có toàn bộ quyền kiểm soát máy chủ. Hậu quả bao gồm:- Mất toàn bộ dữ liệu: Kẻ tấn công có thể xóa sạch mọi thứ trên máy chủ.
- Bị mã hóa tống tiền (Ransomware): Đây là kịch bản tồi tệ nhất. Toàn bộ dữ liệu của bạn sẽ bị mã hóa, và bạn phải trả hàng ngàn đô la (hoặc nhiều hơn) để lấy lại, mà không có gì đảm bảo.
- Bị đánh cắp thông tin nhạy cảm: Dữ liệu khách hàng, thông tin kế toán, bí mật kinh doanh… sẽ bị lộ ra ngoài.
- Bị lợi dụng làm bàn đạp (Botnet): Máy chủ của bạn sẽ bị biến thành một “zombie” để đi tấn công các máy chủ khác, gửi email spam, hoặc đào tiền ảo, làm tiêu tốn tài nguyên và hủy hoại uy tín (IP) của bạn.
Bạn CHỈ được phép tắt tính năng này trong một trường hợp DUY NHẤT:Đó là một máy chủ thử nghiệm (Lab ảo), được cô lập hoàn toàn (không kết nối Internet, không kết nối mạng công ty), và chỉ dùng để cài đặt, thử nghiệm phần mềm trong thời gian ngắn,học tập chứ không áp dụng vào mô hình thực tế.
KHÔNG BAO GIỜ được tắt tính năng này trên một máy chủ đang hoạt động thực tế (Production Environment).
Xin chào
Có thể bạn thích những bài này đó ngen.
