วิธีบังคับเปลี่ยนรหัสผ่านทุก 90 วัน บน Windows Server 2022 ตามมาตรฐานองค์กร
การบังคับเปลี่ยนรหัสผ่านเป็นระยะเป็นหนึ่งในนโยบายด้านความปลอดภัยที่องค์กรจำนวนมากใช้งานบน Windows Server 2022 เพื่อช่วยลดความเสี่ยงจากรหัสผ่านรั่วไหล การถูกขโมยบัญชีผู้ใช้ และการเข้าถึงระบบโดยไม่ได้รับอนุญาต
แม้ปัจจุบันหลายองค์กรเริ่มใช้ MFA และ Passwordless Authentication มากขึ้น แต่ในระบบจำนวนมากที่ยังใช้ Username และ Password เป็นหลัก การกำหนดอายุรหัสผ่าน (Password Expiration) ยังคงเป็นมาตรการที่สำคัญ
บทความนี้จะอธิบายวิธีบังคับเปลี่ยนรหัสผ่านทุก 90 วันบน Windows Server 2022 พร้อมแนวทางการตั้งค่าที่เหมาะสมสำหรับองค์กร
🔍 Password Expiration คืออะไร
Password Expiration คือการกำหนดอายุการใช้งานของรหัสผ่าน
เมื่อครบกำหนด
ผู้ใช้งานจะต้องเปลี่ยนรหัสผ่านใหม่
ตัวอย่าง
กำหนด 90 วัน
↓
ครบ 90 วัน
↓
ระบบบังคับเปลี่ยนรหัสผ่าน
🛡️ ทำไมต้องบังคับเปลี่ยนรหัสผ่าน
ช่วยลดความเสี่ยงจาก
✅ Password Leak
✅ Credential Theft
✅ Shared Password
✅ Insider Threat
✅ Long-Term Credential Exposure
⚠️ หากไม่กำหนด Password Expiration
ผู้ใช้งานบางคนอาจใช้รหัสผ่านเดิม
1 ปี
3 ปี
5 ปี
หรือมากกว่านั้น
หากรหัสผ่านรั่วไหล
ผู้โจมตีอาจใช้งานได้เป็นเวลานาน
🚀 วิธีตั้งค่า Password Expiration
กด
Windows + R
พิมพ์
secpol.msc
กด Enter
📂 ไปยัง Password Policy
เลือก
Security Settings
→
Account Policies
→
Password Policy
🔒 ตั้งค่า Maximum Password Age
เปิด
Maximum Password Age
กำหนด
90
วัน
จากนั้นกด
OK
📅 ความหมายของ Maximum Password Age
ตัวอย่าง
90 วัน
หมายถึง
ผู้ใช้ต้องเปลี่ยนรหัสผ่านทุก 90 วัน
หากครบกำหนด
ระบบจะบังคับให้เปลี่ยนก่อนเข้าสู่ระบบ
⚙️ ตั้งค่า Minimum Password Age
เปิด
Minimum Password Age
ค่าที่แนะนำ
1 วัน
ช่วยป้องกันผู้ใช้เปลี่ยนรหัสผ่านหลายครั้งติดกันเพื่อกลับไปใช้รหัสเดิม
🔄 ตั้งค่า Password History
เปิด
Enforce Password History
ค่าที่แนะนำ
24
รหัสผ่านล่าสุด
ช่วยป้องกันการนำรหัสเดิมกลับมาใช้
🌐 ตั้งค่าผ่าน Group Policy
สำหรับ Domain
เปิด
gpmc.msc
ไปที่
Computer Configuration
→
Windows Settings
→
Security Settings
→
Password Policy
🔎 ตรวจสอบนโยบายปัจจุบัน
เปิด Command Prompt
net accounts
จะเห็นค่า
Maximum Password Age
ปัจจุบัน
👤 ตรวจสอบวันหมดอายุของ User
PowerShell
Get-ADUser username -Properties PasswordLastSet
ช่วยดูวันที่เปลี่ยนรหัสผ่านล่าสุด
📋 แจ้งเตือนก่อนหมดอายุ
Windows จะแจ้งเตือนผู้ใช้ล่วงหน้า
ก่อนถึงวันหมดอายุ
โดยปกติประมาณ
7-14 วัน
ขึ้นอยู่กับการตั้งค่าองค์กร
🔐 Password Expiration กับ MFA
การบังคับเปลี่ยนรหัสผ่านควรใช้ร่วมกับ
✅ MFA
✅ Password Complexity
✅ Account Lockout
เพื่อเพิ่มความปลอดภัย
🚨 ข้อเสียของการเปลี่ยนรหัสผ่านบ่อยเกินไป
หากกำหนด
30 วัน
ผู้ใช้อาจ
จดรหัสผ่านไว้
ใช้รูปแบบเดิมซ้ำ
ลืมรหัสผ่านบ่อย
ซึ่งอาจสร้างปัญหาด้าน Security ได้เช่นกัน
🏢 ค่าแนะนำสำหรับองค์กร
องค์กรส่วนใหญ่นิยม
90 วัน
หรือ
180 วัน
ขึ้นอยู่กับนโยบายความปลอดภัย
🔥 บัญชีที่ไม่ควรหมดอายุ
บางกรณี
Service Account
Application Account
Backup Account
อาจตั้งค่า
Password Never Expires
แต่ต้องมีมาตรการควบคุมเพิ่มเติม
⚠️ ตรวจสอบ Service Account ก่อนเปลี่ยนนโยบาย
หาก Service Account หมดอายุ
อาจทำให้
Application หยุดทำงาน
Backup ล้มเหลว
Service Start ไม่ได้
ควรตรวจสอบก่อนทุกครั้ง
📊 Security Checklist
ตรวจสอบให้ครบ
✅ Maximum Password Age Configured
✅ Password History Enabled
✅ Minimum Password Age Enabled
✅ MFA Enabled
✅ Account Lockout Enabled
✅ Password Complexity Enabled
🏢 แนวทางสำหรับองค์กร
Microsoft แนะนำ
Strong Password
Password History
MFA
Security Monitoring
ร่วมกัน
มากกว่าการพึ่ง Password Expiration เพียงอย่างเดียว
ทีมดูแลระบบของ comsiam มักกำหนด Maximum Password Age บน Windows Server 2022 ไว้ที่ 90 วันสำหรับบัญชีทั่วไป และใช้ MFA กับบัญชี Administrator เพื่อเพิ่มความปลอดภัยของระบบโดยรวม
🚀 Security Best Practices
Maximum Password Age 90 วัน
Password History 24 รายการ
Minimum Password Age 1 วัน
เปิด MFA
เปิด Account Lockout
ใช้ Password Complexity
สรุป
การบังคับเปลี่ยนรหัสผ่านทุก 90 วันบน Windows Server 2022 ช่วยลดความเสี่ยงจากการใช้รหัสผ่านเดิมเป็นเวลานาน และช่วยจำกัดผลกระทบหากรหัสผ่านรั่วไหล
สำหรับองค์กรและผู้ดูแลระบบของ comsiam การใช้ Password Expiration ร่วมกับ MFA, Password Complexity และ Account Lockout Policy จะช่วยให้ Windows Server 2022 มีความปลอดภัยสูงขึ้นและสอดคล้องกับแนวทาง Security Hardening ระดับองค์กร