Active Directory Parola Politikası: Ayarlama ve Yönetme
21 / Kasım / 23
Dünya genelinde siber saldırıların artmasıyla birlikte, kuruluşların sağlam bir parola politikasına sahip olmaları, her zamankinden daha kritik hale geldi. Bilgisayar korsanları, genellikle meşru kullanıcı veya yönetici kimlik bilgilerini kullanarak kurumsal ağlara erişim sağlayarak güvenlik olaylarına ve uyumluluk hatalarına yol açarlar. Bu makalede, güçlü ve etkili bir Active Directory parola politikasının nasıl oluşturulacağını ve sürdürüleceğini inceleyeceğiz.
Saldırganlar Nasıl Parolaları Ele Geçiriyor?
Siber saldırılarla mücadelede, bilgisayar korsanlarının çeşitli teknikleri vardır:
1.Deneme Yanılma Saldırısı: Bilgisayar korsanları, belirli bir kullanıcı hesabı için doğru şifreyi bulana kadar çeşitli potansiyel şifreleri deneyen programlar çalıştırır.
2.Sözlük Saldırısı: Bu, sözlükte bulunan kelimelerin olası şifreler olarak denenmesini içeren özel bir kaba kuvvet saldırı biçimidir.
3.Parola Püskürtme Saldırısı: Saldırganlar, birden fazla kullanıcı hesabına karşı ortak şifreleri deneyerek çalışıp çalışmadıklarını görmeye çalışır.
4.Kimlik Bilgisi Doldurma Saldırısı: Bilgisayar korsanları, çeşitli şirket giriş portallarına kimlik bilgisi listelerini girmek için otomatik araçlar kullanır.
5.Örümcekleme: Saldırganlar, bir bilgisayar korsanlığı hedefi hakkında mümkün olduğunca çok bilgi toplar ve ardından bu verileri kullanarak oluşturulan şifreleri dener.
Active Directory Parola Politikası Nasıl Görüntülenir ve Düzenlenir?
Bu saldırılara karşı korunmak için, kuruluşların güçlü bir Active Directory parola politikasına ihtiyacı vardır. Parola politikaları, minimum uzunluk, karmaşıklık ve parolanın değiştirilmeden önce ne kadar süre kullanılacağı gibi parola oluşturma kurallarını tanımlar. Parola politikasını yapılandırmak için yöneticiler, etki alanındaki tüm nesneleri etkileyen ayarları içeren bir Grup İlkesi Nesnesi (GPO) olan Varsayılan Etki Alanı İlkesi’ni kullanabilir. Bu GPO’yu görüntülemek veya düzenlemek için:
1.Grup Yönetimi Konsolu’nu (GPMC) açın.
2.Etki Alanları klasörünü genişletin, ilkesine erişmek istediğiniz etki alanını seçin ve Grup İlkesi Nesneleri’ni seçin.
3.Varsayılan Etki Alanı İlkesi klasörünü sağ tıklatın ve Düzenle’yi tıklatın.
Bir etki alanının varsayılan parola politikasında yapılan değişikliklerin, o etki alanındaki tüm hesaplar için geçerli olduğunu unutmayın. Ayrıca, Windows Server’daki Active Directory Yönetim Merkezi’ni (ADAC) kullanarak ayrıntılı parola politikaları oluşturabilir ve yönetebilirsiniz.
AD Parola İlkesi Ayarlarını Anlama
İşte altı parola ilkesi ayarı ve bunların varsayılan değerleri:
1.Parola Geçmişi İlkesi: Varsayılan değer 24’tür. Bu ayar, kullanıcıların eski bir parolayı yeniden kullanmadan önce oluşturmaları gereken benzersiz parola sayısını belirtir. Bu, ele geçirilmiş parolalara karşı riski azaltmak için önemlidir.
2.Maksimum Parola Yaşı: Varsayılan değer 42’dir. Bu ayar, bir parolanın ne kadar süre var olabileceğini belirler. Kullanıcılar genellikle parola sona erme sürelerinin sonuna ulaştıklarında bir uyarı alırlar.
3.Minimum Parola Yaşı: Varsayılan değer 1 gündür. Bu ayar, kullanıcının değiştirmesine izin verilmeden önce bir parolanın ne kadar süreyle var olması gerektiğini belirtir.
4.Minimum Parola Uzunluğu: Varsayılan değer 7’dir. Bu ayar, bir parolanın sahip olabileceği en az karakter sayısını belirler.
5.Karmaşıklık Gereksinimleri: Varsayılan ayar Etkin’dir. Bu ayar, bir kullanıcının parola dizesine eklemesi gereken karakter türlerini belirtir.
6.Parolaları Tersine Çevrilebilir Şifreleme Kullanarak Depolama: Varsayılan değer Devre Dışıdır. Bu ayar, kullanıcıların kimlik doğrulama için bir parola girmesini gerektiren uygulamalar için destek sunar.
İnce Taneli İlke ve Nasıl Yapılandırıldığı
AD’nin eski sürümleri, her etki alanı için yalnızca bir parola ilkesi oluşturmasına izin veriyordu. İnce taneli parola ilkelerinin (FGPP) kullanıma sunulması, yöneticilerin iş ihtiyaçlarını daha iyi karşılamak için birden fazla parola ilkesi oluşturmasını mümkün kılmıştır. Örneğin, yönetici hesaplarının normal kullanıcı hesaplarından daha karmaşık parolalar kullanmasını isteyebilirsiniz. İstediğiniz parola ilkeleriyle eşleşmesi için organizasyon yapınızı dikkatlice tanımlamanız önemlidir.
NIST SP 800-63 Parola Yönergeleri
Ulusal Standartlar Enstitüsü (NIST), dijital kimliklerin yönetimine ilişkin kontroller ve gereklilikler yayınlamakla görevli federal bir kurumdur. SP 800-63B, parolalara yönelik standartları kapsayan bir belgedir. Bu yönergeler, kuruluşlara sağlam bir parola güvenliği altyapısı oluşturmak için bir temel sağlar.
NIST önerileri şunları içerir:
● Kullanıcı tarafından oluşturulan parolaların en az 8 karakter uzunluğunda olması zorunlu kılın.
● Kullanıcıların 64 karakter uzunluğuna kadar parola oluşturmasına izin verin.
● Kullanıcıların şifrelerinde herhangi bir ASCII/Unicode karakter kullanmasına izin verin.
● Sıralı veya tekrarlanan karakterler içeren parolalara izin vermeyin.
AD Parola İlkesi En İyi Uygulamaları
İşte Active Directory parola ilkesi için en iyi uygulamaların bir özeti:
● En az 8 karakterlik bir minimum parola uzunluğu belirleyin.
● Kullanıcının son 10 parolasına bakan bir parola geçmişi ilkesi uygulayın.
● Kullanıcıların geçmiş parolalar arasında hızla dönüp bir öncekini belirlemelerini önlemek için minimum parola yaşını 3 gün yapın.
● Önerilen yeni parolaları yasaklı parola listeleri, ihlal edilen parola listeleri ve parola sözlükleriyle karşılaştırın.
● Yerel yönetici parolalarını her 180 günde bir sıfırlayın.
● Cihaz hesap parolalarını yılda en az bir kez sıfırlayın.
● Etki alanı yönetici hesapları için parolaların en az 15 karakter uzunluğunda olmasını zorunlu kılın.
● Kullanıcılara parolalarının süresinin dolmak üzere olduğunu bildirmek için e-posta bildirimlerini ayarlayın.
Netwrix ile veri güvenliğinizi kolaylaştırır.
2006 yılından bu yana Netwrix çözümleri, güvenlik profesyonellerinin hassas verileri tespit edip koruyarak ihlal riskini azaltmalarını ve saldırıları tespit etmelerini, yanıtlamalarını ve saldırılardan kurtulmalarını sağlayarak etkilerini sınırlandırarak hayatlarını kolaylaştırıyor. Dünya çapında 13.000’den fazla kuruluş, veri, kimlik ve altyapı olmak üzere üç ana saldırı vektörünün tamamında güvenlik ve uyumluluk duruşlarını güçlendirmek için Netwrix çözümlerine güveniyor.
