Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
GPO Password Policy – AD Parola Ayarları
GPO Password Policy
Active Directory ortamında güvenlik politikalarının bel kemiğini parolalar oluşturur. Kullanıcı hesaplarının yetkisiz erişimlere karşı korunabilmesi için parola politikalarının doğru şekilde yapılandırılması şarttır. Bu yazıda, GPO Password Policy üzerinden parola politikalarının nasıl ayarlanacağını ve ek olarak Account Lockout Policy gibi kritik ayarların nasıl yapılandırılacağını adım adım ele alacağız.
Group Policy’nin Oluşturulması ve Varsayılan Politikalar
Başlamak için Start > Windows Administrative Tools > Group Policy Management yolunu takip ediyoruz. Burada tüm GPO’ları Group Policy Objects altında görebilirsiniz.
Active Directory kurulumu sonrasında varsayılan olarak iki adet GPO otomatik gelir:
- Default Domain Controller Policy: Sadece Domain Controllers OU altında bulunan DC’leri etkiler. İçerisinde domain controller’lara özgü ayarlar vardır.
- Default Domain Policy: Domain’in en tepesine bağlıdır ve tüm kullanıcıları ve bilgisayarları etkiler. Genel güvenlik ayarlarının uygulandığı ana GPO’dur.
Parola politikalarını değiştirmek için biz genellikle Default Domain Policy üzerinden ilerleriz.
Password Policy Ayarları
Default Domain Policy üzerinde şu adımları izliyoruz:
Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy
Burada Microsoft’un varsayılan parola ayarları karşımıza çıkar. Kısaca:
- Enforce Password History: Eski parolaların yeniden kullanılmasını engeller.
- Maximum Password Age: Bir parolanın en fazla kaç gün kullanılabileceğini belirler.
- Minimum Password Age: Parola değiştirildikten sonra en az kaç gün kullanılacağını belirtir.
- Minimum Password Length: Parolanın minimum uzunluğunu tanımlar.
- Password must meet complexity requirements: Harf, rakam, büyük/küçük harf ve özel karakter gibi karmaşıklık kurallarını zorunlu kılar.
- Store Passwords Using Reversible Encryption: Parolaları geriye dönüştürülebilir şekilde saklar. Güvenlik açısından zayıf bir yöntem olduğu için disable edilmelidir.
Varsayılan ayarlar temel bir koruma sağlar ancak günümüz güvenlik tehditleri karşısında yetersiz kalır. Bu nedenle Microsoft’un önerdiği şekilde politika değerlerini daha sıkı hale getirmek gerekir:
- Minimum uzunluk: 8-10 karakter
- History: Son 5-10 parola tekrar kullanılamasın
- Maximum Age: 60-90 gün
- Complexity: Açık
Ayrıca, Minimum Password Age ayarının “0” olması kullanıcıya aynı gün içinde defalarca şifre değiştirme imkanı verir. Bu durum bazı güvenlik riskleri doğurabilir. En ideali, kullanıcıların bir günde sadece bir kez şifre değiştirmesine izin verilmesidir.
Account Lockout Policy
Parola politikaları kadar önemli bir diğer konu da hesap kilitleme politikalarıdır. Bu sayede brute force ataklarının önüne geçilebilir.
Yine aynı GPO ekranında Account Lockout Policy başlığı altında şu ayarları bulabilirsiniz:
- Account Lockout Threshold: Kullanıcının kaç kez hatalı giriş yaptıktan sonra kilitleneceğini belirler. Önerilen değer: 5
- Account Lockout Duration: Hesap kilitlendiğinde kaç dakika sonra otomatik açılacağını belirler. Genellikle 30 dakika makul bir süredir.
- Reset Account Lockout Counter After: Hatalı giriş sayacının ne kadar süre sonra sıfırlanacağını belirler. Bu değer genellikle Account Lockout Duration ile aynı ya da daha düşük tutulur.
Bu ayarları yapmazsak, saldırganlar şifre kombinasyonlarını sınırsız şekilde deneyebilir. Dolayısıyla brute force saldırıları ciddi bir tehdit haline gelir.
Kerberos Policy
Kerberos ayarları için Microsoft’un varsayılan değerlerini korumak genellikle yeterlidir.
Politikanın Uygulanması
Yapılan değişiklikler 90–120 dakika içerisinde otomatik uygulanır. Eğer anında uygulanmasını istiyorsanız:
- Sunucu veya istemcide
gpupdate /forcekomutunu çalıştırabilirsiniz. gpresult /rile hangi politikaların uygulandığını görebilirsiniz.gpresult /H c:\gpreport.htmlkomutuyla HTML formatında detaylı bir rapor oluşturabilirsiniz.
Ayrıca gpedit.msc üzerinden bilgisayara uygulanmış olan local policy ayarlarını da kontrol edebilirsiniz.
Doğru yapılandırılmış GPO Password Policy ve hesap kilitleme politikaları, Active Directory güvenliğinin temel taşlarından biridir. Özellikle kritik verilerin bulunduğu ortamlarda bu ayarların gözden geçirilmesi ve kurumsal standartlara uygun hale getirilmesi büyük önem taşır.
Daha detaylı bilgi için:
