Active Directory Fine Grained Password Policy yani FGPP konusunda sizleri bilgilendireceğiz. Bilindiği gibi default domain policy üzerinde password policy kısmında aslında bir çok password ayarları yapabiliyoruz. Fakat bu tüm domain kullanıcıları ile geçerli olmaktadır. Domain yapısında güvenlik olarak baktığımızda çok kritik kullanıcılarınız veya gruplarınız olmaktadır. Bu gruplarda bulunan kullanıcıların şifre politikaları daha güçlü olmak zorundadır.
Örnek olacak olursa 8 karakterli güçlü olmayan karakterler bulunan bir şifrenin 1 saat 20 dk da kırıldığını biliyor musunuz. Bu sebepten dolayı kritik kullanıcılarınızın bulunduğu gruplara daha farklı ve daha gelişmiş password policy uygulamak gerekmektedir.
Burada devre FGPP girmektedir. FGPP bizlere farklı kullanıcı ve gruplara özel password policy oluşturma imkanı sağlamaktadır. Peki FGPP nasıl oluşturulmaktadır. Bunu gösterelim.
Active Directory Fine Grained Password Policy Yapılandırılması
İlk olarak Active Directory Administrative Center’ı açıyoruz.
System containerını seçiyoruz.
System container>Password Settings Container kısmına gidiyoruz.
Burada Password Setttings Container kısmına sağ click ile New>Password Settings seçiyoruz
Açılan ekranda tüm ayarlamalarımızı yapacağız.
- Name:Policy’e isim veriniz
- Precedence: Öncelik sırasıdır. Diğer parola politikaları ile çakışması durumunda düşük olanı alır.
- Enforce Minumun password length: En az kaç karakter olacağı
- Enforce password history: En son kaç parolayı hatırlayacağını söyler.
- Password must meet complexity requirements: Karmaşık password koyulması gerektiğini söyler. Yani büyük/küçük harf noktalama işareti sayı gibi hepsini içermesi gerektiğini
- Store password using reversible encryption: Parolanın düz yani clertext olarak saklanalıp,saklanamayacağını söylemektedir. Default olarak devre dışıdır.
- Protect from accidental deletion: Yanlışıkla veya kazayla policy’in silinmesini engeller.
- Enforce minumun password age:En az passwordun kullanım süresi
- Enforce maximum password age: En fazla passwordun kullanım süresi, bu süre sonunda değiştirmeniz gerekir.
- Account Lockout Policy : açılırsa kilintlenme ayarlarını yapabilirsiniz.
- Number of failed logon attemps allowed:En fazla kaç tane yanlış şifre girilmesine izin verileceği , o kadar yanlış girildiğinde hesabın lock edilmesi.
- Reset Failed logon attemps count after:Kaç dakika sonra yanlış şifre girme sayasının sıfırlanacağı.
- Account will be locked out:Burada for a duration seçerek kaç dakika lock olarak kalacağını seçebilirsiniz , veya sadece administrator bunu manuel olarak açabilir olarak yapabilirsiniz.
En önemli bölüm ise aşağıda bulunan Directly Applies To bölümünde kime uygulamak isterseniz onu seçmeniz gerekmektedir.
Sonuç olarak Active Directory Fine Grained Password Policy sayesinde admin gruplarımızın password ayarlarını normal kullanıcılardan ayırabilmekteyiz. Bu sayede daha complex yapılar şifre politakaları ile güvenlik önlemlerimizi arttırmaktayız. FGPP genellikle Domain Admins, Tier 0 , Tier 1 hesapları için kullanılmaktadır. Tabiki sizlerin sistemlerinde farklı kullanıcı grupları olabilir onlara da uygulanabilmektedir.
En son olarak sizlere kaç haneli şifreler ne kadar sürede kırılmaktadır. Yani şifre uzunluğu ve kompleksliği bizlere neler sağlıyor bunu göstermek için bir fotoğraf paylaşıyorum.
Diğer yazılarımızı aşağıdaki kategorilerden takip edebilirsiniz.