Active Directory Fine-grained password policy (FGPP)
Active Directory, kullanıcı hesabı parolası oluşturmak için yapılandırılabilir kuralları tanımlayan bir varsayılan parola ilkesiyle birlikte gelir (Default Domain Policy). Kurallar minimum ve maksimum parola yaşını, uzunluğunu, karmaşıklığını, geçmişini ve şifreleme ayarlarını içerir. Ancak bu geleneksel parola ilkesi, yalnızca bağlı olduğu etki alanının tamamı için geçerli olduğundan, belirli bir kullanıcı, grup veya kuruluş birimi grubu için özelleştirilemez.
Active Directory, bu önemli dezavantajın üstesinden gelmek için, parola ilkelerinin etki alanındaki farklı kullanıcı ve gruplara göre uyarlanmasına olanak tanıyan ayrıntılı parola ilkesi (FGPP) özelliği (Windows Server 2008 ve sonraki sürümlerde) sunar.
FGPP’nin kapsamı ve işlevselliği
- Bir FGPP kullanmak için etki alanı, Windows Server 2008 ve üzeri bir işlevsel düzeyde çalışmalıdır.
- FGPP’ler, etki alanı içinde birden çok Parola Ayarları Nesnesi (PSO) oluşturarak çalışır. Parola ve hesap kilitleme ilkeleri her bir PSO’da özelleştirilebilir.
- Etki alanı yöneticileri veya yetki verilmiş izinlere sahip kullanıcılar
- Active Directory Yönetim Merkezi’nde veya PowerShell kullanarak oluşturulabilir
- Farklı OU’lara,Gruplara ve kullanıcılara PSO’lar oluşturabilir ve atanabilir.
- FGPP PSO’ları yalnızca kullanıcı nesneleri ve genel güvenlik grupları için geçerlidir.
- Bir etki alanındaki bir kullanıcı grubuna veya genel güvenlik gruplarına bir FGPP uygulandığında, varsayılan etki alanı parola ilkesi artık bu nesneler için geçerli değildir.
- FGPP’ler, hassas verilere erişen veya birden çok gizli veri kaynağıyla senkronize edilen kullanıcı hesaplarının daha sıkı parola ve hesap kilitleme politikaları gerektirdiği durumlarda kullanılabilir.
AD üzerinden Active Directory Administrative Center ekranını açıyoruz. Gelen ekran üzerinden Active Directory ismimize tıklıyoruz, sonrasında Password Settings Container üzerine geliyoruz.
Password Settings Container üzerine gelerek sağ click, New/Password Settings seçiyoruz.
Doldurulması zorunlu alanları boş bırakamdan doldurmamız gerekmektedir.Bu alanların hangi amaçlarla kullanıldığını da kısaca bilgiler verelim.
Name: PSO policysine vereceğimiz adı burda gireriz. Ben BT_Admin PasswordPolicy olarak verdim.
Precedence: Policy öncelik değeri bu alandan belirliyoruz, diğer parola politikalarıyla çakışması durumunda küçük olan değerdeki politikayı alacaktır.
Enforce Minimum Password Lenght: Belirlenecek parolanın minimum karakter sayısını belirtmektedir.
Enforce password history: En son kaç parolanın hatırlanacağını belirtmektedir.
Password must meet complexity requirements: Parolanın complex olup olmayacağını belirlediğimiz alandır.
Enforce minimum password age : Parolanın değiştirilebilmesi için geçmesi gereken minimum sürenin belirlendiği alandır.
Enforce maximum password age : Parolanın maksimum kullanım süresinin belirlendiği alandır.
Enforce Account Locout Policy : Ayrıca dilerseniz farklı bir tanımlama olarakta kullanıcı 5 defa yanlış bilgiler ile login olmaya çalışırsa hesabını 30 dakika kilitli kalabilir. (Number of failed logon attempts allowed)
Parola politikamızı belirledikten sonra, bu politikanın uygulanmasını istediğimiz grupları Directly Applies To alanında Add seçip ekleyerek devam ediyoruz. Bt_Admin adındaki grubumu PSO’ma ekledim.
Parola politikamız başarılı bir şekilde oluşturulmuş oldu
FGPP ile önem düzeyi yüksek hesaplarımızı Default Domain Policy altındaki Password Policy’den gelen yetersiz parola güvenliğinden ayrıştırarak, kendi hazırlamış olduğumuz güvenli bir parola politikasına kavuşturduk. Bu sayede parola politikasını alan kullanıcılar parola oluşturma anında daha güvenilir parolalar oluşturmasına zorlanmış olacaklardır.
Örnek olarak kullanıcımızda 8 hanelik bir parola oluşturmak istediğimizde password policymizin başarılı bir şekilde çalıştığını görmüş oluyoruz.
Ek olarak parola kırılma süreleri
