Group Policy İle Hesap Kilitleme Politikası Oluşturma
Group Policy ile Parola Politikası Oluşturma
Parola politikası ile kullanıcı parolalarını daha güvenli hale getirmiş oluruz. Fakat parola politikası ile birlikte güvenliği arttıracak hesap kilitleme politikasının da uygulanması yararlı olacaktır. Hesap kilitleme politikası kullanıcı hesaplarını Kaba-Kuvvet (Brute-Force) saldırılarından korumanın bir yoludur.
Kaba-Kuvvet saldırısı, deneme yanılma yöntemiyle kullanıcı parolasını ele geçirmek için kullanılan bir yöntemdir. Parolanın ele geçirilme süresi parolanın uzunluğuna ve karmaşıklığına göre değişecektir.
Hesap kilitleme politikasında ise amaç Kaba-Kuvvet saldırıları gibi yöntemlerle parola ele geçirme girişimi olduğunda saldırılan hesap veya hesapların kilitlenmesidir.
Microsoft Windows Server 2008 ve sonrasında aynı etki alanındaki farklı kullanıcı ve gruplar için farklı parola ve hesap kilitleme politikaları uygulanabilir hale geldi. İlgili makaleye aşağıdaki bağlantıdan ulaşabilirsiniz.
Hesap kilitleme politikasının group policy ile yapılandırılması için gerekli işlemler aşağıdaki gibidir.
Hesap kilitleme politikası domaindeki tüm kullanıcıları etkileyeceği için Default Domain Policy üzerinde uygulanmaktadır.
Default Domain Policy sağ tıklanıp Edit seçilir.
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy seçilir. Sağ tarafta kullanılabilecek yapılandırmalar görülmektedir.
Bu yapılandırmalar :
Account lockout duration : Hesap kilitleme süresi ile kullanıcı hesabı kilitlendiğinde hesap kilidinin otomatik olarak ne zaman açılacağı dakika olarak tanımlanır. 1 ile 99999 arasında değer alabilir. Değer olarak 0 verildiğinde hesabın kilidini sadece yönetici hesabına sahip bir kullanıcı açabilir. Varsayılan olarak tanımlanmamıştır.
Account lockout threshold : Hesap kilitleme eşiği ile kullanıcı hesabının kilitlenmesine neden olacak oturum açma denemesi sayısı tanımlanır. Hesap kilidi müdahale edilmezse tanımlanan hesap kilitleme süresi dolana kadar kullanılamaz. 1 ile 999 arasında bir değer alabilir. Değer olarak 0 verildiğinde hesap kilitlenmez. Değer 0’dan büyük olacaksa hesap kilitleme eşiği, hesap kilitleme süresi değerinden küçük veya eşit olmalıdır. Varsayılan değeri 0’dır.
Reset account lockout counter after : Hesap kilitleme sayacını sıfırla, başarısız oturum açma girişimi sayacı sıfırlanmadan önce kullanıcının oturum açamadığı andan itibaren geçmesi gereken süredir. 1 ile 99999 arasında bir değer alabilir. Hesap kilitleme sayacını sıfırla değeri, hesap kilitleme süresi değerinden küçük ya da eşit olmalıdır. Varsayılan olarak tanımlanmamıştır.
Örnekte bu yapılandırmalar aşağıdaki şekilde uygulanacaktır.
- Account lockout duration : 15
- Account lockout threshold : 10
- Reset account lockout counter after : 15
Account lockout duration çift tıklanır. Define this policy setting işaretlenir. Account is locked out for değeri 15 olarak değiştirilir. OK ile bitirilir.
OK ile bitirilmeye çalışıldığında aşağıdaki gibi bir uyarı alınır. Uyarıda hesap kilitleme süresinin 15 dakika olması nedeniyle hesap kilitleme eşiği ve hesap kilitleme sayacını sıfırla değerlerinin değiştirilmesini önermektedir. OK ile öneriler ve değişiklikler kabul edilir.
Account lockout threshold çift tıklanır. Hesap kilitleme süresi belirlenirken sistemin yaptığı öneri ile Account will lock out after değeri 5 olarak belirlenmişti. Account will lock out after değeri 10 olarak değiştirilir. OK ile bitirilir.
Reset account lockout counter after çift tıklanır. Hesap kilitleme süresi belirlenirken sistemin yaptığı öneri ile Reset account lockout counter after değeri 15 olarak belirlenmişti. Reset account lockout counter after için istenilen değer de bu olduğundan OK ile bitirilir.
Kuralların son durumu aşağıdaki gibi olacaktır.
Değişiklik yapılan Default Group Policy mevcut durumda tüm domaine uygulanmaktadır. Dolayısıyla hesap kilitleme politikası tüm kullanıcılar için geçerli olacaktır.
Böylece group policy ile hesap kilitleme politikası oluşturma işlemi tamamlanmış olur.
