Active Directory’de parola gereksinimlerini kontrol etme

Active Directory (AD), Grup İlkesi Nesnesi (GPO) aracılığıyla, oluşturulan parolalar için gereksinimleri zorlamak ve bunların bir ihlali engelleyecek kadar karmaşık ve güçlü olmasını sağlamak için varsayılan etki alanı parola ilkeleri ve ayrıntılı parola ilkeleri sunar. Varsayılan bir etki alanı parola ilkesi tek bir etki alanındaki tüm kullanıcıları yönetirken, bir etki alanındaki birden çok grup için ayrıntılı parola ilkeleri oluşturulabilir.

Active Directory etki alanı Grup İlkesi parola ilkesi, aşağıdaki sekiz ayardan oluşur:

• Parola geçmişi: Eski bir parolanın tekrar kullanılabilmesi için kullanılması gereken yeni parola sayısını ayarlayın.
• Maksimum parola geçerlilik süresi: Bir değişiklik zorunlu kılınmadan önce bir parolanın en fazla kaç kez kullanılabileceğini belirtin.
• Minimum parola geçerlilik süresi: Bir parolanın değiştirilebilmesi için en az kaç kez kullanılması gerektiğini ayarlayın.
• Minimum parola uzunluğu: Parolanın içermesi gereken minimum karakter sayısını zorunlu kılın.
• Parolalar karmaşıklık gereksinimlerine uymalıdır: Bu ayarı karşılamak için aşağıdaki kurallara riayet edilmelidir:
  • Kullanıcının hesap adını veya kullanıcının tam adının ortak art arda iki karakteri aşan bölümlerini içermemelidir.
  • En az altı karakter uzunluğunda olmalıdır.
  • Hem büyük harfler hem de küçük harflerden biri veya her ikisiyle birlikte rakamlar ve semboller içermelidir.
• Parolaları ters şifreleme kullanarak sakla: Şifreleme yoluyla saklanan parolaların şifresinin çözülmesine izin verin.
• Minimum parola uzunluğu denetimi: Bir uyarı oluşturmak için minimum parola uzunluğunu belirleyin ve kısa parolalara izin vermeyin.
• Minimum parola uzunluğu sınırlarını gevşet: Minimum parola uzunluğu ayarının en üst sınırının eski sınır olan 14'ün ötesine yükseltilip yükseltilemeyeceğini kontrol edin.

Bir kullanıcı için Active Directory parola gereksinimlerini nasıl kontrol edersiniz?

Windows PowerShell, Active Directory modülündeki cmdlet'leri aracılığıyla bir kullanıcı için geçerli parola gereksinimlerini görüntülemenin en hızlı yolunu sunar. Varsayılan etki alanı parola ilkesini ve bir etki alanına uygulanan ayrıntılı parola ilkesini görüntüleyen iki cmdlet aşağıda verilmiştir:

• Get-ADDefaultDomainPasswordPolicy: Kullanıcı hesabını yöneten varsayılan etki alanı parola ilkesini görüntüler.
• Get-ADFineGrainedPasswordPolicy: Kullanıcı hesabını yöneten ayrıntılı parola ilkesini görüntüler.

Genel Active Directory parola ilkelerinin sınırlamaları

Active Directory tarafından sunulan parola ilkeleri oldukça ilkeldir. PowerShell kullanarak parola oluşturmak, elle yapılan bir işlemdir ve insan hatasına açıktır. Ayrıca, PowerShell tarafından oluşturulan parolalar modern parola ihlali tekniklerine karşı koyamaz. Kullanıcı parola ilkesi gereksinimlerini her görüntülemek istediğinde PowerShell'i çağırmak oldukça zahmetli bir işlem olabilir.

Çok faktörlü kimlik doğrulaması, çoklu oturum açma ve self servis parola yönetimi özelliklerine sahip bir kimlik güvenliği çözümü olan ManageEngine ADSelfService Plus, standart Active Directory parola ilkelerine göre avantajlar sağlayan gelişmiş Active Directory parola gereksinimleri sunar:

• Parola ilkesi, etki alanı ve grupların yanı sıra belirli kuruluş birimlerine de uygulanabilir.
• Sözlük sözcükleri, desenler ve palindromlar kısıtlanabilir.
• Unicode karakterleri zorunlu kılınabilir.
• Aynı karakterin art arda tekrarlanması ve eski parola ve kullanıcı adlarındaki karakter dizileri yasaklanabilir.
• Belirli karakter türleri için minimum karakter sayısı zorunlu tutulabilir.

Bu gelişmiş parola karmaşıklığı gereksinimleri şunlara uygulanabilir:

• Ctrl+Alt+Del ekranı kullanılarak parola değiştirme işlemleri
• Active Directory Kullanıcıları ve Bilgisayarları portalı kullanılarak BT yöneticileri tarafından parola sıfırlama
• ADSelfService Plus portalı kullanılarak Active Directory ve kurumsal uygulamalar için self servis parola sıfırlama ve web tabanlı parola değiştirme işlemleri

Bu çözüm, yukarıdaki parola değiştirme ve sıfırlama örnekleri sırasında oluşturulan parola ilkesini görüntüleme seçeneği de sunar. Bu şekilde, kullanıcılar parola oluştururken uymaları gereken parola gereksinimlerinden haberdar edilir.

Parola karmaşıklığı gereksinimleri, dijital kimliklerin güvenliğini sağlamak için tek çözüm değildir. Kimlik avı gibi yöntemlerle parola hırsızlığı daha yaygın hale gelmiştir ve dijital kimliklerin doğrulanması yalnızca kimlik bilgilerine bağlı olamaz. Çok faktörlü kimlik doğrulaması, kullanıcı kimliklerinin kimlik bilgisi hırsızlıklarına ve saldırılarına yenik düşmemesini sağlayan önemli bir çözümdür. ADSelfService Plus, biyometrik kimlik doğrulama, zamana bağlı bir kerelik parola ve donanım kimlik doğrulama dahil olmak üzere 19 farklı kimlik doğrulama yöntemi kullanarak çok faktörlü kimlik doğrulaması sunar. Çok faktörlü kimlik doğrulaması, makineler, sanal özel ağlar, Outlook Web Access ve bulut uygulamaları gibi uç noktalarda oturum açma işlemleri sırasında uygulanabilir. Ayrıca, ürünü kullanarak self servis parola sıfırlama ve web tabanlı parola değiştirme işlemlerinin güvenliğini sağlamak için de kullanılır.

ADSelfService Plus’ın Özellikleri

• Self servis parola sıfırlama ve hesap kilidi açma
• Çok faktörlü kimlik doğrulaması
• Kurumsal SSO
• Parola eşitleme
• Koşullu erişim ilkeleri
• Parola ilkesi yürütücü
• Parola süresinin sonu bildirimi
• Dizin self servisi
• Posta grubu aboneliği
• Çalışan arama ve kuruluş şeması