Fine-Grained Password Policy

Fine Grained Password Policy Nedir?

Microsoft Windows Server 2000 ve  Microsoft Windows Server 2003 Active Directory domainlerinde, domaindeki tüm kullanıcılara ve gruplara yalnızca bir parola ilkesi ve bir hesap kilitleme ilkesi uygulanabiliyordu. Bunun sonucunda ise farklı parola ve hesap kilitleme ilkesi isteyen kuruluşlar ya bir parola filtresi oluşturmalıydı ya da birden fazla domaine sahip olmalıydı. Her iki yöntem de farklı nedenlerle maliyetlidir. Microsoft Windows Server 2008 ve sonrasında aynı etki alanındaki farklı kullanıcı ve gruplar için farklı parola ve hesap kilitleme ilkesi uygulanabilir hale geldi.

Fine-Grained Password Policy yalnızca genel güvenlik grupları (Security Groups) ve kullanıcı nesneleri için geçerlidir. Dikkat edilmesi gereken diğer hususlar ise aşağıdaki gibidir :

  • Yalnızca Domain Admins grubunun üyeleri Fine-Grained Password Policy uygulayabilir. Fakat delege edilebilir.
  • Etki alanı işlevi düzeyi (Domain Functional Level) en az Windows Server 2008 olmalıdır. Forest ve Domain Functional Level’ları aşağıdaki PowerShell komutları ile kontrol edilebilir.

Forest Functional Level : (Get-ADForest).ForestMode

Domain Functional Level : (Get-ADDomain).DomainMode

Fine Grained Password Policy - 01
  • İlke yönetimi yalnızca Active Directory Yönetim Merkezi (Active Directory Administrative Center) veya Windows PowerShell aracılığıyla yapılır.

Fine-Grained Password Policy Nasıl Yapılandırılır?

Fine-Grained Password Policy’i (FGGP) etkinleştirmek için aşağıdaki yol izlenir.

Active Directory Administrative Center -> Tree View -> System Containerı genişletilir.

Fine Grained Password Policy - 02

System containerı altında bulunan Password Settings containerına sağ tık -> New -> Password Settings seçilir.

Fine Grained Password Policy - 03

Açılan Create Password Settings penceresinde gerekli tüm alanlar (yanında * olan) doldurulur. Description bölümüne açıklama yazılabilir. Gerekli alanların açıklamaları aşağıdaki gibidir :

  • Name kısmında policy ismi verilir.
  • Precedence kısmında policynin öncelik değeri belirlenir.
  • Minimum Password Length kısmında parolanın minimum karakter sayısı belirlenir. Eğer parolanın boş olarak tanımlanması isteniyorsa “0” değeri girilebilir (Önerilmez).
  • Number of passwords remembered kısmında en son kaç parolanın tekrar kullanılması gerektiği belirlenir.
  • Password must meet complexity requirements kısmında parolanın kompleks olması / olmaması belirlenir. Kompleks parolalar içerisinde rakam, küçük harf, büyük harf, ve özel karakterler (!,#,$,& vb.) kategorilerinden en az üçünü içeren parolalardır.
  • Store password using reversible encryption kısmında parolaların veritabanında düz metin (plain-text) moduna benzer bir şifreleme metodu ile saklanacağı / saklanmayacağı belirlenir. Bu özellik şifrelerin güvenliğini zayıflatması nedeniyle varsayılan olarak devre dışıdır.
  • Protect from accidental deletion kısmında policynin kaza ile ya da bilerek silinmesine karşı korunması / korunmaması belirlenir.
  • User cannot change the password within (days) kısmında parolanın değiştirilebilmesi için geçmesi gereken minimum süre gün olarak belirlenir.
  • User must change the password after days kısmında parolanın maksimum kullanım süresi gün olarak belirlenir. Bu süre sonunda kullanıcı şifreyi değiştirmeden logon olamaz.
  • Number of failed logon attemps allowed kısmında kullanıcı parolayı kaç kez yanlış girerse kullanıcı hesabının kilitleneceği belirlenir. Sınırsız sayıda yanlış parola girilebilmesi istenirse “0” değeri verilebilir. Bu durumunda hesap kilitlenmez.
  • Reset failed logon attemps count after (mins) kısmında parolanın yanlış girme sayacının sıfırlanma süresi belirlenir. Bu süre sonunda yanlış girilen parolaların sayısının tutulduğu sayaç sıfırlanır.
  • Account will be locked out bölümünde For a duration of (mins) seçilirse kilitlenen hesabın kilidinin kaç dakika sonra açılacağı belirlenir. Until an administrator manually unlocks the account seçilirse kilitlenen hesap sistem yöneticisi kilidi açana kadar hesabın kilitli kalması sağlanır.
Fine Grained Password Policy - 04

Directly Applies To bölümünde Add butonu tıklanır policy uygulanacak hedef grup seçilir. Örnekte IT_Group seçilmiştir.

Fine Grained Password Policy - 05

OK tıklanarak Create Password Settings penceresi kapatılır.

Var olan policy üzerinde değişiklik yapılmak istenirse policye çift tıklanarak ya da policye sağ tıklanıp Properties seçilerek istenilen değişiklikler yapılabilir.

Fine Grained Password Policy - 06

Böylece bir adet Fine-Grained Password Policy oluşturmuş bulunmaktayız. Bu Password Policy IT_Group Global Security grubuna üye tüm kullanıcılar için geçerli olacaktır.

Faydalı olması dileğiyle…

Hasan Emre SATILMIŞ tarafından yayımlandı

Fine-Grained Password Policy” için 3 yorum

  1. Geri bildirim: Forest Functional Level ve Domain Functional Level Nedir? – Emre'nin Sistem Odası
  2. Geri bildirim: Group Policy İle Parola Politikası Oluşturma – Emre'nin Sistem Odası
  3. Geri bildirim: Group Policy İle Hesap Kilitleme Politikası Oluşturma – Emre'nin Sistem Odası

Bir Cevap Yazın