Sistem güvenliği konusu ele alındığında kullanıcı parolalarının güvenlik üzerindeki etkisi büyüktür. Bu nedenle kurum ve kuruluşlar için parola politikası önemli bir konudur.
Parola politikası ile son kullanılan kaç parolanın kullanılamayacağı, parolanın en az ve en fazla ne kadar süreyle kullanılabileceği, parolanın minimum uzunluğu, parolanın karmaşıklığı ve parolaların tersine çevrilebilir olarak saklanabilmesi yapılandırılabilir.
Microsoft Windows Server 2008 ve sonrasında aynı etki alanındaki farklı kullanıcı ve gruplar için farklı parola ve hesap kilitleme politikaları uygulanabilir hale geldi. İlgili makaleye aşağıdaki bağlantıdan ulaşabilirsiniz.
Parola politikasının group policy ile yapılandırılması için gerekli işlemler aşağıdaki gibidir.
Parola politikası domaindeki tüm kullanıcıları etkileyeceği için Default Domain Policy üzerinde uygulanmaktadır.
Default Domain Policy sağ tıklanıp Edit seçilir.
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy seçilir. Sağ tarafta kullanılabilecek yapılandırmalar görülmektedir.
Bu yapılandırmalar :
Enforce password history : Active Directory’de son kullanılan olarak hatırlanan parola sayısıdır. Hatırlanan parolalar parola yenileme işleminde yeniden kullanılamazlar. Kullanıcıların eski parolaları sık sık kullanmalarını engellemek ve yeni parolalar kullanmaya zorlamak amacıyla kullanılır. Son kullanılan kaç parolanın kullanılması istenmiyorsa o değer tanımlanır. Varsayılan değeri son 24 paroladır.
Maximum password age : Parolanın maksimum geçerlilik süresi gün bazında ayarlanır. Bu sürenin sonunda sistem kullanıcıdan parolasını değiştirmesini ister. Böylece kullanıcıların düzenli olarak parola değiştirmesi sağlanır. Varsayılan değeri 42 gündür.
Minimum password age : Kullanıcıların parolalarını ne sıklıkla değiştirebileceğini belirler. Bu yapılandırma kullanıcının parolasını birçok defa değiştirip parolayı Active Directory’nin hatırladığı parolalar arasından çıkararak eski parolasını tekrar almasını engeller. Varsayılan olarak 1 gündür.
Minimum password length : Kullanılabilecek en kısa parola uzunluğudur. En az 8 karakter olması önerilir. Varsayılan olarak 7 karakterdir.
Password must meet complexity requirements : Parolanın karmaşıklık gereksinimlerinin karşılanmasını sağlar. Bu yapılandırma etkinse,
- Kullanıcılar parolanın herhangi bir yerinde hesap adını ve adını kullanamaz. Adın iki karakterinin arka arkaya kullanılmasına izin verilmez.
- Parolada sayılar, büyük harfler, küçük harfler ve özel karakterlerden en az üç türü kullanılmalıdır.
- Parolalar en az 6 karakter uzunluğunda olmalıdır.
Varsayılan olarak etkindir.
Store passwords using reversible encryption : Kullanıcı parolaları Active Directory veritabanında şifrelenmiş olarak saklanır. Fakat bazı durumlarda bazı uygulamalara kullanıcı parolalarına erişim yetkisi verilmesi gerekebilir. Bu gibi istinai durumlarda bu yapılandırma etkin hale getirilebilir. Fakat bu yapılandırma etkin hale getirilirse parolalar daha az korunur. Domain Controller güvenliği ihlal edilip parola veritabanına erişilebilmesi riski mevcuttur. Varsayılan olarak Devre Dışı’dır.
Örnekte bu yapılandırmalar aşağıdaki şekilde uygulanacaktır.
- Enforce password history : 10
- Maximum password age : 90
- Minimum password age : 2
- Minimum password length : 8
- Password must meet complexity requirements : Enabled
- Store password dusing reversible encryption : Disabled
Enforce password history çift tıklanır. Keep password history for değeri 10 olarak değiştirilir. OK ile bitirilir.
Maxiumum password age çift tıklanır. Password will expire in değeri 90 olarak değiştirilir. OK ile bitirilir.
Minimum password age çift tıklanır. Password can be changed after değeri 2 olarak değiştirilir. OK ile bitirilir.
Maxiumum password length çift tıklanır. Password must be at least değeri 8 olarak değiştirilir. OK ile bitirilir.
Password must meet complexity requirements çift tıklanır. Enabled olduğundan emin olunur. OK ile bitirilir.
Store passwords using reversible encryption çift tıklanır. Disabled olduğundan emin olunur. OK ile bitirilir.
Kuralların son durumu aşağıdaki gibi olacaktır.
Değişiklik yapılan group policy Default Group Policy mevcut durumda tüm domaine uygulanmaktadır. Dolayısıyla bu parola politikası tüm kullanıcılar için geçerli olacaktır.
Böylece group policy ile parola politikası oluşturma işlemi tamamlanmış olur.
Faydalı olması dileğiyle…