Password Policy, Active Directory yapısı içerisinde en temel güvenlik ayarı olan parola standartını belirlediğimiz policy’dir. Group Policy Management üzerinden;
Computer Configuration> Policies> Windows Settings> Security Settings> Account Policies> Password Policy altındaki ayarlarla güvenlik politikalarına ve tabii olunan denetim maddelerine uygun düzenlemeler yapabiliriz.
Enforce password history: Geriye dönük olarak kaç adet parola saklayacağını belirlediğimiz policy’dir. Kullanıcılar geriye dönük saklanan parolaları yeni parola olarak belirleyemezler. Çok sıkı bir güvenlik politikası uygulama ihtiyacınız yoksa, geriye dönük 3 adet parola saklayarak kullanıcıları da yormayacak bir plan oluşturabilirsiniz.
Maximum password age: Belirlenen parolanın kaç gün boyunca kullanılır olacağını atadığımız policy’dir. Burada belirlenen süre sonunda parola değişimi yapılması gerekmektedir. Genelde 90 ya da 180 günlük süreler güvenlik standartlarına uygun kabul edilir.
Minumum password age: Yeni bir parola atandığında en az kaç gün kullanılır olması gerektiğini belirten policydir. Bu policy sayesinde üst üste parola değiştirilerek tekrar eski parolanın kullanımına dönülmesi engellenir. 1 günlük de olsa atanması gereken bir policy’dir.
Minumum password length: Belirlenecek parolanın en az kaç karakter olacağını atayan policy’dir. En az 8 karakterlik bir uzunluk standartı güvenlik açısından iyidir. Tabii olunan regülasyonlara göre arttırılabilir.
Passwords must meet complexity requirement: Belirlenecek parolanın kompleks olup olmayacağını atadığımız policy’dir. Parolanın kompleks olduğunu belirleyecek özellikler;
- En az 8 karakter uzunluğunda olması gerekmektedir.
- Parola içerisinde SamAccountName ya da Display Name’de geçen (en az 3 karakter olmak zorunda) kelimeler kullanılamaz. Örneğim; Samaccountname “ekreme”, Display Name “Ekrem Ersoy” olan bir kullanıcının parolası ekreme, ekrem ve ersoy kelimelerini içeremez
- Parola; Büyük Harf, Küçük Harf, Rakam ve Özel Karakter niteliklerinden en az 3 tanesini sağlayan içerikte oluşturulmalıdır.
Bu özellikler sayesinde güçlü bir parola oluşturulacağından bu policy enable duruma getirilmelidir.
Store passwords using reversible encryption: Parolaların AD üzerinde tersine çevrilebilir şekilde saklanmasına yarar. Güvenlik seviyesini düşüren bir policy’dir. Özel sebeplerle bazı uygulamalar için ihtiyaç duyulabilir, normal şartlarda default ayarı olan disable’de kalması önerilmektedir.
Bu ayarları uygulayarak ihtiyaç duyduğunuz password policy’i oluşturarak yaygınlaştırabilirsiniz.
Fine Grained Password Policy:
Büyük yapılarda Ogranizational Unit yapınız içerisinde GPO ile password policy uygulerken aradaki VIP kullanıcılar için ya da servis hesapları için daha farklı kurallar uygulama ihtiyacı duyabilirsiniz. Fine Grained Password Policy olarak adlandırılan yöntem ile belli grup ya da kullanıcılara group policyden bağımsız olarak password policy atayabilirsiniz. Bunun için Active Directory Administrative Center’a giriş yapmamız gerekmektedir. Windows + R komutuyla run penceresi açılıp dsac.exe komutuyla Administrative Center’ı başlatabilirsiniz.
Açılan ekrandan; domain> System> Password Settings Container kısmına geliyoruz.
Ekranın ortasında mause ile sağ tuş yaparak, New > Password Settings dediğimizde yeni password policy’imizi ayarlayacağımız sayfamız açılıyor.
Ekranın üst kısmında Password Policy ayarlarımızı yaptıktan sonra alt kısımda uygulanacak user ve grupları seçiyoruz. Ben PasswordPolicyType1 diye grup oluşturdum ve bu gruba üye olan her user için bu ayarların uygulanmasını istedim. Bu şekilde farklı policyler oluşturabilirsiniz. Bir user birden fazla policyden etkileniyor olursa Precedence değeri en düşük olan policy’e uygun hareket edecektir.