Password Policy Hazırlama (GPO)

Group Policy’nin Oluşturulması

Start/Windows Administrative Tools “Group Policy Management” altından açılır. Yapı üzerindeki tüm GPO’lar “Group Policy Objects” altında bulunur.

AD kurulduktan sonra iki tane GPO ayarının varsayılan olarak oluşturulmuş olarak geldiğini görebilirsiniz. Bunlar Default Domain Controller Policy ve Default Domain Policy’dir.

Default Domain Controller Policy : AD dizinin de yer alan “Domain Controllers” OU’su altındaki DC olarak yapılandırılmış sunucuları etkiler. Default Domain Controller Policy içerisinde DC’ler için default ayarlar bulunmaktadır.

Default Domain Policy : AD dizininin tepesine bağlıdır. Dolayısıyla genel olarak AD dizininde ki tüm nesneleri etkiler (kullanıcı ve bilgisayarlar). Default Domain Policy üzerinde yapıdaki kullanıcı ve bilgisayarlar için default ayarlar bulunmaktadır.

Default Domain Policy : İçerisinde kullanıcı ve bilgisayar için default olarak bazı ayarların geldiğinden bahsetmiştik. Şimdi içerisinde yer alan parola politikalarını inceleyeceğiz. Aykut.local/Group Policy Object/Default Domain Policy üzerine gelinir ve edit seçeneğine tıklanır. Burada sırasıyla Computer Configiration/Policies/Windows Settings/Security Settings/Account Policies/Password Policy üzerine gelinir. GPO üzerinde varsayılan parola politikası aşağıdaki şekildedir.

Enforce Password History : Belirlenen süreye bağlı olarak son kullanılan parolaların tekrar kullanılmasına izin vermeyecektir.

Maximum Password Age : Belirlenen şifrenin en fazla kaç gün süreyle kullanılabileceğini belirtmektedir.

Minimum Password Age : Belirlenen şifrenin en az kaç gün süreyle kullanılabileceğini belirtmektedir.

Minimum Password Length : Belirlenmek istenilen şifrenin en az kaç karakterden oluşması gerektiğini belirtmektedir.

Password must meet complexity requirements : Belirlenmeye çalışılan şifrenin complex bir şifre yapısını da olup olmayacağını belirtmektedir.

Store Passwords Using Reversible Encryption : Şifrelerin ters çevrilerek encryption olarak saklanması anlamına gelmektedir. GPO üzerinde yer alan bu seçenek aktif edildiğinde bazı uygulamaların ihtiyaç duyması sebebi ile plaintext olarak şifrelerin saklanmasına izin verir. Bu işlemde var olan yüksek güvenlik seviyesini düşürmek anlamına gelmektedir. Varsayılan olarak bu ayarın “Disable” konumunda olması güvenlik seviyesini yükseltecektir. Plaintext özelliğine ihtiyaç duyan en çok bilinen iki uygulama HTTP Digest Authentication ve CHAP’ tır.

Bu ayarlar Microsoft tarafından varsayılan olarak bulunsa da, güvenliğimizi düşündüğümüzde biraz zayıf kalacak bir parola politikasına sahip olduğumuzu söyleyebiliriz. Bu sebepten dolayı Microsoft tarafından önerilen ve parola güvenliğini ciddi anlamda arttırmamızı sağlayan ayarları uygulamamız gerekmektedir. Bu kapsamda parola politikamızı aşağıdaki şekilde güncelliyoruz.

Ayrıca Password politikasında “Minimum Password Age” bilgisini “0” olarak girseydik, şifre belirlendindiği gün, kişi şifresini değiştiremeyecekti ve bir sonraki günü beklemek zorunda kalacaktı. Ayrıca bu değeri 2 veya 3 yapmakta güvenlik açısından risklidir, çünkü bir kullanıcı şifresini günde sadece 1 kez değiştirmesi için yetki verilmiştir, bir kullanıcı şifresini günde birden fazla kez değiştirmek istiyorsa, bu durumda hesabı ele geçirilmiş yada kötü amaçlı bir kullanım söz konusu olabilir.

Account Lockout Policy

Parola güvenliğimizi sağlamak için yapılandırmamız gereken, bir sonraki GPO ise Account Lockout Policy’dir. Bu ayar içerisinde yer alan maddeleri inceleyeceğiz.

Account Lockout Duration: Kullanıcı hesabı kilitlenirse kullanıcı hesabının ne kadar süre sonra açılacağını belirler. Varsayılan bir ayar yoktur. 0 ile 99999 dakika arasındadır. 0 olarak ayarlanırsa sadece Administrator hesabı kilidi açabilir.

Account Lockout Threshold: Kullanıcının kaç tane başarısız oturum açma denemesine izin verileceğini belirler, bu denemeler istenirse Audit policy aracılığı ile event viewer’da görüntülenebilir. Varsayılan bir ayar yoktur, 0 ile 999 arasındadır. 0 olarak ayarlanırsa kullanıcı hesabı hiçbir zaman kilitlenmez.

Reset Account Lockout Counter After: Bu ayar oturum açma sayacı sıfırlanmadan önce başarısız bir oturum açmadan sonra geçen dakika sayısıdır. Account Lockout süresine eşit ya da daha az olmalıdır. 0 ile 99999 dakika arasındadır.

Burada ise ilk olarak Account Lockout Threshold ayarını incelememiz gerekmektedir. Kullanıcı kaç kez başarısız oturum açma denemesi yaptığında hesabı bloke olsun ve hesabını kullanamasın. Eğer biz bu ayarı aktif etmezsek ve bir değer girmezsek, kullanıcı bilgileri kullanılarak, şifreyi bilmeyen bir kişi yüzlerce, binlerce kez farklı şifre kombinasyonları ile şifreyi deneyerek, şifreyi bulmaya çalışabilir. Bu tür işlemleri gerçekleştiren uygulamalar olduğunu düşündüğümüzde bu ayarı yapmamamız durumunda, kullanıcılara hatta yetkili kullanıcılara ait şifreler çözülebilir ve bu kötü niyetli kişilerin eline geçtiğinde ciddi sorunlar doğurabilir. Bu sebepten dolayı varsayılan olarak gelen “0” değerini “5”e çıkarıyoruz. Buradaki amaç kullanıcılar günlük hayatlarında şifrelerini birkaç kez hatalı girebilirler, eğer biz bu ayarı 1 yada 2 yaparsak, kullanıcı şifresini 1-2 kez hatalı girdiğinde şifresi kilitlenecektir ve hesabına ulaşamayacaktır. Ancak 5 yaptığımızda yine istisnai olarak kullanıcı şifresini 5 kez hatalı girebilir, biz burada müdahale ederek, kullanıcıya yardımcı olabiliriz ama diğer durumda şifresini 1-2 kez hatalı giren kullanıcıların şifreleri kilitlenecektir.

Account Lockout Duration ayarında ise kişinin şifresi kilitlendiğinde Administrator tarafından müdahale edilmez ise kendiliğinden ne kadar süre sonra kilidin açılacağını ifade eder. Özellikle 7/24 çalışan kurumlarda bu ayar ayarlanmaz ise Administrator müdahalesi olmadan hesabın kilidi kaldırılamaz, bu durumda 30 dakikalık bir süre makul olarak kabul edilebilir. Kişi süreyi bekledikten sonra hesabı tekrar aktif hale gelecek ve hesabını kullanmaya devam edebilecektir. Güvenliğin arttırılması amacıyla GPO üzerindeki ayarlar aşağıdaki şekilde yapılandırılmıştır.

Kerberos Policy ayarlarını Microsoft’tun default ayarları ile bırakıyoruz.

Politikalar üzerinde yapılan değişiklikler varsayılan olarak 90 ile 120 dakika arasında uygulanmaktadır. Group Policy Management’dan OU üzerindeyken “Group policy update” yapılarak yada bazı komutlar kullanılarak bu işlem anlıkta yapılabilmektedir. Örnek vermek gerekirse; politikanın uygulandığı ve o politikayı hemen almasını istediğimiz bilgisayara gelerek, komut satırını Administrator olacak başlatarak, “gpupdate /force” komutu ile GPO ayarının bilgisayar tarafından kontrol edilmesini ve sunucuya giderek yeni bir GPO ayarı olup olmadığını, varsa almasını sağlayabiliriz.

Yapılan bu GPO ayarları bilgisayarların local’inde de yer almaktadır. Kontrol etmek için Windows+r tuşuna basılarak, gelen ekrana gpedit.msc yazılır, sonrasında “Local Group Policy Editor” açılacaktır. Bu ekran üzerinden bilgisayara uygulanmış olan policy ayarlarını görüntüleyebiliriz.

Komut satırı üzerinden gpresult /r komutunu kullanarak da bilgisayarın ve kullanıcının hangi politikalarını aldığını görüntüleyebiliyoruz.

Ayrıca yine komut satırı üzerinden gpresult /H c:\gpreport.html komutu ile C sürücüsü üzerinde bir dosya oluşturarak, uygulanan GPO’ların detaylarını görebiliriz.