Genelde kuruluşlar Default Domain Policy altındaki “Password Policy” ayarlarını yaparak tüm yapıya uygularlar. Bu yapı içerisinde son kullanıcılarda bulunduğu için maksimum 8 karakterli ve sıkılaştırma yapılmamış parolalar tüm yapı içerisinde oluşturulabilir. Bilindiği üzere insanlar kolay akılda kalması için uzun ve complex parolalar kullanmazlar. Bu durumda parolalar kolay tahmin edilebilir, bazı tool’lar ve brute force atack gibi senaryolarla ele geçirilebilir. Ancak yapımızdaki yetkili kişiler ve yetkili hesaplar için farklı parola politikaları hazırlayabiliriz.

Fine Grained Password Policy (FGPP) sayesinde, domain içindeki farklı kullanıcı ve gruplara özel Password Policy’ler yaratabilme imkânına sahibiz. Biz daha önceki makalelerimizde Tier Modeling yapısına geçiş yaparak yetkili hesaplarımızı ayrıştırmıştık. Eğer bu yapıya geçiş yapmadıysanız bile bu hesaplarınızı ayırarak FGPP yapısını kullanabilirsiniz. Yetkili hesaplarımız için mevcut parola politikasının dışında, daha katı bir paralo kuralı belirleyeceğiz. Active Directory Administrative Center (ADAC) üzerinden basitçe uygulamaya geçebiliriz.

AD üzerinden Active Directory Administrative Center ekranını açıyoruz. Gelen ekran üzerinden Active Directory ismimize tıklıyoruz, sonrasında Password Settings Container üzerine gelerek, New/Password Settings seçiyoruz.

Aşağıdaki ekran üzerindeki alanları doldurmamız gerekmektedir. Öncesinde bu alanların hangi amaçlarla kullanıldığını da kısaca açıklayayım.

Precedence: Policy öncelik değeri bu alandan belirliyoruz, diğer parola politikalarıyla çakışması durumunda küçük olan değerdeki politikayı alacaktır.

Enforce Minimum Password Lenght: Belirlenecek parolanın minimum karakter sayısını belirtmektedir.

Enforce password history: En son kaç parolanın hatırlanacağını belirtmektedir.

Password must meet complexity requirements: Parolanın complex olup olmayacağını belirlediğimiz alandır.

Enforce minimum password age : Parolanın değiştirilebilmesi için geçmesi gereken minimum sürenin belirlendiği alandır.

Enforce maximum password age : Parolanın maksimum kullanım süresinin belirlendiği alandır.

Parola politikamızı belirledikten sonra, bu politikanın uygulanmasını istediğimiz grupları Directly Applies To alanında Add seçip ekleyerek devam ediyoruz.

Parola politikamız başarılı bir şekilde oluşturulmuş oldu.

Fine Grained Password Policy ile yetkili hesaplarımızı Default Domain Policy altındaki Password Policy’den gelen yetersiz parola güvenliğinden ayrıştırarak, kendi hazırlamış olduğumuz daha güvenli bir parola politikasına dahil etmiş olduk. Bu sayede parola politikasını alan kullanıcılar isteseler dahi kısa ve kurallara uymayan parolalar oluşturamayacaklardır.