Open in app

Sign in

Write

Sign in

Şifre Politikası

Group Policy Kullanarak Şirket İçerisinde Şifre Politikası Belirleme ve Uygulama

Ahmet Doruk
7 min readDec 25, 2021
IT, Bilgi teknolojileri, iş, şifre, ahmet doruk
Bak kardeş bundan sonra bu tip şifreler kullanmamalısın. Tabi böyle başında dikilip demeyeceğiz :)

Şirketlerin bilgi güvenliğinde en zayıf halkası son kullanıcılardır. Kimse koca koca kurumların gidipte milyon dolarlık güvenlik sistemlerine doğrudan saldırmayacaktır. Öncelikle şirketin yada kurumun bıraktığı dijital ayak izlerini bulmaya çalışacaktır. Daha sonra şirketin kullanıcılarını soyal mühendislik yöntemleri ile avlamaya çıkacaktır. Şirket mail hesabını her ne kadar şirket dışında kişisel amaçlarla kullanmayın deseniz bile muhakkak birileri kullanacaktır. Aşağıdaki görselde bir belediyenin kısa bir tarama ile arama motorlarında keşfedilebilir durumdaki mail adreslerini görüyorsunuz. Aslında bu işler bu kadar kısa ve basittir. Şimdi daha önce sızmış eposta ve şifre veritabanı tutan dark-web sitelerden verileri indirip içerisinde arayarak belki de nokta atışı şifreyi bulabiliriz.

Kali, email, harvesting, belediye, konsol
Bir belediyenin başkan ve bilgi işlem dahil tüm mail adresleri kolaylıkla bulunabilmektedir. Bu durum özel şirketler için de çoğunlukla böyle.

Bu durumun haricinde bazen kurumsal hesaplarla üye olunmuş veya kullanıcı adından çıkarımlarla bağlantılı kişisel hesaplara da ulaşabiliyorlar. Bunun örnekleri genelde Linkedin üzerinden çokça yaşandığından bazı kurumlar sosyal mühendisliklere karşı mail adreslerinde farklı paternler tercih etmektedir. Bu durumda mail adreslerinin sahip olduğu kullanıcı adlarının tahmin edilmesi zorlaşmış olur. Hesap güvenliği ile şifre güvenliği birbirinden farklı bir şeymiş gibi düşünülmemeli. Sonuçta kimliğiniz hem kullanıcı adınızı hem de şifrenizi barındırıyor. Yeteri kadar sizi tanıyan birisinin her ikisini de tahmin etmesi kolaylaşacaktır. O yüzden biz sistem yöneticileri hangi önlemleri alırsak alalım son kullanıcıyı bazı şeylere zorlamadan gerekli güvenliğimizin bir ayağı her zaman eksik kalacaktır.

Not: Güçlü şifre kullanımını zorlamak KVKK teknik tedbirler açısından da gereklidir.

Kullanıcıların Anlayacağı Yazılı Bir Şifre Politikası Belirlemek

Yapacağımız ilk şey güvenlik çerçevesini belirlemektir. Kurum kültürü güvenliğe ne kadar önem veriyor? Kullanıcıları nereye kadar zorlayabilirsiniz yada işlerini ne kadar kolaylaştırabilirsiniz? Kurumunuzun güvenliğe bakış açısı nedir? Gibi soruların cevabını biliyorsanız yazacağınız çerçeveyi bunlar belirleyecektir. İyi bir şifre politikası şüphesiz kurum kültürüne de bağlıdır. Bu konuları maddeler halinde alt alta koyup uygulanabilecekleri de en iyi şekilde uygulamak gerekir.

Ben genel standartlar üstünden bir şifre politikasını yazıp sonra da bunu test için Domain ortamında Group Policy ile kullanıcılara uygulayacağım. Bazı kurumlarda şifre politikaları çok katı olabilmekte.

Şirket İçerisinde Belirlenen Hayali Şifre Standartlarımız

  • Şirket içerisinde her kullanıcı (yönetim ve IT ekipleri hariç) minimum 7 haneli bir şifre kullanmalıdır.
  • Şifre karmaşık olmak zorundadır. Yani büyük harf, küçük harf, sayı ve karakterlerden oluşmuş bir kombinasyona sahip olmalıdır. Ardışık rakamlar ve kullanıcının adı, doğum yılı ve ünvanı gibi bilgileri içermemelidir.
  • Geriye dönük 10 adet eski şifreyi kullanmamalıdır.
  • 42 günde bir şifre değiştirmesi gerekmektedir.
  • Şifreyi bir kez değiştirdikten sonra 2 gün o şifreyi kullanması gerekmektedir. Aksi durumda IT ekibine başvurması gerekir.

UYGULAMA

Öncelikle Domain Controller üzerinde de Group Policy Management konsolundan ilgili domaini seçip “Default Domain Policy” içerisindeki şifre poltikasını önce bir inceleyelim.

Default Domain Policy, Windows Server, Ahmet Doruk, IT
Windows Server 2022 — Default Domain Policy

Gördüğünüz gibi Default Domain Policy tüm ahmetdoruk.com etki alanını kapsayacak şekilde varsayılanda oluşuyor. Bütün Active Directory kurulumlarında bu durum böyledir ve her sunucu işletim sistemlerinde default olarak gelmektedir.

Default Domain Policy üzerinde değişiklik yaparken dikkat etmelisiniz çünkü bu değişiklikler tüm etki alanında uygulanacaktır.

Şimdi aşağıdaki adımları takip ederek varsayılanda gelen şifre politikasına bakalım;

Computer Configuration > Policies > Windows Settings > Security Settings > Account Policy > Password Policy

Default Domain Policy, Password Policy, Active Directory, Windows Server 2022
Varsayılan olarak gelen şifre politikası

Bu ayarların meali özetle;

  • Geriye dönük son kullanılan 24 şifre kullanılamaz
  • Şifrenin geçerlilik süresi maksimum 42 gün
  • Şifre değiştirdikten sonra son şifre minimum 1 gün kullanılmalı
  • Minimum 7 karakterden aşağı şifre kullanılamaz
  • Şifre karmaşıklık ilkesi ile uyuşmalı

Şimdi biz kendi kurguladığımız şifre politikasına geri dönelim ve tek tek neresi neyi ve nasıl değiştirdiğini açıklayalım.

Default Domain Policy, Kullanıcı, Şifre, Nasıl Değiştirilir?

Enforce password history : Geriye dönük ne kadar şifrenin kullanılabileceğini ifade eden ayardır. Ben 10 adet şifreye kadar geriye dönük şifrelerin kullanılamayacağını belirttim. Ben müdahele etmediğim sürede “minimum password age” 15 gün yaptığım için ilk şifrenin tekrar kullanılması için gereken süre minimum 150 gün oluyor aslında.

Maximum password age : Atanan şifrenin en fazla kaç gün kullanılabileceğini belirttiğimiz ayar. 42 gün olarak belirttik.

Minimum password age : Şifre değiştiğinde bir sonraki değişikliğin kaç gün içinde yapılabileceğini belirtir. 2 gün olarak ayarladık. Bu süreleri en az 1 gün tutmanızda fayda var çünkü kullanıcı şifre değişikliği geldiğinde 10 defa şifreyi değiştirip tekrar eski şifresi ile her periyotta kullanıma devam edebilir.

Minimum password length : Şifrenin minimum kaç karakterden oluşabileceğini buradan belirliyoruz. Standart kullanıcılarda minimum 7 ve üzeri olması iyidir.

Minimum password length audit : Şifre uzunluğunun belirlenen limiti aşması durumunda Windows loglarına bir olay kaydı göndererek şifre uzunluklarının etki değerlendirmesi yapmanıza yardımcı olur. Windows günlüklerinde “Event ID 16977” bu kod ile görebilirsiniz. Bu ayar Windows 10 2004 ile gelmiştir. Eğer göremiyorsanız ADMX temalarını güncellemeniz gerekmektedir.

Password must meet complexity requirements : Şifrenin karmaşıklık ilkesine uygun olarak oluşturulmasını ayarladığımız bölüm. Disabled yaparsak kullanıcı 1234567 olarak şifreyi belirleyebilir. Enabled yapıldığı takdirde şifre büyük ve küçük harf, sayı ve karakter gibi hem hacker tarafından hem son kullanıcı tarafından hatırlaması zor :) şifreler oluşturmaya zorlar. Basit ve ardışık sayılar şifrenin içerisinde kullanılamaz.

Relax minimum password length legacy limits : Bu ayar da Windows 10 versiyon 2004 ile gelen bir özelliktir. Sistem yöneticilerinin 14 ile 128 karakter uzunluğunda şifre talep etmesini sağlayacaktır. Daha uzun parola yada daha karmaşık parola her zaman daha güvenli olduğu anlamına gelmez diyip son maddeyi açıklayalım.

Store passwords using reversible encryption : Şifreleri düz metin halinde tutar. Bazı üçüncü parti uygulamalarda veya özel durumlarda kullanılabilir. Kullanılması bilgi güvenliği açısından sakıncalıdır.

Bu ayarları yaptıktan sonra artık son kullanıcı tarafından oluşturulan şifreler daha tahmini zor ve dışarıyla aynı olma ihtimali azalmış oluyor. Şifre uzunlukları, süreleri ve karmaşıklığı işletmeden işletmeye değişebilir.

Şifre Güvenliğinden Sonra Hesap Güvenliği

Hesapla şifrenin birbirinden ayrılamayacağını söylemiştik. Sonuçta kötü niyetli kişilerin elinde çıplak bir şifre olsa bile kime ait olduğunu bilmeden işlem yapamayacaklar. Group Policy ile bu konuda da önlemler alabiliriz. İster yeni bir GPO ile ister mevcut üzerinden ilerleyerek aşağıdaki ekran görüntüsünde bulunan alanı açıklayıp düzenleyelim.

Account lockout duration, group policy, default, ayarlar

Account lockout duration : Hesabın kilitlenme süresini bu ayarla yapıyoruz. altıncı denemesi başarız olan hesabı 30 dakika boyunca kilitler.

Account lockout threshold : Kaç adet başarısız denemeden sonra hesabın kilitleneceğini belirten ayardır.

Reset account lockout counter after : Hesabın kilitlendikten kaç dakika sonra kilidinin açılacağını ayarlıyoruz. Bazı kurumlar kilitli hesapları IT’nin bilgisi olmadan tekrar açılmasına müsaade etmiyor. Bunun sebebi şirket içerindeki çalışan birisi kendi bigisayarında ara ara diğer arkadaşının şifresini deniyor olabilir. Sonuçta deneme sayısını ve kilitlenme süresini de bildiğinden yavaş yavaş yaptığı için kimsenin dikkatini çekmeyebilir. SIEM dışında yada benzeri bir uygulama yok ise tabi. Ama güvenlik bu kadar sıkı değil ise bunu kilitlenme süresi ile aynı yaparsanız sorun olmayacaktır.

Group Policy ile Standart Kullanıcılara Şifre Politikası Belirlenmesi

Yönetim Kadrosu İçin Ayrı Bir Şifre Politikası Atama (Fine Grained Password Policy — FGGP)

Fine Grained Password Policy Nedir?

Domain ortamında normalde tek bir şifre politikası geçerlidir. Bütün kullanıcıların nereye eriştiğini bilmeksizin herkesi aynı politikaya zorlamak ise doğru bir politika değildir. IT ekibi ile son kullanıcı aynı şifre politikasını kullanmaması gerekir. Bu durumda Active Directory bize Fine Grained Password Policy (FGGP) ile domain ortamında farklı şifre politikaları kullanmamıza olanak sağlamaktadır.

Şifre politikasının sıkıntılı noktalarından birisi bu kurallar yönetime zorlamaktır. Bazı yöneticiler düne kadar belkide şifresiz girdiği bilgisayarlara birden 8-10 haneli karmaşık şifreler ile girmek istemeyebilir. Doğru bir uygulama değil ama bu senaryolar tabiki de yaşanıyor. Yada yönetimdeki bazı kişiler çok kritik alanlara erişimi olduğundan onlara çok daha zorlu bir politika uygulanması gerekiyordur. Bu noktada işi Fine Grained Password Policy (FGGP) devralmaktadır.

FGGP (Fine Grained Password Policy) oluşturmak için;

Active Directory Administrative Center > Tree View > Domain Adı = ahmetdoruk (local) > System > Password Settings Container + Sağ Tık + New > Password Settings

Active Directory Administrative Center, ADDC, System, Fgpp
İkinci bir yol Tasks bölümündeki New > Password Settings diyerek de devam edebilirsiniz.
  • Name : Şifre politkasına verilecek isim
  • Precedence : Öncelik değeri tanımlanır. Eğer kullanıcı birden fazla FGPP gurubuna üyeyse hangisinin öncelikli olacağı burada tanımlanmalıdır. Ben yönetim hangi gurupta olursa olsun öncelikli olması için 1 değerini veriyorum. Bu ayar normalde Group Policy’de bulunmamakta.
  • Minimum Password Length : Minimum şifre uzunluğunu belirler. 10 karakter olarak belirledim.
  • Password history : Geriye dönük kaç adet şifrenin kullanılamayacağı burada belirlenir.
  • Complexity Required : Kullanıcı adını içermeyen, büyük ve küçük harf, sayı ve özel karakter içereceğini belirtiyoruz.
  • Protect from Accidental Deletion : Kazara silinmelerden koru
  • Minimum Password Age : Şifrenin minimum ne kadar geçerli olacağı
  • Maximum Password Age : Şifrenin kullanım süresinin ne zamana kadar dolacağının belirtildiği ayardır.
  • Lockout Policy : Kaç defa yanlış şifre girdikten sonra hesabın kilitleneceği
  • Until An Administrator Manually Unlocks the Account : Bu ayarı seçmemin sebebi kıritik hesaplar kilitlendiği takdirde yetkili birisi tarafından manuel olarak hesap kilidinin kaldırılması için.
  • Directly Applies to : Bu politikanın kimlere uygulanacağı. Universal Group’lar bu alanaı girilemez. Eklenecek gurup Security Group olması gerekiyor. Siz buna süre de girebilirsiniz.

Bu ayarların Powershell çıktısı

New-ADFineGrainedPasswordPolicy -ComplexityEnabled:$true -description:”Yönetim kadrosunun tabi olduğu şifre politikası” -LockoutDuration:”-10675199.02:48:05.4775808" -LockoutObservationWindow:”00:30:00" -LockoutThreshold:”5" -MaxPasswordAge:”30.00:00:00" -MinPasswordAge:”1.00:00:00" -MinPasswordLength:”10" -Name:”Management PP” -PasswordHistoryCount:”10" -Precedence:”1" -ReversibleEncryptionEnabled:$false -Server:”DC1.ahmetdoruk.com”

Active Directory Users And Computers, Advanced, Ahmet Doruk
Active Directory üzerinde bu alanı doğrudan göremezsiniz. Bunun için öncelikle View sekmesinden “Advanced Features” açık olmalıdır

Şifre Politikasının Kullanıcılara Beyanı

Artık bu politikayı eposta yoluyla belirli aralıklarla sürekli kullanıcılarınızla paylaşmanız gerekmektedir. Bu bilgiyi paylaşmamanız durumunda tek tek herkesin sizi arayıp “şifremi değiştiriyorum ama olmuyor” diye bir geri bildirim vermesine sebep olur. Politikayı öncelikle yönetime onaylatmanızı tavsiye ediyorum. Ayrıca var ise ek olarak şirketin intranet portalında yayınlamanız gerekir.

Active Directory ortamlarında bir şifre politikasını a’dan z’ye elimden geldiğince anlatmaya çalıştım. Faydalı olması dileğiyle…

Ahmet Doruk

Active Directory
Security
Windows Server 2022
Group Policy Management
Türkçe Yayın

--

--

Ahmet Doruk
Ahmet Doruk

Written by Ahmet Doruk

153 Followers
237 Following

IT Manager, Consultant, System Admin | Message for freelance works; https://www.freelancer.com/u/ahmetdoruk | www.linkedin.com/in/ahmetdoruk/

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams