04/06/2019

Active Directory Hesap Güvenliğinin ayarlanması

Server 2016 de pekçok şey ayarlanabilmektedir. Bunlardan bir kaçı

  • Password Policy
  • Account Lockout policy
  • Fine grained password Policy
  • Kerberos Policy

Server Manager –> tools –> Group Policy Management

Sonra domain içinde ki “Default Domain Policy” e sağ tıklayıp “edit” diyoruz böylece GPO editor başlıyor.

GPO içinde password ile ilgili yere
Default Domain Policy –> Policies–>Windows Settings –>Security Settings –>Account Policies –>Password Policy
ile ulaşıyoruz.

Bir Policy editlerken “Explain” kısmında yazan açıklamayıda okumakta fayda var.

Policylerde “default”lar genelde iyi ayarlanmıştır.

Bazen kullanıcılar Laptop kullanırlar ve mobildirler. Bu durumda hem domain hemde local password policy kullanmaları gerekir.

Bunu ayarlamak biraz daha ilginç. Başlattan “Windows Administrative Tools” a gidip ordan “Local Security Policy” seçilir.

Burda Domain GPO sunda ki gibi aynı seçenekleri görürüz ancak bunlar local acount üzerinde geçerlidir.

Account Lockout Policy özellikle brute force karşı geliştirilmiştir. Bununla ilgili counterlar ve zamanlarla ilgili seçenekler var okuyarak incelemek gerekli.

Kerberos : Bir kullanıcı kullanıcı adı ve şifresini girdiği zaman bu bilgi DC’ye gelir ve DC sorgulama yapılan sisteme bir ticket gönderir. (Ticket Granting Ticket– veya — PSO – Password Settings Object). işte bu gelen ticket ile kaynaklara erişime izin verir.

NTLM (New Technology LAN Manager) bu Kerberostan önce kullanılan (ve halen zaman zaman kullanılan ) bir yöntemdir. Kerberos güvenlik anlamında NTLM’den daha güçlüdür. Bu nedenle mümkün olduğunca Kerberos kullanmalıyız.

GP Editorde Account Policies altında Kerberos Policy mevcuttur. Burada “Enforce User Logon Restrictions” default olarak enabled dır. Temel mantık olarak security önlemleri artıkça performans düşer. Bununla her kullanıcı session ı kullanıcı haklarına uyumlumu değilmi kontrol edilir. (User accounts- User rights Policies). böylece Kerberos ile login olurken bunun kontrol edilmesini zorunlu kılıyoruz. Ayrıca lifetime ayarları da burada mevcuttur.

Leave a Reply