24 Mayıs 2021 02:46

Kurumlarda (servis hesapları gibi) kritik hesapların güvenliği önemlidir. Bu hesapların bir security group altında toplanması ve bu gruba özel olarak oluşturulacak bir parola politikası uygulanması tavsiye edilmektedir.
Bunu yapmak için Active Directory Administrative Center açılır ve sol taraftan domain seçilerek System > Password Settings Container bölümüne gelinir. Ardından sağ taraftan New > Password Settings kısmından tanımlamalar yapılır.

Önerilen ayarlar aşağıdaki gibidir. Ayarlar yapıldıktan sonra Directly Applies To kısmından grubun eklenmesi yeterlidir.

Eğer bu policy’i domain bazında her kullanıcı için yapmak isterseniz yeni bir GPO oluşturup bunu kullanıcılara tanımlayabilirsiniz.

Not: GPO üzerinden hazırladığınız policy’de minimum karakter sayısı 14’ün üzerinde olamıyor. Eğer 14 karakterin üzerinde olmasını isterseniz bu değişikliğin ilk örnekteki gibi Administrative Center’dan yapılması gerekiyor.
Bu GPO’yu kullanıcılara tanımladıktan sonra bir sonraki login’de şifrelerini değiştirmeye zorlamak isterseniz aşağıdaki komutla seçtiğiniz OU’ya gönderebilirsiniz.

Get-ADUser -Filter * -SearchBase “OU=OU ADI,DC=DOMAIN,DC=COM/LOCAL” | Set-ADUser -CannotChangePassword:$false -PasswordNeverExpires:$false -ChangePasswordAtLogon:$true

Bu komutu girdiğinizde tanımladığınız OU’ya üye olan kullanıcıların “User must change password at next logon” tiki işaretlenecektir ve bir sonraki login talebinde şifrelerini değiştirmeleri gerekecektir.

Servis hesaplarının (SQL Agent gibi) şifreleri genelde kurulduktan sonra değiştirilmez. Bunun kontrolü aşağıdaki komut ile PowerShell’den yapılabilir:

net user <servis hesabının adı> /do

Uzun süredir değiştirilmeyen servis hesaplarının şifreleri bir saldırgan tarafından kırılabilir. Bu servis hesaplarının şifrelerinin 6 ayda bir veya senede bir değiştirilmesi önerilir.