Güçlü bir hesap kilitleme politikası, Windows alanlarında kaba kuvvet kimlik doğrulama girişimlerini durdurmak için en etkili araçlardan biridir.
Bir saldırgan birçok kez yanlış bir şifre girdiğinde, hesap kilitlenir. Bu, bir yönetici hesabın kilidini açana kadar ek girişimleri önler.
Bir hesap kilitleme politikası oluşturmak için, politikayı oluşturmak istediğiniz grup ilkesi nesnesini açarak başlayın. Ardından, konsol ağacından bilgisayar yapılandırması> Politikalar> Windows Ayarları> Güvenlik Ayarları> Hesap Politikaları> Hesap Kilitleme İlkesi'ne gidin. Şekil 1'de görebileceğiniz gibi, bir hesap kilitleme politikası oluşturan üç ayrı ayar vardır.
Bir hesap kilitleme ilkesinde kullanılan ilk ayar kilitleme süresidir. Bir hesap kilitlenirse, kilitleme süresi ayarı kilitlemenin ne kadar süreceğini kontrol eder. Hesap kilitleme süresi ayarının etkinleştirilmesi, lokavt süresine dakikalar içinde girmenizi sağlar. Bir dakikadan 99.999 dakikaya kadar bir kilitleme yapabilirsiniz.
Alternatif olarak, bir yönetici hesap kilitleme süresi değerini 0 olarak ayarlayarak hesabı açana kadar bir hesap kilitlemesini yürürlükte kalmaya zorlayabilirsiniz.
Hesap kilitleme politikasının temeli olarak kullanılan ikinci grup ilkesi ayarı, hesap kilitleme eşiği ayarıdır. Bu, bir hesabın kilitlenmesine neden olacak başarısız giriş denemelerinin sayısını belirleyen ayardır. Hesap kilitleme eşiğini beş değere ayarlamak, beş başarısız giriş denemesinin ardından bir kullanıcının hesabının kilitleneceği anlamına gelir.
Çoğu kuruluş üç veya beş değer kullanmasına rağmen, belirleyebileceğiniz maksimum başarısız giriş denemesi 999'dur. Bu arada, değeri 0 olarak ayarlarsanız, hesaplar asla kilitlenmez.
Bir hesap kilitleme ilkesindeki üçüncü ayar, ayardan sonra sıfırlama hesabı kilitleme sayacıdır. Bu ayar, bir hesabın başarısız oturum açma sayımını sıfıra geri döndürmeden önce geçmesi gereken süreyi belirler. Sıfırlama süresi bir dakika veya 99.999 dakikaya kadar ayarlanabilir.
Bir an için bir kuruluşun üç kötü giriş denemesinden sonra bir kullanıcının hesabını kilitleyen bir hesap kilitleme politikası olduğunu düşünün. Şimdi, bir kullanıcının parolalarını arka arkaya iki kez yanlış girdiğini varsayalım. Kullanıcı şifrelerini üçüncü kez yanlış girecek olsaydı, hesap kilitlenirdi.
Bununla birlikte, kullanıcı ertesi gün bekleyip tekrar giriş yapmaya çalışırsa, bunlara üç deneme yapılır, çünkü sıfırlama hesabı kilitleme sayacı sonunda sona erer ve aslında başarısız oturum açma gerçekleşmemiş gibi (en azından bir hesaptan lokavt prospektif).
Bir hesap kilitleme politikası, bir süre sonra bir kullanıcının hesabının otomatik olarak kilidini açacak şekilde yapılandırılabilse de, çoğu kuruluş bir yöneticinin kilitli hale gelen hesapların kilidini açması gerekir. Sonuçta, hesap bir nedenden dolayı kilitlendi ve otomatik bir kilidinin gerçekleştirilmesi güvenlik riski olabilir.
Tabii ki, bir yöneticinin bir hesabın kilidini açmasını istemek, son kullanıcının bakış açısından sorunlu olabilir. Hesap kilitlemeleri, örneğin, gece geç saatlerde veya Hafta'nın kilidini açmak için kimsenin bulunmadığı hafta sonu meydana gelebilir. Aynı şekilde, destek masası meşgulse, bir kullanıcının bir teknisyenin mevcut olmasını beklemesi gerekebilir.
Specops URESET, kullanıcıların kendi hesaplarının kilidini açmasına izin vererek bu sorunu çözer. Bir kullanıcının hesabı kilitlenirse, kullanıcı bir self servis web portalını ziyaret edebilir ve hesabın kilidi açılmasını isteyebilir. Portal daha sonra kullanıcının özelleştirilebilir çok faktörlü bir kimlik doğrulama işlemi yoluyla kimliklerini kesin olarak kanıtlamasını gerektirir. En iyi yanı-bugünlerde gerçekleşen tüm hibrit işlerle tekrarlanabilecek yerel olarak önbelleğe alınmış kimlik bilgileri sorunu artık bir sorun değil.
Kullanıcı gerekli kimlik doğrulama bilgilerini sağladığında, kullanıcının parolası sıfırlanır ve hesaplarının kilidi açılır, hepsi de yardım masasına çağrı yapmadan. Bu süreç sadece hesaplarının kilidi açılması gereken son kullanıcılar için uygun olmakla kalmaz, aynı zamanda kullanıcılar kendi şifrelerini sıfırlayabildikleri ve kendi hesaplarının kilidini açabileceğinden, yardım masası personelinin iş yükünü azaltmaya da yardımcı olabilir. Active Directory'de Specops URESET'i ücretsiz olarak test edebilirsiniz.
Sponsu sponsorluğunda
Windows 11 artık varsayılan olarak RDP Brute-Force saldırılarını engelliyor
Parola Yeniden Kullanımı Bitmek İçin Pencereler Reklamınızda Şifre Geçmişini Uygulamak
3. taraf hizmetleri şifre güvenliğinde yetersiz kalıyor
Zoho Managine Adaudit Plus Bug Halka Giriyor RCE istismar
Zola hackini yıkmak ve şifre yeniden kullanım neden bu kadar tehlikeli
Kaynak: Bleeping Computer