Blog
User Password Tanımlarken Dikkat Edilmesi Gerekenler Nelerdir?
Bu yazımızda domain ya da local olarak oluşturduğumuz kullanıcıların şifre belirleme işlemlerini yaparken dikkat edilmesi gerekenlerden bahsetmek istedim. Şirketlerde sürekli olarak Active Directory Users and Computers dizin servisi üzerinde yeni kullanıcılar yaratılır. Bu oldukça önemli bir güvenlik sorunudur. Güvenlik konusunda dikkat edilmesi gereken en önemli ve ilk husus öncelikle şifreleme konusudur. Sizler için maddeler halinde şifreleme yaparken dikkat edilmesi gerekenleri aşağıda belirteceğim.
- İlk olarak unutulmaması gereken en önemli konu bilgisayarın Administrator kullanıcısına kesinlikle güvenli bir şifre tanımlayınız. Unutmayın ki; Administrator kullanıcısı sistem üzerinde tam yetkilidir. Dolayısıyla şifrenin başkası tarafından bilinmesi veya bir şekilde şifrenin kırılması gibi durumlar yaşandığında, çok yüksek seviyede bir güvenlik açığı ortaya çıkmış olacaktır.
- Kullanıcı hesaplarını tanımlarken verdiğiniz şifreleri, kapalı bir zarf ya da SMS yolu ile kullanıcılara ulaştırmalısınız. Kullanıcı şifresini girdikten sonra da değiştirmesi içn ilgili “You must change logon password” hesap ayarını yapmalısınız. Yani kullanıcıların oturumlarını açtıklarında şifrelerini değiştirmelerini gerekli kılmanız gerekmektedir.
- Şirket içerisindeki kullanıcıların, tanımlamış olduğunuz şifreleri diğer kişiler ile paylaşmamaları konusunda eğitmelisiniz. Mesela; kullanıcıların şifre belirlerken isimleri ile özdeşleşen terimleri kullanmamaları konusunda uyarın. Bunlar kişinin doğum tarihi ya da tuttuğu takım gibi üçüncü kişiler tarafından bilinen bir parola olmamalıdır. Bu bir bilgisayarın güvenliği değil tüm ağınızın güvenliği açısından kesinlikle çok önemlidir.
- Şifre belirlemek için oluşturacağınız politikalarda kesinlikle uzunluk olarak minimum 8 karakterden oluşmalıdır. Uzun karakterli şifreler verilmesi en doğru yöntem olacaktır. Burada küçük bir not; kullanıcılarınız için tanımlamış olduğunuz parolalar en uzun 127 karaktere sahip olabilirler.
- Kullanıcılarınız şifre belirlerken büyük harf, küçük harf, özel karakterler ve rakamlardan oluşan üçlü ya da daha fazla kombinasyonları kullanmaya zorlayın. Eğer siz belirliyorsanız da bu kombinasyonu kullanarak belirleyin. Microsoft tarafından önerilen LAPS (Local Admin Password Solution) kullanabilir, en azından Administrator hesapları için oldukça güvenli bir yönteme sahip olabilirsiniz.
- Önceden işbaşı yapacak olan kullanıcıların hesaplarını açarken ya da hemen kullanılmayacak hesapları kesinlikle disabled durumda bırakmalısınız.
- Hesapları oluşturduktan sonra kullanıcıların ilk girişte şifrelerini değiştirmelerini sağlamalısınız.
- Sunucu sistemlerine ya da kullanıcı bilgisayarlarına normal zamanlarda kesinlikle yönetici haklarına sahip olan Enterprise Admin, Domain Admin gibi accountlar ile giriş yapmamalısınız.
- Bilgisayarınızı admin olmayan bir account ile açtığınız zaman yönetimsel bir iş yapmanız gerekirse; mutlaka “run as different user” seçeneği ile işlem yapmalısınız.
- Domain ortamında bulunan makineler üzerinde gelecek saldırıları önleyebilmek için Guest ve Administrator yerleşik hesaplarını yeniden adlandırmalı ya da disabled konuma getirmelisiniz.
- Son olarak Active Directory Yönetimsel Araçları (RSAT) kullanımı sırasında bütün trafik ağ üzerinde kriptolanmış ve imzalı bir şekilde dolaşmaktadır. Dolayısıyla bu özelliği kesinlikle kapatmamalısınız.
Bu yazımda yerelde ya da domain ortamında kullanıcı hesapları yaratılırken dikkat edilmesi gerekenlerden bahsetmeye çalıştım. Diğer bir makalede görüşmek dileğiyle.
Eline sağlık.