Windows Server 2000 ve Windows Server 2003 işletim sistemlerinden de bilindiği üzere kullanıcılara uygulanacak bir parola ayarı ya da çeşitli hesap kilitleme konfigurasyonları yapılmak istenildiğinde, bu yapılan policy (ilke) tüm kullanıcıları etkiliyordu. Parola ayarları kullanıcıların kullanacak şifrelerinin minimum karakter sayısı, yenilenme süreci, karmaşıklığı gibi birçok kuralı içermektedir.Hesap kilitleme ayarları ise kullanıcıların kullanıcıların ne kadar süre içerisinde, kaç kere yanlış parola girmeleri durumunda, hesaplarının ne kadar süre kilitleneceği ile ilgili kuralların tanımlandığı yerdir. Yapılan parola ve hesap ayarları Group Policy Objelerinden Default Domain Policy ilkesinden konfigüre ediliyor ve domaindeki tüm kullanıcılara etki etmekteydi. Fine- Grained Password Policy ile bu sınırlama kalkarak sistem yöneticilerine daha kolay bir yönetim sağlanmış olundu.
Fine-Grained Password Policy sayesinde kullanıcı bazlı spesifik parola ve hesap kilitleme ayarlarının yapılandırılması sağlanıldı. Bu sayede tek bir domain controller üzerinde daha ayrıntılı parola ilkelerinin yazılması da mümkün kılındı. Sadece kullanıcı bazlı olmamakla birlikte kullanıcı gruplarına da detaylı parola ayarları yapılandırılabilecek bir hale geldi. Örnek vermek gerekirse bir şirkette bulunan müdürlere parola ve hesap kilitleme bazında daha az esnek bir ayar yapabilme, çalışanlara daha kısıtlı ayarlar yapılandırmayı mümkün kılar.
Farklı gruplara üye bir kullanıcı var ise ve her gruba uygulanan farklı policyler mevcut ise kullanıcıyı etkilecek birden fazla password policy söz konusudur. Bu gibi durumlarda kullanıcı için hangi ilkenin geçerli olabilineceği kararı verilebilir.
Fine-grained Password Policy ile şirketler tek seviyeden tek tip policy uygulamak varolan yapılarını konsodile ederek tek bir domainden farklı yapılarla yönetebilmekte, bu sayede hem maliyetlerini hem de yönetim yüklerini hafifletmiş olmaktadır.
Windows 8 ile Fine-Grained Password Policy
Windows 8 ile beraber Active Directory User and Computers arayüzünde yapılandırılacak birçok yenilik artık Active Directory Administrative Center bileşeninde yönetilmektedir. Bu görevinden dolayıdır ki artık Active Directory Administrative Center yönetim konsolu zenginleştirilmiş bir şekilde sistem yöneticilerine sunulmuştur.
Windows Server 2008 ve Windows Server 2008 R2 işletim sistemlerinde ADSIEDIT aracı ile yönettiğimiz Fine-Grained Password policy, Windows 8 işletim sistemi ile gafiksel bir arayüzde konfigüre ediliyor olması sistem mühendislerine yönetim kolaylığı sağlamıştır.
Windows 8 zerinde Fine-Grained Password policy yapılandırılması içim Active Directory Administrative
Center yönetim konsolü açılır. Domain adının(bilgeadam(local)) altındaki “System” menüsünün içerisindeki
”Password Settings Container” seçeneği ile daha önce yapılan policylerin görüntülenip düzenlendiği ya da yapılandırılacak yeni policy’lerin konfigüre edildiği arayüz ile devam edilir. Bu arayüz içerisinden yeni “Password Settings Object(PSO)”lar oluşturulur.
Active Directory Administarative Center’da “Password Settings Container” seçeneğine tıklandıktan sonra yeni bir “”Password Setting Objects oluşturmak için sağ tarafta “Tasks” menüsünün altında bulunan “New” seçeneği ile devam edilir. “New” seçeneğinin seçilmesi ile beraber “Password Settings” seçeneği ile yapılandırılması istenen password policy kuralı oluşturulur.
“Create Password Settings” arayüzünde password settings objelerinin konfigürasyonunun yapıldığı ve yapılandırılmış olan bu password policy’nin hangi kullanıcılara ya da gruplara uygulanacağının belirlendiği form ekranı gelmektedir.
“Create Password Settings” arayüzünü sırayla anlatmak gerekirse; “Name” kısmında oluşturulacak olan password settings objesinin adının belirlendiği yerdir.”Precedence” kısmında Password Settings objesinin öncelik değeri belirlenir. Precedence bölümü bir kullanıcıya uygulanan farklı password policylerinden hangisinin kullanıcı için geçerli olacağının yapılandırılmasında önemlidir.”Minimum Password Length” ile kullanıcı ya da gruba atanacak parolanın minimum karakter sayısı belirlenir.“Number of passwords remembered” bölümünde en son kaç tane parolanın hattırlanması gerektiğini buna bağlı olarakta hatırlanan bu parolaların tekrar kullanılmaması gerektiği ile ilgili ayarlar yapılır.”Password must meet complexity requirements” seçeneğinde ise şifrenin karmaşık olup olmayacağının belirlenmesi sağlanır. Burada karmaşıklık teriminin anlamı içerisinde rakam, küçük harf, büyük harf ve özel karakterler(*,%,# gibi) kategorisinden en az 3 tanesinin bir arada bulunma durumudur. Örneğin Password1, P@ssword1 ,Passw0rd birer kompleks paroladır. “Store password using reversible encryption” ayarının işaretlenmesi ile kullanıcı parolalarının arka planda bulunan veritabanın da düz metin halinde tutulması sağlanır ki varsayılanda bu ayar devre dışı bırakılmıştır. Bu ayarın açılması ile güvenlik açığının oluşmasından kaynaklıdır ki bu seçeneğin işaretlenmesi tavsiye edilmez.“Protect from accedental deletion” seçeneğin işaretlenmesi ile kazara yani yanlışlıkla silinmelere karşı bu policy’nin korunması sağlanır.
“Create Password Settings” arayüzünün sağ tarafında bulunan “Password age options” bölümünde oluşturulacak parolaların geçerlilik süreleri ile ilgili ayarlamalar yapılır. “Enforce minimum password age” seçeneğinin işaretlenmesi ile kullanıcı şifrelerine minimum süre atanması zorunlu hale getirilir. “User cannot change the password within day” ile verilen şifrenin değiştirilebilmesi için gereken minimum süre belirlenir. Bu süre zarfında kullanıcı şifresini değiştiremez.”Enforce maximum password age” seçeneğinin işaretlenmesi ile kullanıcı şifrelerine maksimum yaşam süresi atanması zorunlu hale getirilir. “User must change the password after days” seçeneğine yazılan süre ile de şifrenin maksimum kullanım süresi belirlenmiş olur. Bu süre sonunda kullanıcının verilen şifre ile logon olma hakkı elinden alınır.
Şifre ayarlamalarının yapılandırılmasından sonra hesap kilitleme ilgili ayarlar “Enforce account lockout policy” kısmından konfigüre edilir. “Enforce account lockout policy” ile hesap kilitleme ile ilgili kurallar aktif hale getirilir.”Number of failed logon attemps allowed” ile kullanıcı şifresinin kaç kere yanlış girilmesinden sonra hesabın kilitleneceğinin belirlendiği yerdir. Hesabın ne kadar yanlış girilirse girilsin kilitlenmemesi için 0 değerinin girilmesi gerekir. “Reset failed logon attemps count after mins” burada girilen değer,yanlış girilen parolaların sayısının sıfırlanması için geçmesi gereken süreyi temsil eder. “Account will be locked” bölümündeki “For a duration of mins” ile belirlenen sayıda yanlış parola girilmesi sonucu kiltlenen hesabın yeniden açılması için geçen süre belirlenir. “Until an administrator manually unlocks the account” ile kilitlenen hesabın sistem yöneticisi tarafından açılması zorunlu hale getirilir.
Gerekli ayarlamalar yapıldıktan sonra bu ayarların hangi kullanıcı ya da gruba uygulanacağının belirlenmesi için “Create password settings” arayüzünün sol tarafında bulunan “Directly Applies To” menüsü kullanılır. Burada bulunan “Add” seçeneği ile yapılandırılan parola ve hesap kilitleme ilgili ayarların hangi network nesnesine uygulanacağının belirlenmesi sağlanır.
“PasswordPolicy1” adlı ilkenin “Pasword Settings” kısmı yapılandırıldıktan sonra, şekildeki arayüzde de görüldüğü üzere sol menüde bulunan “Directly Applies To” ile bu policy’nin kimlere uygulanacağı belirlenir. “Directly Applies To” menüsünün sağ tarafında bulunana “Remove” seçeneği ile istenilmesi durumunda uygulanmış olan parola ilkeleri kaldırılır. “Add” seçeneği ile ise başka parola ayarlarının bu kullanıcıya uygulanması sağlanır.
Gerekli parola kısıtlamalarının konfigürasyonu, ilgili kullanıcıların hangi haklara sahip olacağının belirlenmesi şekildeki arayüzün sağ tarafında bulunan “Extensions” bölümünde yapılır.
Gerekli ayarların yapılmasından sonra oluşturulan PasswordPolicy adlı şifre ayalarını içeren ilke “Password Settings Container” arayüzünde görüntülenir. Bu arayüzün sağ tarafında bulunan “Tasks” bölümünün altındaki “Properties” kısmından uygulanan policy’nin özelliklerinin değiştirilmesi ya da görüntülenmesi sağlanır. “Delete” seçeneği ile ise varolan “password settings objects”lerinin silinme işlemi gerçekleştirilir. Yeni şifre ayarlarının yapılandırılması için ise “New” seçeneği ile devam edilir.
“Active Directory Administrative Center” arayüzünün sağ tarafında bulunan domain controller adının (bilgeadam(local)) gelindiğin Active Directory’de bulunan nesnelerin görüntülenmesi sağlanır. Örnekteki kullanıcının bulunduğu “test” organization unit’e gelindiğinde kullanıcıya erişim sağlanır.
Örnekte bulunan kullanıcıya gelinip, sağ tuşa tıklanmasıyla beraber gelen menüden “Properties”bölümünden istenildiğinde yapılan ayarların değiştirilmesi de söz konusudur.
“Propeties” arayüzüne gelindiğinde sol bölümde “Member Of” başlığı altında kullanıcıya hangi parola ayarının uygulandığı gözlemlenebilir. İstenildiği taktirde “Directly Associated Password Settings” başlığı altından başka parola policylerinin de “assign” edilmesi mümkündür.
Gerekli yapılandırılmaların uygulanacağı kullanıcının özellikler bölümündeki “Password Settings” ile yine kullanıcıya ilişkilendirilmiş parola ilkesinin görüntülenmesini veya istenildiği taktirde başka parola policy’lerinin bu kullanıcıya entgre edilmesi sağlanabilir. Extensions başlığında ise kullanıcıya çeşitli hak atamalarının yapılması mümkündür.
“Active Directory Administrative Center” arayüzündeki domain controller(bilgeadam(local)) başlığı altında kullanıcıların görüntülenmesi ile beraber daha önceden oluşturulan parola ilkelerinin bu kullanıcılar ilişkilendirilmesi sağlanabilir. Örnekteki “esra” kullanıcısına sağ tıklanmasıyla beraber menü de bulunan “Properties” ile varolan parola policy’lerden herhangi birinin uygulanması mümkündür.
Kullanıcının özellikler bölümünden “Member Of” başlığındaki Directly Associated Password Setting kısmında bulunan “Assign” seçeneği ile kullanıcıya uygulanacak parola policy’sinin seçilmesi mümkündür.
Uygulanan policy ayarlarını test etmek istersek “Active Directory User and Computer” arayüzü ya da şekildeki gibi “Active Directory Administrative Center” arayüzünde bulunan sol taraftaki bilgeadam(local) bölümüne gelinir. Kullanıcının üzerinde sağ tıklanarak, çıkan menüden “Reset password” ile parolanın resetlenmesi sağlanılır.
Yapılan policy ayarlarına uygun bir parolanın girilmesi ile beraber oluşturulan şifre ilkesinin geçerli olup olmadığı test edilir. Uygulanan ilkeye aykırı bir şifre girilmesi durumunda bu şifrenin geçerli olamayacağına dair bir hata mesajı ile kullanıcı bilgilendirilir.
Sonuç olarak Fine-Grained Password ayari ile kullanıcı ya da grup bazlı detaylı parola ya da hesap kilitleme ayarlamaların yapılması mümkündür. Tabi ki bu yenilik ile beraber sistem yöneticilerinin de yükünün hafiflediğini söylemek hiç de yanlış sayılmaz.
