Active Directory Password Protection

Active Directory – Password Protection

Active Directory için “Lithnet Password Protection” adlı program sayesinde internete sızdırılan edilmiş kullanıcı parolaları ya da isteğe bağlı oluşturulmuş düz metin parola listesi AD sisteminde oluşturulan parola politikası sayesinde tüm AD domainindeki kullanıcılar için kullanılmaktadır.

Aşağıdaki aşamalar uygulanarak, Lithnet Password Protection uygulaması sayesinde AD yönetiminde temel olarak bir parola politikası belirlenmektedir. Bu politika yetkili kullanıcının belirlediği düz metin parolalar ya da haveibeenpwned.com adresinde yayınlanan (internet ortamında sızdırılan) kullanıcı parolaları olabilir.

Active Directory Parola Yönetimi İçin Ücretli Çözümler

SPECOPS

Specops Parola Politikası ürünüyle Grup İlkesi yönetimi genişletiliyor, kurum içerisinde daha iyi ayarlanmış parola politikaları AD içerisindeki guplar, bilgisayarlar veya kullanıcılar için kullanılıyor. Ücretsiz deneme sürümü de bulunuyor.

Active Directory Password Protection
NFront Password Filtering

Windows Active Directory parolalarını filtrelemek için kullanılan uygulamadır. Windows’un her bir domaininde yer alan kullanıcı hesaplarının sayısına göre lisanslama yapmaktadır. nFront Parola Filtreleme uygulaması Windows domainde 6 farklı parola politikasına izin veren bir araçtır.

Windows Parola Politika Ayarları’nın haricinde tercih edilen parolaların daha önce internete sızdırılmış olmasıyla ilgili ya da parolanın güçlü olup olmadığıyla ilgili kontroller sunulmamaktadır.

Active Directory Password Protection

LPP (Lithnet Password Protection)

AD sunucularında, kullanıcı parolalarını denetlemek için kullanılan bir çeşit “Parola Filtreleme” modülüdür. Grup Politikası aracılığıyla tüm sistemde parola özelleştirmesi yapılmaktadır.

İnternete sızdırılmış kullanıcı parolalarının sisteminizdeki kullanıcılar tarafından kullanılmasını engelleyebilir. Sistemde kullanılmasını istemediğiniz düz metin parolalar ya da NTLM Hash değerleri engellenebilmektedir.

İnternete sızdırılmış kullanıcı hesapları için haveibeenpwned.com sitesi yararlı bir çözüm sunmaktadır.

LPP Kurulumu İçin Öncelikli Gereksinimler

  1. Kurulum yapılacak Windows makinenin 64bit mimaride (x64) olması gerekmektedir. LPP (Lithnet Password Protection) yalnızca 64bit Windows işletim sistemleri için kullanılmaktadır.
  2. Yereldeki yetkili kullanıcı haklarıyla LPP sisteme yüklenmelidir. Active Directory domain yapısında yetkili kullanıcı Domain Admin grubundaki kullanıcılar demektir.
  3. Yerelde yetkili kullanıcı tarafından, kullanılması istenmeyen parola listesi oluşturulmalı ya da haveibeenpwned.com/Passwords linkinde yer alan “NTLM Hash” versiyonu sisteme indirilmelidir. İndirilen sıkıştırılmış dosya çıkartılmalıdır.
  4. LPP uygulamasının son sürümü sisteme indirilmelidir. (https://github.com/lithnet/ad-password-protection/releases)
  5. Active Directory domain yapısında test için bir kullanıcı oluşturulmalı ve bu kullanıcı yapılacak işlemlerin sonucunda test için kullanılmalıdır.

Sistem Gereksinimleri

  1. LPP kurulumu için:
    1. Windows Server 2008 R2 ya da üzeri bir işletim sistemi gereklidir.
    2. Microsoft Visual C++ Runtime 14 ya da üzeri.
  2. Windows PowerShell modülü için:
    1. .NET Framework 4.6 ya da üzeri.
    2. PowerShell versiyon 5 ya da üzeri.
    3. Microsoft Visual C++ Runtime 14 ya da üzeri.

LPP Kullanım Stratejisi

Her bir “Domain Controller’a” kullanılmaması istenen parola listesine okuma izni verilmelidir. Bu izini oluştururken her bir AD sunucusu dosya paylaşımı yoluyla parola listesini okuyabilir ya da her bir AD sunucu için parola listesinin bir kopyası tutulmalıdır.

LPP Uygulamasının Kurulumu

Sistem Gereksinimleri ve Öncelikli Gereksinimler bölümünde yer alan koşullar sağlandıktan sonra LPP kurulumu yapılmalıdır. Herhangi bir gereksinim sağlanmadığında kurulum sihirbazı hata verecektir.

Active Directory Password Protection

Gerekli olan kurulum yolu belirtilmelidir. Kullanıma göre sistemde yeterli saklama alanı bulunan bir dizin tercih edilmelidir.

Active Directory Password Protection

Kurulum tamamlandıktan sonra sistem yeniden başlatılmalıdır.

Yeniden başlatma işleminden sonra Grup Politikası ayarları da tamamlandıktan sonra başarılı bir şekilde LPP çalışacaktır.

LPP Depo Yapılandırması

NTLM Hash değerleri kullanılması durumunda, LPP depo dizinine aktarma işlemi gerçekleştirilir. Have I Been Pwned sitesinde yer alan SHA1 listesi LPP uygulamasında desteklenmemektedir.

PowerShell komut satırından aşağıdaki komutlar uygulanarak LPP modülleri sisteme dahil edilir.

Import-Module LithnetPasswordProtection

Open-Store ‘C:\Program Files\Lithnet\Active Directory Password Protection\Store’

Import-CompromisedPasswordHashes – Filename C:\temp\pwned-passwords-ntlm-ordered-by-hash-v4.txt

Aşağıdaki görselde ‘Import-CompromisedPasswords’ modülü kullanılmıştır. Bu modül parola hashleri yerine düz metin olarak oluşturulan parola listelerini belirtir.

Active Directory Password Protection

Dosya boyutuna bağlı olarak PowerShell üzerinden çalıştırılan bu komut uzun sürebilmektedir (yaklaşık 40dk). Bu işlem hash değerlerini daha küçük formatta saklar, hash listesi yaklaşık 20GB boyutundayken işlem tamamlandığında 6GB olmaktadır.

‘LPP Store’ farklı AD sunucuları için Domain Controller dizinine kopyalanabilir ve farklı sistemlerde de kullanılabilir.

AD Grup Politika Yapılandırması

Bu aşamada uygulamayı etkinleştirmek ve parola kontrolünü yönetmek için sistemdeki grup politikası ayarlanmalıdır. Group Policy Management konsolundan mevcut domaine sağ tıklayarak görseldeki gibi bir GPO oluşturulur. Tercihe bağlı olarak daha üst hiyerarşide de politika oluşturulabilir çünkü yalnıza LPP uygulaması kurulu sistemlerde aktif edilir.

Active Directory Password Protection

Politikaya uygun bir isim verilir ve kaydettikten sonra, üzerine sağ tıklayarak “Edit” bölümünden Editor yardımıyla aşağıdaki görselde olduğu gibi LPP etkinleştirmesi yapılmalıdır.

Computer Configuration\Administrative Templates\Lithnet\Password Protection for Active Directory\Default Policy

Active Directory Password Protection

Farklı parola politikaları mevcut bölümde ayarlanabilir.

Test Aşaması

Etkinleştirilen politika AD kullanıcılarına atanıyor ve kullanıcı parola sıfırlama bölümünden test edilebiliyor. Aşağıdaki görselde kullanıcıya kısıtlanmış parola ataması deneniyor.

Active Directory Password Protection

Ortaya çıkan hata mesajında belirtildiği gibi istek reddediliyor.

Active Directory Password Protection

Karşılaşılan hata mesajı Windows hata mesajı olduğundan internete sızdırılan parola kullanımıyla ilgili bilgilere yer verilmemekte. Bu yüzden parola değişikliğinin reddedilmesi durumunda kullanıcılara bunun internete sızdırılan bir parola olduğunun belirtilmesi gerekiyor.

Önemli Not

Bu gibi uygulamaların güvenli bir ortamda test edilmesi önemlidir, aktif olarak kullanılan bir AD sisteminden ziyade yapılan işlemlerin test ortamında uygulanması gerekmektedir.

Test ortamında daha da etkili sonuçlar alabilmek için Password Policy ayarlarının güvenliği minimum düzeyde tutulmuştur. Örnek olarak aşağıdaki ayarlarda görüldüğü gibi parola politikası ve güvenliği devre dışı bırakılmıştır.

Active Directory Password Protection

Blog postu ile ilgili bir sorunuz varsa bizimle iletişime geçebilirsiniz.

Berk BAYKAN

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


Sızma testi hizmetlerimizi incelediniz mi?