Günümüzde siber saldırıların büyük bir kısmı, karmaşık exploit’lerden ziyade hala en temel zafiyetlerden biri olan zayıf kimlik doğrulama mekanizmaları üzerinden gerçekleşmektedir. Özellikle brute-force saldırıları, doğru güvenlik politikaları uygulanmadığında sistemlere yetkisiz erişim sağlamanın en kolay yollarından biridir.
Bu noktada Windows işletim sistemlerinde kritik bir yol oynayan Account Lockout Policy, kullanıcı hesaplarının belirli sayıda hatalı giriş denemesinden sonra otomatik olarak kilitlenmesini sağlayarak, saldırganların deneme-yanılma yoluyla parola tahmin etmesini engellemeyi amaçlar. Doğru yapılandırıldığında Account Lockout Policy, kurumsal ortamlarda saldırı yüzeyini ciddi ölçüde daraltan temel bir savunma mekanizmasıdır.
Account Lockout Policy yapılandırması için öncelikle Group Policy Management konsolunu açıyoruz. Ardından aşağıdaki yolu izleyerek ilgili ayarlara erişiyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Account Lockout Policy 
Account Lockout Duration
Bu ayar, hesabın kilitlendikten sonra kaç dakika boyunca kilitli kalacağını belirler. Örneğin bu süre 30 dakika olarak yapılandırıldığında, hesabı kilitlenen bir kullanıcı 30 dakika boyunca sisteme giriş yapamayacaktır.
Account Lockout Threshold
Bu ayar, kullanıcı hesabının kaç kez hatalı parola girildikten sonra kilitleneceğini belirler. Örneğin bu değer 5 olarak yapılandırıldığında, kullanıcı 5 kez yanlış parola girdiğinde hesabı otomatik olarak kilitlenecektir.
Allow Administrator Account Lockout
Bu ayar, built-in Administrator hesabının da hatalı giriş denemeleri sonucunda kilitlenip kilitlenmeyeceğini belirler. Etkinleştirildiğinde (Enabled), Administrator hesabı da diğer kullanıcılar gibi belirlenen eşik değerine ulaştığında kilitlenir.
Reset Account Lockout Counter After
Bu ayar, hatalı giriş denemelerinin sayacının kaç dakika sonra sıfırlanacağını belirler. Örneğin Account Lockout Threshold değeri 3 olarak yapılandırılmışsa ve kullanıcı parolasını 2 kez yanlış girdiyse, bir kez daha hatalı giriş yapması durumunda hesabı 30 dakika boyunca kilitlenecektir. Ancak Reset Account Lockout Counter After değeri 5 dakika olarak ayarlanmışsa, kullanıcı 5 dakika boyunca yeni bir hatalı deneme yapmazsa sayaç sıfırlanır ve deneme hakkı tekrar 3 olur.
Active Directory ortamında herhangi bir kullanıcı hesabı lockout durumuna geçtiğinde, bu kilitlenme işlemi Active Directory Users and Computers konsolu üzerinden manuel olarak kaldırılabilir.
Daha fazla Windows içeriği için takipte kalın…
Leave a Reply