Güçlü bir hesap kilitleme ilkesi, Windows etki alanlarında kaba kuvvetle kimlik doğrulama girişimlerini durdurmak için en etkili araçlardan biridir.
Bir saldırgan birçok kez yanlış şifre girdiğinde hesap kilitlenir. Bu, bir yönetici hesabın kilidini açana kadar herhangi bir ek girişimi önler.
Hesap Kilitleme Politikası Oluşturma
Bir hesap kilitleme ilkesi oluşturmak için, içinde ilkeyi oluşturmak istediğiniz grup ilkesi nesnesini açarak başlayın. Ardından, konsol ağacında gezinin Bilgisayar Yapılandırması > Politikalar > Windows Ayarları > Güvenlik ayarları > Hesap Politikaları > Hesap Kilitleme Politikası. Şekil 1’de görebileceğiniz gibi, bir hesap kilitleme politikası oluşturan üç ayrı ayar vardır.
Hesap Kilitleme Politikası Ayarları
1. Kilitleme süresi ayarı
Bir hesap kilitleme politikasında kullanılan ilk ayar, kilitleme süresidir. Bir hesap kilitlenirse, kilitleme süresi ayarı, kilitlemenin ne kadar süreceğini kontrol eder. Hesap Kilitleme Süresi ayarının etkinleştirilmesi, kilitleme süresini dakika cinsinden girmenize olanak tanır. Bir dakikadan 99.999 dakikaya kadar kilitleme yapabilirsiniz.
Alternatif olarak, hesap kilitleme süresi değerini 0 olarak ayarlayarak bir yönetici hesabın kilidini açana kadar bir hesap kilitlemenin etkin kalmasını sağlayabilirsiniz.
2. Hesap Kilitleme Eşiği ayarı
Hesap kilitleme ilkesinin temeli olarak kullanılan ikinci grup ilkesi ayarı, Hesap Kilitleme Eşiği ayarıdır. Bu, bir hesabın kilitlenmesine neden olacak başarısız oturum açma girişimlerinin sayısını belirleyen ayardır. Örneğin, Hesap Kilitleme Eşiğinin beş değerine ayarlanması, beş başarısız oturum açma girişiminin ardından bir kullanıcının hesabının kilitleneceği anlamına gelir.
Çoğu kuruluş üç veya beş değerini kullanmasına rağmen, belirleyebileceğiniz maksimum başarısız oturum açma girişimi sayısı (ayarın etkin olduğu varsayılarak) 999’dur. Bu arada, değeri 0 olarak ayarlarsanız hesaplar hiçbir zaman kilitlenmeyecektir.
3. Ayardan Sonra Hesap Kilitleme Sayacını Sıfırlayın
Hesap kilitleme ilkesindeki üçüncü ayar, Hesap Kilitleme Sayacını Şu Zamandan Sonra Sıfırla ayarıdır. Bu ayar, Windows’un bir hesabın başarısız oturum açma sayısını sıfırlamadan önce geçmesi gereken süreyi belirler. Sıfırlama süresi bir dakika kadar kısa veya 99.999 dakikaya kadar ayarlanabilir.
Bir an için, bir kuruluşun, üç hatalı giriş denemesinden sonra bir kullanıcının hesabını kilitleyen bir hesap kilitleme politikası olduğunu hayal edin. Şimdi, bir kullanıcının parolasını arka arkaya iki kez yanlış girdiğini varsayalım. Kullanıcı parolasını üçüncü kez yanlış girerse, hesap kilitlenir.
Bununla birlikte, kullanıcı bekleyecek ve ertesi gün tekrar oturum açmayı deneyecekse, sıfırlama hesabı kilitleme sayacının sonunda sona ereceği ve esasen hiçbir başarısız oturum açma işlemi gerçekleşmemiş gibi (en azından bir hesaptan) olacağı için, kullanıcıya üç deneme daha verilecektir. kilitleme olasılığı).
Hesap Kilitleme Sorunu
Bir hesap kilitleme ilkesi, belirli bir süre sonra bir kullanıcının hesabının kilidini otomatik olarak açacak şekilde yapılandırılabilse de, çoğu kuruluş kilitlenen hesapların kilidini açmak için bir yöneticiye ihtiyaç duyar. Sonuçta, hesap bir nedenden dolayı kilitlendi ve otomatik kilit açma işlemi bir güvenlik riski oluşturabilir.
Elbette, bir hesabın kilidini açmak için bir yöneticiye ihtiyaç duymak, bir son kullanıcının bakış açısından sorunlu olabilir. Örneğin, hesap kilitlenmeleri, gece geç saatlerde veya hesabın kilidini açabilecek kimsenin bulunmadığı hafta sonlarında meydana gelebilir. Aynı şekilde, destek masası meşgulse, kullanıcının bir teknisyenin müsait olmasını beklemesi gerekebilir.
Specops uReset, kullanıcıların kendi hesaplarının kilidini açmasına izin vererek bu sorunu çözer. Bir kullanıcının hesabı kilitlenirse, kullanıcı bir self servis Web portalını ziyaret edebilir ve hesabın kilidinin açılmasını isteyebilir. Portal daha sonra kullanıcının özelleştirilebilir bir çok faktörlü kimlik doğrulama işlemi yoluyla kimliğini kesin olarak kanıtlamasını gerektirir. En iyi yanı, bu günlerde gerçekleşen tüm karma evden çalışma ile tekrarlanabilen yerel olarak önbelleğe alınmış kimlik bilgileri sorunu artık bir sorun değil.
Kullanıcı gerekli kimlik doğrulama bilgilerini sağladığında, kullanıcının parolası sıfırlanır ve hesabının kilidi açılır, üstelik yardım masası aranmadan da. Bu işlem yalnızca hesaplarının kilidinin açılmasını gerektiren son kullanıcılar için uygun olmakla kalmaz, aynı zamanda kullanıcılar kendi parolalarını sıfırlayabildikleri ve kendi hesaplarının kilidini açabildikleri için yardım masası personelinin iş yükünün azaltılmasına da yardımcı olabilir. Uygun olup olmadığını görmek için Specops uReset’i Active Directory’nizde ücretsiz olarak test edebilirsiniz.
Specops’un sponsorluğunda