Active Directory'deki etkin olmayan kullanıcı hesaplarını düzenli olarak denetleme ve kaldırma

Bu öneriyi neden değerlendirmelisiniz

Parolanın en son ne zaman değiştirildiğine veya kullanıcının son oturum açma zaman damgasına göre bakıldığında Active Directory'deki kullanıcı hesaplarının yüzde 10'undan fazlasının etkin olmadığı (eski olduğu) tespit edildi. Active Directory'deki eski kullanıcı hesapları, kötü niyetli kişiler veya eski çalışanlar tarafından kullanılabileceğinden önemli bir güvenlik riski oluşturur. Bu etkin olmayan hesaplar geri kazanılabilecek veritabanı alanını da tüketir.

Müşteri Mühendisinin sorunu açıklamasını izleyin

Bağlam ve En İyi Uygulamalar

Active Directory'de her kullanıcı için bir hesap bulunur. Zaman içinde kuruluştan ayrılan kullanıcılar olur ve bu kullanıcı hesapları Active Directory'den kaldırılmayabilir. Eski çalışanlar ve kuruluş dışından siber saldırganlar bu hesapları kuruluşa saldırmak için kullanabileceğinden eski kullanıcı hesapları önemli bir güvenlik sorunudur. Eski hesapların dizin veritabanında kullandığı alan da geri kazanılabilir.

Kullanıcı hesaplarında PasswordLastSet adlı bir öznitelik vardır ve bu öznitelik bir kullanıcının parolasını en son ne zaman değiştirdiğini kaydeder. PasswordLastSet, çoğaltılan bir öznitelik olduğundan, her etki alanında yalnızca bir etki alanı denetleyicisi sorgulanmalıdır.

Windows Server 2003, olası eski hesapları belirlemeye yardımcı olmak için lastLogonTimeStamp adında yeni bir öznitelik sundu. Bu öznitelik, Windows Server 2003, Windows Server 2008, Windows Server 2008R2, Windows Server 2012 veya Windows Server 2012R2 işlevsel düzeyine ayarlanmış etki alanında etkinleştirilir. Windows NT 4.0'dan beri kullanılabilir olan lastLogon özniteliğinin aksine, lastLogonTimeStamp her güncelleştirildiğinde çoğaltılır. Her etki alanında yalnızca bir etki alanı denetleyicisi sorgulanması gerektiğinden bu özniteliği sorgulamak daha uygundur.

Hesapları bulmak için Active Directory'de etkin olmayan kullanıcı hesaplarını sorgulayan bir betik çalıştırın. Windows PowerShell için Active Directory Modülünde, Search-ADAccount –AccountInactive –UsersOnly komutu tüm etkin olmayan kullanıcı hesaplarını döndürür. Bilgisayarın en son oturum açtığı tarihi daraltmak için -DateTime veya -TimeSpan anahtarlarını kullanın.

Not: Lastlogontimestamp, her oturum açıldığında çoğaltılmaz. AD Hesabı özniteliklerini anlama - LastLogon, LastLogonTimeStamp ve LastLogonDate başlıklı yazıya göz atın: https://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx.

Eski kullanıcı hesaplarıyla uğraşırken genellikle hesapların yetkisini kaldırmak için etkili süreçler gerekir. Ancak kullanıcıların çalışamadığı durumlar olabilir ve bu nedenle uzun bir süre oturum açamayabilirler. Ayrıca, hizmet hesaplarında da uzun bir süre oturum açılmamış olabilir. Sonuç olarak, süreçlerinize birden çok denetim dahil etmeli ve hâlâ kullanılmakta olan hesapları devre dışı bırakmayı veya silmeyi önlemeye yardımcı olacak güvenlik önlemleri almalısınız.

Önerilen Eylemler

Son altı ay içinde parolalarını değiştirmemiş kullanıcı hesaplarını aramak için düzenli denetimler gerçekleştirerek bu hesapları kapatıp Active Directory'den kaldırmalısınız.

Her etki alanında Active Directory'de parola yaşının belirli bir sürenin üzerinde olduğu kullanıcı hesaplarını sorgulayan bir betik çalıştırın. Windows PowerShell için Active Directory Modülünde, son altı ay içinde parolası değiştirilmeyen kullanıcı hesaplarını listelemek için aşağıdaki betiği çalıştırın.

$d = [DateTime]::Today.AddDays(-180)

Get-ADUser -Filter '(PasswordLastSet -lt $d) -or (LastLogonTimestamp -lt $d)' -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp";E={[datetime]::FromFileTime($_.LastLogonTimestamp)}}

Eski hesaplar belirlendikten sonra, bu kullanıcı hesaplarını kapatıp birkaç hafta beklemeniz ve herhangi bir sorun bildirilmemişse hesapları silmeniz önerilir.