Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu öneriyi neden değerlendirmelisiniz
Hesap kilitleme ilkesi şu anda hesap kilitleme eşiğini önerilen değere ayarlamıyor. Hesap kilitleme eşiği, hesapların hiçbir zaman kilitlenmemesi (ve Hizmet Reddi (DoS) saldırılarının engellenmesi) için 0 olarak veya hesabı kilitlenmeden önce kullanıcıların parolayı birkaç kez yanlış yazmalarına izin verecek, ancak parolaya yönelik bir deneme yanılma saldırısı olduğunda hesabı kilitleyecek kadar yüksek bir değer olarak ayarlayın.
Müşteri Mühendisinin sorunu açıklamasını izleyin
Bağlam ve En İyi Uygulamalar
Otomatik parola saldırıları, her bir kullanıcı hesabı için milyonlarca farklı parola kombinasyonu deneyebilir. Başarısız oturum açma girişimlerinin sayısını sınırlamak, bu tür saldırıların başarılı olma riskini önemli ölçüde azaltabilir. Ancak bir etki alanında hesap kilitleme eşiği ayarlanmışsa, tüm kullanıcı hesaplarında seri halde oturum açma girişimlerinde bulunulmasının bu eşiği tetikleyerek her hesabın kilitlenmesine neden olabileceğini unutmayın.
Hesap kilitleme eşiği yapılandırıldığında ve yapılandırılmadığında bazı güvenlik açıkları olabileceğinden iki farklı karşı önlem uygulanabilir. Kuruluşlar saptadıkları tehditlere ve azaltmak istedikleri risklere göre bu iki karşı önlemden hangisini seçeceğine karar vermelidir. İki karşı önlem seçeneği şunlardır:
- Hesap kilitleme eşiği değerini 0 olarak yapılandırın. Bu yapılandırma, hesapların kilitlenmemesini sağlar ve hesapları kasıtlı olarak kilitlemeye çalışan DoS saldırılarını önler. Kullanıcılar hesaplarını yanlışlıkla kilitleyemeyeceği için bu yapılandırma yardım masasına gelen aramaların azalmasına da yardımcı olur. Bu yolla deneme yanılma saldırıları da engelleneceğinden bu yapılandırma yalnızca aşağıdaki kriterden ikisi de kesin şekilde karşılanırsa tercih edilmelidir:
-
- Parola ilkesi, tüm kullanıcıların 8 veya daha fazla karakterden oluşan karmaşık parolalara sahip olmasını gerektirir.
- Ortamda birkaç başarısız oturum açma girişimi olduğunda yöneticileri uyarmak için sağlam bir denetim mekanizması uygulanır. Örneğin, denetim çözümünün bir oturum açma hatası olan 539 numaralı güvenlik olayını izlemesi gerekir. Bu olay, oturum açma girişimi sırasında hesapta bir engelle karşılaşıldığını ifade eder.
- Hesap kilitleme eşiğini, kullanıcıların parolalarını birkaç kez yanlış yazmalarına izin verdikten sonra hesabın kilitlenmesini ve aynı zamanda deneme yanılma parola saldırılarını önlemesini sağlayacak bir düzeye ayarlayın. Bu yapılandırma, hesabın yanlışlıkla kilitlenmesini önleyip yardım masasına gelen çağrıları azaltır ama DoS saldırılarını engellemez.
Bu ilke ayarı açılırsa, kilitlenen bir hesaba yönetici tarafından sıfırlanana veya kilitleme süresi sona erene kadar erişilemez. Birçok kuruluşta kilitli hesaplar nedeniyle sıklıkla sorgu yapıldığından bu yapılandırma, yardım masası çağrılarında artışa yol açabilir. Ayrıca kötü bir aktör, kullanıcıları kilitlemek ve hizmeti kesintiye uğratmak amacıyla kasıtlı olarak birden çok başarısız oturum açmayı tetikleyebilir. Olası etkiyi hafifletmek için Hesap kilitleme süresini 15 dakika gibi daha kısa bir süreye ayarlamanız önerilir.
Önerilen Eylemler
Etki alanında geçerli parola ilkesini içeren Grup İlkesi Nesnesi'ni (GPO) açmak için Grup İlkesi Yönetimi Düzenleyicisi'ni (GPME) kullanın. Bu GPO, Varsayılan Etki Alanı İlkesi veya Varsayılan Etki Alanı İlkesi'nin üzerinde bağlantı verilen (yani, daha yüksek önceliğe sahip) özel bir GPO olabilir.
GPME'de Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkesi'ne gidin.
Hesap kilitleme eşiği ayarını, hesapların hiçbir zaman kilitlenmemesi için 0 olarak veya n olarak yapılandırın. Burada n değeri, kullanıcıların hesapları kilitlenmeden önce parolayı birkaç kez yanlış yazmalarına izin verecek kadar yüksek, ancak parolaya yönelik bir deneme yanılma saldırısı olduğunda yine de hesabın kilitlenmesini sağlayacak bir değer olmalıdır. n değeri için güncel olarak önerilen Microsoft Security Compliance Toolkit (SCT) taban değeri 10'dur.
Ayrıntılı parola ilkeleri kullanılıyorsa varsayılan etki alanı ilkesinin tüm hesapları etkilemeyebileceğini unutmayın. Bu gibi durumlarda, bu ayrıntılı parola ilkelerindeki ters çevrilebilir şifreleme ayarını da kontrol etmelisiniz.
Daha Fazla Bilgi Edinin
Hesap kilitleme ayarları hakkında daha fazla bilgi için bkz. Hesap Kilitlemeyi Yapılandırma.