Hesap kilitleme eşiğini önerilen değere ayarlama
Bu öneriyi neden değerlendirmelisiniz
Hesap kilitleme ilkesi şu anda hesap kilitleme eşiğini önerilen değere ayarlamıyor. Hesap kilitleme eşiği, hesapların hiçbir zaman kilitlenmemesi (ve Hizmet Reddi (DoS) saldırılarının engellenmesi) için 0 olarak veya hesabı kilitlenmeden önce kullanıcıların parolayı birkaç kez yanlış yazmalarına izin verecek, ancak parolaya yönelik bir deneme yanılma saldırısı olduğunda hesabı kilitleyecek kadar yüksek bir değer olarak ayarlayın.
Müşteri Mühendisinin sorunu açıklamasını izleyin
Bağlam ve En İyi Uygulamalar
Parola saldırıları, bir kullanıcı hesabı için milyonlarca farklı parola kombinasyonu denemek için otomatik yöntemler kullanabilir. İzin verilen başarısız oturum açma sayısını sınırlarsanız bu tür saldırılar neredeyse tamamen etkisiz bırakılabilir. Ancak hesap kilitleme eşiği yapılandırılmış olan bir etki alanına Hizmet Reddi (DoS) saldırısı gerçekleştirilebilir. Saldırgan, kuruluştaki tüm kullanıcılara karşı bir dizi planlı parola saldırısı girişiminde bulunabilir. Deneme sayısı hesap kilitleme eşiğinden fazlaysa saldırgan bütün hesapları kilitleyebilir.
Hesap kilitleme eşik değeri yapılandırıldığında ve yapılandırılmadığında bazı güvenlik açıkları olabileceğinden iki farklı karşı önlem uygulanabilir. Kuruluşlar saptadıkları tehditlere ve azaltmak istedikleri risklere göre bu iki karşı önlemden hangisini seçeceğine karar vermelidir. İki karşı önlem seçeneği şunlardır:
- Hesap kilitleme eşiği değerini 0 olarak yapılandırın. Bu yapılandırma, hesapların kilitlenmemesini sağlar ve hesapları kasıtlı olarak kilitlemeye çalışan DoS saldırılarını önler. Kullanıcılar hesaplarını yanlışlıkla kilitleyemeyeceği için bu yapılandırma yardım masasına gelen aramaların azalmasına da yardımcı olur. Bu yolla deneme yanılma saldırıları da engelleneceğinden bu yapılandırma yalnızca aşağıdaki kriterden ikisi de kesin şekilde karşılanırsa tercih edilmelidir:
-
- Parola ilkesi, tüm kullanıcıların 8 veya daha fazla karakterden oluşan karmaşık parolalara sahip olmasını gerektirir.
- Ortamda birkaç başarısız oturum açma girişimi olduğunda yöneticileri uyarmak için sağlam bir denetim mekanizması uygulanır. Örneğin, denetim çözümünün bir oturum açma hatası olan 539 numaralı güvenlik olayını izlemesi gerekir. Bu olay, oturum açma girişimi sırasında hesapta bir engelle karşılaşıldığını ifade eder.
- Parola ilkesi, tüm kullanıcıların 8 veya daha fazla karakterden oluşan karmaşık parolalara sahip olmasını gerektirir.
- Hesap kilitleme eşiği ayarını hesabı kilitlenmeden önce kullanıcıların parolayı birkaç kez yanlış yazmalarına izin verecek, ancak parolaya yönelik bir deneme yanılma saldırısı olduğunda hesabı kilitleyecek kadar yüksek bir değer olarak yapılandırın. Bu nedenle bu yapılandırma, hesabın yanlışlıkla kilitlenmesini önleyip yardım masasına gelen aramaları azaltır ama DoS saldırılarını engellemez.
Bu ilke ayarı etkinleştirilirse kilitlenen bir hesap, yönetici tarafından sıfırlanana veya hesap kilitleme süresi sona erene kadar kullanılamaz. Buna bağlı olarak yardım masasına gelen aramalar olabilir. Aslında birçok kuruluşta yardım masasına gelen aramaların büyük çoğunluğunu kilitlenen hesaplar oluşturur. Bu ayarı uygularsanız bir saldırgan birden çok kullanıcı için kasıtlı olarak başarısız oturum açma girişimlerinde bulunarak hizmet reddi durumuna neden olabilir. Bu nedenle Hesap kilitleme süresini de 15 dakika gibi nispeten düşük bir değer olarak yapılandırmanız gerekir.
Önerilen Eylemler
Etki alanında geçerli parola ilkesini içeren Grup İlkesi Nesnesi'ni (GPO) açmak için Grup İlkesi Yönetimi Düzenleyicisi'ni (GPME) kullanın. Bu GPO, Varsayılan Etki Alanı İlkesi veya Varsayılan Etki Alanı İlkesi'nin üzerinde bağlantılı (yani, daha yüksek önceliğe sahip) özel bir GPO olabilir.
GPME'de Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkesi'ne gidin.
Hesap kilitleme eşiği ayarını, hesapların hiçbir zaman kilitlenmemesi için 0 olarak veya n olarak yapılandırın. Burada n değeri, hesabı kilitlenmeden önce kullanıcıların parolayı birkaç kez yanlış yazmalarına izin verecek, ancak parolaya yönelik bir deneme yanılma saldırısı olduğunda hesabı kilitleyecek kadar yüksek bir değer olmalıdır. n değeri için güncel olarak önerilen Microsoft Security Compliance Toolkit (SCT) taban değeri 10'dur.
Ayrıntılı parola ilkeleri kullanılıyorsa varsayılan etki alanı ilkesinin tüm hesapları etkilemeyebileceğini unutmayın. Bu gibi durumlarda, bu ayrıntılı parola ilkelerindeki ters çevrilebilir şifreleme ayarını da kontrol etmelisiniz.
Daha Fazla Bilgi Edinin
Hesap kilitleme ayarları hakkında daha fazla bilgi için bkz. Hesap Kilitlemeyi Yapılandırma.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin