Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
BT uzmanlarına yönelik bu konu başlığında, Windows'un Windows Server 2012 ve Windows 8.1'de başlayan Windows sürümlerinde parolaları nasıl uyguladığı açıklanmaktadır. Ayrıca güçlü parolalar, parola parolaları ve parola ilkeleri de ele alınmaktadır.
Parolalar Windows'ta nasıl depolanır?
Bu makale, "durağan" parolaların depolanması hakkında bilgi sağlar.
Windows, parolaları 256 karakterlik UNICODE dizelerde temsil eder, ancak oturum açma iletişim kutusu 127 karakterle sınırlıdır. Bu nedenle, mümkün olan en uzun parola 127 karakterden oluşur. Hizmetler gibi programlar daha uzun parolalar kullanabilir, ancak program aracılığıyla ayarlanmalıdır.
Windows işletim sistemi parolaları farklı amaçlar için birçok farklı şekilde depolar.
OWF olarak depolanan parolalar
Active Directory etki alanları da dahil olmak üzere Windows ağında kullanmak için parola varsayılan olarak iki farklı yolla depolanır: LAN Manager tek yönlü işlevi (LM OWF) ve NT OWF olarak. "Tek yönlü işlev", verilerin tek yönlü matematiksel dönüşümünün belirtildiğini ifade eden bir terimdir. Dönüştürülmekte olan veriler yalnızca şifreleme yoluyla tek yönlü dönüştürülebilir ve geri alınamaz. Kullanılan tek yönlü işlevin en yaygın türü kriptografik karmadır. Karma, karmanın hesaplandığı bazı daha büyük veri kümelerine matematiksel olarak bağlı olan küçük bir veri kümesidir. Daha büyük veri kümesi değiştirilirse karma da değişir. Hash'lar, örneğin verilerin iletim sırasında değiştirilmediğini doğrulamak için sağlama toplamı olarak kullanışlıdır. Şifreleme karması, belirli özellikleri yerine getiren bir karmadır. Örneğin, şifreleme karması, yalnızca karmadan daha büyük veri kümesini çıkarsamak için makul bir süre içinde matematiksel olarak mümkün olmayacak şekilde oluşturulmalıdır. Benzer şekilde, aynı karmayı oluşturan iki büyük veri kümesini bulmak matematiksel olarak mümkün değildir.
Tek yönlü işlevlerin birçok farklı türü vardır. Tüm karma işlevler, tanım gereği tek yönlü işlevlerdir. Ancak, genellikle geri çevrilebilir sıradan şifreleme işlevleri de tek yönlü bir işlev oluşturmak için kullanılabilir. Bu işlem, şifreleme işlevindeki verileri ve anahtarı değiştirerek ve verileri anahtar olarak kullanarak sabit değeri (anahtar) şifreleyerek yapılabilir. LM karması bu şekilde hesaplanır. LM karması aşağıdaki gibi hesaplanır:
- Parola, NULL baytlarıyla doldurularak tam olarak 14 karaktere ulaşır. Parola 14 karakterden uzunsa, kalan işlemler için 14 NULL bayt ile değiştirilir.
- Parola tüm büyük harfe dönüştürülür.
- Parola iki 7 baytlık (56 bit) tuşa ayrılır.
- Her anahtar, sabit bir dizeyi şifrelemek için kullanılır.
- 4. adımdaki iki sonuç birleştirilir ve LM karması olarak depolanır.
LM OWF algoritması, daha yeni algoritmaları kullanamayan yazılım ve donanımlarla geriye dönük uyumluluk için Windows'a dahil edilir.
NT karması yalnızca bir karmadır. Parola, MD4 algoritması kullanılarak hashlenir ve depolanır. NT OWF, hem Windows NT 4.0 hem de önceki etki alanlarında ve Active Directory etki alanlarında etki alanı üyeleri tarafından kimlik doğrulaması için kullanılır.
Ne NT karması ne de LM karması tuzlanmış değildir. Tuzlama, tek yönlü işlevi hesaplamadan önce parolayı rastgele bir sayısal değerle (tuz) birleştiren bir işlemdir.
Active Directory'de depolanan parolalar
Uykuda olan parolalar, Active Directory veritabanının (NTDS.DIT dosyası) çeşitli özniteliklerinde depolanır. Bu öznitelikler aşağıdaki tabloda listelenmiştir:
| Active Directory Özniteliği | Content |
|---|---|
| unicodePwd | Şifrelenmiş NT Karması |
| dbcsPwd | Şifrelenmiş LM Karması |
| ntPwdHistory | Şifreli NT Karmaları - Parola Geçmişi |
| lmPwdHistory | Şifrelenmiş LM Özetleri - Parola Geçmişi |
| supplementalCredentials | Kerberos Anahtarları, WDigest vb. |
Note
Windows Vista ve Windows Server 2008'den bu yana LM karmalarının depolanması varsayılan olarak devre dışıdır.
DIT dosyasında depolandığında, NT karması iki şifreleme katmanıyla korunur. Windows Server 2016/Windows 10 ve sonraki sürümlerinde, geriye dönük uyumluluk için önce DES ile ve ardından CNG BCrypt AES-256 ile şifrelenir (bkz. CNGBCRYPT_AES_ALGORITHM). Önceki Windows sürümleri, NT karmalarını iki katmanlı DES + RC4 şifreleme kullanarak şifreler.
Ek Kimlik Bilgileri hakkında daha fazla bilgi için bkz. MS-SAMR: supplementalCredentials ve Supplemental Credentials Structures.
Yerel SAM'de depolanan parolalar
Etki alanı üyelerinde ve iş istasyonlarında, yerel kullanıcı hesabı parola karmaları kayıt defterinde bulunan yerel bir Güvenlik Hesabı Yöneticisi (SAM) Veritabanında depolanır. Bunlar, Active Directory ile aynı şifreleme ve karma algoritmaları kullanılarak şifrelenir. Yerel kullanıcı hesapları için supplementalCredentials özniteliğindeki parolalar, Windows Server 2016'dan bu yana yerel SAM Veritabanı'nda da depolanır.
Önbelleğe alınan kimlik bilgileri
Ayrıca, bir etki alanı kullanıcısı bu etki alanı üyesinde oturum açtığında, Windows etki alanı üyelerinde bir parola doğrulayıcı depolar. Bu doğrulayıcı, bilgisayar etki alanı denetleyicisine erişemiyorsa etki alanı kullanıcısının kimliğini doğrulamak için kullanılabilir. Parola doğrulayıcı genellikle önbelleğe alınmış kimlik bilgileri olarak da adlandırılır. NT karması alınır, kullanıcı adı buna eklenir ve ardından sonuç, MD4 karma işlevi kullanılarak hesaplanır.
Windows'ta parolalar nasıl çalışır?
Windows'ta ve diğer birçok işletim sisteminde, bir kullanıcının kimliğini doğrulamanın bir yöntemi gizli parola veya parola kullanmaktır.
Akıllı Kart, FIDO ve İş İçin Windows Hello gibi güvenli çok faktörlü kimlik doğrulaması kullanmanızı öneririz. Ancak, bazı senaryolarda parola kimlik doğrulaması hala gereklidir.
Ağ ortamınızın güvenliğini sağlamak için güçlü parolaların tüm kullanıcılar tarafından kullanılması gerekir. Bu, güvenliği aşılmış bir kullanıcı hesabının kimlik bilgilerini almak için el ile veya araçlar kullanarak kötü amaçlı bir kullanıcının zayıf parola tahmin etme tehdidini önlemeye yardımcı olur. Bu durum özellikle yönetim hesapları için geçerlidir. Karmaşık bir parolayı düzenli olarak değiştirdiğinizde, başarılı bir parola saldırısı olasılığı azalır.
Parola ilkesi ayarları, parolaların karmaşıklığını ve kullanım ömrünü denetler. Parola ilkeleri Windows parolalarını etkiler, özellik parolalarını etkilemez.
Kullanıcıların parolalarını değiştirme yeteneği, parola ilkelerine ve kullanılabilir arabirimlere tabidir. Örneğin, Güvenli Masaüstü aracılığıyla kullanıcılar istedikleri zaman parolalarını sistem yöneticisi veya etki alanı yöneticisi tarafından yönetilen parola ilkelerine göre değiştirebilir. Windows Kasası, BitLocker ve Şifreleme Dosya Sistemi gibi özellikler, kullanıcıların bu özelliğe özgü parolaları değiştirmesine olanak tanır.
Windows'ta parolalar nasıl kullanılır?
Kullanıcı oturum açtığında, kullanıcının oluşturduğu parola her iki tür tek yönlü işleve dönüştürülür ve Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlemi tarafından bellekte tutulur. Kullanıcı kimlik doğrulaması için yerel bir hesap kullanıyorsa, NT OWF yerel olarak depolanan NT karmasıyla karşılaştırılır ve ikisi eşleşirse, kullanıcı oturum açar. Kullanıcı, bir kaynağa erişmek için bir ana bilgisayar adı kullanarak bir Active Directory etki alanında kimlik doğrulaması yapıyorsa, NT karması, genellikle etki alanı denetleyicisi olan Anahtar Dağıtım Merkezi'ne (KDC) karşı Kerberos oturum açmada kullanılır.
Kerberos aşağıdaki durumlarda kullanılamaz:
- Yalnızca Windows NT 4.0 veya önceki bir sürümü çalıştıran bir etki alanında kimlik doğrulama işlemi yapmak
- Active Directory etki alanı üyesindeki bir kaynağa ana bilgisayar adı yerine IP adresi kullanarak erişme
- Active Directory etki alanının üyesi olmayan bir bilgisayardaki kaynağa erişme
- Active Directory etki alanının üyesi olan ancak etki alanınız tarafından güvenilmeyen bir bilgisayardaki kaynağa erişme
- Kerberos'un desteklenmediği bir bilgisayarda herhangi bir kaynağa erişme
Bu durumlarda, kimlik doğrulama işlemi LAN Yöneticisi ve NTLM adlı iki farklı protokol kullanır. İşlem, istemcinin kimlik doğrulama sunucusundan bir sınama istemesiyle başlar. Sınama alındıktan sonra istemci bu sınamaya bir yanıt hesaplar. Bu işlem, önce parolanın iki karma değeri null değerlerle doldurularak 168 bit'e tamamlanarak yapılır. Her karmanın 168 biti üç 56 bit DES anahtarına bölünür. Ardından sınamayı şifrelemek için altı DES anahtarı kullanılır. LM karması kullanılarak üretilen üç şifreleme metni birleştirilir ve LAN Yöneticisi yanıtı olur. NT karması kullanılarak oluşturulan üç şifre metni birleştirilir ve NTLM yanıtı olur.
Yanıtı hesaplamak için kullanılan işlevler, Ağ güvenliği: LAN Yöneticisi kimlik doğrulama düzeyi Grup İlkesi ayarındaki LM Uyumluluk Düzeyi ayarıyla değiştirilebilir. Bu değer 1 veya daha düşük olarak ayarlanırsa, istemci özgün LAN Manager ve NTLM yanıtlarını gönderir. 2 olarak ayarlanırsa, yalnızca NTLM yanıtı gönderilir. 3 veya üzeri olarak ayarlanırsa, her iki protokolün de yeni bir sürümü kullanılır. NTLM sürümü NTLMv2 olarak adlandırılır. LAN Manager sürümü genellikle LMv2 olarak adlandırılır. Her iki protokol de yanıtı hesaplamak için NT karması kullanır ve her ikisi de sunucu sınaması yerine veya buna ek olarak istemci tarafı sınaması kullanır. Buna ek olarak, LM Uyumluluk Düzeyi ayarı 1 veya daha yüksek olarak ayarlanırsa, NTLM yanıtına tekrar oynatma saldırılarını önlemeye yardımcı olmak için zaman damgası eklenir. LM Uyumluluk Düzeyi ayarı hakkında bilgi için bkz. Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi.
Güçlü parolalar
Parolalar, kuruluşunuza yetkisiz erişime karşı ilk savunma hattını sağlar. Windows Server 2003'le başlayarak, Windows işletim sisteminin kurulumu sırasında Yönetici hesabının parolasının karmaşıklığını denetler. Parola boşsa veya karmaşıklık gereksinimlerini karşılamıyorsa, Windows Kurulumu iletişim kutusu Yönetici hesabı için güçlü bir parola oluşturmanızı ister. Bu parolayı boş bırakırsanız bu hesaba ağ üzerinden erişemezsiniz.
Zayıf parolalar saldırganlara bilgisayarlarınıza ve ağınıza kolay erişim sağlarken güçlü parolaların kırılması çok daha zordur. Aşağıdaki tablo zayıf ve güçlü parolaları karşılaştırır.
| Zayıf parola | Güçlü parola |
|---|---|
| Blank | En az yedi karakter uzunluğunda |
| Kullanıcı adı veya etki alanı adı gibi kolayca bulunabilir veya bilinen bilgileri içerir | "Gizli veya rastgele bilgi içerir" |
| Önceki parolalara benzer | Önceki parolalardan önemli ölçüde farklıdır |
| Tam sözlük sözcüğü içerir | Aşağıdaki karakterlerin bir karışımını içerir: - Büyük harfler - Küçük harfler -Sayı - Boşluklar dahil simgeler |
Güçlü bir parola örneği J*p2leO4>F'dir.
Parola güçlü parola ölçütlerinin çoğunu karşılayabilir ancak yine de oldukça zayıf olabilir. Örneğin, Hello2U! , güçlü bir parola ölçütlerinin çoğunu karşılaması ve parola ilkesinin karmaşıklık gereksinimlerini karşılaması rağmen nispeten zayıf bir paroladır. H!elZl2o, sözlük sözcüğü simgeler, sayılar ve diğer harflerle değiştirildiğinden güçlü bir paroladır. Kullanıcıları güçlü parola kullanmanın avantajları hakkında eğitmek ve onlara gerçekten güçlü parolalar oluşturmayı öğretmek önemlidir.
Genişletilmiş ANSI karakter kümesinden karakterler içeren parolalar oluşturabilirsiniz. Genişletilmiş ANSI karakterleri kullanmak, parola oluştururken seçebileceğiniz karakter sayısını artırır. Sonuç olarak, parola kıran yazılımların bu genişletilmiş ANSI karakterlerini içeren parolaları kırması, diğer parolaları kırmaktan daha fazla zaman alabilir. Parolanızda genişletilmiş ANSI karakterleri kullanmadan önce, genişletilmiş ANSI karakterleri içeren parolaların kuruluşunuzun kullandığı uygulamalarla uyumlu olduğundan emin olmak için bunları iyice test edin. Kuruluşunuz birkaç farklı işletim sistemi kullanıyorsa parolalarda genişletilmiş ANSI karakterleri kullanma konusunda özellikle dikkatli olun. Örneğin, bu sistemler ISO-8859-15'te standartlaştırılabilir. Windows'ta gerçek protokol uygulaması genellikle gerçek ANSI kodlaması yerine UNICODE veya UTF8 kullanır.
Genişletilmiş ANSI karakter kümesinden karakterler içeren parolalara örnek olarak kUμ!¶0o ve Wf©$0k#»g¤5ªrd verilebilir.
Windows'da parolalar
Parola, belirteçlerin karakter kümesindeki simgeler yerine sözcükler olduğu farklı bir belirteç tabanlı parola biçimidir. Özel karakterler, sayılar, büyük harfler ve küçük harfler içeren bir tümce, parolaya örnek olarak verilmiştir. Parolalar ve parola ifadeleri arasındaki temel farklar şunlardır:
- Şifre cümlesinde genellikle boşluklar bulunur; parolalarda ise yoktur.
- Parola, sözcüklerin büyük çoğunluğundan çok daha uzundur ve sıradan bir kişinin hatırlayabileceği rastgele harf dizelerinden daha uzundur.
İlkede ayarlandığı gibi karakter sınırına uyan parolalar genellikle daha fazla karakter içerdiğinden parolaları kırmaktan daha zordur. Parolayı veya parolayı depolayan LM ve NT karmalarıdır, ve LM karması bu iki değer arasından daha zayıftır.
LM karmasının depolanmadığından emin olmanın çeşitli yolları vardır; bunlardan biri, 14 karakterden uzun parolalar veya parola cümleleri kullanmaktır. Ağ güvenliği: Lan Manager karma değerini bir sonraki parola değişikliği Grup İlkesi ayarında depolama seçeneğini de kullanabilirsiniz. Bu ilke ayarının global olarak kullanılması, tüm hesaplar için depolama LM hash'lerini kapatır. Parola bir sonraki değiştirildiğinde değişiklik geçerli olur. İlkenin etkisi hemen olmadığından, LM karmalarının depolanmamasından kaynaklanan olası birlikte çalışabilirlik sorunlarını hemen fark etmezsiniz.
Windows'ta kullanılabilen yerel parola ilkeleri
Parola karmaşıklığı gereksinimlerini zorunlu kılan bir parola ilkesi ayarı uygulayabilirsiniz. Bu ilke ayarı hakkında daha fazla bilgi için bkz. Parola karmaşıklık gereksinimlerini karşılamalıdır. Parola ilkesini uygulama hakkında bilgi için bkz. Parola İlkesiNi Uygulama veya Değiştirme. Tüm kullanılabilir parola ilkesi ayarları hakkında bilgi için bkz. Parola İlkesi.
Active Directory Etki Alanı Hizmetleri (AD DS) aracılığıyla kullanılabilen ayrıntılı parola ilkesi
Windows Server 2008'de başlayarak, birden çok parola ilkesi belirtmek ve tek bir etki alanı içindeki farklı kullanıcı kümelerine farklı parola kısıtlamaları ve hesap kilitleme ilkeleri uygulamak için ayrıntılı parola ilkeleri kullanabilirsiniz. Örneğin, ayrıcalıklı hesapların güvenliğini artırmak için ayrıcalıklı hesaplara daha katı ayarlar uygulayabilir ve ardından diğer kullanıcıların hesaplarına daha az katı ayarlar uygulayabilirsiniz. Bazı durumlarda, parolaları diğer veri kaynaklarıyla eşitlenen hesaplar için özel bir parola ilkesi uygulamak isteyebilirsiniz.
Ayrıntılı parola ilkelerini depolamak için AD DS şemasında iki yeni nesne sınıfı vardır:
- Parola Ayarları Kapsayıcısı
- Parola Ayarları
Bu ilkeler hakkında daha fazla bilgi için bkz . AD DS: Fine-Grained Parola İlkeleri.