Domain(Etki alanı) Güçlü Şifre uygulaması ve Passfilt.dll

 Güçlü şifre uygulaması sistem yönetim araçlarını kullanarak etkin olabilir.Eğer sistem yönetimi ilkesi etkinse, şifre oluşturulduğunda veya değiştirildiğinde aşağıdaki en düşük gereksinimleri karşılaması gerekir:

• Şifreler kullanıcının samAccountName (Hesap Adı) değerini veya tüm displayName (Tam adı değeri) içeremez.Bütün kontrollerde büyük/küçük harfe duyarlı değildir.

• SamAccountName sadece şifre parçası olup olmadığını belirlemek için bütünüyle kontrol edilir. (şifre içerisinde kullanılıp-kullanılmadığı),Eğer samAccountName üç karakterden az uzunlukta ise bu onay atlanır.

 • Görüntü adı (displayName) sınırlayıcı: virgül, nokta, tire veya tire, alt çizgi, boşluk, işaretleri ve sekmeler için  ayrıştırılır.Eğer bu sınırlayıcılardan birisi bulunursa,görüntüleme adı (displayName) bölünür ve tüm ayrılmış bölümler şifreye dahil edilmediği onaylanır.Yani üç karakterden kısa belirteçler kontrol edilmez.Örneğin “L Burak Ugur” , Üç belirteçe ayrılır ,”L” , “Burak”, “Ugur” , birinci belirteç olan “L” kontrol üç karakterden kısa olduğu için kontrol edilmez,Fakat “Burak” , “Ugur” kullanıcı tarafından şifre içerisinde kullanılamaz.

• Şifreler aşağıdaki beş kategoriden üçünü içermelidir.

 

Karakter Kategorileri                                                                                       Ör

Büyük Harf içermelidir.(Avrupa dillerinden)                                            A,B,C….Z

Küçük harf içermelidir.(Avrupa dillerinden)                                             a,b,c,….z

Temel 10 digit içermelidir. (0 dan 9’a kadar)                                            0,1,2,…9

Alfanumerik olmayan karakter içermelidir.(özel karakter)                    $.!,%,><,?


Güçlü Şifre uygulamasını aktif etmek için;

Domain Controller üzerinden Şifre ile ilgili uygulanan politikada “Account Policy” -> “Password Policy”->”Password must meet complexity requirements” enable durumuna getirilmelidir.

 

 Password Filter DLL

 İkinci adım olarak “Password Filter” kullanarak istediğiniz kelime,format,vb(kurum&şirket ismi gibi) kriterlerinde kullanıcı şifrelerinde kullanılmasını engelleyebilirsiniz.

Bunun için öncelikle Password filter dll yaratıp,bunu ihtiyacınıza göre düzenlemelisiniz.Hazır filter’lar olduğu(Mesela nfront password filter vb)  gibi bunu developer araçları ile kendinizde düzenleyebilirsiniz.

Bu işlemi tamamladıktan sonra,password filter dll inizi Windows kurulum dizinine kopyalamanız gerekiyor,Bu standart olarak Domain Controllerda \\Windows\System32 dizinidir.

Daha sonra password filter’ın register güncellemesini yapmak için;

HKEY_LOCAL_MACHINE

    SYSTEM

      CurrentControlSet

         Control

                             Lsa

Kayıt anahtarına erişiyoruz,

  • Eğer “Notification Packages” alt anahtarı mevcut ise,yeni DLL ismini value’a ekliyoruz.Kesinlikle eski value’yu silmeden yenisini ekliyoruz.

  • Eğer “Notification Packages” alt anahtarı mevcut değilse,ekliyoruz ve DLL ismimizi value kısmına giriyoruz.

Ayrıca Password Fİlter çalışabilmesi için “Password must meet complexity requirements” seçeneğinin aktif (enabled) olması gereklidir.

 

Kaynaklar ;

https://msdn.microsoft.com/en-us/library/windows/desktop/ms722458(v=vs.85).aspx

https://msdn.microsoft.com/en-us/library/ms721766(v=VS.85).aspx

Comments