Güçlü şifre uygulaması sistem yönetim araçlarını kullanarak etkin olabilir.Eğer sistem yönetimi ilkesi etkinse, şifre oluşturulduğunda veya değiştirildiğinde aşağıdaki en düşük gereksinimleri karşılaması gerekir: • Şifreler kullanıcının samAccountName (Hesap Adı) değerini veya tüm displayName (Tam adı değeri) içeremez.Bütün kontrollerde büyük/küçük harfe duyarlı değildir. • SamAccountName sadece şifre parçası olup olmadığını belirlemek için bütünüyle kontrol edilir. (şifre içerisinde kullanılıp-kullanılmadığı),Eğer samAccountName üç karakterden az uzunlukta ise bu onay atlanır. • Görüntü adı (displayName) sınırlayıcı: virgül, nokta, tire veya tire, alt çizgi, boşluk, işaretleri ve sekmeler için ayrıştırılır.Eğer bu sınırlayıcılardan birisi bulunursa,görüntüleme adı (displayName) bölünür ve tüm ayrılmış bölümler şifreye dahil edilmediği onaylanır.Yani üç karakterden kısa belirteçler kontrol edilmez.Örneğin “L Burak Ugur” , Üç belirteçe ayrılır ,”L” , “Burak”, “Ugur” , birinci belirteç olan “L” kontrol üç karakterden kısa olduğu için kontrol edilmez,Fakat “Burak” , “Ugur” kullanıcı tarafından şifre içerisinde kullanılamaz. • Şifreler aşağıdaki beş kategoriden üçünü içermelidir.
Karakter Kategorileri Ör Büyük Harf içermelidir.(Avrupa dillerinden) A,B,C….Z Küçük harf içermelidir.(Avrupa dillerinden) a,b,c,….z Temel 10 digit içermelidir. (0 dan 9’a kadar) 0,1,2,…9 Alfanumerik olmayan karakter içermelidir.(özel karakter) $.!,%,><,? Güçlü Şifre uygulamasını aktif etmek için;
Domain Controller üzerinden Şifre ile ilgili uygulanan politikada “Account Policy” -> “Password Policy”->”Password must meet complexity requirements” enable durumuna getirilmelidir.
Password Filter DLL İkinci adım olarak “Password Filter” kullanarak istediğiniz kelime,format,vb(kurum&şirket ismi gibi) kriterlerinde kullanıcı şifrelerinde kullanılmasını engelleyebilirsiniz. Bunun için öncelikle Password filter dll yaratıp,bunu ihtiyacınıza göre düzenlemelisiniz.Hazır filter’lar olduğu(Mesela nfront password filter vb) gibi bunu developer araçları ile kendinizde düzenleyebilirsiniz. Bu işlemi tamamladıktan sonra,password filter dll inizi Windows kurulum dizinine kopyalamanız gerekiyor,Bu standart olarak Domain Controllerda \\Windows\System32 dizinidir. Daha sonra password filter’ın register güncellemesini yapmak için; HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa Kayıt anahtarına erişiyoruz,
Ayrıca Password Fİlter çalışabilmesi için “Password must meet complexity requirements” seçeneğinin aktif (enabled) olması gereklidir.
Kaynaklar ; https://msdn.microsoft.com/en-us/library/windows/desktop/ms722458(v=vs.85).aspx https://msdn.microsoft.com/en-us/library/ms721766(v=VS.85).aspx |
Actıve Dırectory >