On-Prem Active Directory Servisi için Azure AD Password Protection Kullanın

Konuya Azure AD Password Protection Nedir ? diyerek girelim. Azure AD Password Protection cloud tabanlı bir koruma sistemidir. Burada korumadan kastım daha önceden güvenirliliği düşük olarak ispatlanmış veya çok kullanılan bir parola olacağı gibi sağda solda dolaşan çok kullanılan parolaların şirket içerisinde kullanılmasını engellemeyi sağlar. Burada iki farklı liste bulunur. Bunlar.

Global yasaklanmış parola listesi : Microsoft burada sürekli olarak güvenlik telemetrilerini yaygın olarak kullanılan veya güvenliği aşılmış parolalara bakarak kendi listesine ekler. Global olarak yasaklanmış parola listesinin içeriğini herhangi bir dış kaynaktan almaz daha önceden belirttiğim gibi kendi telemetri verilerini analize ederek kendi global listesine ekler. Bu listeyi bizler göremeyiz.

Özel yasaklanmış parola listesi : Bu listeyi aslında bizler oluştururuz. Genellikle şirket içerisinde kullanıcılar parolalarını değiştirdiklerinde şirket ismi, lokasyon ismi, marka veya ürün isimleri gibi şirket verilerini kullanmaktadırlar. Böyle durumların önüne geçebilmek için kendimize ait bir liste oluşturarak bu tarz parolaların kullanılmamasını sağlayabiliriz.

                Azure AD Password Protection uygulamasını  Office 365 kullanıcılarımıza uygulayabileceğimiz gibi On-Prem yapımız içerisinde bulunan Active Directory servisimiz içinde kullanabiliriz.

Lisans Gereksinimleri

Azure AD Password Protection özelliğini kullanabilmek için yukarıda bulunan kullanım durumunuza göre her kullanıcı için bulundurmanız gerekmektedir. Örneğin şirket içi bir parola korumusı istiyorsanız Azure AD Premium Plan 1 veya Plan 2’ye sahip olmanız gerekmektedir.

Azure AD Password Protection Nereden Ulaşabilirim ?

Portal.azure.com adresine girelim. Arama çubuğuna isterseniz direk Password Protection yazarak gidebileceğiniz gibi Azure Active Directory üzerinden gidebilmenizde mümkündür.

Azure Active Directory açıldıktan sonra Security linkine tıklayalım.

Açılan sayfadan Authentication methods tıklayalım.

Açılan sayfadan Password protection linkine tıkladığımızda özel yasaklanmış parola listesine geleceğiz. Burada bizim şirket içi kullanılmasını istediğimiz söz veya sözcükleri girmemiz gerekmektedir. Yine yukarıda belirtilen değerleri kendimize göre girebiliriz. Burada dikkat etmemiz gereken husus biz Password protection özelliğini onprem yapımız içerisinde bulunan active directory servisimiz içinde kullanacağımızdan ötürü “Enable password protection on Windows Server Active DirectoryYes olarak işaretleyelim.

Şimdi ise Active Directory yüklü olan Windows Server makinemize giderek aşağıda ki linke tıklayarak Azure AD Password Protection DC Agent indirelim.

https://www.microsoft.com/en-us/download/details.aspx?id=57071

AzureADPasswordProtectionDCAgentSetup.msi uygulamasını indirelim.

İndirdiğimiz uygulamayı çift tıklayarak çalıştıralım. Özel bir yapılandırmaya ihtiyacı olmadığı için next next şeklinde ilerleyerek kurulumunu yapabilirsiniz.

Şimdi ise Active Directory yüklü sunucu veya sunucularımızda PowerShell uygulamasını sağ tıklayarak yönetici olarak çalıştıralım. Sunucumuzu aşağıda ki PowerShell script çalıştırarak register yapalım.

Import-Module AzureADPasswordProtection

Register-AzureADPasswordProtectionProxy -AccountUpn admin@cyber-cloud.cf

Register-AzureADPasswordProtectionForest -AccountUpn admin@cyber-cloud.cf

Şimdi ise Active Directory Users and Computers hizmetimizi açarak özel yasaklanmış parola listemizde bulunan “password1234@” parola ile herhangi bir kullanıcımızın parolasını resetlemeye çalışalım.

Görüldüğü gibi özel yasaklanmış parola listem üzerinde parola yer aldığı için kullanıcıya ait parolayı resetleyemiyorum.

Yine Event Viewer üzerinden DC Agent üzerinde yapılan işlemlere baktığımda parolanın resetlenmediğini görüyoruz.

“Belirtilen kullanıcının sıfırlama parolası, geçerli Azure parola ilkesine uymadığı için reddedildi. Daha fazla ayrıntı için lütfen ilgili olay günlüğü mesajına bakın.” Uyarısını alıyoruz.

Bu zamana kadar on-prem testlerimizi yaptık şimdi ise direk Office 365 üzerinde oturum açan bir standart kullanıcı üzerinde işem yapalım. Özel yasaklanmış parola listem üzerinde bulunan “BirTestYapalim+” parolası ile kullanıcımıza ait parolayı değiştirmeye çalışalım. Değiştirmeye çalıştığımızda yukarıda ki hata ile karşılaşacağız.

Başka yazılarda görüşmek üzere…

Detaylı bilgi almak için bize bu link üzerinden form doldurarak ulaşabilirsiniz.

İlginizi çekebilecek diğer Microsoft de bu link üzerinden ulaşabilirsiniz.

Mehmet Parlakyiğit
Kıdemli Satış Mühendisi / Arena Bilgisayar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kategoriler