Ana içeriğe geç

Parola Politikası

Bu bölümde Keycyte PAM'de eklenen tüm sunucu ve sistemlerinize erişirken kullanacağınız parolaların tanımlamasının yapıldığı Parola Kasası kısmında ilgili parolalar için atanacabilecek parola politikalarının yönetimi açıklanacaktır.

Neden Parola Politikaları Uygulanmalı?

Parola politikaları atandığı parola kasalarına belirli aksiyonlar aldırabilir. Bu politikalarla parolaların belirli aralıklarla, belirli periyotlarda ya da her oturum sonrasında otomatik olarak değişmesi imkanlarını sunabilir. Bunlara ek olarak kullanıcılara Zero Trust yaklaşımının temel ilkelerinden olan en az ayrıcalık ilkesi(PoLP) kapsamında kullanıcıların sadece işlerini yapmak için ihtiyaç duydukları en düşük seviyedeki yetkilerle donatılmasını sağlar.

Parolaların periyodik olarak ve her oturum sonrasında otomatik olarak değişmesi, Pass the Hash(PtH) saldırılarının önüne geçmekte önemli bir rol oynar. Keycyte PAM bünyesindeki parola politikası bu parola değiştirme işlemlerini otomatize ettiği için olası kimlik avı zafiyetlerini ve iç tehditleri engeller.

Minimum yetki ilkesi, kullanıcıların gereksiz yetkilere sahip olmasını engelleyerek, güvenlik açıklarını minimize eder ve potansiyel tehditlerin etkisini azaltır.

Parola Politikası Oluşturma

Yeni bir parola politikası oluşturmak istediğinizde sayfa başında yer alan "Add" butonuna tıklayarak açılan pencerede gerekli alanları doldurmanız yeterlidir.

img.png

Görsel-1

Parola politikası oluşturulurken ya da varolan bir parola politikası üzerinde güncelleme işlemi yaparken Görsel-1'de yer alan alanların doldurulması zorunludur. Bu alanlar sırasıyla şunları ifade eder;

  • Name : Daha sonra kullanabilmek için görüntülenecek isim girilmesi beklenir.
  • Age : Parola Politikasında Görsel-3'te yer alan Auto Change butonu aktif edildiğinde politikaya bağlı olan parolaların gün cinsinden ne sıklıkla değişeceği değeri girilmesi beklenir.
  • Length : Değişecek olan parola için olması istenen karakter uzunluğunun girilmesi beklenir.
  • Exclude Char : Politika altında değiştirilecek olan parolalarda kullanılması istenmeyen karakterlerin girilmesi beklenir.

Parola Karmaşıklığı

img.png

Görsel-2

Parola politikası oluşturulurken ya da varolan bir parola politikası üzerinde güncelleme işlemi yaparken Görsel-2'de yer alan kutucukların aktif edilmesi halinde ilgili parola politikasında sırasıyla;

  • Upper : Parolanın büyük harf barındırma durumu,
  • Lower : Parolanın küçük harf barındırma durumu,
  • Digits : Parolanın sayısal değer barındırma durumu,
  • Punctuation : Parolanın noktalama işaretleri barındırma durumu

gibi durumlarla parola karmaşıklığı belirlenir ve ilgili politika üzerinde uygulanır.

Parola Değişimi ve İzinler

Keycyte PAM'de otomatik parola değişimi ve izinler tanımlanırken "Neden Parola Politikaları Uygulanmalı?" bölümünde bahsedilen aksiyonlar ve ayrıcalık tanımlamalarını gerçekleştirmek için Görsel-3'te yer alan alanların uygun şekilde işaretlenmesi gerekmektedir.

img.png

Görsel-3

Parola politikası oluşturulurken ya da varolan bir parola politikası üzerinde güncelleme işlemi yaparken Görsel-3'te yer alan kutucukların aktif edilmesi halinde ilgili parola politikasında sırasıyla;

  • Auto Change : Görsel-2'de yer alan karmaşıklık seviyelerine bağlı olarak Görsel-1'de belirtilen yaş, uzunluk ve hariç tutulan karakterler doğrultusunda parolanın otomatik olarak değiştirilmesi durumunu aktif eder.
  • Change After : Her oturum sonrasında Görsel-2'de yer alan karmaşıklık seviyelerine bağlı olarak Görsel-1'de belirtilen uzunluk ve hariç tutulan karakterler doğrultusunda parolanın otomatik olarak değişmesini sağlar. Auto Change özelliği ile eşzamanlı olarak kullanılabilir.
  • PC RDP Group : Hedef Windows OS üzerinde Remote Desktop Users grubuna ekler, bağlantı sonlandırıldığında gruptan çıkarır.
  • PC Local Admin : Hedef Windows OS üzerinde Administrators grubuna ekler, bağlantı sonlandırıldığında gruptan çıkarır.
  • DC RDP Group : AD üzerinde Remote Desktop Users grubuna ekler, bağlantı sonlandırıldığında gruptan çıkarır.
  • Domain Admin : AD üzerinde Domain Admin grubuna ekler, bağlantı sonlandırıldığında geri çıkarır.
  • Enable/Disable : AD ya da Windows OS üzerinde bulunan yerel kullanıcıları bağlantıdan önce Enable yapar, bağlantı sonlandırıldıktan sonra tekrar Disable duruma getirir.
  • Unlock : AD üzerinde Lock durumda olan kullanıcıyı bağlantı öncesinde Unlock duruma getirir.

değişim ve izinler devreye alınır.

Periyodik Parola Değişimleri ve Raporlama

Keycyte PAM ile oluşturduğunuz parola politikalarında belirlediğiniz karmaşıklık seviyesine, uygulanmasını istediğiniz parola değişim sıklıklarına ve vereceğiniz izinlere bağlı olarak parolaların otomatik değişimlerinin gerçekleşeceği gibi bunlara ek olarak periyodik değişimler de ekleyebilirsiniz.

img.png

Görsel-3

Periyodik olarak değiştirme işlemleri sayesinde, belirtilen yaş(gün değeri) ve her oturum sonrası otomatik değiştirme işlemlerine ek olarak Görsel-4'te gösterildiği gibi günün belirli saatinde, hafta belirli gününde belirli saatte ya da ayın belirli gününde belirli saatte tekrar değişmesi sağlanabilir.

Verify butonunu aktif ettiğinizde ilgili politika altında bulunan parolaların doğruluğu Görsel-1'de belirtilen yaş doğrultusunda kontrol edilir, doğrulanamayan parola olduğunda mail olarak raporlanır.

Parola Politika İşlemleri

Kalem ikonuna tıklandığında ilgili politikayı oluştururken açılan pencere açılır ve tüm alanlarda düzenleme yapılmasına imkan tanınır.

Kullanıcılar ikonuna tıklandığında yine bu ilgili politikanın yönetici/yöneticileri görüntülenir.

Çöp Kutusu ikonuna tıklandığında ilgili parola politikası kullanıldığı tüm sunucu sistemlerinden de kaldırılmak suretiyle kalıcı olarak silinecektir. Burada dikkat edilmesi gereken husus; bu silme işlemi geri alınamaz bir silme işlemidir ve iş sürekliliğinin aksamaması açısından bir parola politikasını silmeden önce bu parola politikasının bağlı olduğu parolalar dikkatle gözden geçirilmelidir.