Microsoft Entra Password Protection ile Active Directory Güvenliğini Güçlendirin
Tahmin edilebilir parolalar hâlâ siber saldırıların en zayıf halkası olmaya devam ediyor. Password spray, brute-force veya credential stuffing denilsin, saldırganın ilk hedefi genelde aynı: kolay tahmin edilen, politikasız bırakılmış hesap parolaları. Microsoft Entra Password Protection, bulut tarafında yıllardır çalışan akıllı parola koruma mekanizmasını on-premises Active Directory ortamınıza taşıyor. Bu yazıda hibrit yapılarda bu çözümü nasıl devreye alacağınızı adım adım ele alacağız.
Önce ortamınızın hazır olup olmadığını kontrol edin. Lisans tarafında Entra ID P1 veya P2 gerekiyor; synchronized kullanıcılar için Free lisans yeterli gelmiyor. Domain Controller tarafında Windows Server 2012 R2 ve üzeri, .NET Framework 4.7.2 ve üzeri şart. Bir noktayı atlamayın: DFSR kullanımı zorunlu, FRS desteklenmiyor. RODC üzerine kurulum da yapamazsınız, writable DC'ler hedef almanız gerekiyor.
Kurulum akışı kabaca şöyle işliyor: önce hibrit kimlik altyapısını hazırlıyorsunuz, sonra proxy servisini kurup register ediyorsunuz, ardından DC agent'ları deploy ediyorsunuz ve son olarak Microsoft Entra Portal üzerinden enforcement'ı aktifleştiriyorsunuz.
Entra Connect tarafında password hash synchronization yöntemiyle başlayın. Burada dikkat etmeniz gereken bir ayrıntı var: AD DS bağlayıcı hesabı olarak artık Kurumsal Yönetici veya Etki Alanı Yöneticisi hesabı kullanamıyorsunuz. Yeni bir servis hesabı oluşturmanız şart.
Proxy service kurulumu için Azure AD Password Protection Proxy Bundle paketini indirip bir member server üzerine kuruyorsunuz. Domain Controller üzerine kurulum önerilmiyor, ayrı bir sunucu tercih edin. Kurulum sonrası registration komutlarını çalıştırmanız gerekiyor:
Register-AzureADPasswordProtectionProxy -AccountUpn "admin@tenant.onmicrosoft.com"
Register-AzureADPasswordProtectionForest -AccountUpn "admin@tenant.onmicrosoft.com"
İlk komut proxy'yi, ikinci komut forest'ı kaydediyor. Her iki komutu da proxy sunucusundan çalıştırmanız gerekiyor. Yüksek erişilebilirlik için forest başına en az iki proxy server kullanmanızı öneririm.
Proxy kaydı tamamlandıktan sonra DC Agent kurulumu geliyor. Tüm writable Domain Controller'lara agent'ı kurup makineyi restart etmeniz gerekiyor. Önemli bir not: DC Agent otomatik update almıyor, yeni sürümlerde manuel upgrade yapmanız gerekecek.
Servislerin sağlığını kontrol etmek için health check komutlarını çalıştırın:
Test-AzureADPasswordProtectionProxyHealth -TestAll
Test-AzureADPasswordProtectionDCAgentHealth -TestAll
Tüm kontrollerin Passed durumda olması beklenir. Herhangi bir hata alırsanız forest registration komutunu yeniden çalıştırıp proxy ve DC agent bağlantı noktalarını gözden geçirin.
Son adımda Microsoft Entra Portal üzerinden Authentication Methods > Password Protection menüsüne gidin. Mode'u Enforced olarak ayarlayın ve custom banned passwords listesini aktif edin.
Artık "Password123" tarzı zayıf parolalar doğrudan reddedilecek.
Validasyon için Active Directory Users and Computers üzerinden test bir kullanıcı oluşturup yasaklı bir parola deneyin. Ekranda The password does not meet the password policy requirements. mesajını görüyorsanız, politika aktif olarak çalışıyor demektir.
