GPO Hesap Kilitleme Politikası, Windows ortamında, belirli sayıda başarısız oturum açma girişiminden sonra kullanıcı hesaplarının kilitlenmesini sağlayan güvenlik önlemlerinden oluşur. Bu politika, bir saldırganın farklı şifre kombinasyonlarını deneyerek sisteme erişmeye çalıştığı kaba kuvvet (brute-force) saldırılarına karşı bir koruma sağlar. Politika sayesinde kullanıcıların cihazlarına yetkisiz girişlerin önüne geçilir ayrıca Password Policy karmaşık şifrelerinde zorunluluğu sağlandığından ve geçmiş şifrelerinde kullanımı engellendiğinden güvenlik yönetimi açısından alınabilecek önlemler arasındandır.
İlke oluşturma işlemine varsayılan bir ilke ile başlayabilir veya yeni bir ilke oluşturarak ilerleyebilirsiniz.
Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy
Hesap kilitleme süresi (Account lockout duration): Son kullanıcı hesabının kilitlendikten sonra yardım olmadan otomatik olarak kaç dakika sonra açılmasını istiyorsanız bu ayarı güncellemelisiniz.
Ayar: 10 dakika
Hesap kilitleme eşiği (Account lockout threshold): Son kullanıcının, art arda yapılacak olan yanlışlarda kaçıncı hatada kilitlenmesini istiyorsanız bu ayarı güncellemelisiniz (Örn. 3 invalid logon attempts).
Ayar: 3 Başarısız oturum açma girişimi
Kilitleme sayacını sıfırlama süresi (Reset account lockout counter after): Başarısız oturum açma girişimlerinin sayısı, 10 dakika boyunca herhangi bir etkinlik olmadığında sıfırlanacaktır.
Ayar: 10 Dakika
Başarısız oturum açma işlemi ardından karşılaşacağınız ekran aşağıdaki gibidir. Tekrar oturum açmayı deneyebilmeniz için en az 10 dakika beklemeniz veya bir yöneticinin hesap kilidini manuel olarak açmasını sağlamanız gerekecektir.
Hesap Kilitleme Politikasını Kontrol Etmek için bazı PowerShell Komutları:
İlk adım olarak PS içerisine AD modülünü yüklüyoruz :
Import-Module ActiveDirectory
Daha sonrasında hesap kilitleme politikasının PS komutunu yazıyoruz:
Get-ADDefaultDomainPasswordPolicy | Format-List
