Şifreler neden yeterli değil?
Şifreler, Active Directory’nize (AD) erişim kilidini açmak için bir anahtar görevi görür ve bilgisayar korsanları siber saldırılarda bu şifreleri ele geçirmekden asla vazgeçmezler. Bir bilgisayar korsanının tek ihtiyacı bir şifre kırma aracıdır; ağınıza erişmek, verilerinizi çalmak ve kuruluşunuzda zarar vermek için uğraşırlar.
Verizon’un Veri İhlali İnceleme Raporu’na (2018) göre, ihlallerin yüzde 81’i çalıntı şifrelerden kaynaklanmaktadır.
AD’deki mevcut parola ilkesi ayarları 2000’den beri değişmemiştir. Teknolojinin ne kadar ileri geldiğine ve bugünün siber suçlularının ne kadar ustaca kullanıldığına bakacak olursak, tek başına bir parola artık güvenliği sağlamamaktadır.
Doğru araçlar ile bir bilgisayar korsanı, AD etki alanınıza dakikalar içinde girebilir.
Şifrelerle ilişkili riskleri bilerek, PCI DSS gibi IT uyum yasaları parolaların tek kimlik doğrulama mekanizması olarak kullanımını açıkça yasaklamıştır.
TFA’yı etkinleştirerek Windows güvenliğini güçlendirmek
TFA, değerli kurumsal kaynaklara erişim hakkı vermeden önce kullanıcıların kimliğini iki kez doğrulayarak ekstra bir güvenlik katmanı ekler; bir kez standart bir şifre ve yine parmak izi veya e-posta veya SMS ile gönderilen tek kullanımlık şifre (OTP) gibi benzersiz bir tanımlayıcı aracılığıyla yapabilirsiniz.
TFA, kullanıcıları yalnızca parolalara güvenmekten daha iyi bir şekilde doğrulamaktır. Bir şifrenin ele geçirildiği durumlarda bile hassas verilerin güvenli kalmasını sağlar. TFA ile, bir saldırganın bir kullanıcının şifresine erişmesine rağmen, kullanıcının cep telefonuna, e-posta adresine veya fiziksel varlığına hala erişmesi gerekir. TFA, saldırganların atlamasını neredeyse imkansız kılar.
Microsoft, Windows için TFA, Windows için TFA’yı etkinleştirirken, birçok dezavantaja sahip ve oldukça maliyetlidir.
ADSelfService Plus kullanarak Windows oturum açma TFA
Entegre bir AD self servis şifre yönetimi ve tek oturum açma (SSO) çözümü olan ADSelfService Plus, hem yerel hem de uzak masaüstü oturumlarında TFA for Windows makineleri için basit ve uygun bir yol sunar.
Windows için TFA nasıl çalışır?
Windows için TFA, ADSelfService Plus’da etkinleştirildiğinde, kullanıcıların Windows makinelerine erişmek için birbirini izleyen iki aşamada kimlik doğrulaması yapılması gerekecektir. İlk kimlik doğrulaması her zamanki Windows etki alanı kimlik bilgileriyle sağlanırken, yöneticiler aşağıdakilerden birini kimlik doğrulamasının ikinci faktörü olarak seçebilir:
- SMS veya e-posta tabanlı OTP.
- DUO Güvenlik.
- RSA SecurID.
Yöneticiler, OU’lara ve gruplara dayalı kimlik doğrulama faktörünü yapılandırabilir.İşte nasıl çalışır:
- Kullanıcılar Windows makinelerine giriş yaptığında, Windows kimliklerini kanıtlamak için AD etki alanı kullanıcı adı ve şifresini girmelerini ister.
- Parolalarını doğru bir şekilde girdiyse, ADSelfService Plus kimlik doğrulama sihirbazı açılır.
- Ardından, kullanıcılar kendilerini bir OTP ile veya bir üçüncü taraf kimlik sağlayıcısı aracılığıyla doğrulamalıdır.
- Kullanıcılar artık Windows makinelerine başarıyla giriş yapacaklar.
İşte nasıl çalışır?
- Kullanıcılar Windows makinelerine giriş yaptığında, Windows kimliklerini kanıtlamak için AD etki alanı kullanıcı adı ve şifresini girmelerini ister.
- Parolalarını doğru bir şekilde girdiyse, ADSelfService Plus kimlik doğrulama sihirbazı açılır.
- Ardından, kullanıcılar kendilerini bir OTP ile veya bir üçüncü taraf kimlik sağlayıcısı aracılığıyla doğrulamalıdır.
- Kullanıcılar artık Windows makinelerine başarıyla giriş yapacaklar.
Kullanıcı ikinci kimlik doğrulama faktörünü başarısız olursa, Windows oturum açma ekranına geri alınacak ve işlemi en baştan başlatması gerekecektir.
ADSelfService Plus’ta Windows için TFA nasıl etkinleştirilir
ADSelfService Plus, Windows için özel bir Kimlik Bilgisi Sağlayıcısı olan yerleşik bir oturum açma aracıyla birlikte gelir. Windows için TFA’yı etkinleştirmek için bu oturum açma aracısını yüklemelisiniz. Oturum açma aracısı, Windows istemci ve sunucularına ADSelfService Plus web konsolunun kendisinden itilmelidir. ADSelfService Plus ayrıca, ağınızı etki alanına eklenen yeni bilgisayarlar için otomatik olarak tarayacak ve oturum açma aracısını bunlara yükleyecek bir zamanlayıcı ile birlikte gelir.
Windows için TFA’yı nasıl etkinleştireceğinizi öğrenelim.
Ön şartlar
– ADSelfService Plus’ı indirin ve yükleyin.
– Windows için oturum açma aracısını (Kimlik Bilgileri Sağlayıcısı) dağıtın: Oturum açma aracısını, ADSelfService Plus’ta bulunan GINA / Mac yükleme konsolu (Yapılandırma> Yönetimsel Araçlar> GINA / Mac (Ctrl + Alt + Del)> GINA / Mac Kurulumu) aracılığıyla yüklemeniz gerekir.
– SSL’yi etkinleştir ve TFA’ya giriş yap:
- Yönetici kimlik bilgileriyle birlikte ADSelfService Plus web konsoluna giriş yapın; ilk kez giriş yapıyorsanız, kullanıcı adı ve şifre hem yönetici.
- Yapılandırma> Yönetimsel Araçlar> GINA / Mac (Ctrl + Alt + Del)> Windows Oturum Açma TFA’ya gidin.
- SSL (HTTPS) seçeneğini tıklatın. SSL Portunu Etkinleştir’i işaretleyin ve Kaydet’i tıklayın. ADSelfService Plus’ı yeniden başlatın. Kendinden imzalı veya CA imzalı bir sertifika kullanarak SSL’nin nasıl etkinleştirileceği hakkında bilgi için bu kılavuza bakın.
4. Windows Logon TFA ekranına geri dönün, Giriş TFA’yı tıklayın. Oturum açma TFA ayarlarında,İki Faktörlü Kimlik Doğrulamayı Etkinleştir ve sağlanan kimlik doğrulama yöntemlerinden herhangi birini yapılandırın.
5. Tamam’a tıklayın.
TFA’yı etkinleştirmek için adımlar
– Yönetici kimlik bilgileriyle birlikte ADSelfService Plus web konsoluna giriş yapın.
– Yapılandırma> Yönetimsel Araçlar> GINA / Mac (Ctrl + Alt + Del)> Windows Oturum Açma TFA’ya gidin.
– Windows Oturum Açma TFA’yı Etkinleştir’i işaretleyin.
– Varsayılan olarak, Windows Oturum Açma TFA’yı etkinleştirdiğinizde, aşağıda ki seçenekte ADSelfService Plus TFA’yı atla onay kutusu işaretlenir. Bu kutuyu işaretlemek, kullanıcıların herhangi bir nedenle ADSelfService Plus’a erişilememesi durumunda makinelerine erişmelerini sağlar.
– Erişimi Yapılandır’ı tıklayın ve erişim URL’sinin seçili olarak HTTPS olduğundan emin olun protokol.
– Kaydet’i tıklayın.
Bu kadar! TFA, kuruluşunuzdaki ADSelfService Plus kullanarak Windows makineleri için etkinleştirildi.
ADSelfService Plus’ın TFA’sı
Zayıf parolalarla ilişkili riskleri azaltır.
Günümüzde kullanıcılar hem kişisel hem de iş kullanımı için birden fazla hesaba sahip. Hatırlanması gereken çok sayıda şifreyi unutmamak için, genellikle tüm hesaplarda aynı şifreyi kullanırlar veya zayıf şifreler belirlerler. TFA’yı etkinleştirerek zayıf şifre davranışının risklerini azaltabilirsiniz.
Grup olarak TFA’yı zorla
Tüm kullanıcılar için TFA’yı ya da yalnızca OU ve grup tabanlı politikalar aracılığıyla yüksek düzeyde ayrıcalıklara sahip olan ve daha yüksek güvenlik saldırıları riski olanlar gibi belirli kişiler için uygulayabilirsiniz.
PCI DSS ve GDRP ile uyumlu
TFA, PCI DSS’nin en son sürümünde bir gereksinimdir. Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı (ENISA), TFA’nın GDPR’ye uymak için teknik bir önlem olarak uygulanmasını tavsiye etmektedir.
Gelecek provası: Tüm kurumsal uygulamalar için TFA
ADSelfService Plus, yalnızca AD için değil, tüm kurumsal uygulamalarında kullanıcılara basit, güvenli ve kesintisiz bir oturum açma deneyimi sunmanıza olanak tanır. ADSelfService Plus’ta SSO’yu etkinleştirerek, kullanıcıların kendi Windows makinelerinde oturum açmak için kullandıkları aynı faktörleri kullanarak bir kez doğrulayarak, kendi bünyesinde geliştirilen tüm SAML tabanlı kurumsal uygulamalara erişmelerine izin verebilirsiniz.
SSO, kullanıcıların kimlik bilgilerini günde birden çok kez kaydetmelerini sağlar, bir hesaba hatırlamak için ihtiyaç duydukları şifre sayısını azaltır ve birden fazla uygulama kullanma konusundaki genel deneyimlerini geliştirir.
ManageEngine Demo talepleriniz için lütfen tıklayınız.