Gartner verilerine göre kurumsal güvenlik ihlallerinin %61'i kimlik bilgisi hırsızlığı veya Active Directory zafiyetleriyle başlamaktadır. Ancak doğru GPO politikaları uygulandığında bu saldırıların büyük çoğunluğu engellenmektedir. Bu yazıda, Microsoft ve NIST standartlarına dayanan 5 kritik GPO politikasını açıklıyor ve nasıl yapılandırılması gerektiğini aktarıyoruz.
%61
İhlallerin AD/kimlik zafiyetiyle başlaması
Kaynak: Gartner Identity Security Report 2025
%45
Helpdesk taleplerinin azalması — doğru AD yönetimiyle
Kaynak: Gartner IT Infrastructure 2025
%80
Saldırıların engellenmesi — doğru GPO ile
Kaynak: Microsoft Security Baseline 2025
%78
İhlallerin önlenebilir olduğu
Kaynak: Microsoft Security Intelligence 2025
GPO Politikası 1: Şifre Politikası ve Fine-Grained Password Policy
Microsoft Security Baseline 2025, tüm kullanıcılar için minimum 14 karakter, yönetici hesapları için 20 karakter uzunluğunda parola önermektedir. Fine-Grained Password Policy (FGPP) ile farklı kullanıcı gruplarına farklı politikalar uygulanabilir.
- Minimum 14 karakter uzunluğu (yöneticiler için 20)
- Büyük harf, küçük harf, rakam ve özel karakter zorunluluğu
- Son 24 şifrenin yeniden kullanımını engelleme
- Maksimum 90 günlük şifre geçerlilik süresi
- Microsoft LAPS ile yerel yönetici şifrelerini otomatik yönetme
GPO Politikası 2: Hesap Kilitleme Politikası
Brute force saldırılarına karşı etkili bir bariyer olan hesap kilitleme politikası, doğru yapılandırılmadığında operasyonel sorunlara da yol açabilir. NIST SP 800-63B önerileri doğrultusunda konfigürasyon yapılmalıdır.
Bilgi
Hesap kilitleme eşiğini çok düşük ayarlamak (örn: 3 deneme) operasyonel sorunlara ve helpdesk yüküne yol açar. Microsoft ve NIST, 5-10 başarısız deneme eşiğini önermektedir.
GPO Politikası 3: Privileged Access Yönetimi
Domain Admin yetkisinin günlük işlemler için kullanılması, lateral movement saldırılarının en büyük kolaylaştırıcısıdır. Microsoft Privileged Access Workstation (PAW) ve Just-Enough-Administration (JEA) modeli, bu riski köklü biçimde azaltır.
- Domain Admin hesaplarını yalnızca DC üzerinde kullanın
- Günlük işlemler için ayrı standard kullanıcı hesabı zorunlu kılın
- Privileged Access Workstation (PAW) oluşturun
- Protected Users Security Group ile geçici credential önleme
- AdminSDHolder ile kritik grup koruma
GPO Politikası 4: Lateral Movement Engelleme
Saldırganlar, tek bir makinede kimlik bilgisi elde ettikten sonra ağ içinde yayılmaya çalışırlar. Bu GPO yapılandırmaları, lateral movement girişimlerini büyük ölçüde engeller.
- Credential Guard etkinleştirme (Windows Server 2016+)
- WDigest kimlik doğrulamasını devre dışı bırakma
- Pass-the-Hash saldırısını zorlaştıran RestrictedAdmin modu
- NTLM'yi kısıtlama ve Kerberos'u zorunlu kılma
- Network logon kısıtlamaları (güvenilmeyen makinelerden logon engeli)
GPO Politikası 5: Denetim ve Log Politikası
Uzman Önerisi
Uzman Önerisi: Advanced Audit Policy yapılandırması olmadan saldırı tespit süresi ortalama 21 güne çıkmaktadır (Mandiant 2025). Doğru log politikasıyla bu süre 2 saatin altına indirilebilir.
- Logon/Logoff olaylarının başarılı ve başarısız tüm kayıtları
- Privilege use (ayrıcalık kullanımı) denetimi
- Object access (dosya ve klasör erişimi) denetimi
- Process creation (yeni süreç başlatma) denetimi
- Account management olayları (hesap oluşturma, silme, değiştirme)
Kaynaklar & Referanslar
Sık Sorulan Sorular
Active Directory Danışmanlığı
GPO politikalarınızı NIST ve Microsoft standartlarına göre yapılandırın. Kimlik güvenliğini %80 oranında güçlendiren uzman Active Directory yönetimi.