Active Directory (AD) ortamlarında güvenlik denince akla genellikle kullanıcı hesaplarının parolaları gelir. Ancak göz ardı edilen bir başka kritik bileşen daha vardır: Bilgisayar hesaplarının parolaları. Özellikle Domain Controller (DC) sunucularının kendi makine hesaplarına ait parolalar, AD güvenliğinin temel taşlarından biridir.
Bu yazıda, Domain Controller makine parolalarının neden düzenli olarak değişmesi gerektiğini, değişmediğinde ne tür güvenlik riskleri doğurabileceğini ve bu durumun nasıl tespit edilip düzeltilebileceğini adım adım ele alacağız.
Bilgisayar Hesabı Parolası Nedir?
Bir bilgisayar bir domaine katıldığında Active Directory’de o bilgisayara ait bir Bilgisayar Hesabı (Computer Account) oluşturulur.
Bu hesabın bir de sistem tarafından yönetilen gizli bir parolası vardır. Bu parola:
- Bilgisayar ile Domain Controller arasında kimlik doğrulama sırasında kullanılır.
- NTLM veya Kerberos işlemlerinde “makine kimliği” doğrulaması için gereklidir.
- Kullanıcı tarafından görülmez veya elle değiştirilmez; sistem tarafından yönetilir.
Varsayılan olarak her bilgisayar, 30 günde bir kendi hesabının parolasını otomatik olarak değiştirir.
Domain Controller Makine Parolası Değişmiyorsa Ne Olur?
Normalde bu süreç otomatik işler; ancak bazı ortamlarda aşağıdaki sebeplerle DC’lerin kendi makine parolası hiç değişmez hale gelebilir.
- Registry’de DisablePasswordChange anahtarı 1 olarak ayarlanmıştır.
- MaximumPasswordAge değeri çok yüksek veya hatalıdır.
- Makine hesabı replikasyonunda hatalar oluşmuştur.
- Domain Controller uzun süre yedek ortamda (örneğin DR site) çevrimdışı kalmıştır.
Bu senaryolarda Domain Controller’ın bilgisayar hesabı parolası yıllarca değişmeden kalabilir.
Eğer bir saldırgan herhangi bir şekilde Domain Controller’ın NTLM hash’ini veya makine hesabı parolasına ait hash’i ele geçirirse:
- Bu parolayı kullanarak DCSync saldırısı gerçekleştirebilir,
- DC’nin kimliğine bürünerek Silver Ticket veya Golden Ticket üretimi yapabilir,
- Ya da ele geçirilen hash’i yeniden kullanarak (pass-the-hash) DC gibi davranabilir.
Yani parolası eski olan bir DC, domain düzeyinde yetki devralma (Privilege Escalation) için açık bir kapı haline gelir. Bu nedenle DC hesaplarının parolalarının düzenli değişimi, Active Directory güvenliğinin kritik bir parçasıdır.
DC Parolası Düzenli Değişiyor mu?
Her DC’de aşağıdaki PowerShell komutu ile parola değişim tarihi kontrol edilebilir.
Get-ADComputer <DCNAME> -Property PasswordLastSet | Select-Object Name, PasswordLastSet
Yukarıdaki PowerShell çıktısında, SBPDC01 isimli Domain Controller’ın makine hesabı parolasının 10/11/2025 tarihinde en son değiştirildiği görülmektedir. Bu tarih, bilgisayar hesabı parolasının düzenli olarak yenilendiğini ve sistemin otomatik parola değişim mekanizmasının (Machine Account Password Change) aktif şekilde çalıştığını doğrular.
Eğer burada görünen tarih 45 günden eski olsaydı, ilgili DC’nin parolasının uzun süredir değişmediği ve güvenlik riski oluşturabileceği anlamına gelirdi.
Registry Değerlerini Doğrulama Adımları
DC’nin parola değişim davranışı aşağıdaki Registry anahtarlarıyla belirlenir.
Get-ItemProperty “HKLM:SystemCurrentControlSetServicesNetlogonParameters” | Select DisablePasswordChange, MaximumPasswordAge
Bu parametreler, Domain Controller’ın kendi makine hesabı parolasını ne sıklıkla değiştireceğini belirler.
AnahtarDoğru DeğerAçıklamaDisablePasswordChange0 veya YokParola değişimini engellememeliMaximumPasswordAge30Otomatik değişim süresi (gün)
Yukarıdaki değerlerin doğru biçimde (DisablePasswordChange=0, MaximumPasswordAge=30) yapılandırıldığı durumda, Domain Controller’ın otomatik parola yenileme mekanizması aktif çalışır ve Netlogon servisi güvenli kanal (Secure Channel) iletişimini şifreli olarak gerçekleştirir.
Eğer DisablePasswordChange değeri 1 ise, DC asla kendi şifresini yenilemez.
Aşağıdaki komut ile düzeltme yapılabilir.
Set-ItemProperty “HKLM:SystemCurrentControlSetServicesNetlogonParameters” ` -Name DisablePasswordChange -Value 0 -Type DWord
Parolayı Manuel Yenileme (İsteğe Bağlı)
Eğer otomatik yenilenmeyi beklemek istemiyorsanız, DC’nin kendi hesabı için parolayı manuel olarak sıfırlayabilirsiniz.
Reset-ComputerMachinePassword -Server <DCNAME> -Credential (Get-Credential)
Bu komut çalıştırıldığında sistem, sizden yetkili bir domain hesabı bilgisi ister. Bu pencerede Domain Administrator yetkisine sahip bir kullanıcı adı ve parola girilmelidir.
İşlem tamamlandığında:
- DC kendi makine hesabı için yeni bir parola oluşturur,
- Bu parola diğer DC’lere replikasyonla aktarılır,
- Secure Channel bağlantısı yeniden kurulur.
Yenileme sonrası DC’nin yeniden başlatılması önerilir.
Değişiklik Sonrası Doğrulama Adımları
İşlem tamamlandıktan sonra parolanın gerçekten yenilendiğini doğrulamak için tekrar kontrol edin.
Get-ADComputer <DCNAME> -Property PasswordLastSet | Select Name, PasswordLastSet
Aşağıdaki PowerShell sonucunda SBPDC01 DC’sinin parolasının 10/30/2025 11:31:26 AM tarihinde değiştiği görülmektedir.
Bu, işlemin başarıyla tamamlandığını ve yeni parolanın Active Directory replikasyonu üzerinden tüm DC’lere aktarıldığını gösterir. Bu doğrulama adımı, sürecin güvenli şekilde sonuçlandığını teyit etmek açısından son derece önemlidir.
Sonuç
Domain Controller’ların makine parolaları, çoğu zaman göz ardı edilse de Active Directory altyapısının güvenliği açısından kritik bir unsurdur.
Parolanın uzun süre değişmemesi, bir saldırganın eski hash değerlerini yeniden kullanarak (Pass-the-Hash, DCSync, veya Silver Ticket) domain genelinde tam yetki kazanmasına yol açabilir.
Öneriler:
- Tüm Domain Controller’larda DisablePasswordChange değerinin 0 veya inexistent (yok) olduğundan emin olun.
- MaximumPasswordAge değerini 30 gün olarak yapılandırın.
- PasswordLastSet tarihi 45 günden eski görünen DC hesaplarının parolasını manuel olarak yenileyin.
- Değişiklik sonrası replikasyonun başarılı olduğunu kontrol edin.
Bu kontrollerin düzenli olarak yapılması, hem kimlik tabanlı saldırı risklerini azaltır hem de DC güvenliğini kurumsal standartlara uygun hale getirir.
Unutmayın:
Active Directory’nin güvenliği yalnızca kullanıcı parolalarıyla değil, makine kimliklerinin sürekliliği ve doğruluğuyla da sağlanır.
Bu bilgilerin sistem güvenliğinizi güçlendirmede ve olası riskleri azaltmada faydalı olması dileğiyle…
