Post

Microsoft Local Administrator Password Solution (LAPS) Detaylı

Posted Updated
By
7 min read
Microsoft Local Administrator Password Solution (LAPS) Detaylı

Local Administrator Password Solution (LAPS) Nedir?

LAPS (Local Administrator Password Solution), Microsoft tarafından geliştirilen ve kurumların yerel yönetici hesaplarının parola güvenliğini artırmayı amaçlayan bir çözümdür. Bu çözüm, bilgisayarların yerel Administrator hesaplarının parolalarını belirli algoritmalar kullanarak rastgele bir şekilde oluşturur ve bu parolaları Active Directory içerisinde bulunan bilgisayar hesaplarının özelliklerine saklar. Bu sayede tüm bilgisayarların aynı parolayı kullanmaması ve parolaların düzenli olarak değiştirilmesi sağlanarak güvenlik riskleri büyük ölçüde azaltılır. ***LAPS'ı kullanmak için bir ücret ödemenize gerekmez

LAPS'ın Çalışma Mekanizması:

  1. Kurulum: LAPS, Active Directory ortamına özel bir Group Policy (Grup İlkesi) eklentisi olarak kurulur. Bu işlem, LAPS'ın Active Directory'de yeni bir özellik eklemesini sağlar.
  2. Active Directory "Şema" Genişletilmesi: LAPS şemasının halihazırda şu özniteliklerle başarılı bir şekilde genişletilmesi gerekir.
  • msLAPS-PasswordExpirationTime
  • msLAPS-Password
  • msLAPS-EncryptedPassword
  • msLAPS-EncryptedPasswordHistory
  • msLAPS-EncryptedDSRMPassword
  • msLAPS-EncryptedDSRMPasswordHistory

3. Erişim Kontrolü ve Gerekli izinler: LAPS, yalnızca yetkili kişilerin yerel yönetici parolalarını görüntülemesine ve kullanmasına izin verir. Bu yetkililer genellikle Active Directory üzerinde belirli izinlere sahip sistem yöneticileridir.

4. Group Policy Yönetimi: LAPS, yerel yönetici parolalarını güncellemek ve saklamak için bir dizi özelleştirilebilir Grup İlkesi sunar. Bu sayede organizasyon, belirli gereksinimlere uygun şekilde LAPS'ı yapılandırabilir.

5. İstemci Bilgisayarların Gerekli Kurulum ve Yapılandırılmaları: LAPS'ı kullanarak yerel Administrator kullanıcısının parolasını yönetmek için, ilgili bilgisayarlara uygun LAPS istemci yazılımının kurulması gerekmektedir. Bu istemci yazılımı, parola değişiklikleri ve yönetimini otomatik olarak gerçekleştirir ve değiştirilen parolaları AD üzerinde bulunan bilgisayar nesnesine yazar.

6. Parolanın görülmesi ve Değiştirilme Tarihinin Belirlenmesi: Bu aşamada LAPS'ı başarıyla yapılandırdıktan sonra yerel Administrator kullanıcısının parolasını görüntülemek ve değiştirme tarihini ayarlamak için farklı yöntemler kullanılacaktır.

LAPS Bileşenleri Nelerdir?

  1. AdmPwd GPO Extension: LAPS'ın etkin olması için gereken ana bileşendir. Bu GPO uzantısı, yerel Administrator parolasını yönetmek için gerekli ayarları sağlar ve parolayı düzenli olarak yeniler. Bu sayede bilgisayarların yerel yönetici hesaplarının zayıf veya statik parolalardan kaynaklanan güvenlik açıklarını azaltır.
  2. Fat Client UI: Bu bileşen, LAPS ile yönetilen bilgisayarların parolalarını okumak ve parolanın ne zaman yenileneceğini belirlemek için kullanılan bir arayüzdür. Parola okuma ve tarih belirleme işlemleri için bu bileşene yetki verilmesi gerekir.
  3. Powershell Module: LAPS ile ilgili tüm ayarları yapmak ve parola okuma ve sıfırlama gibi yönetim işlemlerini gerçekleştirmek için kullanılan Powershell komutlarını içerir. Bu modül, LAPS ile ilişkili tüm işlemleri kolayca gerçekleştirmeyi sağlar. Bu modülü çalıştırmak için gerekli yetkilendirmelerin Active Directory (AD) üzerinde yapılmış olması gerekir.
  4. GPO Editor Templates: Bilgisayarların parola politikalarını merkezi olarak yönetmek için Group Policy (Grup İlkesi) kullanılır. LAPS ayarları da GPO Editor Templates içinde bulunur ve LAPS'ın etkinleştirilmesi ve yapılandırılması için kullanılır.

LAPS Kurulum Adımları: LAPS'ı Yönetim makineniz/AD yükleyin

LAPS için gerekli link:

https://www.microsoft.com/en-us/download/details.aspx?id=46899

Version: Version: 6.2.0.0

Kurulum:

Linkten dosyalar indirilip gerekli olan LAPS.x64.msi dosyası çalıştırılarak Yönetim makineniz/AD ortamında kurulum işlemi başlatılacaktır.

***Custom Setup bölümünde sadece Management Tools ve altındaki bileşenler seçilmelidir.

Kurulum tamamladıktan sonra Yönetim makineniz/AD "C:\Program Files\LAPS" klasörünün içeriğine erişebilirsiniz.

Active Directory "Şema" Genişletilmesi:

LAPS (Local Administrator Password Solution) kullanabilmek için, Active Directory şemasının genişletilmesi gerekmektedir. Bu işlem bir defaya mahsustur.

NOT: ****Bu işlemi gerçekleştirmeden önce, AD şemanızın yedeğini almanızı şiddetle öneririm.

#AdmPwd.PS modülünü içe aktar:
Import-Module AdmPwd.PS

#LAPS modülünün yüklendiğini doğrulamak için:
Get-Module -Name AdmPwd.PS -ListAvailable

#Şemayı genişletmek için:
Update-AdmPwdADSchema

#Şema genişletme işlemi LAPS ile ilişkilendirilmiş yeni özellikleri Active Directory şemasına ekler.

Yönetim makineniz-AD'deki hakların kaldırılması:

Bu adım, kullanıcıların AD'de parolaları görüntülemesine izin veren genişletilmiş hakları kaldırmak için gereklidir. Bunu yaptıktan sonra, bunu yapabilmesi gereken belirli kullanıcılara parolayı görüntülemek ve değiştirmek için gereken belirli izinleri vereceğiz.

***Kaldırmak istediğimiz izne "Tüm Genişletilmiş Haklar" denir. 

Bu, kullanıcıların ms-Mcs-AdmPwd özniteliğini okumasına olanak tanır ve tüm kullanıcıların bu haklara sahip olması gerekmez. Active Directory'ye giderek, bilgisayarlarınızın bulunduğu OU'ya sağ tıklayıp Özellikler'i seçerek izinleri bulabilirsiniz. Security > Advanced'e gidin, değiştirmek istediğiniz Kullanıcıları veya Grubu seçin ve Edit tıklayın.
"All Extended Rights"ın işaretini kaldırın.

Devam ederek bunu değiştirilmesi gereken tüm Kullanıcılar ve Gruplar için yapın. Bazı durumlarda, izinler devralınır ve dizininizin daha yüksek bir düzeyinde değiştirilmesi gerekir.

Erişim Kontrolü ve Gerekli izinler:

Active Directory'de LAPS özelliklerini kullanabilmek için gerekli "Grup ve OU" yetkilendirme işlemleri belirtilen Manuel veya Powershell komutları ile yapılabilir.

#Parolaları Görüntüleme Yetkisi İçin

#"MUHASEBE" OU'su içindeki bilgisayarlar için, "HelpDesk" grubuna, LAPS parolalarını görüntüleme izni ver.
Set-AdmPwdReadPasswordPermission -OrgUnit "MUHASEBE" -AllowedPrincipals "HelpDesk"

#Parolaları Değiştirme Yetkisi İçin:

#"MUHASEBE" OU'su içindeki bilgisayarlar için, "HelpDesk" grubuna, LAPS parolalarını değiştirme izni ver.
Set-AdmPwdResetPasswordPermission -OrgUnit "MUHASEBE" -AllowedPrincipals "HelpDesk"

#Computer Write Access için: Bilgisayarların parolalarını Active Directory'e yazmasına izin verin

Set-AdmPwdComputerSelfPermission -OrgUnit "MUHASEBE"

#LAPS'ı kullanabilmek için bilgisayar hesaplarının kendi parolalarını Active Directory'e yazma yetkisi(write access) vermeniz gerekir.
#Eğer birden fazla OU içinde LAPS'ı etkinleştirmek istiyorsanız, bu komutu her bir OU için ayrı ayrı çalıştırmanız gerekecektir.
#Önemli bir nokta, bu komutun verilen OU'daki tüm alt OU'lar için otomatik olarak yetkilendirmeyi miras bırakmasıdır. Yani, alt OU'lar için ayrı bir işlem yapmanıza gerekmez.
Parolaları okuma/yazma yetkisine sahip user ve groupları göster:
Find-AdmPwdExtendedRights -Identity MUHASEBE | Out-GridView
#LAPS Toolkit
####################################################################

# Get groups that can read passwords
Find-LAPSDelegatedGroups

OrgUnit                                           Delegated Groups
-------                                           ----------------
OU=Servers,DC=DOMAIN_NAME,DC=LOCAL                DOMAIN_NAME\Domain Admins
OU=Workstations,DC=DOMAIN_NAME,DC=LOCAL           DOMAIN_NAME\LAPS Admin

# Checks the rights on each computer with LAPS enabled for any groups
# with read access and users with "All Extended Rights"
Find-AdmPwdExtendedRights
ComputerName                Identity                    Reason
------------                --------                    ------
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\Domain Admins   Delegated
MSQL01.DOMAIN_NAME.LOCAL    DOMAIN_NAME\LAPS Admins     Delegated

# Get computers with LAPS enabled, expirations time and the password (if you have access)
Get-LAPSComputers
ComputerName                Password       Expiration
------------                --------       ----------
DC01.DOMAIN_NAME.LOCAL      +%4(d45-H7= 12/10/2022 13:24:41

Group Policy Yönetimi:

Bilgisayarların yerel Administrator kullanıcısı için parola politikalarını merkezi olarak Group Policy ile düzenlemek için aşağıdaki adımları takip edebilirsiniz:

***Computer Configuration" > "Policies" > "Administrative Templates" altında "LAPS" alanına gidin. "GPO NAME:LAPS"

***LAPS ile uygulanabilecek dört adet kural bulunur. 2 tanesi zorunludur.

  • Password Settings (Zorunlu): Bu kural, LAPS ile yönetilecek yerel yönetici hesaplarının parola ayarlarını tanımlar. Bu ayarlar, otomatik olarak güçlü rastgele parolaların oluşturulmasını ve uygulanmasını içerir. Böylece her yönetilen bilgisayarın yerel yönetici hesabının güvenliği artırılır.
  • Enable local admin password management (Zorunlu): LAPS'ın etkinleştirilmesini sağlayan zorunlu bir kuraldır. Bu kuralın etkinleştirilmesi, LAPS'ın yerel yönetici hesaplarının parolalarını yönetme yeteneğini devreye sokar.
  • Name of the administrator account to manage (Spesifk): Bu tercihe bağlı kural, LAPS'ın yöneteceği özel bir yönetici hesabı adını belirtir. Eğer belirli bir yönetici hesabı adı belirtilmezse, LAPS varsayılan olarak "Administrator" adlı yerel yönetici hesabını yönetir.
  • Do not allow password expiration time longer than required by policy (Spesifk): Bu tercihe bağlı kural, belirli bir parola süresi politikasına uymayan uzun süreli parolaların kullanılmasını engeller. Böylece parola süresi politikasına uygun olarak düzenli parola değişiklikleri teşvik edilir ve güvenlik sağlanmış olur.

***Görüldüğü üzere: parola karmaşıklığı, parola uzunluğu ve parola geçerlilik süresini belirledim. büyük harf, küçük harf ve rakam içerecek, 8 karakterden oluşacak ve her 30 günde bir değiştirilecek şekilde ayarladım.

Local Administrator hesabının gerekli ise GPO ile aktif hale getirilmesi:

Birçok organizasyon, güvenlik nedenleriyle yerel Yönetici Hesaplarını devre dışı bırakma eğilimindedir ve bunun yerine yönetilen bir hesap veya başka bir kimlik doğrulama yöntemi kullanmayı tercih eder. Ancak bazı durumlarda, yerel Yönetici Hesaplarının etkin olması gerekebilir. LAPS uygulamasında özel bir "yerel admin" hesabı kullanmadığınız sürece (Administrator) hesabının aktif olması gereklidir.

İstemci Bilgisayarların Gerekli Kurulum ve Yapılandırılmaları:

LAPS'ı bilgisayarlarınıza dağıtın:

Şimdi yönetmek istediğiniz cihazlara LAPS istemcisini yüklemeniz gerekiyor. Bir MSI olduğu için bunu yapmanın birden çok yolu vardır. Kullanabileceğiniz seçeneklere bağlı olarak MECM veya benzeri bir platform kullanmanızı tavsiye ederim.

  • GPO
  • MECM (Microsoft Endpoint Configuration Manager)
  • Oturum Açma Komut Dosyası
  • Manuel
#Yükleme string:
msiexec /i "LAPS.x64.msi" /q

#Kaldırma string:
Msiexec /x {EA8CB806-C109-4700-96B4-F1F268E5036C} /passive

Hangi yöntemin kullanılacağı, organizasyonun büyüklüğüne ve yapılandırma yönetimi tercihlerine bağlı olarak değişebilir. Her durumda, LAPS'ın istemci yazılımının doğru mimari (32 bit veya 64 bit) için uygun olanı seçilerek kurulması önemlidir.

Manuel kurulumda Custom Setup bölümünde sadece "AdmPwd GPO Extension" bileşenini seçilmelidir, Diğerlerini kurmayabilirsiniz. ***GPO yada MECM üzerinden yapılan dağıtımlarda tamamı kurulacaktır.

Kurulum sonu Client "C:\Program Files\LAPS\CSE" dizini içeriği aşağıdaki gibi olacaktır.

Parolanın görülmesi ve Değiştirilme Tarihinin Belirlenmesi:

  1. "Fat Client UI" ile:
  • Uygulama başlat menüsünde "Fat Client UI" arayüzü bulunur ve çalıştırılır.
  • "Computer Name" alanına bilgisayarın adı girilir ve "Search" edilirse, o bilgisayarın yerel Administrator kullanıcısının parolasını çeker.
  • "New Expiration Time" alanına ileri farklı bir tarih girilip "Set" edilirse, o tarihten itibaren bilgisayar yeni bir Administrator parolası üretir ve AD bilgisayar nesnesine bu parolayı yazar.
  1. ADUC "dsa.msc" (Active Directory Users and Computers) ile:
  • "Active Directory Users and Computers"
  • Administrator kullanıcısının parolası görülmek istenen bilgisayarın özelliklerine girilir.
  • "Attributes" sekmesinde "Show only attributes that have values" izlenir.
  • Parolanın ve parola süresinin dolacağı tarihleri gösteren attribute'leri içerir.
  1. PowerShell aracılığı ile:
  • PowerShell'da "AdmPwd.PS" modülü içe aktarılır.
  • Get-AdmPwdPassword cmdlet'i kullanılarak, belirtilen bilgisayarların parolası görüntülenir veya set edilebilir.
Import-Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName MUHASEBE-03

Get-AdmpwdPassword -ComputerName  * #All Computers

Faruk Güler Saygılarımla. – Best regards.

Windows Server
This post is licensed under CC BY 4.0 by the author.