What is LAPS?

   Microsoft'un "Yerel Yönetici Istrator Parola Çözümü" (LAPS), etki alanına katılmış bilgisayarlar için yerel yönetici hesabı parolalarının yönetimini sağlar. Parolalar rastgele oluşturulur ve ACL'ler tarafından korunan Active Directory'de (AD) depolanır, böylece yalnızca uygun kullanıcılar bu parolayı okuyabilir veya sıfırlamasını isteyebilir.

LAPS, etki alanındaki her bilgisayarda aynı parolaya sahip ortak bir yerel hesap kullanma sorununa bir çözüm sağlar. LAPS, etki alanındaki her bilgisayarda ortak yerel yönetici hesabı için farklı, döndürülmüş rastgele bir parola ayarlayarak bu sorunu çözer.

  LAPS, müşterilerin siber saldırılara karşı daha fazla önerilen savunma uygulamasına yardımcı olurken parola yönetimini basitleştirir. Özellikle çözüm, müşteriler bilgisayarlarında aynı yönetim yerel hesabını ve parola bileşimini kullandığında ortaya çıkar olan yanal yükseltme riskini azaltır. LAPS, her bilgisayarın yerel yönetici hesabının parolasını AD'de depolar ve bilgisayarın ilgili AD nesnesindeki gizli bir öznitelikte güvenli hale getirir. Bilgisayar AD'de kendi parola verilerini güncelleştirebilir ve etki alanı yöneticileri iş istasyonu yardım masası yöneticileri gibi yetkili kullanıcılara veya gruplara okuma erişimi verebilir.

Daha fazla bilgi için bakınız:

https://learn.microsoft.com/tr-tr/defender-for-identity/security-assessment-laps

ÖNEMLİ

LAPS yenilendi. Windows LAPS kullananlar önceden MSI paketi yükleyerek yönetildiğini bilmektedir. Ancak 11 Nisan 2023 güncellemesi ile birlikte Windows LAPS için gerekli GPO cihazlarınız üzerinde yüklü gelmektedir. Yeni LAPS daha kullanışlıdır. Ancak dikkat etmeniz gereken bazı noktalar vardır.

  • Etki alanınız 2016 Etki Alanı İşlevsel Düzeyinin Domain functional level altında yapılandırılmışsa Windows LAPS parola şifreleme süresini etkinleştiremezsiniz.
  • Yeni LAPS kullanılması için AD üzerinde şema genişletilmesi yapılması gerekmektedir.
  • Eski LAPS üzerinde parolaları düz metin olarak saklanırken yeni LAPS üzerinde AES-256 olarak şifrelemektedir.
  • LAPS için artık MSI paketi dağıtılmasına ihtiyaç bulunmamaktadır.
  • Eski LAPS uygulanmış bir ortamda Yeni LAPS yapılandırması yaparsanız parolaların güncelleştirilmeyecektir. İlgili hata Event Viewer’da Event ID 6 olarak kaydedilmektedir.

LAPS Install

LAPS kurulumunu eğer ilk defa yapılacaksa 1. adımı geçerek herhangi bir işlem yapmadan uygulayabilirsiniz. Ancak sisteminizde eski LAPS aktif durumdaysa dikkat etmeniz gereken bazı maddeler bulunmaktadır.

  • Eski LAPS’ı kaldırılması gerekmektedir. Aksi halde Yeni LAPS yönetimi devralmaz.
  • Eski LAPS’ı Emulation Modu devre dışı bırakabilirsiniz.

ADIM 1

Eski LAPS'ı MSI paketi ile kurulduysa, denetim masasından manuel olarak kaldırabilirsiniz. Eğer büyük bir yapınız var ise, yönetilen cihazda sessiz bir MSI kaldırma komutu çalıştırarak da otomatikleştirebilirsiniz. Aşağdaki komut satırını bir bat dosyası oluşturarak GPO üzerinden dağıtarak sisteminizden  kaldırabilirsiniz.

msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

Daha fazla bilgi için bakınız.

https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-deployment-migration

ADIM 2

   Windows LAPS kullanılmadan önce Windows Server Active Directory şemasının güncellenmesi gerekir. Bu, tüm forest kapsayan tek seferlik bir operasyon. Bu işlem, Windows LAPS ile güncellenen bir Windows Server 2022 veya Windows Server 2019 etki alanı denetleyicisinde gerçekleştirilebileceği gibi, Windows LAPS PowerShell modülünü desteklediği sürece etki alanı denetleyicisi olmayan bir denetleyicide de gerçekleştirilebilir. Domain Controller sunucusu üzerinde yönetici olarak PowerShell açın ve aşağıdaki komut satırı ile LAPS Şema genişletmesini gerçekleştirin. Parametreyi çalıştırdıktan sonra eklenecek attribute için hepsine onay vermeniz gerekmektedir.

Update-LapsADSchema

Bu işlemden sonra makinalarda artık eklenecek attribute'leri görebilirsiniz.

Ayrıca LAPS sekmesine tıklarsanız tüm adımları tamamladığınızda bilgiler dolu olarak gözükecektir.

İkinci adımda ise, yönetilen cihaza şifresini güncelleme izni verilmesi gerekir. Bu eylem, cihazın bulunduğu Kuruluş Birimi (OU) üzerinde devralınabilir izinler ayarlanarak gerçekleştirilir. 

Bu işlemi yaparken hata alırsanız, birden fazla domain controller sunucunuz var ise diğerinde işlemi gerçekleştiriniz.

Set-LapsADComputerSelfPermission -Identity 'DC=domain_name,DC=local'

Son olarak Windows LAPS, Active Directory etki alanına katılan aygıtlardaki ilke ayarlarını yönetmek için kullanabileceğiniz yeni bir Grup İlkesi Nesnesi içerir. Windows LAPS Grup İlkesi'ne erişmek için Grup İlkesi Yönetimi Düzenleyicisinde Computer Configuration > Administrative Templates > System > LAPS gidin. Başlangıç için aşağıdaki politikaları uygulayabilirsiniz.

Aşağıdaki politikaları güncelleyin.

  • Configure password backup directory → Active Directory (Ayarı ETKİNLEŞTİRMENİZ ve Active Directory veya Azure Active Directory'yi seçmeniz gerekir . Aksi halde yerel yönetici şifresi yönetilemez ve çalışmaz.)
  • Password Settings → Enabled yapıp kompleks kısmını kendinize göre belirleyebilirsiniz.
  • Name of administrator account to manage → Bu ayar eğer Administrator hesapını değiştirip farklı yaptıysanız yeni hesap ismini yazarak yönetmeniz sağlar. Eğer bu ayar değiştirmezseniz varsayılan olarak gelen Administrator hesapı yönetilir.
  • LAPS GPO,  administrator hesabınızı tüm makinelerde oluşturmaz. Bu, başka bir GPO, PowerShell betiği veya başka bir seçenekle halletmeniz gereken bir şeydir.
  • Diğer tüm administrator hesaplarını devre dışı bırakın ve güvenlik amacıyla yalnızca belirlediğiniz hesabının etkinleştirildiğinden emin olun.

GPO masaüstlerinde her 90 dakikada bir yenilenir. GPO yenilemesini zorlamak için gpupate /force komutunu yeniden başlatabilir. Komut istemini açın ve gpupdate /force yazarak işlemi tamamlayın.

gpupdate /force

Domain Admin hesabı ile computer üzerindeki LAPS alanına baktığınız zaman artık dolduğunu ve boş olmadığını göreceksiniz. Bu, Active Directory'nin Windows bilgisayarına bağlanıp bilgileri senkronize ettiği anlamına gelir.

Daha fazla bilgi için bakınız.

https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-policy-settings#windows-laps-group-policy

LAPS Üzerinde İzin Tanımlanma ve Sorgulama

LAPS için varsayılan olarak Domain Admin LAPS özniteliklerinde okuma ve yazma izinleri bulunmaktadır. Gerçek ortamlarda ilgili teknik ekiplere parolayı okuma veya değiştirme yetkileri vermek isterseniz aşağıdaki parametrelerini kullanabilirsiniz.

Set-LapsADReadPasswordPermission -Identity 'OU=şirket,DC=example,DC=local' -AllowedPrincipals ‘DomainName\GroupName’
Set-LapsADResetPasswordPermission -Identity 'OU=şirket,DC=example,DC=local' -AllowedPrincipals ‘DomainName\GroupName’

Daha fazla bilgi için bakınız.

https://learn.microsoft.com/en-us/powershell/module/laps/set-lapsadresetpasswordpermission?view=windowsserver2022-ps

Yönetilen cihazın kuruluş biriminde bazı kullanıcılara veya gruplara zaten Genişletilmiş Haklar izni verilmiş olabilir. Aşağıdaki komut satırını kullanarak kimlerde yetki olduğunu görebilirsiniz.

Find-LapsADExtendedRights -Identity 'OU=şirket,DC=example,DC=local'

Daha fazla bilgi için bakınız.

https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-windows-server-active-directory

Yetki tanımladıktan sonra LAPS ekranına tıkladığınızda aşağıdaki gibi bir hata alabilirsiniz.

Bu hata için, GPO üzerindeki Enable password encryption politikasını Disable olarak değiştirin ve client üzerinde gpupate /force komutunu yeniden çalıştırın. Artık parolayı görebilirsiniz.

LAPS Şifresini Sıfırlayın

Windows LAPS şifresini sıfırlamak için ilgili computer üzerinde Expire Now butonuna basıp Ok butonuna basınız.

Windows bilgisayarda bir GPO güncellemesi çalıştırın ve LAPS yerel yönetici hesabı parolasının sıfırlandığını doğrulayın. 

Eğer parolanız değişmez ise, Event Viewer’ üzerinde LAPS loglarını inceleyiniz. Aşağıdaki gibi kural çakışmaları yaşayabilirsiniz.

Blog'a Dön