Merhaba
Bu yazım da Local Administrator Password Solution (LAPS) uygulamasını anlatacağım.LAPS Server ve Client makineler de bulunan Local Admin hesabının şifresini hem belirli kural çervesin de ve belirli zaman periyotların da otomatik olarak değiştirmemizi sağlıyor.Microsoft’un ücretsiz olarak sağlamış olduğu bu araç Active Directory ile tam uyumlu olarak çalışıyor.
Şirket ortamların da bulunan tüm bilgisayarların (Sunucu ve İstemci) olarak İmaj mantığı ile kurulup güncelleniyor.Çok az bir kısmı farklı nedenlerden dolayı manuel kurulum seçeneği ile oluşturuluyor.Bu nedenle üzerlerinde bulunan Local Admin şifresi eksta bir müdahale’de bulunmadığınız durum da tüm cihazlar da aynı kalıyor.Bu durum bize büyük bir güvenlik açığınıda beraberin de getirmektedir.
Örnek verecek olursak domain ortamındaki herhangi bir bilgisayarın veya sunucunun Local Admin şifresini öğrendiğimiz zaman Tüm Domain ortamında bulunan Sunucu ve İstemcilere erişim sağlayabiliriz zararlı uygulamalar kurulabiliriz ve sistemimize zarar verilebiliriz.Örnek deki durum kötü amaçlı kullanıcılar için geçerlidir.Ayrıca Bilgi Sistemleri Denetimlerinde de bu durumdan dolayı eksi puan ve uyarı alabilirsiniz.Denetim ekipleri ister iç denetim ister dış denetim olsun genel olarak ilk soruları Local Admin şifreleri tüm bilgisayarlar da aynı mıdır? Sorusunu sorarlar.Çok nadiren farklı yanıtını alırlar.
LAPS sayesinde Local Admin parolarını bizim belirlediğimiz Security Grubuna dahil olan kullanıcılar dışında kimse göremez ve değiştiremez.
Yukarıda belirtiğim durumlardan korunmak ve sistemlerimizi daha sağlıklı yönetmek için bu aracı kullanmalıyız.
Kuruluma başlayabiliriz,
Uygulamayı Buradan edinebilirsiniz
1. Kurulum işlemine başlıyoruz.
3.Tüm seçenekleri kurarak ilerliyoruz.
4.Kurulumu başlatıyoruz.
5. Kurulum işlemimiz bitmiştir.
6. İşlemlere başlamadan önce Hangi OU altındaki makinelerde geçerli olacağını belirlemeliyiz.Ben test OU olarak “Client_OU” OU’sunu seçtim.Seçtiğimiz OU içerisinde sadece Computer’lar olmalıdır.
7.PowerShell’i admin modunda açarak aşağıdaki komutları çalıştırıyoruz.
Import-module AdmPwd.PS kurulum modülünü Powershell’e dahil etmek için kullanılır.
Update-AdmPwdADSchema Active Directory üzerinde şema genişletmek için kullanılır.
Bu komut ile resim de görülen 3 adet Attribute eklenir.
8.Değiştirilen Local Admin şifrelerini eğer izin verdiğiniz gruplar dışında bir Security grubun görmesini istemiyorsanız.ADSI edit üzerinde işlem yapacağınız OU’nun üzerine gelerek “Properties” kısmından “Security” tabına gelerek “Advanced” seçeneğine giriyoruz.
9.İşlem yapacağımız grubun üzerine gelerek “Edit” diyerek devam ediyoruz.
10. “All extended rights” seçeneğini kaldırıyoruz.
11.OU üzerinde hangi grupların olduğu bilgisini aşağıdaki komut yardımı ile öğrenebiliriz.
Ou üzerinde şuan sadece Domain Admins grubunun yetkisi bulunmaktadır.
Find-AdmPwdExtendedrights -identity OU-İSMİ | Format-Table
12.Local Admin şifrelerinin yönetimini yapacak Security Grubu Active Directory Users OU’sunun altında oluşturuyoruz.
13.Aşağıdaki komutlar ile seçtiğimiz OU üzerinde parola değiştirme kuralını uyguluyoruz.
Import-module AdmPwd.PS
Set-AdmPwdComputerSelfPermission -OrgUnit OU-İSMİ
14. Daha sonra bu OU üzerindeki Local Admin parolalarını okuyacak grubu aşağıdaki komut ile ekliyoruz.
Import-module AdmPwd.PS
Set-AdmPwdReadPasswordPermission -OrgUnit Client_OU -AllowedPrincipals Security Grup İsmi
15.Yine aynı OU üzerindeki Local Admin parolalarını değiştirebilecek grubu aşağıdaki komut ile ekliyoruz.
Import-module AdmPwd.PS
Set-AdmPwdResetPasswordPermission -OrgUnit Client_OU -AllowedPrincipals Security Grup İsmi
16.Bu aşamalardan sonra Group Policy ayarlarını düzenleme işlemine geçiyoruz.Yeni bir Group Policy Oluşturduktan sonra “Edit” diyerek group policy ayarlarımı yapılandırıyoruz.
17.Resimde görülen Policy yoluna takip ediyoruz ve LAPS içerisine giriyoruz.Burada bulunan 4 adet policy’yi yapımıza göre yapılandırıyoruz.
18. “Enable local admin password management” kuralı aktif ediyoruz.Bu kural LAPS ‘ın çalışması için gerekli ana kuraldır.
19. Değiştirilecek Local Admin parolalarının hangi özellikler de olacağını bu kural da belirliyoruz.Örnek olarak ben Büyük ,küçük harfi olan sayı ve özel karakterlerden oluşan bir şifre belirliyorum.Bu şifrenin uzunluğunu 14 karakter olarak belirledim ve bu şifrenin 30 gün boyunca aktif olarak kalacağını belirledim.
20.Varsayılan Local Admin Hesaplarımızın ismi “Administrator” olarak bulunuyorsa buraya bir müdahale etmemize gerek yok.LAPS bunu otomatik olarak algılayıp değiştiriyor.Eğer benim gibi ismi farklı bir Local Admin Hesabımız var ise bu ismi belirtmemiz gerekiyor.
21. Yapıma göre ben policy’yi bu şekilde yapılandırdım.
“Do not allow password expiration time longer thane required” seçeneği ise
Yönetici hesabının planlama şifresi süresinin, maksimum şifre yaşından daha uzun bir süre için ayarlanmasına izin vermek istemiyorsanız “Enabled” yapabilirsiniz.
22.LAPS’ın çalışması için Local Admin şifresini değiştireceğimiz OU içerisindeki makinelere LAPS aracını kuruyoruz.Aşağıdaki resim de buluna şekli ile kuruyoruz.
Uygulamayı istesek GPO ile veya Sccm ile Silent Dağıtabilirsiniz.
23.Tüm bu aşamalardan sonra client makineler de istesek gpupdate /force ile hızlıca policy alıp LAPS ın çalışmasını sağlayabiliriz veya Varsayılan Policy Güncelleme zamanında client’lar gelip policy kurallarını alacaktır.Sistemin sağlıklı çalışması için kuralları aldıktan sonra client’ları bir kere yeniden başlatabilirsiniz.
24. Client güncel policy’yi aldıktan sonra “Attribute Editor” tabından “ms-Mcs-AdmPwd” ve “ms-Mcs-AdmPwdExpire” Attribute’lerini kontrol ediyoruz.Parola ve Parola bitiş tarihi gelmiş gözüküyor.
25. Başka bir öğrenme türü olan LAPS UI uygulamasıdır.Bu uygulama üzerinden izin verilen Security Grubundaki kullanıcılar Local Admin şifrelerini görüntüleyebilir ve değiştirebilirler.
