LAPS (Local Administrator Password Solution); Microsoft’un ücretsiz olarak yayınladığı, alt yapılarda yer alan Server ve Client’ların Local Administrator hesaplarının şifresini düzenli olarak, istediğimiz şifre politikasına uygun değiştirmeyi sağlar.
Laps kullanmanın faydaları:
Kurulumlar genelde stardart bir şifreyle yapılır ve değiştirilmez. Değiştirilmek istendiğinde de toplu olarak tek bir şifre yayınlanır. Daha sonra bu şifrelerin ilgili ekiplere dağıtımı yapılması aşamasında bilgi güvenliği ihlalleri ortaya çıkabilir. Ayrıca tek bir şifrenin tüm yapıda kullanılabilir olması da büyük bir güvenlik açığı oluşturur. LAPS sayesinde her bilgisayarın Local Administrator şifresi farklı atanır ve belirlenen aralıklarla sürekli değişir. Bu sayede şifrenin ele geçirilmesi zorlaşır. Bir şifre ele geçirilse bile diğer sistemlerde kullanılamayacağı için alanı kısıtlamış oluruz. Merkezi bir yönetim sağlar ve kurulumdan sonra tüm işlemler otomatik olacağından efor harcatmaz.
Öncelikle Microsoft’un sitesinden LAPS uygulamasını indirmeliyiz. Aşağıdaki linkten indirebilirsiniz.
https://www.microsoft.com/en-us/download/details.aspx?id=46899
Adım 1: Uygulamayı Dc üzerinde çalıştırıyoruz. Karşımıza kurulum ekranı geliyor. İlk sayfayı Next diyerek ilerletiyoruz.
Adım 2: İkinci ekranda karşımıza lisans sayfası geliyor. Onaylayıp, Next diyerek bir sonraki sayfaya geçiyoruz.
Adım 3: Karşımıza gelen ekranda kuracağımız feature’lar bulunuyor. Üstte yer alan AdmPwd GPO Extension, sadece istemci tarafına kurulan agent bu feature’ı Dc’ye kurmuyoruz. Management Tool altında yer alan feature’lar, istemcilerle management server’ın haberleşmesi, policy tarafında LAPS policy’lerinin oluşması ve powershell komutlarıyla düzenlemeleri yapabilmemiz için gerekli modülün yüklenmesi için gerekli olduğundan hepsini seçiyoruz. Next diyerek ilerliyoruz.
Adım 4: Karşımıza gelen sayfada install diyerek kulumu başlatıyoruz.
Adım 5: Kurulumumuz tamamlandığında Finish diyerak sayfayı kapatıyoruz. Artık yapılandırma adımlarına geçebiliriz.
Adım 6: Kurulum tamamlandıktan sonra AD Schema tarafına 2 adet Attribute eklemesi yapacağız. Powershell’i Administrator olarak çalıştırıp aşağıdaki komutlarla bu eklemeyi yapıyoruz.
Import-Module AdmPwd.PS ‘bu komut ile Laps modülünü çağırıyoruz.’
Update-AdmPwdADSchema ‘bu komut ile schema üzerine 2 adet attribute ekliyoruz’
Mcs-AdmPwdExpirationTime : Şifrenin geçerlilik süresini tutan attribute.
Mcs-AdmPwd : Şifreyi tutan attribute.
Adım 7: Schema genişletildikten sonra Şifre politikasını hangi Organizational Unit altına uygulayacağımızı ve kimlere yetki vereceğimizi belirliyoruz. Ben Client ve Server olarak iki farklı Ou’ya ayrı ayrı yetkilendirmeler yapacağım. Yetkilendirme komutu;
Set-AdmPwdComputerSelfPermission –OrgUnit “Organizational Unit DN”
Yetkileri verdikten sonra hangi grupların password görüntüleme ve resetleme yetkisine sahip olacağını da Powershell komutlarıyla belirliyoruz.
Set-AdmPwdReadPasswordPermission komutuyla yetkilendirdiğimiz gruplar sadece şifreyi okuma hakkına sahip olurlar. L1 seviyesi, helpdesk çalışanlar için yeterli olacaktır.
Set-AdmPwdResetPasswordPermission komutuyla yetkilendirdiğimiz gruplar hem şifreyi okuma hem de gerektiğinde değiştirme hakkına sahip olurlar. Yetkili kullanıcılara bu hakkı atayabiliriz.
Ben kurgum gereği server ve client tarafı için iki tane security grup oluşturdum. LapsClientAdmins grubu client tarafında sadece okuma yetkisine sahip olacak, LapsServerAdmins grubu her iki Ou için de şifre resetleme hakkına sahip olacak şekilde komutlarımı uyguladım. Yetkilerin düzgün atanabilmesi için önce read komutunu uygulayıp sonra reset hakkı veren komutu uygulamanız gerekiyor.
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Client,OU=Device,OU=root,DC=ers,DC=local” -AllowedPrincipals LapsServerAdmins
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Client,OU=Device,OU=root,DC=ers,DC=local” -AllowedPrincipals LapsClientAdmins
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Server,OU=Device,OU=root,DC=ers,DC=local” -AllowedPrincipals LapsServerAdmins
Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Server,OU=Device,OU=root,DC=ers,DC=local” -AllowedPrincipals LapsServerAdmins
Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Client,OU=Device,OU=root,DC=ers,DC=local” -AllowedPrincipals LapsServerAdmins
Yetkilendirme adımını yaptıktan sonra Ou üzerinde atanıp atanmadığını aşağıdaki komutlarla kontrol edebilirsiniz.
Find-AdmPwdExtendedRights -Identity “OU=Server,OU=Device,OU=root,DC=ers,DC=local” | fl
Find-AdmPwdExtendedRights -Identity “OU=Client,OU=Device,OU=root,DC=ers,DC=local” | fl
Not: Burada yetkisi olmaması gereken bir üye görüyorsanız, ADSI.Edit üzerinden ilgili Ou’nun Properties kısmına, oradan Security tabına gelip, Advanced özelliklerine girip, ilgili gruptan All extended rights permission’ını kaldırarak yetkisini alabilirsiniz.
Powershell komutlarıyla olan adımımızı tamamladık.
Adım 8: Artık Gpo ile password policylerimizi uygulamaya geçebiliriz. Administrator hesabınızın ismini SID’i değişmeyecek olsa bile set etmenizde fayda var. Bu işlemi;
Computer Configuration> Policies> Windows Settings> Security Settings> Local Policies> Security Options altından
Accounts: Rename administrator account bölümünden yapabilirsiniz.
Kurulumumuz sonrasında LAPS policy ayarları;
Computer Settings> Policies> Administrative Templates> Laps kısmına gelmişti. Burada 4 tane policy’miz mevcut.
Password Settings: Bu kısımda password policy’mizi oluşturuyoruz. Komplex bir yapıda, 14 karakter uzunluğunda ve her gün değişecek şekilde planladım. Siz ihtiyacınıza göre yapınızda istediğiniz değişikliği yapabilirsiniz.
Name of administrator account to manage: Bu ayar built-in admin hesabını SID üzerinden set edebileceğini, local farklı bir hesaba admin yetkisi verildiyse onu set etmek için kullanabileceğimizi belirtmektedir. Built-in Local Admin hesabının ismi set edilmiş olsa bile SID üzerinden düzenlediği için sorun olmayacağını belirtmektedir. Fazladan Local Admin hesabınız yoksa Not Configured olarak bırakabilirsiniz.
Do not allow password expiration time longer than required by policy: Eğer Password Policy uyguluyorsanız ve burada atanacak password’ün geçerlilik süresinin Password Policy’de uyguladığınız geçerlilik süresinden fazla olmasını istemiyorsanız bu ayarı enable edebilirsiniz. Değiştirmediğiniz durumda daha uzun süreli password’ler atayabilirsiniz.
Enable local admin password management: Tüm bu yapılan ayarların ana kuralı. Bu kuralı aktif etmediğimiz sürece bu ayarlar işlemeyecektir. Enable yaparak kuralı aktif etmeliyiz.
Policy’lerimizi de hazırlayarak Management Server üzerinde ayarlarımızı tamamlamış olduk.
Adım 9: Artık client ve server tarafına agent dağıtımı yapabiliriz. Gpo, Sccm, Manuel yükleme gibi farklı seçenekleri kullanabilirsiniz. Ben dosyamız msi dosyası olduğu için Gpo kullanarak ilerleyeceğim. Dağıtım için yeni bir Gpo oluşturuyoruz. Computer Settings> Policies> Software Settings>Software Installation kısmına geliyoruz. Sayfada sağ tuş tıklayıp, New > Package diyerek daha önce indirdiğimiz paketimizi seçiyoruz. Paketin bir ağ yolu üzerinde olması gerekmektedir, policy’i alacak sistemlerin pakete ulaşması gerekiyor, ben kolaylık olması adına \\domain\netlogon altına taşıdım paketi. Paketi seçtikten sonra çıkan ekrandan Assigned seçeneğini seçiyoruz ve policy’nin yaygınlaşmasını bekliyoruz.
Gpo yaygınlaştıktan sonra agent yüklemesini denetim masasından kontrol edebilirsiniz.
Adım 10: Kurulum adımlarının hepsini sağlıklı bir şekilde tamamladıktan sonra artık kontrollerimizi yapabiliriz. Management rollerini kurduğumuz sunucuda LAPS UI bulunmakta, buraya computer name girerek şifreyi ve geçerlilik tarihini görebiliriz ve yeni bir şifre set edebiliriz. Ayrıca var olan şifreyi attribute editorden de görebiliriz.
