Merhaba Arkadaşlar,
Bugün Local Administrator Password Solution (LAPS) uygulamasından bahsedeceğim. Microsoft Ailesine sonradan katılan bu uygulamayı
Microsoft 1 Mayıs 2015 tarihinde Laps adı ile çıkarıldı. Group policy ile local administrator şifresini değiştirme işlemlerinde bir güvenlik açığı bulması sonucu Microsoft Laps ürünü ortaya çıktı.
LAPS Server ve Client makineler de bulunan Local Admin hesabının şifresini sizin istedğiniz kurallar içerisinde ve belirli zaman periyotların da otomatik olarak değiştirmemizi sağlamaktadır.
Mevcut Domain ortamınızda bulunan tüm kullanıcılar için LAPS ürününü kullanabilir ve uygulayabilirsiniz. Windows işletim sistemi olan Sunucu yada istemci için çıkarılmış bir üründür.
LAPS sayesinde Local Admin parolarını bizim belirlediğimiz Security Grubuna dahil olan kullanıcılar dışında kimse göremez ve değiştiremez.
Uygulamayı Buradan edinebilirsiniz,
- Kurulum işlemine başlıyoruz. Ben Primary Domain Controller sunucuma kurulumunu yapıyorum.
- Son Kullanıcı lisans sözleşmesini kabul ederek devam ediyoruz.
- Tüm seçenekleri kurarak ilerliyoruz.
- Kurulumu başlatıyoruz.
- Kurulum işlemimiz bitmiştir.
- İşlemlere başlamadan önce Hangi OU altındaki makinelerde geçerli olacağını belirlemeliyiz. Ben test OU olarak “Laps” OU’sunu seçtim. Seçtiğimiz OU içerisinde sadece Computer’lar olmalıdır Çünkü GPO’yu Computer account’una uyguluyorsunuz.
- PowerShell’i admin modunda açarak aşağıdaki komutları çalıştırıyoruz.
- Import-module AdmPwd.PS kurulum modülünü Powershell’e dahil etmek için kullanılır.
- Update-AdmPwdADSchema Active Directory üzerinde şema genişletmek için kullanılır.
- Bu komut ile resim de görülen 3 adet Attribute eklenir.
- Değiştirilen Local Admin şifrelerini eğer izin verdiğiniz gruplar dışında bir Security grubun görmesini istemiyorsanız.
ADSI edit üzerinde işlem yapacağınız OU’nun üzerine gelerek “Properties” kısmından “Security” tabına gelerek “Advanced” seçeneğine giriyoruz.
- İşlem yapacağımız grubun üzerine gelerek “Edit” diyerek devam ediyoruz.
- “All extended rights” seçeneğini kaldırıyoruz.
- OU üzerinde hangi grupların olduğu bilgisini aşağıdaki komut yardımı ile öğrenebiliriz.
- Ou üzerinde şuan sadece Domain Admins ve benim yetki verdiğim grubunun yetkisi bulunmaktadır.
- Find-AdmPwdExtendedrights -identity OU-İSMİ | Format-Table
Local Admin Password değişimlerini hangi grup yapacaksa onu security grup olarak oluşturuyoruz.seçtiğiniz Ou’da uygulanır.
- Import-module AdmPwd.PS
- Set-AdmPwdComputerSelfPermission -OrgUnit OU-İSMİ
Şimdi de admin local admin parolalarını okuyacak olan grubu aşağıdaki komut yardımı ile yine Powershell uygulaması üzerinden ekliyoruz.
- Import-module AdmPwd.PS
- Set-AdmPwdReadPasswordPermission -OrgUnit Client_OU -AllowedPrincipals Security Grup İsmi
Ve Domain Controller üzerinde Laps için Group Policy ayarlarını yapacağız. Öncelikle belirlediğiniz bir isimle yeni bir policy oluşturuyor ve edit diyorsunuz.
Aşağıdaki resimde görüldüğü gibi Computer Configuration > Administrative Templates > LAPS içerisine giriş yapıyor ve mevcut 4 adet policy ayarını yapınıza göre değiştiriyorsunuz.
LAPS uygulamasının çalışması için gerekli olan “Enable local admin password management” kuralını aşağıdaki gibi aktif etmeniz gerekiyor.
Password Settings kuralı içerisinden, local admin şifrelerinin hangi özelliklere sahip olacağı, büyük küçük harf, sayı ya da özel karakter içerip içermeyeceği gibi ayarları ve maximum parolanın kaç gün boyunca aktif olacağını ve parolanın karakter sayısını belirleyebilirsiniz.
- “Enable local admin password management” kuralı aktif ediyoruz.Bu kural LAPS ‘ın çalışması için gerekli ana kuraldır.
- Değiştirilecek Local Admin parolalarının hangi özellikler de olacağını bu kural da belirliyoruz.Örnek olarak ben Büyük ,küçük harfi olan sayı ve özel karakterlerden oluşan bir şifre belirliyorum.Bu şifrenin uzunluğunu 14 karakter olarak belirledim ve bu şifrenin 30 gün boyunca aktif olarak kalacağını belirledim.
- Varsayılan Local Admin Hesaplarımızın ismi “Administrator” olarak bulunuyorsa buraya bir müdahale etmemize gerek yok.LAPS bunu otomatik olarak algılayıp değiştiriyor.Eğer benim gibi ismi farklı bir Local Admin Hesabımız var ise bu ismi belirtmemiz gerekiyor.
- Eğer yapınızda local admin hesaplarınızın adı Administrator olarak görünüyorsa herhangi bir sorun yok demektir. Ancak local admin hesaplarınızın adı farklı ise bunu, “Name of administrator account to manage” içerisinde, aşağıda gördüğünüz şekilde değiştirebilirsiniz.
- LAPS’ın çalışması için Local Admin şifresini değiştireceğimiz OU içerisindeki makinelere LAPS aracını kuruyoruz.Aşağıdaki resim de buluna şekli ile kuruyoruz.
Uygulamayı yapınızda kullanılan otomasyon yazılımları ile dağıtabilirsiniz
Dikkat etmeniz gereken uygulamayı kurarken Client bilgisayarlara aşağıdaki gibi kurulması gerekmektedir.
- Tüm bu aşamalardan sonra client makineler de istesek gpupdate /force ile hızlıca policy alıp LAPS ın çalışmasını sağlayabiliriz veya Varsayılan Policy Güncelleme zamanında client’lar gelip policy kurallarını alacaktır.Sistemin sağlıklı çalışması için kuralları aldıktan sonra client’ları bir kere yeniden başlatabilirsiniz.
- Client güncel policy’yi aldıktan sonra “Attribute Editor” tabından “ms-Mcs-AdmPwd” ve “ms-Mcs-AdmPwdExpire” Attribute’lerini kontrol ediyoruz.Parola ve Parola bitiş tarihi gelmiş gözüküyor.
25. Başka bir öğrenme türü olan LAPS UI uygulamasıdır.Bu uygulama üzerinden izin verilen Security Grubundaki kullanıcılar Local Admin şifrelerini görüntüleyebilir ve değiştirebilirler.
Umarım Faydalı Olmuştur