LAPS Nedir ? Nasıl Kullanılır ?
Local Administrator Password Solutions
Merhaba, bu yazımızda Microsoft tarafından da önerilen LAPS konusunu ele alacağız. Peki nedir bu LAPS (Local Administrator Password Solutions) ? Adından da anlaşılacağı üzere LAPS local admin password çözümüdür. Etki alanında bulunan tüm bilgisayarlarımızın local admin parolalarını yönetir ve belirli periyotlarla değişik parolalar üreterek güvenlik seviyemizi artırmış olur.
Etki alanında bulunan tüm bilgisayarlar için ayrı ayrı local admin password oluşturur ve bunları Active Directory üzerinde saklar.
Oluşturulan şifreler Kerberos Version 5 Protocol ve Advanced Encryption Standart (AES) ile güvenli şekilde tutulur.
LAPS Kurulumu (Active Directory)
Öncelikle LAPS kurulum dosyalarını aşağıdaki linkten indiriyoruz.
Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center
İlk adımda bizi aşağıdaki ekran karşılıyor. Next ile ilerliyoruz.
Kullanıcı Lisans sözleşmesini kabul edip Next ile devam ediyoruz.
Bütün seçenekleri aktif duruma getirerek Next ile kuruluma devam ediyoruz.
Kısa bir kurulum aşaması Install ve Finish ile kurulumu bitiriyoruz.
Setup işlemi başarılı bir şekilde tamamlanmıştır.
Active Directory Schema Genişletme
LAPS local admin parola bilgisini ve sona erme zaman damgasını depolayan 2 adet attiribute ihtiyaç duyar. Bunlar ; ms-Mcs-AdmPwd – (parola bilgisini tutar) ve ms-McsAdmPwdExpirationTime – (Parolayı sıfırlama süresini depolar.)
Bu nedenle AD Schema genişletme işlemi yapmamız gerekmektedir. AD üzerinde PowerShell ile aşağıdaki komutları çalıştırarak işlemi gerçekleştiriyoruz.
Import-Module AdmPwd.PS – komutu ile LAPS modülünü import ediyoruz.
Update-AdmPwdADSchema – komutu ile AD Schema genişlemte işlemi yapıyoruz.
Schema genişletme adımlarını uyguladıktan sonra AD üzerinde aşağıdaki attiributeleri görüyoruz.
Active Directory İzinlerinin Tanımlanması
Active Directory üzerindeki bilgisayarlara eklenen LAPS özelliklerini kullanabilmeleri için yetkilendirme gereklidir. Bu yetkilendirme işlemi için PowerShell yönetici olarak çalıştırılır ve aşağıdaki komut ile LAPS uygulanacak OU belirlenir.(OU-LAPS = LAPS uygulanacak bilgisayarların olduğu Organization Unit)
Set-AdmPwdComputerSelfPermission -OrgUnit OU-LAPS
Domain ortamında Domain Admin Grubu dışında parola bilgilerini görme ve değiştirme yetkilerine sahip bir grup (Örneğin HelpDesk User) tanımlanacaksa bu gruba da LAPS özelliklerini kullanmaları için yetkilendirme yapılması gerekmektedir.
Parolaları görüntüleme yetkilendirmesi için aşağıdaki komutu çalıştırmamız yeterlidir.
Set-AdmPwdReadPasswordPermission -OrgUnit “OU-LAPS” -AllowedPrincipals “LAPS-HelpDesk”
Komutta belirtilen “OU-LAPS” LAPS kurallarının uygulanacağı bilgisayarların bulunduğu OU’nun adıdır ve ilgili security gruba parolaları görüntüleme yetkisi veirir.
Parola değiştirme yetkisi için ise aşağıdaki komutu kullanabilirsiniz. Yine aynı gruba parolaları değiştirme yetkisi veriyorum.
Set-AdmPwdResetPasswordPermission –OrgUnit “OU-LAPS” -AllowedPrincipals “LAPS-HelpDesk”
LAPS Kuralları için Group Policy Ayarları
AD üzerindeki kurulum işlemlerimizi tamamladıktan sonra sıra geldi uygulama tarafına. İlk olarak ilgili OU için LAPS kurallarını içerecek ve aktif edecek bir gpo oluşturuyoruz.
Bunun için LAPS-Policy adında yeni bir group policiy oluşturalım.
Oluşturmuş olduğumuz policy üzerinde sağ tıklayıp Edit diyerek aşağıdaki düzenlemeleri yapalım.
Computer Configuration >>> Policies >>> Administrative Templates >>> LAPS
Bu bölümde LAPS ile uygulanabilecek dört adet kural vardır.
- Password Settings (Zorunlu)
- Enable local admin password management (Zorunlu)
- Name of administrator account to manage
- Do not allow password expiration time longer than required by policy
Password Settings : Bu seçenekte parola karmaşıklığı, parola uzunluğu ve parola süresi belirlenir. Örnekte parolalar büyük harf, küçük harf, rakam ve semboller içerecek şekilde tanımlanmıştır.
Parola uzunluğu 12 karakter ve yaşam süresi 15 gün olacak şekilde komplex parola kuralı uyguluyorum.
Enable local admin password management : Bu seçenek parolanın LAPS tarafından değiştirilebilmesine olanak sağlar.
Name of administrator account to manage : Bu seçenek hesap adının Administrator’dan farklı bir isim olması durumunda parolası değiştirilecek yerel hesap adının belirlenmesi için kullanılır. Mevcut durumda Administrator hesabının sadece adı değiştirilmişse sistem bu hesabı SID numarasından algılamaktadır. Yani sadece Administrator hesabının adı değiştirilmiş bile olsa bu seçeneğin kullanılmasına gerek yoktur. (LAPS yönetimi yapılacak olan kullanıcı adını yazıyoruz.)
Do not allow password expiration time longer than required by policy : Bu seçenek parolanın geçerliliğini kaybetme süresinin policy tarafından belirlenmiş kuraldan daha uzun olmasını engeller.
Oluşturmuş olduğumu policyi ilgili Organization Unit’e map ederek LAPS ile ilgili adımları bitiriyoruz. Sırada LAPS’ın yönetilecek bilgisayarlara kurulumu var.
LAPS’ın Yönetilecek Makinelere Kurulumu
Bütün bu işlemleri bitirdikten sonra LAPS uygulamasını Etki alanında bulunan ve LAPS yönetimi yapacağımız bütün bilgisayarlara kurmamız gerekmektedir. Bu kurulumu makine sayınız az ise manuelde gerçekleştirebilirsiniz. Ortamınızda SCCM veya bunun gibi başka bir yazılım var ise yine bunlarlada uzaktan kurulum yapabilirsiniz.Biz konumuzda Group Policy ile LAPS dağıtımı yapıyor olacağız.
Group Policy İle LAPS Dağıtımı
LAPS_İnstallation_Policy adında yeni bir gpo oluşturuyorum ve domainde olan bilgisayarların erişeceği bir paylaşım alanına atmış olduğum LAPS setup dosyasını aşağıdaki adımları izleyerek ilgili bilgisayarlara dağıtıyorum.
Computer Configuration >>> Policies >>> Software Settings >>> New >>> Package
Paylaşım klasörü yolunudan LAPS Setup dosyasını seçiyoruz ve açılan pencereden Assigned seçeneği ile OK diyerek ilerliyoruz.
Oluşturmuş olduğumuz bu policyi de ilgili OU’ya map ederek işlemi tamamlıyoruz. İlgili
bilgisayarların GPO ile kurulumu gerçekleştikten sonra “C:\Program Files\LAPS\CSE” klasörünün içeriği aşağıdaki gibi olmalıdır.