LAPS Kurulum ve Yapılandırma

Microsoft’un Local Administrator Password Solution (LAPS) çözümü, domain içindeki Windows istemcilerinin lokal yönetici şifrelerinin merkezi olarak yönetilmesine olanak tanır. LAPS, her bir istemci için benzersiz ve rastgele şifreler üretir ve bu şifreleri belirli aralıklarla otomatik olarak yeniler.

LAPS Nedir?

LAPS, domain’e dahil edilmiş her Windows istemcisine kurulan ve SID-500 hesaplarının parolalarını düzenli aralıklarla güncelleyen bir yazılım modülüdür. Bu parolalar, Active Directory‘deki kullanıcıların özniteliklerine (Attribute) yazılır ve oradan yönetilir.

LAPS deployment sırasında bilmeniz gereken en önemli unsur hem yönetici modülü hem de Client modulü olması gerektiğidir. LAPS şifresini bulmak için PowerShell, LAPS GUI veya Active Directory Users and Computers (ADUC) kullanılabilir.

LAPS Kurulumunda Önemli Bilgiler

LAPS kurulumu sırasında dikkate almanız gereken önemli noktalar şunlardır:

• Yönetici ve İstemci Modülleri: LAPS‘ın etkin kullanımı için hem yönetici modülünün (LAPS UI) hem de istemci modülünün (LAPS client extension) kurulmuş olması gerekmektedir.
• Parola Erişimi: Oluşturulan şifreler, PowerShell, LAPS kullanıcı arayüzü veya Active Directory Users and Computers (ADUC) üzerinden erişilebilir.

LAPS Sistem Gereksinimleri

LAPS’ın düzgün çalışabilmesi için aşağıdaki sistem gereksinimlerinin karşılanması gerekir:

1. Domain Üyeliği: Kurulacak olan tüm cihazların domain üyesi olması gerekmektedir.
2. Tek local Hesap: LAPS, yalnızca bir lokal hesap için şifre yönetimi yapar. Güvenlik açısından, diğer lokal hesapların devre dışı bırakılması önerilir.
3. Active Directory Şemasının Genişletilmesi: LAPS’ın kullanılabilmesi için AD şemasının genişletilmesi gerekmektedir. Bu, LAPS’ın AD içinde gerekli öznitelikleri oluşturabilmesi için zorunludur.
4. Geniş Çaplı Dağıtım: Güvenlik politikalarının tutarlı uygulanabilmesi için LAPS’ın tüm uygun ortamlara yüklenmesi gerekmektedir.

Domain Controller’a LAPS Kurulumu

LAPS yazılımını resmi Microsoft Download Center üzerinden indirin. Bunun için LAPS.msi dosyasını kullanacaksınız. İndirme işlemi tamamlandıktan sonra, dosyayı Domain Controller’ınızda uygun bir konuma kaydedin.

Bu adımda Domain Controller üzerinde yapılması gereken tüm adımları gerçekleştireceğiz. LAPS.x64 kurulumu, AD Şema genişletme, izin yapılandırmaları ve GPO oluşturma adımlarını yapacağız.

• Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center

Domain Controller üzerinde LAPS kurulumunu gerçekleştirirken aşağıda bulunan bileşenleri seçtiğinizden emin olmanız gerekmektedir.

• PowerShell Module: LAPS PowerShell modülünü yükleyin. Bu modül, LAPS ile ilgili komutları çalıştırmanıza olanak tanır.
• GPO Editor Templates: Group Policy nesneleri için şablonları yükleyin. Bu, LAPS ayarlarını yönetmek için gerekli GPO’ları oluşturmanıza olanak tanır.
• Fat Client UI: LAPS kullanıcı arayüzünü yükleyin. Bu arayüz, LAPS tarafından yönetilen şifreleri görüntülemenizi sağlar.

Domain Controller üzerinde LAPS kurulumu hatalı gerçekleşirse, LAPS çalışmayacaktır.

LAPS için Şema Genişletme Adımları

LAPS‘ın gerektirdiği Active Directory (AD) şema değişikliklerini yapmak için Schema Administrator rolünde oturum açmış olmanız gerekmektedir. Şema genişletme işlemi için PowerShell’i kullanarak aşağıdaki komutları çalıştırın:

Import-Module AdmPwd.ps
Update-AdmPwdADSchema

Bu işlem, Computer sınıfına ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime adında iki yeni öznitelik ekler.

LAPS için Yetkilendirme

Parolalar Active Directory üzerinde düz metin olarak depolanmaktadır, güvenlik için burada yetkilendirme yapılması gerekmektedir.

ms-MCS-AdmPwd değeri All Extended Rights izinlerişne sahip bütün kullanıcılar tarafından okunabilmektedir.

Find-AdmPwdExtendedRight komutunu kullanarak bu izinlere sahip tüm kullanıcılarımızı listeyelebiliriz, bunun için kullanılması gereken komut seti aşağıdaki gibidir;

Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

LAPS‘ı etkin bir şekilde kullanabilmek için ilgili OU’larda (Organizational Units) gerekli izinleri yapılandırmanız gerekir. LAPS‘ın düzgün çalışabilmesi için gereken minimum izinler şunlardır:

• Bilgisayar nesneleri üzerinde Write ms-MCS-AdmPwd, Write ms-MCS-AdmPwdExpirationTime ve Read all properties izinleri.
• Bu izinleri, LAPS‘ı kullanacak olan tüm kullanıcı veya gruplara uygulayın

• ADSIEdit.msc‘yi açın ve Domain naming context ile bağlantı sağlayın.

• Düzenlemek istediğiniz OU’ya gidin, sağ tıklayın ve Properties seçeneğini seçin.

• Security sekmesine tıklayın, ardından Advanced düğmesine tıklayın.
• Kısıtlamak istediğiniz kullanıcı veya grup seçiliyken, All Extended Rights yetkisini kaldırın.

• Değişiklikleri onaylayın ve pencereyi kapatın.

• ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime değerleri değiştirildiğinden, bilgisayar hesaplarına değiştirme izni vermemiz gerekmektedir. Bunun için Set-AdmPwdComputerSelfPermission parametresini kullanacağız.

Import-Module AdmPwd.ps
Set-AdmPwdComputerSelfPermission -OrgUnit "Servers"

Bu komut, “Servers” OU’sundaki bilgisayar hesaplarına ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime özniteliklerini değiştirme yetkisi verir. Eğer birden fazla aynı isimde OU varsa veya spesifik bir OU’yu belirtmek istiyorsanız, OU’nun tam Distinguished Name (DN) bilgisini kullanmalısınız.

Bazı durumlarda, birden fazla aynı isimli OU olabilir. Bu durumda, DN kullanarak doğru OU’yu hedeflemeniz önemlidir. Örneğin:

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Servers,DC=example,DC=com"

LAPS bilgileri RODC üzerinde bulunmamaktadır.

Parola okuma izni, belirli kullanıcıların veya grupların, LAPS tarafından yönetilen parolaları okuyabilmesini sağlar. İzinleri PowerShell kullanarak ayarlayabilirsiniz:

Import-Module AdmPwd.ps

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Servers,DC=example,DC=com" -AllowedPrincipals "Cengiz"

Bu komut, “Cengiz” adlı kullanıcı veya grup için “Servers” OU’sundaki bilgisayarların LAPS tarafından yönetilen parolalarını okuma yetkisi vermektedir.

Parola reset yetkisi, belirlenen kullanıcıların veya grupların, LAPS tarafından yönetilen parolaları sıfırlamasına izin verir. Bu yetki, güvenlik gereksinimlerine göre dikkatlice verilmelidir:

Set-AdmPwdResetPasswordPermission -OrgUnit "OU=Servers,DC=example,DC=com" -AllowedPrincipals "Cengiz"

Bu komut, “Cengiz” adlı kullanıcı veya grup için “Servers” OU’sundaki bilgisayarların parolalarını sıfırlama yetkisi verir.

RODC (Read-Only Domain Controller): LAPS değerleri, güvenlik nedeniyle RODC üzerinde bulunmaz. RODC, hassas verilerin korunmasına yardımcı olur ve sınırlı yazma erişimi sağlar.

Security Group Kullanımı: Parola okuma ve reset yetkileri verirken, bu yetkileri içeren bir Security Group oluşturmanız önerilir. Bu grup, yetkilerin yönetimini kolaylaştırır ve genişletilmiş güvenlik denetimine olanak tanır.

Group Policy ile LAPS Yapılandırılması

LAPS (Local Administrator Password Solution) kullanarak Group Policy Object (GPO) üzerinden yönetici parola yönetimini sağlamak için bazı yapılandırılmalar yapılması gerekmektedir.

LAPS modülü içerisinde 4 adet özelleştirilebilir ayar bulunmaktadır.

• Group Policy Management Console‘u açın.
• LAPS uygulanacak olan OU (Organizational Unit) içinde sağ tıklayarak New GPO seçeneğini tıklayın ve GPO’ya “LAPS Policy” gibi anlamlı bir isim verin.
• Navigasyon panelinden Computer Configuration -> Policies -> Administrative Templates -> LAPS adımlarını takip etmeniz yeterli olacaktır.

LAPS için yapılandırma yapmanız gereken Policy seçenekleri aşağıdaki gibidir;

Password Settings

• Password Length: Parolanın minimum uzunluğunu belirleyin (Öneri: en az 14 karakter).
• Password Age (Days): Parolanın yenileneceği gün sayısını belirtin (Öneri: 30 gün).

Name of Administrator Account to Manage

• Yönetilecek yerel yönetici hesabının adını girin; varsayılan olarak Administrator hesabıdır ancak farklı bir hesap adı kullanabilirsiniz.

Do Not Allow Password Expiration Time Longer Than Required

• Parola süresinin belirlenen süreden daha uzun olmamasını sağlayın.

Enable Local Admin Password Management

• Bu ayarı Enabled olarak ayarlayarak, LAPS’ın yerel yönetici parolalarını otomatik olarak yönetmesini sağlayın.

Yapılandırma tamamlandıktan sonra, GPO’nun etkili olabilmesi için hedef bilgisayarlarda gpupdate /force komutunu çalıştırarak politikanın hemen geçerli olmasını sağlayabilirsiniz.

LAPS'ın düzgün bir şekilde çalışmasını sağlamak için Active Directory şemanızın uygun şekilde güncellendiğinden emin olun.

LAPS için Client Kurulumu

LAPS (Local Administrator Password Solution) istemcilerinize dağıtmak, güvenli bir şekilde yerel yönetici parolalarını yönetmenizi sağlar.

LAPS.msi dosyasını resmi Microsoft indirme merkezinden indirmiştik, indirmiş olduğumuz .MSI dosyasını Domain üyesi Windows istemcilerimiz de kullanabiliriz.

İndirdiğiniz dosyayı, ağ üzerinde tüm istemcilerin erişebileceği bir paylaşım klasörüne yerleştirin, örneğin: \\yourdomain\SYSVOL\Software\LAPS\.

• Group Policy Management Console (GPMC) açın.
• LAPS’ı dağıtmak istediğiniz OU üzerine sağ tıklayarak yeni bir GPO oluşturun veya mevcut bir GPO’yu düzenleyin.
• Computer Configuration -> Policies -> Software Settings -> Software installation yolunu izleyin.
• Sağ tıklayıp New -> Package seçin ve ağ paylaşım yolundaki LAPS.msi dosyasını seçin.

• Yükleme türü olarak “Assigned” seçeneğini belirleyin. Bu, bilgisayarlar yeniden başlatıldığında otomatik olarak yüklenmesini sağlayacaktır.

GPO ile MSI dosyası yükledikten sonra Event Viewer üzerinde Event ID 12'yi takip edebilirsiniz.

Eğer Client için GPO veya SCCM kullanmak yerine manuel kurulum yapmak isterseniz Client üzerinde olması gereken LAPS modülleri aşağıdaki gibi olması yeterli olacaktır;

• AdmPwd GPO Extension

Client tarafında sadece CSE klasörünün olması yeterlidir.

LAPS Üzerinde Parola Görüntüleme

LAPS UI (Local Administrator Password Solution User Interface) kullanarak Exchange Server veya herhangi bir domain üyesi sunucunun Local yönetici hesabı parolasını yönetmek, görsel bir arayüz üzerinden basit ve güvenli bir yönetimi bulunmaktadır.

LAPS UI’ı henüz kurmadıysanız, ilk olarak Microsoft’un resmi indirme merkezinden LAPS paketini indirin ve içerisinde yer alan LAPS UI modulünü yüklemeniz yeterlidir.

• Başlat menüsünden LAPS UI programını aratıp çalıştırın.

• Açılan LAPS kullanıcı arayüzünde, parolasını yönetmek istediğiniz sunucunun adını girin veya bulmak için Search butonunu kullanın.
• Sunucuyu bulduktan sonra, arayüzdeki bilgiler güncellenecek ve o anki local yönetici hesabının parolası ekranda gösterilecektir.

Bu yapılandırmalar ve kurulumdan sonra ortamımızda Domain üyesi olan tüm istemcilerin Local hesap parolasının yönetimini gerçekleştirebilirsiniz. Bu işlemi Powershell veya GUI üzerinden gerçekleştirebilirsiniz.

• Active Directory Users and Computers (ADUC) aracını açın.
• İlgili bilgisayar hesabına sağ tıklayın ve Properties‘e gidin.
• Attribute Editor sekmesini açın.
• ms-Mcs-AdmPwd (LAPS tarafından yönetilen parola) ve ms-Mcs-AdmPwdExpirationTime (parolanın geçerlilik süresi) özniteliklerini kontrol edin.

Detaylı bir LAPS kurulumu ile Local Parola yönetimini merkezi hale getirdik, Active Directory ile ilgil diğer makalelerimiz için aşağıdaki linkleri kontrol edebilirsiniz.

• Microsoft KB5020276 Netjoin Domain join hardening changes – Cengiz YILMAZ
• GMSA (Group Managed Service Accounts) Nedir ve Nasıl Yapılandırılır? – Cengiz YILMAZ