Microsoft LAPS yükleme ve yapılandırma – Bölüm 1

Okuma süresi - 6 dk.


Bu makalede, Microsoft LAPS (Local Administrator Password Solution) kullanarak etki alanına katılmış bilgisayarlarda local administrator parolalarının nasıl yönetileceğine bir göz atacağız.

Domain ortamındaki bilgisayarlarda bulunan built-in hesaplar için parola yönetimi sorunu, sistem yöneticilerinin dikkatini gerektiren en önemli güvenlik konularından biridir. Tüm domain ortamında bulunan bilgisayarlarda aynı local administrator parolasının kullanılmasına izin vermemelisiniz. Bir etki alanındaki local administrator hesaplarının yönetiminde, GPO logon scripts kullanarak yönetmek veya kendi parola yönetim sistemlerinizi oluşturmaya kadar birçok yaklaşım vardır.

Daha önce, Group Policy Preferences ​​(GPP) genellikle etki alanına katılmış bilgisayarlardaki local administrator parolalarını değiştirmek için kullanılıyordu. Ancak, daha sonra GPP’de, herhangi bir domain kullanıcısının AD domain controller sunucularında bulunan SYSVOL dizinindeki metin dosyasında depolanan bir parolanın şifresini çözmesine izin veren ciddi bir güvenlik açığı bulundu. Mayıs 2014’te Microsoft, GPP kullanarak local administrator parolası ayarlama özelliğini tamamen devre dışı bırakan bir güvenlik güncelleştirmesi (MS14-025 – KB 2962486) yayımladı.

Daha önce, LAPS çözümü, AdmPwd olarak adlandırılıyordu. Ancak Mayıs 2015’te Microsoft, LAPS ismini kullanarak resmi sürümü yayınladı ve böylece üçüncü taraf bir komut dosyasından, resmi olarak desteklenen çözümü sunmuş oldu.

LAPS (Local Administrator Password Solution) aracı tüm domain ortamındaki bilgisayarlarda bulunan yönetici şifreleri yönetmek ve değişiklik tarihi saklamak için Active Directory objelerine yazar.

LAPS, Group Policy Client Side Extension (CSE) ve workstations’lara yüklenen küçük bir modülü temel alır. Bu araç, her domain’e katılan bilgisayarda unique local administrator password oluşturmak için kullanılır. Bir administrator password belirli bir süre içinde otomatik olarak değiştirilir. Bu süre varsayılan olarak her 30 günde birdir. Geçerli administrator password değeri, Active Directory‘deki bilgisayar hesaplarının confidential attribute altında depolanır ve bu attribute değerini görüntülemek için erişim izinleri, AD güvenlik grupları tarafından düzenlenir.

Microsoft LAPS yazılımını indirmek için bu bağlantıya tıklayın. Hem 64 bit hem de 32 bit sürümlerini indirebilirsiniz.

LAPS mimarisi 2 bölümden oluşmaktadır. Management modülü yöneticinin bilgisayarına yüklenir ve istemci bölümü, yerel yönetici parolasını düzenli olarak değiştirmeniz gereken sunuculara ve bilgisayarlara yüklenir.

LAPS’ı prod ortamına dağıtmadan önce, AD şemasını genişletmeniz gerekeceğinden, bunu bir test ortamında denemeniz önerilir. Bu işlem için kullandığınız kullanıcı hesabının Schema Admins Active Directory grubunun üyesi olması gerekir.

LAPS yazılımını indirdikten sonra msi dosyalarını sunucudaki paylaşılan bir klasöre kopyalayın. Benim durumumda C: sürücüsünde bir paylaşımlı klasör oluşturdum.

  • AdmPwd GPO Extension – İstemci bilgisayarlara yüklenen LAPS dosyası,GPO ilkesine göre yönetici parolasını AD’de oluşturur ve kaydeder.
  • LAPS Management Tools
  • Fat client UI – Yönetici şifresini görüntüleme aracı
  • LAPS’ı yönetmek için PowerShell modülü
  • GPO Editor templates – GPO için administrative templates

Microsoft Laps

LAPS uygulaması için Active Directory Schema hazırlama

LAPS dağıtmadan önce, Active Directory şemasını Computer class’a iki yeni attributes ekleyecek şekilde genişletmeniz gerekir.

  • ms-MCS-AdmPwd – local administrator şifresini düz metin olarak saklar.
  • ms-MCS-AdmPwdExpirationTime – parolanın süresinin dolduğu tarihi saklar.

AD şemasını genişletmek için PowerShell’i açın ve Admpwd.ps modülünü içe aktarın.

Import-module AdmPwd.ps

Ardından Active Directory şemasını genişletin. (Schema Admin ayrıcalıklarına ihtiyacınız olacak)

Update-AdmPwdADSchema

import ad schema

Sonuç olarak, Computer nesnelerine iki yeni attributes eklendi.

AD LAPS Attributes için izinleri ayarlama

Administrator password, Active Directory attributes içinde düz metin olarak saklanır. Bu bilgilere erişim gizli AD attributes mekanizması tarafından kısıtlanır. Bu özellik Windows 2003’ten beri desteklenir. MS-MCS-AdmPwd attributes, “All Extended Rights” ayrıcalığına sahip herhangi bir etki alanı kullanıcısı tarafından okunabilir. Bu izne sahip kullanıcılar ve gruplar, ms-MCS-AdmPwd dahil olmak üzere tüm gizli AD attributes’leri okuyabilir. Etki alanı yöneticisi veya Helpdesk ekibi dışında hiç kimsenin bilgisayar şifrelerini görüntülemesini istemediğimizden, bu attributes’leri okuma izinlerine sahip grupları sınırlamanız gerekir.

Find-AdmPwdExtendedRights cmdlet’ini kullanarak Desktops OU’sunda bu izinlere sahip hesapların ve grupların listesini alabilirsiniz.

Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

Gördüğünüz gibi, yalnızca Domain Admins grubu gizli attributes’ler (confidential attributes) üzerinde okuma izinlerine sahiptir.

Belirli gruplar veya kullanıcılar için bu attributes’leri okuma izini vermemeniz gerekiyorsa aşağıdakileri yapın.

ADSIEdit aracını açın ve Default naming context’e bağlanın.

Domain ismini genişletin ve gerekli OU’yu bulun (örneğimizde, Desktops), sağ tıklayın ve Properties’i seçin.

Ardından Security sekmesine gidin ve Advanced → Add düğmesini tıklayın. Select Principal bölümünde, izinleri kısıtlamak istediğiniz grup veya kullanıcının adını belirtin.

“All extended rights” seçeneğinin işaretini kaldırın ve değişiklikleri kaydedin.

Local admin parolası görüntülemesini kısıtlamak istediğiniz tüm gruplar ya da kullanıcılar için aynısını yapın.

İpucu → LAPS tarafından yönetilecek bilgisayarın bulunduğu tüm OU’larda okuma izinlerini kısıtlamanız gerekecektir.

Daha sonra, bilgisayar hesaplarının kendi attributes’lerini değiştirmesi için izin vermeniz gerekir. Çünkü ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime değerleri bilgisayar hesabının altında değiştirilir. Set-AdmPwdComputerSelfPermission cmdlet’ini kullanabilirsiniz.

Desktops OU’sundaki bilgisayarların extended attributes’lerini güncelleştirmesine izin vermek için şu komutu çalıştırın.

Set-AdmPwdComputerSelfPermission -OrgUnit Desktops

Yeni LAPS bilgisayar attributes’leri varsayılan olarak RODC etki alanı denetleyicilerine replike edilemez.

Microsoft LAPS parolalarını görüntüleme izni verme

Bir sonraki adım, kullanıcılara veya gruplara Active Directory’de depolanan local administrator şifrelerini okuma izni vermektir. Örneğin, AdmPwd grubunun üyelerine parola okuma izinleri vermek istiyorsunuz.

Set-AdmPwdReadPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd

Ayrıca, belirli bir kullanıcı grubunun bilgisayar şifrelerini sıfırlamasına izin verebilirsiniz. Bu örnekte, aynı gruba veriyoruz – AdmPwd

Set-AdmPwdResetPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd