Kurumsal Güvenliği Artırmanın Anahtarı: Microsoft LAPS ile Local Yönetici Şifrelerini Koruma

Günümüzde kurumsal güvenlik, her ölçekteki işletme için en önemli önceliklerden biridir. Yerel yönetici hesaplarının güvenliğini sağlamak, bu çabaların kritik bir parçasıdır. Microsoft’un Yerel Yönetici Şifre Çözümü (LAPS), bu hesapların şifrelerini güvenli ve merkezi olmayan bir şekilde yönetmenizi sağlayarak potansiyel güvenlik açıklarını azaltır. Bu makalede, LAPS’ın nasıl kurulacağı ve kuruluşunuzun güvenliğini nasıl artırabileceği detaylandırılmaktadır.

Saldırganların özellikle tercih ettiği yöntemler arasında ” atlama” olarak bilinen saldırı yöntemi yer alıyor. Bu yöntem ile saldırgan bir şirket bilgisayarına sızmaktadır. Local şifrelerin aynı olduğunu düşündüğümüz senaryoda, ihtiyacı olan bilgileri alamayan saldırgan diğer bilgisayarlara aynı local şifre ile atlama yaparak bilgisayarlar arası gezebilmektedir. Bu sebepten laps ile şifrelerinizi güvence altına almak büyük önem taşımaktadır.

LAPS İle Şifre Güvenliği : Kurulumu

Download LAPS from Official Microsoft Download Center üzerinden ilgili dosyayı indirmekle başlayalım. Setup’ı çalıştırdıktan sonra standart kurulum adımlarını takip edelim. bu alanda dikkat etmemiz gereken “alan “Entire featue will be installed on local hard drive” seçeneğinin fotoğraftaki şekilde seçmemiz olacaktır.

Kurulum kısa bir süre sonra tamamlanacaktır. Tamamlandığı taktirde fotoğraftaki şekilde C:\Program Files\LAPS dizini içinde görmemiz gerekiyor.

AD Şemasının Genişletilmesi

Active Directory şemasında gerekli LAPS attributelerinin eklenebilmesi için Active Directory şemasının genişletilmesi gerekmektedir. Bu genişletme işlemi için PowerShell yönetici haklarıyla çalıştırılır ve aşağıdaki komutlar sırayla çalıştırılır.

• Import-Module AdmPwd.PS
• Update-AdmPwdADSchema

Bununla beraber Active Directory şeması LAPS attributeleri için genişletilmiş olacaktır.

AD Üzerinde Gerekli İzinlerin Paylaşılması

AD üzerinde yer alan bilgisayarların LAPS özelliğini kullanabilmesi için yetki alanı oluşturmalıyız. Bu alanı oluşturmak için yine PowerShell komut ekranından yararlanabiliriz. İşlemleri sağlarken PowelShell’i yönetici olarak çalıştırmayı unutmayalım.

• Set-AdmPwdComputerSelfPermission -OrgUnit “OU-Adı”

Komutta belirtilen “OU-Adı” LAPS kurallarının uygulanacağı makinelerin bulunduğu OU’nun adıdır. Örnekte “OU=COMPUTERS,OU=IT,OU=EMRES,DC=emres,DC=com” olarak tanımlanmıştır.

Domain çevresinde, Domain Yöneticileri dışındaki şifre bilgilerini inceleme ve düzenleme imkanlarına sahip olacak bir grup tanımlamak isteniyorsa (Örneğin, Teknik Destek ekibi), bu grubun LAPS özelliklerinden faydalanabilmesi adına gerekli yetkilendirmelerin verilmesi zorunludur. Şifreleri okuma yetkisi vermek için aşağıdaki komut kullanılır:

• Set-AdmPwdReadPasswordPermission -OrgUnit “OU-Adı” -AllowedPrincipals “LAPS-Grubu”

Komutta belirtilen “OU-Adı” LAPS kurallarının uygulanacağı makinelerin bulunduğu OU’nun adıdır. Örnekte “OU=COMPUTERS,OU=IT,OU=EMRES,DC=emres,DC=com” olarak tanımlanmıştır.

Bu komutta ifade edilen “Organizasyonel Birim Adı”, LAPS politikalarının uygulanacağı sistemlerin yer aldığı organizasyonel birimin ismidir. Örneğimizde bu, “OU=COMPUTERS,OU=IT,OU=EMRES,DC=emres,DC=com” şeklinde belirlenmiştir. Komutta belirtilen “LAPS Kullanıcı Grubu”, LAPS üzerinden şifreleri görebilecek kullanıcıların dahil olduğu grubun adıdır. Örnekte bu grup “LAPS-Group” olarak adlandırılmıştır.

Yukarıda belirtilen örneğe istinaden gruplar çoğaltılabilir. Şifre değiştirme işlemlerini sağlayabilmeniz adına farklı bir gruba yetki verebilmeniz gibi işlemler… Bunun için Microsoft’un yayınladığı dokümanı inceleyebilirsiniz.

Use Windows LAPS PowerShell cmdlets | Microsoft Learn

Böylece yetki işlemlerini kolay bir şekilde sağlayabiliriz.

Son Aşama : LAPS ile Şifre Güvenliği Group Policy Kurallarını Ayarlama

LAPS aracılığı ile Yerel Yönetici hesabının şifresinin karakter uzunluğu ve şifre yenileme periyodu gibi kuralların belirlenmesi amacıyla yeni bir group policy oluşturmalıyız. Bu policy’nin adı örnekte “LAPS_Policy” olarak ayarladım.

Group Policy Managment > Group Policy Objects üzene sağ tık > New GPO

Gerekli GPO oluşturulduktan sonra sağ tıklayarak “edit” dedikten sonra Computer Configuration -> Policies -> Administrative Templates altında LAPS klasörünü görebilirsiniz.

Bu alanda 4 ana başlık içerisinde hazır script görünmektedir.

• Password Settings (Zorunlu)
• Enable local admin password management (Zorunlu)
• Name of administrator account to manage (İsteğe Bağlı)
• Do not allow password expiration time longer than required by policy (İsteğe Bağlı)

Password Settings :

Bu ayarlarda, şifre karmaşıklığı, şifre uzunluğu ve şifre yenileme süresi gibi özellikler ayarlanır. Örnek olarak, şifrelerin büyük harf, küçük harf, rakam ve özel karakterler içermesi, 30 karakter uzunluğunda olması ve her 5 gün sonra yenilenmesi şeklinde belirlendiği görülmektedir.

Enable local admin password management :

Bu seçenek parolanın LAPS tarafından değiştirilebilmesine olanak sağlar.

Name of administrator account to manage :

Bu ayar, hesap ismi Administrator’dan farklı olarak ayarlanmışsa, şifresi güncellenecek yerel hesabın adını tanımlamak amacıyla kullanılır. Şu anki koşullarda, eğer Administrator hesabının ismi değiştirilmişse, sistem bu hesabı SID numarası üzerinden tanımaktadır. Dolayısıyla, Administrator hesabının ismi değişikliğe uğrasa dahi, bu ayarın kullanılmasına ihtiyaç duyulmamaktadır.

Do not allow password expiration time longer than required by policy :

Bu ayar, şifrenin geçerlilik süresinin, politika tarafından tanımlanan süreden daha fazla olmasını önler. Hazırlanan bu politika, LAPS’ın uygulanacağı cihazların yer aldığı Organizasyonel Birime atanır. Sonuç olarak, LAPS dağıtımı amacıyla bir grup politikası oluşturulmuş oluyor.

Gerekli özelleştirmeleri sağladıktan sonra laps yönetimini LAPS UI arayüzü üzerinden kolay bir şekilde yönetebilrsiniz.