Windows 24H2 ile LAPS’e Gelen Yenilik: Otomatik Hesap Yönetimi ile Güvenlik Artıyor
Windows 24H2 güncellemesi ile birlikte Windows LAPS (Local Administrator Password Solution) otomatik hesap yönetimi artık kullanıcılara sunuluyor. Windows LAPS, yerel yönetici hesaplarının şifrelerini düzenli olarak değiştirerek güvenliği sağlayan önemli bir araç. Bu güncellemeyle birlikte, manuel işlemler yerine otomatik hesap yönetimi artık mümkün hale geliyor.
LAPS Otomatik Hesap Yönetimi Nedir?
Otomatik Hesap Yönetimi (Automatic Account Management), yöneticilerin yerel hesap oluşturma ve yönetme işlemlerini tamamen otomatik hale getiriyor. Bu özellik sayesinde:
- Yerel yönetici hesabı otomatik olarak oluşturuluyor.
- Hesap adı rastgele belirlenebiliyor.
- Hesabın etkinleştirilip devre dışı bırakılması yönetilebiliyor.
Bu özellik, Windows 24H2 güncellemesiyle tüm kullanıcılara sunulacak. Ancak şu anda varsayılan olarak etkin değil. Kullanıcıların bu özelliği etkinleştirebilmesi için Grup İlkesi (GPO) veya Yapılandırma Hizmeti Sağlayıcısı (CSP) ayarlarını manuel olarak yapmaları gerekiyor.
LAPS Hesap Yönetimi
Ayarlar gelene kadar neleri yapılandırabileceğimiz hakkında bir kaç bilgi vereceğim, LAPS GPO’sunun nasıl göründüğüne bakarak başlayalım.
Yukarıda görüldüğü gibi LAPS Otomatik Hesap Yönetimi’ni yapılandırmak istediğimizde girişte bahsettiğim ayarların aynısını yapılandırmamız gerekiyor.
Özel bir yönetici hesabını yönetme seçeneğini seçtiğimizde, bir önek tanımlama seçeneğimiz de olur.
Önek dışında, LAPS hesap adını rastgele seçebiliriz . Üstüne üstlük, yönetilen hesabı etkinleştirmek mi yoksa devre dışı bırakmak mı istediğimizi de seçebiliriz.
Bu “EnableorDisableAccountIfNecessary” onay kutusu düşündüğünüzden daha önemli! Neden? Biraz açıklayayım. Müşteriniz yönetilen hesabı devre dışı bırakmak istiyor artık başka hiçbir değişiklik yapmadan yalnızca seçim kutusunu açıp kapatarak yönetilen hesabı etkinleştirebiliriz.
Bulut tabanlı olduğunuzda GPO yapılandırması yeterli olmuyor.
AutomaticAcccountManagement’ı yapılandırmak için bazı CSP’leri manuel olarak yapılandırmamız gerekir.
- ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
- ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
- ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
- ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName\
- ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Yukarıda gösterildiği gibi, bu LAPS canary yapısı bize Passphrase seçeneğini (PasswordComplexity) tanımlama olanağı da veriyor.
Intune’da LAPS’in yeni özelliklerini görebileceğimiz gibi cihazın yerel yönetici parolasına daha yakından bakarsak, önek ve parola parolasıyla yeni rastgele hesabı göreceğiz.
Eline sağlık.