Windows LAPS Yapılandırması

Microsoft uzun zamandır LAPS çözümü için yenilikler yapılacağını duyuruyordu ve bu yeniliklikler ile birlikte Cloud üzerinde kullanımın sağlanılacağını biliniyordu. Bu ay yayımlanan güncelleme ile birlikte LAPS yenilendi.

Makale İçeriği:

Windows LAPS İçin Bazı Önemli Maddeler

AZURE ACTIVE DIRECTORY IÇIN WINDOWS LAPS ÖZELLIKLERIWINDOWS SERVER ACTIVE DIRECTORY IÇIN WINDOWS LAPS
Microsoft Azure’da parolaları depolama (Azure cihaz nesnesinde)Yeni Grup İlkesi nesnesi ve AD şeması öznitelikleri
Cloud tabanlı yönetim deneyimi
– Microsoft Graph
aracılığıyla alınan parolalar – Microsoft Intune aracılığıyla ayarlar yapılandırması – Microsoft Intune
aracılığıyla isteğe bağlı parola sıfırlama
Hesap adı parola ile yan yana saklanır
Kullanımda otomatik parola sıfırlama (istemci güdümlü)Kullanımda otomatik parola sıfırlama (istemci güdümlü)
Parola şifreleme desteği (WS2016 DFL gerektirir)
Şifrelenmiş parolalar için parola geçmişi desteği
Etki alanı denetleyicilerinde DSRM hesap parolalarını yönetme desteği
Yeni PowerShell modülü
AD Kullanıcıları ve Bilgisayarları ek bileşenindeki yeni LAPS özellik sayfası

Windows LAPS Mimarisi

Windows LAPS mimari diyagramında bulunan önemli temel bileşenler;

Windows LAPS Yapılandırması

Yapılandırma işlemini ben eski LAPS olmayan bir ortamda yapacağım, siz bu işlemi yapacağınız zaman ortamınızda Eski LAPS aktif durumdaysa dikkat etmeniz gereken bazı maddeler bulunmaktadır.

Eski LAPS uygulanmış bir ortamda Windows LAPS yapılandırması yaparsanız parolaların güncelleştirilmeyecektir. İlgili hata Event Viewer’da Event ID 6 olarak kaydedilmektedir.

Bu sorun için Microsoft tarafından 2 tane geçici çözüm önerilmiştir;

11 Nisan 2023 güncellemesi ile birlikte Windows LAPS için gerekli GPO cihazlarınız üzerinde yüklü gelmektedir.

C:\Windows\PolicyDefinitions\LAPS.admx
C:\Windows\PolicyDefinitions\en-US\LAPS.adml

Policy yapılandırmasına geçmeden önce Şema genişletme işlemini gerçekleştireceğiz.

Windows LAPS Şema Genişletme

Eski LAPS’ta olduğu gibi PowerShell üzerinden aşağıdaki komut ile genişletme işlemini yapabiliriz, genişletme işlemi yeni 6 tane Attribute eklemektedir.

Update-LapsADSchema

Parametreyi çalıştırdıktan sonra eklenecek olan her attribute için sizden onay istenmektedir.

Şema genişletme işleminden sonra SelfPermission ile devam etmemiz gerekmektedir.

Şimdi cihazlarımıza kendi (SELF) Windows LAPS şifre özniteliklerine yazma izinleri vermemiz gerekmektedr. Bu izinler Set-LapsADComputerSelfPermission cmdlet’i kullanılarak ayarlanabilir. Bu, cihazlarımızın bulunduğu istenen kuruluş birimi (OU) için devralınabilir izinleri ayarlar.

Set-LapsADComputerSelfPermission -Identity "OU Name"

Aynı isimden oluşan birden fazla OU varsa distinguishedName olarak girmeniz gerekmektedir.

LAPS için varsayılan olarak Domain Admin ms-LAPS özniteliklerinde okuma ve yazma izinleri bulunmaktadır, Prod ortamınız için bu yetkilendirmeleri değiştirmek isterseniz aşağıdaki parametrelerini kullanabilirsiniz.

Set-LapsADReadPasswordPermission -Identity "OU" -AllowedPrincipals "Group" – Parola Okuma İzni
Set-LapsADResetPasswordPermission -Identity "OU" -AllowedPrincipals "Group" – Parola Reset İzni

Windows LAPS için GPO Yapılandırması

Setting nameAzure Active Directory-joinedHybrid-joinedWindows Server Active Directory-joined
BackupDirectoryYesYesYes
PasswordAgeDaysYesYesYes
PasswordLengthYesYesYes
PasswordComplexityYesYesYes
PasswordExpirationProtectionEnabledNoYesYes
AdministratorAccountNameYesYesYes
ADPasswordEncryptionEnabledNoYesYes
ADPasswordEncryptionPrincipalNoYesYes
ADEncryptedPasswordHistorySizeNoYesYes
ADBackupDSRMPasswordNoNoYes
PostAuthenticationResetDelayYesYesYes
PostAuthenticationActionsYesYesYes

Group Policy Management üzerinden yeni bir policy oluşturuyoruz ve aşağıdaki adımları takip ediyoruz.

Computer Configuration – Policies – Administrative Templates – System – LAPS

Windows LAPS için Policy’ler şu şekildedir;

PolicyAçıklama
Enable password backup for DSRM accountsWindows Server Active Directory etki alanı denetleyicilerinde Dizin Hizmetleri Onarım Modu (DSRM) hesabı parolasının yedeklenmesini etkinleştirmek için kullanılmaktadır.
Configure size of encrypted password historyDaha önce kaç şifrelenmiş parolanın hatırlanacağını yapılandırmak için kullanılmaktadır. Desteklenen değerler 0-12 arasında olması gerekmektedir.
Enable password encryptionActive Directory’de parolaların şifreleme etkinleştirilmesi içiin kullanılmaktadır. (Şifreleme işleminin gerçekleşmesi için functional level’in 2016 olması gerekmektedir.)
Configure authorized password decryptorsActive Directory’de depolanan parolanın şifresini çözebilen bir kullanıcı veya grubun adını veya güvenlik tanımlayıcısını (SID) yapılandırmak için bu ayarı kullanılmaktadır. Parola Azure ‘da depolanıyorsa bu ayar okunmamaktadır. Belirtilmezse, yalnızca cihazın etki alanındaki Domain Admins grubunun üyeleri parolanın şifresini çözebilir.
Belirtilirse, belirtilen kullanıcı veya grup Active Directory’de depolanan parolanın şifresini çözebilir.
Name of administrator account to manageYerel yönetici hesabı dışında bir hesabı yönetmek istemediğiniz sürece bu ayarı belirtmeniz gerekmemektedir. Yerel yönetici hesabı, RID otomatik olarak tanımlanmaktadır.
Configure password backup directoryYönetilen hesabın parolasının hangi dizine yedekleneceğini belirtmek için kullanılmaktadır.
Do not allow password expiration time longer than requiredBu ayarı etkinleştirdiğinizde, “Parola Ayarları” ilkesi tarafından dikte edilen parola yaşından daha uzun süre planlanan parola süre sonlarına izin verilmemektedir. Böyle bir süre sonu algılandığında, parola hemen değiştirilir ve parola süresi ilkeye göre düzenlenir.
Password SettingsPasswordAgeDays, PasswordLength ve PasswordComplex gibi parola ayarlarını belirtmek için kullanılmaktadır.
Post-authentication action (Automatic password reset on use)Windows LAPS tarafından yönetilen bir cihazda başarılı bir şekilde oturum açıldıktan sonra önceden tanımlanmış eylemleri gerçekleştirmek için kullanılmaktadır.

Kendi ortamım için yukarıda açıklamaları bulunan Windows LAPS GPO’su için yapılandırmalarımı sağladım.

GPO’yu cihazlarımın olduğu OU içerisine linkledikten sonra yapılandırmalarımı kontrol ediyorum, tüm işlemlerimi Domain Admin kullanıcısı ile yaptığım için ek bir yetkilendirme yapmam gerekmemektedir. Öncelikle Attribute Editor üzerinden kontrol ettiğim zaman parolanın Encyrpted halini görebilmekteyim.

Cihazımın Properties içerisinde bulunan LAPS bölümünden ise yönetilen parolamı görebilmekteyim.

Password Expiration bölümünü AD üzerinden değiştirebildiğimiz gibi PowerShell üzerinden de yetkili olan her hesap üzerinden değiştirebilmekteyiz, yetkilendirmesi olmayan hesaplar üzerinden yapıldığı zaman yetki hatası vermektedir.

Set-LapsADPasswordExpirationTime -Identity "Device Name"

Local Admin olan bir kullanıcı Reset-LAPSPassword kullanarak parola değişikliğini tetikleyebilir ve bu işlem Event Viewer’de gözükmektedir.

Exit mobile version