Microsoft uzun zamandır LAPS çözümü için yenilikler yapılacağını duyuruyordu ve bu yeniliklikler ile birlikte Cloud üzerinde kullanımın sağlanılacağını biliniyordu. Bu ay yayımlanan güncelleme ile birlikte LAPS yenilendi.
Makale İçeriği:
Windows LAPS İçin Bazı Önemli Maddeler
- Eski LAPS için genişletilmiş olan AD Şeması, yeni LAPS için kullanılmamaktadır. (Yeni LAPS için AD üzerinde şema genişletilmesi yapılması gerekiyor)
- Eski LAPS üzerinde parola öznitelikleri için yetki sınırlandırması yapılması mümkün olsa bile, LAPS parolaları düz metin olarak depolamaktaydı, yeninen LAPS parolaları AES-256 olarak şifrelemektedir. (Şifreleme işleminin gerçekleşmesi için functional level’in 2016 olması gerekmektedir.)
- Yeni PowerShell modülü, gelişmiş yönetim özellikleri içermektedir. Örneğin, artık yeni Reset-LapsPassword cmdlet’ini kullanarak parolayı isteğe bağlı olarak döndürebilirsiniz! (Azure ve On-Premises)
- Windows LAPS hesabı parolasını Intune portalından isteğe bağlı olarak değiştirebilmekteyiz, örneğin olası bir ihlal sorununu ele alırken çok yararlıdır. (Azure ve On-Premises)
- Windows LAPS için bence en önemli 2.özelliği sorunsuz bir entegrasyon işlemi sunması. Windows LAPS için MSI paketi dağıtılmasına ihtiyaç bulunmamaktadır.
- LAPS’tan Windows LAPS‘a geçiş sürecinde, Eski LAPS’ı Emulation Mod olarak kullanabilirsiniz.
AZURE ACTIVE DIRECTORY IÇIN WINDOWS LAPS ÖZELLIKLERI | WINDOWS SERVER ACTIVE DIRECTORY IÇIN WINDOWS LAPS |
---|---|
Microsoft Azure’da parolaları depolama (Azure cihaz nesnesinde) | Yeni Grup İlkesi nesnesi ve AD şeması öznitelikleri |
Cloud tabanlı yönetim deneyimi – Microsoft Graph aracılığıyla alınan parolalar – Microsoft Intune aracılığıyla ayarlar yapılandırması – Microsoft Intune aracılığıyla isteğe bağlı parola sıfırlama | Hesap adı parola ile yan yana saklanır |
Kullanımda otomatik parola sıfırlama (istemci güdümlü) | Kullanımda otomatik parola sıfırlama (istemci güdümlü) |
Parola şifreleme desteği (WS2016 DFL gerektirir) | |
Şifrelenmiş parolalar için parola geçmişi desteği | |
Etki alanı denetleyicilerinde DSRM hesap parolalarını yönetme desteği | |
Yeni PowerShell modülü | |
AD Kullanıcıları ve Bilgisayarları ek bileşenindeki yeni LAPS özellik sayfası |
Windows LAPS Mimarisi
Windows LAPS mimari diyagramında bulunan önemli temel bileşenler;
- Sistem Yöneticisi: Bir Windows LAPS dağıtımında yer alabilecek çeşitli BT yöneticisi rollerini toplu olarak temsil etmektedir. Yönetici rolleri, ilke yapılandırması, depolanan parolaların süre sonu veya alınması ve yönetilen cihazlarla etkileşim ile ilgilenmektedir
- Yönetilen cihaz: Yerel yönetici hesabını yönetmek istediğiniz Azure Active Directory’ye katılmış veya On-Premises AD üzerinde bulunan cihazlarınızdır. Bu özellik birkaç önemli ikili dosyadan oluşur: çekirdek mantık için laps.dll, yapılandırma hizmeti sağlayıcısı (CSP) mantığı için lapscsp.dll ve PowerShell cmdlet mantığı için lapspsh.dll. Windows LAPS’yi Grup İlkesi’ni kullanarak da yapılandırabilirsiniz. Windows LAPS, Grup İlkesi Nesnesi (GPO) değişiklik bildirimlerine yanıt verir. Yönetilen aygıt bir Windows Server Active Directory etki alanı denetleyicisi olabilir ve Dizin Hizmetleri Onarım Modu (DSRM) hesap parolalarını yedekleyecek şekilde yapılandırılabilir.
- Windows Server Active Directory: Şirket içi Windows Server Active Directory dağıtımı.
- Azure Active Directory: Bulutta çalışan bir Azure Active Directory dağıtımı.
- Microsoft Intune Cloud’da çalışan, tercih edilen Microsoft cihaz ilkesi yönetimi çözümü.
Windows LAPS Yapılandırması
Yapılandırma işlemini ben eski LAPS olmayan bir ortamda yapacağım, siz bu işlemi yapacağınız zaman ortamınızda Eski LAPS aktif durumdaysa dikkat etmeniz gereken bazı maddeler bulunmaktadır.
Eski LAPS uygulanmış bir ortamda Windows LAPS yapılandırması yaparsanız parolaların güncelleştirilmeyecektir. İlgili hata Event Viewer’da Event ID 6 olarak kaydedilmektedir.
Bu sorun için Microsoft tarafından 2 tane geçici çözüm önerilmiştir;
- Eski LAPS’ı kaldırmak, kaldırma işleminden sonra yönetimi Windows LAPS devralmaktadır.
- Eski LAPS’ı Emulation Modu devre dışı bırakabilirsiniz.
11 Nisan 2023 güncellemesi ile birlikte Windows LAPS için gerekli GPO cihazlarınız üzerinde yüklü gelmektedir.
Policy yapılandırmasına geçmeden önce Şema genişletme işlemini gerçekleştireceğiz.
Windows LAPS Şema Genişletme
Eski LAPS’ta olduğu gibi PowerShell üzerinden aşağıdaki komut ile genişletme işlemini yapabiliriz, genişletme işlemi yeni 6 tane Attribute eklemektedir.
Update-LapsADSchema
Parametreyi çalıştırdıktan sonra eklenecek olan her attribute için sizden onay istenmektedir.
Şema genişletme işleminden sonra SelfPermission ile devam etmemiz gerekmektedir.
Şimdi cihazlarımıza kendi (SELF) Windows LAPS şifre özniteliklerine yazma izinleri vermemiz gerekmektedr. Bu izinler Set-LapsADComputerSelfPermission cmdlet’i kullanılarak ayarlanabilir. Bu, cihazlarımızın bulunduğu istenen kuruluş birimi (OU) için devralınabilir izinleri ayarlar.
Set-LapsADComputerSelfPermission -Identity "OU Name"
Aynı isimden oluşan birden fazla OU varsa distinguishedName olarak girmeniz gerekmektedir.
LAPS için varsayılan olarak Domain Admin ms-LAPS özniteliklerinde okuma ve yazma izinleri bulunmaktadır, Prod ortamınız için bu yetkilendirmeleri değiştirmek isterseniz aşağıdaki parametrelerini kullanabilirsiniz.
Set-LapsADReadPasswordPermission -Identity " OU" -AllowedPrincipals "Group" – Parola Okuma İzniSet-LapsADResetPasswordPermission -Identity " OU" -AllowedPrincipals " Group" – Parola Reset İzni |
Windows LAPS için GPO Yapılandırması
Setting name | Azure Active Directory-joined | Hybrid-joined | Windows Server Active Directory-joined |
---|---|---|---|
BackupDirectory | Yes | Yes | Yes |
PasswordAgeDays | Yes | Yes | Yes |
PasswordLength | Yes | Yes | Yes |
PasswordComplexity | Yes | Yes | Yes |
PasswordExpirationProtectionEnabled | No | Yes | Yes |
AdministratorAccountName | Yes | Yes | Yes |
ADPasswordEncryptionEnabled | No | Yes | Yes |
ADPasswordEncryptionPrincipal | No | Yes | Yes |
ADEncryptedPasswordHistorySize | No | Yes | Yes |
ADBackupDSRMPassword | No | No | Yes |
PostAuthenticationResetDelay | Yes | Yes | Yes |
PostAuthenticationActions | Yes | Yes | Yes |
Group Policy Management üzerinden yeni bir policy oluşturuyoruz ve aşağıdaki adımları takip ediyoruz.
Computer Configuration – Policies – Administrative Templates – System – LAPS
Windows LAPS için Policy’ler şu şekildedir;
Policy | Açıklama |
---|---|
Enable password backup for DSRM accounts | Windows Server Active Directory etki alanı denetleyicilerinde Dizin Hizmetleri Onarım Modu (DSRM) hesabı parolasının yedeklenmesini etkinleştirmek için kullanılmaktadır. |
Configure size of encrypted password history | Daha önce kaç şifrelenmiş parolanın hatırlanacağını yapılandırmak için kullanılmaktadır. Desteklenen değerler 0-12 arasında olması gerekmektedir. |
Enable password encryption | Active Directory’de parolaların şifreleme etkinleştirilmesi içiin kullanılmaktadır. (Şifreleme işleminin gerçekleşmesi için functional level’in 2016 olması gerekmektedir.) |
Configure authorized password decryptors | Active Directory’de depolanan parolanın şifresini çözebilen bir kullanıcı veya grubun adını veya güvenlik tanımlayıcısını (SID) yapılandırmak için bu ayarı kullanılmaktadır. Parola Azure ‘da depolanıyorsa bu ayar okunmamaktadır. Belirtilmezse, yalnızca cihazın etki alanındaki Domain Admins grubunun üyeleri parolanın şifresini çözebilir. Belirtilirse, belirtilen kullanıcı veya grup Active Directory’de depolanan parolanın şifresini çözebilir. |
Name of administrator account to manage | Yerel yönetici hesabı dışında bir hesabı yönetmek istemediğiniz sürece bu ayarı belirtmeniz gerekmemektedir. Yerel yönetici hesabı, RID otomatik olarak tanımlanmaktadır. |
Configure password backup directory | Yönetilen hesabın parolasının hangi dizine yedekleneceğini belirtmek için kullanılmaktadır. |
Do not allow password expiration time longer than required | Bu ayarı etkinleştirdiğinizde, “Parola Ayarları” ilkesi tarafından dikte edilen parola yaşından daha uzun süre planlanan parola süre sonlarına izin verilmemektedir. Böyle bir süre sonu algılandığında, parola hemen değiştirilir ve parola süresi ilkeye göre düzenlenir. |
Password Settings | PasswordAgeDays, PasswordLength ve PasswordComplex gibi parola ayarlarını belirtmek için kullanılmaktadır. |
Post-authentication action (Automatic password reset on use) | Windows LAPS tarafından yönetilen bir cihazda başarılı bir şekilde oturum açıldıktan sonra önceden tanımlanmış eylemleri gerçekleştirmek için kullanılmaktadır. |
Kendi ortamım için yukarıda açıklamaları bulunan Windows LAPS GPO’su için yapılandırmalarımı sağladım.
GPO’yu cihazlarımın olduğu OU içerisine linkledikten sonra yapılandırmalarımı kontrol ediyorum, tüm işlemlerimi Domain Admin kullanıcısı ile yaptığım için ek bir yetkilendirme yapmam gerekmemektedir. Öncelikle Attribute Editor üzerinden kontrol ettiğim zaman parolanın Encyrpted halini görebilmekteyim.
Cihazımın Properties içerisinde bulunan LAPS bölümünden ise yönetilen parolamı görebilmekteyim.
Password Expiration bölümünü AD üzerinden değiştirebildiğimiz gibi PowerShell üzerinden de yetkili olan her hesap üzerinden değiştirebilmekteyiz, yetkilendirmesi olmayan hesaplar üzerinden yapıldığı zaman yetki hatası vermektedir.
Set-LapsADPasswordExpirationTime
-Identity
"Device Name"
Local Admin olan bir kullanıcı Reset-LAPSPassword kullanarak parola değişikliğini tetikleyebilir ve bu işlem Event Viewer’de gözükmektedir.