Windows Sistemlere Entegre Edilen Yeni Laps Kullanım Rehberi
Merhaba, LAPS uygulaması her sistem yöneticisinin vazgeçilmez araçlarından birisidir. Microsoft tarafın dan sağlanan bu küçük tool büyük işler başarmaktadır. LAPS ile bizler local kullanıcı parolalarını yönetebilmekteyiz.
Bu güne kadar LAPS’ı ortalmarımıza dağıtmak için bir dizi adımı gerçekleştirme gerekiyordu. Microsoft bu ay yayınladığı güncellemeler ile LAPS’ı Windows server ve client tarafında entegre etti ve kullanımı çok daha kolay.
Bu makalede sizler ile adım adım yeni Laps’ın kullanımını inceleyeceğiz. Yeni LAPS’ı kullanmak için bazı ön gereksinimleri karşılamak gerekiyor.
Başlamadan önce!
- Microsoft, bu özelliği ekledikten bir kaç gün sonra eski yüklü LAPS ile sorun yaratabileceğini açıkladı. Çözüm olarak ise;
Eski LAPS’ın sistemden kaldırılması veya Microsoft LAPS emulation mode’un disable edilmesini öneriyor. Bunu yapmak için “HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config” değerini “0” olarak ayarlamız gerekli veya HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State altındaki kayıtların silinmesi gerekiyor. - Domain Functional Level, Server 2016 olmalı.
Aşağıda görüldüğü gibi Nisan 2023 güncellemelerinin yüklenmesi gerekiyor. Bu güncellemeler hem Server hem de Client tarafında yapılması gerekiyor.
Benim yapım ise şöyle:
- DC – Windows Server 2019
- Client – Windows 10 22H2
İlk olarak güncellemelerimizi kontrol ediyoruz. DC tarafı ile başlıyoruz.
Güncellemeler yüklü değilse buradan indirip yüklüyoruz.
DC üzerinde yüklü olduğunu doğruluyoruz.
Client tarafına geçiyoruz ve kontrollerimizi yapıyoruz. Güncellemeler yüklü değilse buradan indirip yüklüyoruz.
Bu işlemlerin ardından hazır hale geliyoruz. İlk olarak DC tarafı ile başlıyoruz.
Update-LapsAdSchema
Bu işlemlerin ardından aşağıdaki attribute’lar oluşuyor.
msLAPS-PasswordExpirationTime
msLAPS-Password
msLAPS-EncryptedPassword
msLAPS-EncryptedPasswordHistory
msLAPS-EncryptedDSRMPassword
msLAPS-EncryptedDSRMPasswordHistory
Sıradaki işlem LAPS uygulamasını hangi OU’a uygulayacaksak OU adını not ediyoruz.
Aşağıdaki komut ile “BILGISAYARLAR” OU’na ilk yetkilendimeyi yapıyoruz
Set-LapsADComputerSelfPermission -Identity BILGISAYARLAR
Bu işlemin ardından GP ayarlarını yapmamız gerekiyor. Default olarak hiç bir izin atamaz isek Domain Admin grubu üyeleri parola okuma ve yönetmek için yetkili durumda. Bu yüzden şimdilik başka bir yetkilendirme yapmıyoruz.
Güncellemeler sorasında baktığımızda “Computer Configuration > Administrative Templates > System > LAPS” altına yeni LAPS ayarlarımız geldiğini görüyoruz.
Aşağıdaki ayarlara kısaca bakarsak:
Configure password backup directory
Name of administrator account to manage
Bu ayar eğer Administrator hesapını GP ile rename yapmışsanız yeni hesap ismini yazarak yönetmeniz sağlar. Eğer bu ayar değiştirmezseniz default olarak gelen Administrator hesapı yönetilir.
Do not allow password expiration time longer than required by policy
Güvenliği artırmak için, “Parola Ayarları” ilkesinde tanımlanan yaş sınırını aşması durumunda parolanın hemen değiştirilmesini ve geçerlilik süresinin ilkeye göre ayarlanmasını sağlar.
Enable Password Encryption
Active Directory’ye göndermeden önce parola şifrelemeyi etkinleştirir.
Configure Authorized Password Decryptors
Yöneticilerin hangi kullanıcıların veya grupların şifrelenmiş parolaların şifresini çözebileceğini tanımlamasına olanak tanır. Varsayılan olarak, Etki Alanı Yöneticileri bu ayrıcalığa sahiptir, ancak SID’yi dize biçiminde veya “etki alanı(grup veya kullanıcı)” biçiminde kullanan özel bir grup veya kullanıcı belirtebilirsiniz.
Configure size of encrypted password history
Active Directory’de saklanan önceki şifrelenmiş parolaların sayısını kontrol eder.
Enable password backup for DSRM accounts
Dizin Hizmetleri Geri Yükleme Modu (DSRM) yönetici hesabı parolasının Active Directory’ye yönetilmesine ve yedeklenmesine olanak tanır.
Post-Authentication Actions
Parola kullanımı sonrası alınacak eylemleri buradan tanımlıyoruz.
Password Settings
Güvenlik gereksinimlerini kuruluşunuzun ihtiyaçlarına göre uyarlamak için karmaşıklık, uzunluk ve yaş gibi parola parametrelerini buradan özelleştirebiliyorsunuz.
Bu bilgiler sonrası LAPS için yeni GP oluşturuyoruz.
Bu iki ayarlar parola sıfırlama için yeterli. Oluşturduğumuz GP’ı uygulamak istediğimiz OU’a linkliyoruz.
Yeni LAPS’ta bir arayüz yok, parolasını almak istediğiniz bilgisayarın özelliklerine girip aşağıdaki gibi görebiliyorsunuz. Aşağıda görüldüğü gibi GP uygulanan bilgisayarın parolasını görebildik.
Aynı şekilde powershell üzerindende parola bilgisi alabildik.
Senaryomuzu şöyle değiştiriyoruz. Bazı durumlarda parolayı sadece okumak ve sadece belli gruplara parola expire reset yetkisi vermek isteyebilirsiniz. Bunun için ilk olarak “yardim_masasi” adında bir security grup oluşturuyorum.
Aşağıdaki komut ile “BILGISAYARLAR” OU’u için “yardim_masasi” grubuna parola okuma yetkisi veriyor.
Aşağıdaki komut ile “BILGISAYARLAR” OU’u için “yardim_masasi” grubuna parola expire etme yetkisi veriyor.
Kullanabileceğiniz yeni laps komutları aşağıdaki gibi:
Get-LapsAADPassword | Use to query Azure Active Directory for Windows LAPS passwords. |
Get-LapsDiagnostics | Use to collect diagnostic information for investigating issues. |
Find-LapsADExtendedRights | Use to discover which identities have been granted permissions for an Organization Unit (OU) in Windows Server Active Directory. |
Get-LapsADPassword | Use to query Windows Server Active Directory for Windows LAPS passwords. |
Invoke-LapsPolicyProcessing | Use to initiate a policy processing cycle. |
Reset-LapsPassword | Use to initiate an immediate password rotation. Use when backing up the password to either Azure Active Directory or Windows Server Active Directory. |
Set-LapsADAuditing | Use to configure Windows LAPS-related auditing on OUs in Windows Server Active Directory. |
Set-LapsADComputerSelfPermission | Use to configure an OU in Windows Server Active Directory to allow computer objects to update their Windows LAPS passwords. |
Set-LapsADPasswordExpirationTime | Use to update a computer’s Windows LAPS password expiration time in Windows Server Active Directory. |
Set-LapsADReadPasswordPermission | Use to grant permission to read the Windows LAPS password information in Windows Server Active Directory. |
Set-LapsADResetPasswordPermission | Use to grant permission to update the Windows LAPS password expiration time in Windows Server Active Directory. |
Update-LapsADSchema | Use to extend the Windows Server Active Directory schema with the Windows LAPS schema attributes. |
Eski ve yeni LAPS komut karşılıkları aşağıdai gibi:
Windows LAPS cmdlet | Legacy Microsoft LAPS cmdlet |
---|---|
Get-LapsAADPassword | Doesn’t apply |
Get-LapsDiagnostics | Doesn’t apply |
Find-LapsADExtendedRights | Find-AdmPwdExtendedRights |
Get-LapsADPassword | Get-AdmPwdPassword |
Invoke-LapsPolicyProcessing | Doesn’t apply |
Reset-LapsPassword | Doesn’t apply |
Set-LapsADAuditing | Set-AdmPwdAuditing |
Set-LapsADComputerSelfPermission | Set-AdmPwdComputerSelfPermission |
Set-LapsADPasswordExpirationTime | Reset-AdmPwdPassword |
Set-LapsADReadPasswordPermission | Set-AdmPwdReadPasswordPermission |
Set-LapsADResetPasswordPermission | Set-AdmPwdResetPasswordPermission |
Update-LapsADSchema | Update-AdmPwdADSchema |
Windows sistemlere LAPS’ı default olarak entegre etmek gerçekten dağıtma ve yönetmesini çok kolaylaştırmış. Faydalı olmasını dilerim. Keyifli okumalar.
Eline sağlık.
Çok teşekkür ederim hocam, saygılar.
Güzel gelişme olmuş. Eline sağlık.
Teşekkür ederim.
hocam merhabalar teknik servis kullanıcılarına şifreyi görmeleri için sunucuya baglanmadan nasıl bir yöntem uygulayabılırım acaba