Server ve PC’ler de bulunan Built-in Administrators grubunun üyesi olan ADMINISTRATOR hesabının parolasını random ve uniqe olarak değişmesini sağlayan Microsoft tarafından ücretsiz sunulan bir uygulamadır.
Bu uygulama ile kurumsal ortamınızda bulunan tüm sistemlerin administrator parolalarının farklı olması sağlanmaktadır. Böylece güvenlik perspektifinden bakıldığında yanal kayma (lateral movement) aktivitesi için mitigation yapılmış olur.
Laps, öncelikle schema update edilir ve 2 adet yeni attribute eklenir (password ve expired date için). Ardından bu attribute’lere erişimin kimler tarafından yapılacağı belirlenir ve delegasyonlar yapılır. Group politikası hazırlanır ve parolaların karmaşıklık seviyesi, uzunluğu, ne kadar süre ile değişeceği vb. konfigürasyonlar yapılır. Son olarak da “admpwd.dll” dosyası server ve pc’lere yüklenir (msi paket bulunmaktadır. Bu paktet kurularak dll register edilir.)
Adminstrator kullanıcısının ismi değiştirilmiş olsa dahi LAPS çalışmaktadır.
Parolalar Active Directory Database’i olan NTDS.DIT dosyasında bulunmaktadır.
Ayrıca server ve pc’lerin local administrator grubunda sadece administrator account’unun bulunması önerilmektedir. Başka account’ların bu grupta olması gerektiği durumlar da PAM (privilege access managment) kullanılmalıdır. Blog’da bulunan ilgili makalemize bakabilirsiniz.
Laps dosyaları aşağıdaki path’de bulunmaktdır.
%ProgramFiles%\LAPS
AdmPwd.UI.exe
AdmPwd.Utils.config
AdmPwd.Utils.dll
%WINDIR%\System32\WindowsPowerShell\v1.0\Modules\AdmPwd.PS
AdmPwd.PS.dll
AdmPwd.PS.format.ps1xml
AdmPwd.PS.psd1
AdmPwd.Utils.config
AdmPwd.Utils.dll
%WINDIR%\System32\WindowsPowerShell\v1.0\Modules\AdmPwd.PS\en-us
AdmPwd.PS.dll-Help.xml
%ProgramFiles%\LAPS\CSE
AdmPwd.dll
%WINDIR%\PolicyDefinitions
AdmPwd.admx
%WINDIR%\PolicyDefinitions\en-US
AdmPwd.adml
Laps management konsolu kuracağımız DC’de LAPS.MSI dosyası çalıştırılır.
Next ile devam edilir.
Next ile devam edilir.
Next ile devam edilir.
Install ile devam edilir.
Finish ile kurulum tamamlanır.
Laps Server ve Client’lar için;
msiexec /i <file location>\LAPS.x64.msi /quiet or
msiexec /i <file location>\LAPS.x86.msi /quiet
Örnek:
msiexec /i \\server\share\LAPS.x64.msi /quiet
Manuel kurulum için:
regsvr32.exe AdmPwd.dll
AD Schema upgrade
Import-module AdmPwd.PS
Update-AdmPwdADSchema
Yetkilerin düzenlenmesi;
Computer account’lrının olduğu OU ve properties seçilir. Security- Advanced – Edit –
Hangi grup ve kullanıcıların password’leri okuması istenmiyor ise All extended rights uncheck yapılır.
Computers OU’sunda yetkili account’ları görmek için:
Benim computer’lerimin buşunduğu ou: “OU=Desktops,OU=Workstations,DC=VOLSYS,DC=COM”
Find-AdmPwdExtendedrights -identity “OU=Desktops,OU=Workstations,DC=VOLSYS,DC=COM” | FT
Kontrol ettiğimde system accountu ve domain admins gruunun yetkili olduğunu görüyorum.
Computer account’larına self permission change yetkisi verilir.
Set-AdmPwdComputerSelfPermission -OrgUnit “OU=Desktops,OU=Workstations,DC=VOLSYS,DC=COM”
Laps için yetkili gruba read ve reset yetkisi vermek için;
Not: Volsys domainin de LAPSADMIN grubu bu işi yapacaktır.
Set-AdmPwdReadPasswordPermission -OrgUnit “OU=Desktops,OU=Workstations,DC=VOLSYS,DC=COM” -AllowedPrincipals LapsAdmin
Set-AdmPwdResetPasswordPermission -OrgUnit “OU=Desktops,OU=Workstations,DC=VOLSYS,DC=COM” -AllowedPrincipals LapsAdmin
Group Politikasının Hazırlanması
Group policy management console açılır ve yeni bir policy hazırlanır.
Enable local admin password management enable edilir.
Password Settings ile kurumunuza özel password konfigürasyonu yapılır.
Eğer rename edilmiş administrator accoutunuz var ise policy enable edilir ve isim girilir.
Policy ilgili OU’ya link’lenir.
Parola yukarıdaki gibi görülebilir.
Get-adcomputer computername -properties * | ft ms-MCS-AdmPwd
Yada aşağıdaki path’de bulunan LapsUI uygulaması da kullanılarak password’ler görülebilinir.
Kaynak: https://www.microsoft.com/en-us/download/details.aspx?id=46899
Azure Security - Cyber Security 