Çoğu yapıda Domain ortamındaki tüm bilgisayarların local admin (Administrator) şifreleri aynıdır ve değiştirilmez. Özellikle orta ve büyük ölçekli şirketlerde bilgisayar kurulumları image üzerinden gerçekleştirilmektedir. Bu image’larda bilgisayarlar için belirlenmiş administrator şifresi image yüklenen tüm bilgisayarlarda geçerli olmaktadır. Bunun en temel sebebi uygulanmasının kolay olması ve tek bir şifre ile tüm bilgisayarların yönetilmesidir. Bu şifrenin yetkisiz bir kişinin eline geçmesi durumunda tüm domaindeki bilgisayarlar güvensiz bir duruma düşecektir.

Biz böyle bir durumla karşılaşılmaması ve güvenlik seviyesini yukarıya çıkarmak için, tüm makinelerin local admin şifrelerinin rastgele ve farklı farklı atanması için Microsoft’un LAPS ürününü kullanacağız.

Temel olarak LAPS, domain içerisindeki makinelerdeki yerel yönetici hesaplarının şifrelerini rastgele atar, değiştirir ve bunu merkezi olarak Active Directory üzerinde saklar.

Her makine için şifre bilgisi makinenin bilgisayar hesabı üzerindeki özel bir öz nitelik ( attribute ) içerisinde tutulur ve biz bu öz niteliği kimlerin okuyacağına karar verebiliriz.

LAPS Active Directory alt yapısını kullanır ve ek bir programa ihtiyaç duymaz.

Şifreler Kerberos version 5 protocol ve Advanced Encryption Standard (AES) sayesinde güvenli bir şekilde saklanır.

Administrator şifresinin süresinin dolup dolmadığını kontrol eder

Eğer eski şifre için süre dolmuş ise yeni bir şifre üretir.

Yeni şifrenin şifre politikası ile uyumlu olmasını sağlar.

Yeni şifrenin AD üzerinde bilgisayar hesabının ilgili özniteliğinde saklanmasını sağlar.

Bu şifre için bir sonraki şifre değiştirme süresinin de yine AD içerisindeki bilgisayar hesabında özniteliğe yazılmasını sağlar.

Şifre uzunluğu, yaşı ve kompleks olup olmayacağını ayarlamamıza imkân sağlar.

Makine bazlı şifre resetleme yapmamıza imkân verir.

İlk olarak Microsoft’tun sitesi üzerinden ücretsiz olarak LAPS ürününü indiriyoruz.

Uygulamayı indirdikten sonra DC sunucularımızdan herhangi bir tanesine kurulumunu yapmamız yeterli olacaktır. Uygulama kurulumuna başlıyoruz, karşılama ekranını next ile geçiyoruz.

Gelen lisans sözleşmesini okuyup, kabul ettikten sonra next ile devam ediyoruz.

LAPS yönetimini bu DC üzerinden gerçekleştireceğimiz için, ekranda yer alan tüm özellikleri seçerek, yüklemeyi başlatıyoruz.

Kurulum işlemimiz kısa bir sürede tamamlandı.

LAPS Uygulamasının Client’lara Dağıtılması

DC üzerinde uygulamanın kurulumunu yaptıktan sonra, uygulamayı şifresini değiştireceğimiz bilgisayarlara da dağıtmamız gerekmektedir. Bu sebepten dolayı ilk olarak backup işlemleri için kullanmakta olduğumuz sunucuda Apps adında bir paylaşım açıyoruz ve kurulum dosyasını buraya kopyalıyoruz.

Uygulamanın bilgisayarlara kurulum işlemini istenilirse tek tek de yapılabilir, ancak büyük yapılarda bu çok büyük bir vakit kaybı olacaktır, biz uygulamamızı Group Policy Management üzerinden bilgisayarlarımıza dağıtarak yükleyeceğiz. Yapıda bilgisayarlarımız Organizasyonlar OU’su altında yer aldığı için GPO’muzu bu OU altında oluşturuyoruz. New GPO seçerek, LAPS adında yeni bir politika oluşturuyoruz.

Sonrasında Computer Configiration/Software Settings/Software İnstallation üzerine gelerek, New/Package üzerinden işlemlerimize devam ediyoruz.

Burada bizden kurulum dosyasını göstermemizi istemektedir. Dosyamızı göstererek devam ediyoruz.

Kurulumun nasıl gerçekleşeceği ile ilgili gelen ekranda Assigned seçerek devam ediyoruz.

Politikamız başarılı bir şekilde oluşturulmuş oldu.

Şimdi bilgisayarlarımızdan birisine gelerek gpupdate/force komutu ile politikayı aldırıyoruz ve daha sonrasında makinamızı restart ediyoruz. Makinamız açıldıktan sonra kontrol ettiğimizde LAPS uygulamasının başarılı bir şekilde kurulumunun tamamlandığını görebiliyoruz.

LAPS Yapılandırılması

Active Directory schema’mızı genişletme (extend) işlemi yapmamız gerekmektedir. Çünkü LAPS iki yeni atrtribute’u AD schema’sında saklayacaktır. Bu sebepten dolayı

Birinci atrtibute “ms-Mcs-AdmPwd” built-in Administrator hesabının şifresini tüm cihazlarda saklamak için kullanılacak.

 İkinci attribute “ms-Mcs-AdmPwdExpirationTime” ise şifre değiştirme zamanını tüm cihazlarda saklamak için kullanılacak.

Her iki attribute ta may-contain attribute (computer class) una eklenecektir.

Şema genişletme işlemini gerçekleştirmek için,

Import-Module AdmPwd.PS

Update-AdmPwdADSchema

Komutlarını powershell de çalıştırıyoruz.

Daha sonra cihazlarımız için yazma (write) yetkisi tanımlamamız gerekiyor.

Set-AdmPwdComputerSelfPermission -OrgUnit “OU ShortName”

Görüntü aşağıdaki gibi olacaktır.

Bu işlemlerden sonra LAPS için AD üzerinde bir GPO hazırlayacağız. Group Policy Management ekranına gelerek, Organizasyonlar OU’su altında LAPS isimli bir politika oluşturuyoruz. Politikamızı oluşturduktan sonra edit diyerek, Computer Configiration/Administrative Templates/LAPS altına geliyoruz. Burada Enable local admin password management seçeneğine tıklıyoruz.

Gelen ekranda politikamızı Enabled yapıyoruz ve Ok diyoruz.

Daha sonrasında Password Settings alanına gelip, bu ayarıda Enabled yaptıktan sonra, şifre politikasını belirliyoruz.

İşlemlerden tamamlandıktan sonra kontrol etmek için, bir bilgisayara login olarak gpupdate/force komutu ile politikayı alıyoruz.

Daha sonrasında uygulama kurulumunu yapmış olduğumuz DC’mize login olarak, LAPS uygulamasını çalıştırıyor ve Computer Name alanına şifresini görmek istediğimiz bilgisayar adını yazıyoruz. Bu işlemden sonra bilgisayarımızın belirlemiş olduğumuz paralo politikasına uygun olarak şifresinin değiştiğini görebiliyoruz.

AD üzerinde şifre ve expired tarihi Bilgisayarların attribute editör altında yer almaktadır.