Local Administrator Password Solution

LAPS Nedir?

Kurum IT yapıları içerisinde istemci ve sunucu bilgisayarların yerel Administrator isimli kullanıcısının parolasının güvenliği önemlidir. Kurumlarda bu kullanıcının parolası çoğunlukla ortak bir parola olacak şekilde yapılandırılır. Bu durumda ağ üzerinden bilgisayarlar arası tehlikeli yazılımların bulaşması ve bu bilgisayarlara ağ üzerinden yetkisiz erişilmesi mümkün hale gelmektedir. Ayrıca sisteme daha önce giren bir Domain Admin gibi bir kullanıcının parolasının kısmi olarak hash bilgileri RAM üzerinde tutulur. Yerel Administrator kullanıcısının parolası ele geçirildiği takdirde bu sisteme bağlanılıp bu bilgiler elde edilebilir ve Domain Admin yetkisine sahip olacak şekilde atak yöntemi uygulanabilir. Bu yönteme Pass-The-Hash yöntemi adı verilir. Bu ve bunun gibi birçok tehlikenin önüne geçilebilmesi için Microsoft' un LAPS çözümü yerel Administrator kullanıcısının parolasını belirlenecek algoritmalarla rastgele bir şekilde üretir ve Active Directory içerisinde bulunan bilgisayar hesabında saklar. Yetki verilmiş kişiler bu parolayı uygun istemci ara yüzü, ADUC üzerinden veya komutla okuyabilir.

LAPS Bileşenleri

1. AdmPwd GPO Extension;

   Bu eklenti yerel Administrator parolasının yönetileceği tüm bilgisayarlara kurulur. LAPS kurulum uygulaması varsayılanda sadece bu eklentiyi kurar. Temel de arka planda yaptığı iş gerekli dll dosyasının kayıt edilmesini sağlamaktır.

2. Fat Client UI;

   Yönetilen bilgisayarların parolalarını okumak ve yeniden oluşturulacağı tarihi belirlemek için kullanılan ara yüz uygulamasıdır. Bu ara yüz ile parola okuma ve tarih belirleme işlemleri için yetki verilmesi gerekmektedir. Sadece ara yüz bu işlemlerin yapılabilmesi için yeterli değildir.

3. Powershell Module;

   Tüm ayarların yapılmasını ve parola okuma/resetleme işlemlerinin yapılabildiği Powershell komutlarını içerir. Yönetim işlemlerinin yapılacağı bilgisayarlara kurulabilir. Çalışması için AD üzerinde gerekli yetkilendirmelerin yapılması şarttır.

4. GPO Editor templates;

   Bilgisayarların parola politikalarını merkezi olarak gönderebilmek için Group Policy kullanılmaktadır. Bu ayarlar GPO Editor templates içerisinde bulunmaktadır.

LAPS'ın çalışması

1. Active Directory üzerinde bulunan Computer nesnesi için schema genişletmesi uygulanır. Bu genişletme sonrası Computer nesnesi için 2 adet yeni attribute eklenmiş olur.

   1. ms-Mcs-AdmPwd: parolanın yazıldığı özellik,

   2. ms-Mcs-AdmPwdExpirationTime: parolanın yenilenme tarihinin yazıldığı özellik.

2. Parolaların yönetilmesi istenilen OU lar üzerinde tanımlanacak LAPS Politikası ile parolanın uzunlu, karmaşıklık seviyesi ve değiştirilme periyodu tanımlanır.

3. Yönetilecek bilgisayarlara LAPS istemci yazılımı kurulduktan sonra bu bilgisayara uygulanan politika doğrultusunda parola üretilir ve AD üzerinde bulunan Computer nesnesinin özelliklerine yazılır.

4. Bu parolayı görmek için yetkilendirilen kullanıcılar FAT Client, ADUC veya Powershell komutları ile parolayı okuyabilir ve parolanın değişiklik süresini belirleyebilir.

LAPS Kurulumu

LAPS Kurulumu 4 adımda gerçekleştirilir.

1. Active Directory Schema Genişletme

2. Yetkilendirme

3. Group Policy ayarları

4. İstemci bilgisayarların yapılandırılması

5. Parolanın görülmesi ve Değiştirilme Tarihinin ayarlanması

Active Directory Schema Genişletme

Bu adımdaki işlemleri yapabilmek için kullanıcının "Schema Admins" grubuna üye olması gerekmektedir.

2. Kurulum bittikten sonra Domain Controller üzerinde Powershell ara yüzü açılır. Administrator modda açmanız gerekir. Sırası ile aşağıda ki komutlar girilir. Bu komutlarla AD şeması genişletilmiş olur. Yukarıda bahsedilen 2 attribute bu komutlarla yaratılmış olur. Bu işlem bir defaya mahsus yapılır.

   1. Import-Module AdmPwd.PS

   2. Update-AdmPwdADSchema

Yetkilendirme

Öncelikle tüm bilgisayar hesaplarının kendi nesnelerinin attribute' lerini değiştirebilme yetkisini vermemiz gerekir. Bu işlem bir defaya mahsus Powershell üzerinden yapılır. Eğer seviye olarak burada belirtilen OU farklı bir OU varsa onun içinde bu komut tekrar girilmelidir. Ancak herhangi bir OU ya yaptığınız bu ayar tüm alt OU lar tarafından miras alınacağı için alt OU lar için bu komutu girmenize gerek yoktur.

Set-AdmPwdComputerSelfPermission -OrgUnit <OUName>

Active Directory içerisinde bilgisayarların yerel Administrator kullanıcısının parolasını görebilecek veya değiştirebilecek kullanıcılara yetki verilmesi gerekir. Bu yetkiler OU bazında gruplara verilmelidir. Örnek komutlar aşağıda ki gibi olacaktır;

2 temel yetki bulunmaktadır. Read ve Reset.

Set-AdmPwdReadPasswordPermission -OrgUnit <OUName> -AllowedPrincipals LAPS_OUName _READ

Set-AdmPwdResetPasswordPermission -OrgUnit <OUName> -AllowedPrincipals LAPS_OUName _RESET

İlgili tüm Organizational Unit (OU) ler ve gruplar için bu komutlar tekrarlanır. Dikkat edilmesi gereken önemli bir nokta, bir OU ya uyguladığınız ayarlar altında bulunan OU lara da otomatik olarak uygulanacaktır.

Group Policy ayarları

Bilgisayarların yerel Administrator kullanıcısı için parola politikaları merkezi olarak Group Policy ile gönderilmektedir.

Group Policy Management Console üzerinde yeni bir politika oluşturulur ve bu politika içerisine kurallar tanımlanır.

1. Yeni LAPS Politikasının oluşturulması

   1. GPMC konsolundan Group Policy Objects üzerine sağ tıklanarak New ile yeni bir GPO oluşturulur. Direkt olarak OU üzerinde tanımlanması stabilite nedeni ile önerilmemektedir. Testler yapıldıktan sonra uygulanması gereken OU üzerine bağlanmalıdır.

2. Politikaya bir isim girilir,

3. Politikaya sağ tıklanarak düzenleme ekranı açılır,

4. Computer Configuration à Policies à Administrative Templates à LAPS alanına gidilir.

5. Password Settings ayarı düzenlenir,

6. Enable Local Admin Password Management ayarı düzenlenir.

7. Politikanın uygulanması

   Politika uygun bir OU üzerine bağlanarak uygulamaya konulur.

   1. OU üzerine sağ tıklanır ve Link an Existing GPO seçilir.

8. Politika seçilir ve OK tıklanır.

9. Politikanın uygulandığı aşağıda ki gibi görünecektir.

İstemci bilgisayarların yapılandırılması

Yerel Administrator kullanıcısının parolasının yönetilmesi istenilen bilgisayarlara mutlaka LAPS yazılımı kurulmalıdır. Bu uygulama kurulduktan sonra bilgisayar otomatik olarak belirlenen politikalar doğrultusunda parola değiştirir ve AD üzerinde bulunan kendi bilgisayar nesnesine yazar. 32 bit ve 64 bit mimari için ayrı istemciler bulunmaktadır. Dolayısı ile her mimari için uygun istemci yazılımı kurulmalıdır.

Kurulum için farklı yöntemleri kullanılabilir. Group Policy ile dağıtım, SCCM ile dağıtım veya elle kurulum gibi seçenekler mümkündür. Group Policy ile dağıtılmak istenirse oluşturulan LAPS Policy içerisine istemci yazılımı Software Distribution ile gönderilebilir.

SCCM ile gönderilmek istenirse Application alanından yazılım tüm istemcilere gönderilebilir.

Eğer elle kurulmak isteniyorsa kurulum ekranında sadece "AdmPwd GPO Extension" seçilmesi yeterli olacaktır.

Parolanın görülmesi ve Değiştirilme Tarihinin ayarlanması

Yukarıda ki işlemler tamamlandıktan sonra bilgisayarların parola ayarlayabilmesi ve bilgisayar nesnesine yazılabilmesi için bilgisayarın yeniden başlatılması gerekmektedir. Parolanın görülebilmesi için "Fat Client UI" ara yüzü gerekmektedir.

Uygulama başlat menüsünden bulunur ve çalıştırılır.

Computer Name alanına bilgisayarın adı yazılır ve Search düğmesine basılırsa bu bilgisayarın yerel Administrator kullanıcısının parolası getirilir.

New Expiration Time alanına ileri bir tarih girilip Set düğmesine basılırsa o tarihten itibaren bilgisayar yeni bir Administrator parolası üretir ve AD bilgisayar nesnesine bu parolayı işler.

Parola ADUC üzerinden de görülebilir. Active Directory Users and Computers açılır. Yerel Administrator kullanıcısının parolası görülmek istenen bilgisayarın özelliklerine girilir.

Attributes sekmesinde Show only attributes that have values seçilir.

Listede parolanın ve parola süresinin dolacağı tarihleri gösteren attribute ler görülebilir.

Powershell ile bilgisayarın parolasını görmek için;

Import-Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName CL1