Özellikle yöneticilerin kullanmadığı, son kullanıcıların kullandığı cihazlarda yönetimsel bir aktivite yapılması istendiğinde “Local Admin” hesabının bilgilerine ihtiyaç duyulmakta. Ancak büyük kurumlarda bu bir kaotik ortam oluşturabiliyor. Örneğin, tüm local admin hesaplarında aynı şifrenin kullanılması gibi. Oluşturduğu risk açısından oldukça problemli olan bu yapılardaki sorunun çözümü Microsoft Local Admin Password Solution (LAPS) olarak karşımıza çıkıyor.
Local Admin Password Solution (LAPS) Nedir ?
Local Admin Password Solution , Microsoft Entra ID ile yönetilen cihazlarınızda veya Windows Server Active Directory ile eşleştirilmiş olan cihazlarınızda yerel yönetici hesabının parolasını yönetmeye ve yedeklemeye yardımcı olan bir Windows özelliğidir.
LAPS’ın bizlere sağladığı faydaları göz önüne alırsak;
Yanal geçiş olarak adlandırdığımız , bir hesap şifresine ulaşıldıktan sonra diğer kaynaklara aynı hesap üzerinden erişim sağlanabilir stratejilerin önüne geçmesi,
Yerel Yönetici şifresinin her cihaza özel ve benzersiz şekilde tutulmasının sağlanması,
Client seviyesinde yaşanan problemlere doğrudan müdahale edilebilir şekilde kullanılmaya olanak sağlanması diyebiliriz.
Geçtiğimiz yıllarda Active Directory sunucusu üzerine kurulan bir konsol ile tüm cihazlara dağıtılan agentlar yardımıyla on-prem sistemlerde etkin olarak kullandığımız LAPS çözümü artık Intune aboneliği ile birlikte ek bir dağıtıma ihtiyaç duyulmadan kullanılabilmektedir. Bu yapıyı kullanabilmek için minimum Microsoft Intune Plan 1 lisansına ihtiyaç duyulmaktadır.
Microsoft LAPS’ı aşağıdaki platformlarda etkin olarak kullanabiliriz;
- Windows 11 22H2 – April 11, 2023, Update and later (Pro, EDU and Enterprise)
- Windows 11 21H2 – April 11, 2023, Update and later (Pro, EDU and Enterprise)
- Windows 10 – April 11, 2023, Update and later (Pro, EDU and Enterprise)
- Windows Server 2022 and Windows Server Core 2022 – April 11, 2023, Update and later
- Windows Server 2019 – April 11, 2023, Update and later
Microsoft Local Admin Password Solution (LAPS) ‘ın Devreye Alınması
İlk olarak Microsoft Entra üzerinden yapılacak olan konfigurasyonlar için minimum “Cloud Administrator” yetkisine sahip olunmalıdır.
https://entra.microsoft.com adresine giriş yaptıktan sonra, Sol panelde bulunan “Identity” menüsü altında “Devices” sekmesine tıklıyoruz. Akabinde açılan pencerede, “All Devices” ve açılan pencerede “Manage” menüsü altında bulunan “Device Settings” sekmesine tıklıyoruz. Aşağıdaki şekilde kayıt işlemini gerçekleştiriyoruz.,
*Tüm bu işlemlerin devreye alınabilmesi için tüm cihazlarda Yerel Yönetici hesabının devreye alınmış olması gerekmektedir. Devrede olmayan yönetici hesaplarında politika aktif olamayacaktır.
Local Admin Hesaplarının Etkinleştirilmesi
Local Admin hesaplarının etkinleştirilmesi , Microsoft Intune portalı üzerinden bir konfigurasyon politikası yazılması ile gerçekleştirilmektedir.
Microsoft Intune admin center adresinden Devices > Configuration profiles > + Create Profiles > Windows 10 and later for Platform seçeneğini seçiyoruz. Profile type Settings Catalog ve sonrasına Create seçeneğini seçerek tamamlayabiliriz.
İsim ve detay bilgisini girdikten sonra “ileri” diyoruz.
add Settings diyoruz
Local Policies Security Options seçeneğini category menüsünden arıyoruz ve Accounts Enabled Administrator Account Status seçerek Enable olarak işaretliyoruz.
Tüm cihazlara uygulayarak politikayı tamamlıyoruz.
Bu işlem sonrası, Local Admin hesaplarının aktifleştiklerini görüntüleyebiliriz.
Intune ile Local Admin Password Yönetimi
Minimum Intune Yöneticisi sahip bir rol ile intune.microsoft.com adresine giriş yaparak LAPS politikamızı oluşturabiliriz.
Endpoint Security sekmesine girerek , sol menüde bulunan “Account Protection” menüsüne tıklıyoruz. Açılan ekranda “Create Policy” , Platform ve Profile ayarlarını aşağıdaki gibi gerçekleştiriyoruz.
İsim ve Detayları girerek ileri butonuna basıyoruz
Açılan “Configuration Settings” penceresinde Intune ile yönetilen cihazlarda gerçekleştirilecek konfigurasyonları ayarlıyor olacağız.
“Backup Directory” menüsünden, şifrelerin nerede saklanacağını ayarlamamız gerekmektedir.
Password Account Name : Yönetici hesabının adının belirlenmesi gerekmektedir.
Password Kriterlerini aşağıdaki menüden belirliyoruz.
Kimlik Doğrulama Sonrası Eylemler – Bu ayar, birisinin yerel yönetici hesabını kullanarak kimlik doğrulaması yaptıktan sonra parolaya ne olacağını yapılandırmak için kullanılmaktadır. Bu, yönetilen yerel yönetici şifresi kullanıldıktan sonra gönderi işlemlerini çalıştırmanız anlamına gelir. Burada Kimlik Doğrulama Sonrası İşlemlere şifreyi sıfırlama ve yönetilen hesaptan çıkış yapma komutunu verebilirsiniz. Yetkisiz kullanım süresinin sona ermesi üzerine (24 saat sonra), yönetilen hesap şifresi sıfırlanacaktır ve yeni şifre oluşturulacaktır.
Politika Konfigurasyonları ayarlandıktan sonra, tüm cihazlara ataması yapılmalıdır.
Tüm politika dağıtım işlemi gerçekleştirildikten sonra, bu politikanın alınmış olduğu ve uygulanmış olduğu politika detaylarından kontrol edilebilir. Bununla birlikte cihaz üzerinde bulunan kayıt defteri verilerinden de politikanın alındığı doğrulanabilir.
HKLM\\Software\\Microsoft\\Policies\\LAPS kayıt defteri verilerine eriştiğimizde, girdiğimiz politika detaylarını görebiliriz.
Bir Cihazın Yerel Yönetici Şifresini Görüntüleme İşlemleri
Microsoft Entra yönetim merkezi > Identity> Devices > All Devices tıklıyoruz.
Sol sekmede bulunan “Local Administrator Password Recovery” Sekmesine tıklıyoruz.
Açılan ekranda “Show Local Administrator Password” seçeneğine tıkladığımızda, O cihaza ait Yerel Yönetici şifresini görüntülemiş oluyoruz.
Intune Üzerinde Local Admin Şifresinin Görüntülenmesi
Microsoft Intune yönetim merkezi > Devices> Windows >’ a tıklıyoruz.
Yönetici şifresine erişmek istediğimiz cihaza tıklayarak , sol menüde bulunan “Local Admin Password” menüsünü seçiyoruz. Açılan ekranda “show local administrator password” seçeneğine tıklayarak cihazın yerel yönetici hesabına erişebiliriz.
Bir cihazın, gerekli zamanı gelmeden önce Local Admin Şifresini sıfırlama ihtiyacı oluştuğunda Intune menüsü üzerinden “Rotate Local Admin Password” seçeneği ile şifreyi yenileyebilirsiniz.
Bir makalenin daha sonuna geldik, bu makalede Microsoft Local Admin Password Solution ‘ın Intune ile devreye alınması konusunu işledik. Bir sonraki makalede görüşmek üzere.
Teşekkürler epey faydalı oldu devreye aldım.