Microsoft LAPS, her aygıt için belirli bir süre sonra otomatik olarak değişen rastgele bir yerel Yönetici parolası oluşturarak bu sorunu çözer. Bu, bir Bilgisayar Korsanının güvenliği ihlal edilmiş hesaba, parola otomatik olarak Sıfırlanmadan önce yalnızca kısa bir süre için erişebileceği anlamına gelir.
LAPS, bir istemcinin etki alanıyla bağlantısını kaybettiğinde de yararlı olabilir ve yöneticinin söz konusu aygıt için yerel yönetici parolasını Active Directory'de hızlı bir şekilde bulmasına olanak tanır.
LAPS, bir istemcinin etki alanıyla bağlantısını kaybettiğinde de yararlı olabilir ve yöneticinin söz konusu aygıt için yerel yönetici parolasını Active Directory'de hızlı bir şekilde bulmasına olanak tanır.
1# Microsoft Turlarını İndirme
Etki alanı denetleyicinize Microsoft Laps'i indirerek başlayalım.
LAPS'ı buradan indirin: Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center
İstemci makinelerinize bağlı olarak, 32Bit İşletim sistemleri için LAPS.x64.msi veya LAPS.x86,msi'yi indirin veya bir karışıma sahipseniz ikisini birden indirin.
Laboratuvarımda yalnızca 64 Bit İşletim sistemi bulunduğundan, yalnızca LAPSx64.msi dosyasını indirmem gerekiyor.
LAPS'ı buradan indirin: Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center
İstemci makinelerinize bağlı olarak, 32Bit İşletim sistemleri için LAPS.x64.msi veya LAPS.x86,msi'yi indirin veya bir karışıma sahipseniz ikisini birden indirin.
Laboratuvarımda yalnızca 64 Bit İşletim sistemi bulunduğundan, yalnızca LAPSx64.msi dosyasını indirmem gerekiyor.
2# Microsoft LAPS Kurulumu
Etki Alanı Denetleyicisinde az önce indirdiğiniz LAPS msi dosyasını çalıştırın.
Kuruluma devam etmek için ileri'yi tıklayın.
Lisans Sözleşmesini kabul etmek için kutuyu işaretleyin ve İleri'ye tıklayın
Kurulacak tüm yönetim Araçlarını seçin ve ileriyi tıklayın
Kur'a tıklayın
LAPS şimdi kuruldu kurulumu tamamlamak için Bitir'e tıklayın.
Kuruluma devam etmek için ileri'yi tıklayın.
Lisans Sözleşmesini kabul etmek için kutuyu işaretleyin ve İleri'ye tıklayın
Kurulacak tüm yönetim Araçlarını seçin ve ileriyi tıklayın
Kur'a tıklayın
LAPS şimdi kuruldu kurulumu tamamlamak için Bitir'e tıklayın.
3# Active Directory Şemasını Genişletin
Şimdi Active Directory Şemasını bilgisayar nesnelerine eklenen iki yeni değerle genişletmemiz gerekiyor.
ms-MES-AdmPwd – Bu, Parolayı açık metin olarak saklar
ms-MES-AdmPwdExpirationTime – Parolanın sıfırlanacağı zamanı saklar.
Powershell'i Yönetici haklarıyla açarak başlayın.
AdmPwd.ps Powershell modülünü Powershell'e aktarın
Active Directory Şemasını Update-AdmPwdADSchema yazarak güncelleyin.
İzinler
Öncelikle Active Directory şemasına yeni eklediğimiz bilgisayar nesnelerindeki ms-Mcs-AdmPwdExpirationTime ve ms-Mcs-Adm-pwd değerine yazma izinlerini eklememiz gerekiyor . Bu, SELF hesabını günceller ve müşterinin yerel yönetici parolasının parola süre sonu zaman damgasını güncelleyebilmesi için gereklidir.
Yetki yetkisi vermek için kuruluş biriminin adını ekleyerek Set-AdmPwdComputerSelfPermission -OrgUnit komutunu çalıştırın .
İkinci olarak, bilgisayar nesnelerinizin saklandığı OU üzerinde hangi kullanıcıların veya Grupların genişletilmiş haklara sahip olduğunu bulmamız gerekir. Burada görüntülenen genişletilmiş haklara sahip herhangi bir kullanıcı veya grubun ms-Mcs-AdmPwd parola değerini okumasına izin verilecektir. .
Find-AdmPwdExtendedRights -Identity yazın Daha sonra bilgisayarınızın nesneleri OU'nun adı saklanır. Benim durumumda bu “Yönetilen Cihazlar”
Set-AdmPwdReadPasswordPermission komutunu çalıştırarak yerel Yönetici Parolalarını okumak için Belirli kullanıcı veya gruplara erişim de ekleyebilirsiniz.
Set-AdmPwdReadPasswordPermission -OrgUnit yazın , OU'nun adını ve ardından -AllowedPrincipals'ı Kullanıcı veya Grup adıyla ekleyin.
Genişletilmiş hakları Find-AdmPwdExtendedRights komutuyla tekrar kontrol ederseniz, artık DeathStarAdmins'in listelendiğini görebilirsiniz.
LAPS'nin yönetmesini istediğiniz Active Directory'de Bilgisayar nesneleri içeren her kuruluş birimi için izinleri ayarlamanız gerekir.
5# LAPS Grup İlkesi Nesnelerini Yapılandırma
Şimdi, LAPS yapılandırma bilgilerini tanımlayan tüm müşterilerimize gönderilecek olan bir LAPS Grup İlkesi Yapılandırmamız gerekiyor.
Grup İlkesi Yönetimi'ni açın, ardından Grup İlkesi Nesnesi'ne sağ tıklayın ve oluştur -> Yeni GPO'yu seçin.
Bu Yeni Grup İlkesine Laps İlkesi gibi akılda kalıcı bir ad verin ve Tamam'a tıklayın.
Yeni GPO'nuza sağ tıklayın ve Düzenle'ye tıklayın.
Grup İlkesi Yönetimi'ni açın, ardından Grup İlkesi Nesnesi'ne sağ tıklayın ve oluştur -> Yeni GPO'yu seçin.
Bu Yeni Grup İlkesine Laps İlkesi gibi akılda kalıcı bir ad verin ve Tamam'a tıklayın.
Yeni GPO'nuza sağ tıklayın ve Düzenle'ye tıklayın.
- LAPS İlkeleri, Bilgisayar Yapılandırması -> İlkeler -> Yönetim Şablonları -> LAPS altında bulunur.
LAPS Grup ilkesi Nesnesi, etkinleştirebileceğiniz 4 seçenek sunar.
Parola Ayarları – Bu, parola karmaşıklığını, Parola uzunluğunu ve temel olarak parola sıfırlanmadan önce ne kadar süre önce olan parolanın yaşını ayarlamanıza olanak tanır.
Yönetilecek Yönetici Hesabının Adı – Özel bir yerel yönetici hesabı kullanıyorsanız bu ayarı etkinleştirin. Ancak, yeniden adlandırılsa bile varsayılan SID'si tarafından otomatik olarak algılandığından, varsayılan yerel yönetici hesabını kullanıyorsanız Etkinleştirmeyin.
İlkenin gerektirdiğinden daha uzun parola sona erme süresine izin verme – İstemcinin yerel yöneticisi tarafından ayarlanan ve parola ilkesinde belirlediğinizden daha uzun olan herhangi bir parola sona erme süresini geçersiz kılmak için bu ayarı etkinleştirin.
Yerel Yönetici parola Yönetimini Etkinleştir – Bu, LAPS için Yerel Parola Yönetimi için Açık / Kapalı anahtarıdır.
Parola Ayarları – Bu, parola karmaşıklığını, Parola uzunluğunu ve temel olarak parola sıfırlanmadan önce ne kadar süre önce olan parolanın yaşını ayarlamanıza olanak tanır.
Yönetilecek Yönetici Hesabının Adı – Özel bir yerel yönetici hesabı kullanıyorsanız bu ayarı etkinleştirin. Ancak, yeniden adlandırılsa bile varsayılan SID'si tarafından otomatik olarak algılandığından, varsayılan yerel yönetici hesabını kullanıyorsanız Etkinleştirmeyin.
İlkenin gerektirdiğinden daha uzun parola sona erme süresine izin verme – İstemcinin yerel yöneticisi tarafından ayarlanan ve parola ilkesinde belirlediğinizden daha uzun olan herhangi bir parola sona erme süresini geçersiz kılmak için bu ayarı etkinleştirin.
Yerel Yönetici parola Yönetimini Etkinleştir – Bu, LAPS için Yerel Parola Yönetimi için Açık / Kapalı anahtarıdır.
6# Microsoft LAPS'ı İstemci Bilgisayarlarına Dağıtın
LAPS'yi İstemcilere dağıtmak çok basit bir süreçtir, ancak zaten Tur İlkesi Grubu ilke nesnesinde olduğumuz için, Yazılımı bu ilkeye ekleyebiliriz. Öğreticinin sonunda istemci Dağıtımı için diğer bazı seçenekleri belgeleyeceğim.
LAPS ile yönetmek istediğiniz tüm İstemciler tarafından erişilebilen bir sunucuda bir paylaşım oluşturun. LAPSx64.msi veya LAPS-x86.msi dosyasını bu klasöre kopyalayın
LAPS ile yönetmek istediğiniz tüm İstemciler tarafından erişilebilen bir sunucuda bir paylaşım oluşturun. LAPSx64.msi veya LAPS-x86.msi dosyasını bu klasöre kopyalayın
- Az önce oluşturduğumuz Tur politikası Grup politikasında, yazılım kurulumuna sağ tıklayın ve Yeni -> Paketle'yi seçin ve LAPS Msi dosyalarını içeren ağ paylaşımınıza gidin.
-
İlkeyi, LAPS ile yönetmek istediğiniz Bilgisayar nesnelerini içeren herhangi bir Kuruluş birimine bağlayın.
Sessiz Kurulum
LAPS'yi istemcilere dağıtmak için Grup ilkesini kullanmak istemiyorsanız, bu komutları doğrudan komut satırından veya bir oturum açma komut dosyasında kullanabilirsiniz.
msiexec/q /i <dosya konumu>\LAPS.x64.msi LAPS'yi 64 bit istemcilere dağıtıyor.
msiexec /q /i <dosya konumu>\LAPS.x86.msi LAPS'yi 32 bit İstemcilere Dağıtma
Kurulum sırasında yukarıdaki komuta CUSTOMADMINNAME ekleyerek özel bir yerel yönetici hesabı konuşlandırmayı da ekleyebilirsiniz .
msiexec/q /i <dosya konumu>\LAPS.x64.msi CUSTOMADMINNAME=SecurityTutorialsAdmin
Gp güncellemesi
İstemcide Grup İlkesinin güncellenmesini beklemek doğru bir acı olabilir. Ancak, istemci komut isteminden gpupdate /force komutunu çalıştırarak tüm süreci hızlandırabiliriz .
Bilgisayar grubu ilkesi başarıyla güncellendiğinde, yeniden başlatmanız gerektiğini söyleyen bir hata alırsınız. Y yazın ve enter tuşuna basın, istemci yeniden başlayacaktır.
Her şey doğru şekilde yüklendiyse, istemcide Yerel Yönetici Parola Çözümünün kurulu olduğunu görmelisiniz.
Bilgisayar grubu ilkesi başarıyla güncellendiğinde, yeniden başlatmanız gerektiğini söyleyen bir hata alırsınız. Y yazın ve enter tuşuna basın, istemci yeniden başlayacaktır.
Her şey doğru şekilde yüklendiyse, istemcide Yerel Yönetici Parola Çözümünün kurulu olduğunu görmelisiniz.
Yerel Yönetici Parolasını Kontrol Etme
Yerel Yönetici parolası artık Active Directory'deki istemci bilgisayar nesnesinin özelliklerinde ms-MCS-AdmPwd özniteliği altında gösteriliyor olmalıdır.
Bilgisayar nesnesine sağ tıklayın -> özellikler -> Nitelik Düzenleyici . ms-MCS-AdmPwd Özniteliğini bulun. Bu değer, söz konusu istemci için yerel Yönetici parolasıdır.
LAPS parolasını Powershell ile AdmPwd.PS modülünü içe aktararak, ardından Get-AdmPwdPPassword -Computername ve ardından istemci aygıtın adını çalıştırarak da kontrol edebilirsiniz .
Bilgisayar nesnesine sağ tıklayın -> özellikler -> Nitelik Düzenleyici . ms-MCS-AdmPwd Özniteliğini bulun. Bu değer, söz konusu istemci için yerel Yönetici parolasıdır.
LAPS parolasını Powershell ile AdmPwd.PS modülünü içe aktararak, ardından Get-AdmPwdPPassword -Computername ve ardından istemci aygıtın adını çalıştırarak da kontrol edebilirsiniz .
- Başlangıçta LAPS UI'yi etkinleştirdiyseniz, başlat menünüzde bulunan LAPS UI programında da parolaları kontrol edebilmeniz gerekir.
-
notlar:
Parolayı gösterir Süre doluyor ancak parola yok: yerel yönetici parolasını manuel olarak sıfırlayın.
Varsayılan LAPS kullanıcı adı: LAPS, hesabı tanımlamak için varsayılan yönetici SID'sini (500) kullanır, daha fazlası, yeniden adlandırılırsa hesabı tanımaya devam eder.
LAPS şifresi çalışmıyor: Adım 8#'i kontrol edin ve istemciyi gpupdate edin.
LAPS ne sıklıkta Parola değiştirir: Adım 5# Parolanın ne sıklıkta değiştiğine ilişkin grup ilkesi ayarını kapsar.
LAPS'nin Kurulu olup olmadığını belirleme: Admpwd.dll dosyasının varlığını kontrol etmek için aşağıdaki komutu kullanın.
Get-ChildItem 'c:\program files\LAPS\CSE\Admpwd.dll'
Kaynak : securitytutorials
