Windows LAPS ve Microsoft Intune ile Yerel Yönetici Parolalarının Yönetimi

Windows LAPS ve Microsoft Intune entegrasyonu ile yerel yönetici hesaplarının güvenliği nasıl otomatikleştirilir? Yerel hesap parolalarını yönetmek için adım adım rehber.

4
4sysops
2 görüntülenme
Windows LAPS ve Microsoft Intune ile Yerel Yönetici Parolalarının Yönetimi

Giriş

Kurumsal ortamlarda, cihazların yerel yönetici hesaplarının güvenliği kritik bir önem taşır. Yerel yönetici hesaplarının parola yönetimi genellikle manuel ve zaman alıcı olabilirken, aynı zamanda güvenlik riskleri de barındırır. Microsoft, bu sorunun çözümü için Windows Local Administrator Password Solution (LAPS) ve Microsoft Intune entegrasyonunu sunmaktadır. Bu entegrasyon sayesinde, yerel yönetici hesaplarının parolaları otomatik olarak yönetilebilir, karmaşık parola gereksinimleri uygulanabilir ve parolaların yeniden kullanılması engellenebilir.

Sorun Tanımı

Yerel yönetici hesaplarının parola yönetiminde karşılaşılan yaygın sorunlar şunlardır:

  • Manuel parola yönetimi: Her cihaz için yerel yönetici parolasının manuel olarak ayarlanması ve güncellenmesi gereklidir. Bu durum, büyük ölçekli kuruluşlarda yönetim yükünü artırır.
  • Güvenlik riskleri: Yerel yönetici hesaplarının parolalarının basit olması veya aynı parola kullanılması, saldırganlar tarafından kolayca tahmin edilmesine yol açabilir.
  • Parola yenileme sürecinin zorluğu: Parolaların periyodik olarak yenilenmesi gerektiğinde, bu süreç manuel olarak gerçekleştirilirse hataya açık hale gelir.
  • Parola yeniden kullanımı: Farklı cihazlar arasında aynı yerel yönetici parolasının kullanılması, bir cihazın güvenliğinin ihlal edilmesi durumunda tüm cihazların risk altında kalmasına neden olur.

Çözüm: Windows LAPS ve Microsoft Intune Entegrasyonu

Microsoft Intune, Windows LAPS ile entegre olarak yerel yönetici hesaplarının parola yönetimini otomatikleştirir. Bu entegrasyon, Windows LAPS Configuration Service Provider (CSP) üzerinden gerçekleştirilir ve aşağıdaki avantajları sunar:

  • Yerel yönetici hesaplarının parolalarının otomatik olarak oluşturulması ve yenilenmesi.
  • Karmaşık parola gereksinimlerinin (örneğin, uzunluk, karakter çeşitliliği) uygulanması.
  • Parolaların yerel olarak saklanması ve yalnızca yetkili kullanıcılar tarafından erişilebilir olması.
  • Parolaların periyodik olarak yenilenmesi ve farklı cihazlarda yeniden kullanılmaması.

Ön Gereksinimler

Bu çözümü uygulamak için aşağıdaki ön gereksinimlerin karşılanması gerekmektedir:

  1. Windows 10/11 ve Windows Server 2019/2022: Cihazların en az bu sürümlerde olması gerekir. Daha eski sürümler LAPS desteği sunmamaktadır.
  2. Microsoft Intune: Cihazların Microsoft Intune'a kaydedilmiş olması gerekir. Intune, cihaz yönetimi ve politika uygulamaları için kullanılır.
  3. Azure AD: Cihazların Azure Active Directory'ye (Azure AD) kaydedilmiş olması gerekir. Azure AD, kimlik doğrulama ve yetkilendirme için kullanılır.
  4. LAPS CSP: Windows LAPS Configuration Service Provider'in cihazlarda etkinleştirilmiş olması gerekir. Bu bileşen, parola yönetimini otomatikleştirmek için kullanılır.

Adım Adım Kurulum ve Yapılandırma

1. Adım: Windows LAPS'in Yüklenmesi

Windows LAPS, varsayılan olarak Windows 10/11 ve Windows Server 2019/2022'de yerleşik olarak bulunmaz. Aşağıdaki adımları izleyerek LAPS'i yükleyin:

  1. İndirilen Microsoft.LAPS.2016_x64.msi veya Microsoft.LAPS.2016_x86.msi dosyasını çalıştırın.
  2. Kurulum sihirbazını takip edin ve varsayılan ayarları kullanın.
  3. Kurulum tamamlandıktan sonra, cihazı yeniden başlatın.

2. Adım: Windows LAPS CSP'nin Etkinleştirilmesi

Windows LAPS CSP, yerel yönetici hesaplarının parola yönetimini otomatikleştirmek için kullanılır. Aşağıdaki adımları izleyerek CSP'yi etkinleştirin:

  1. PowerShell konsolunu yönetici olarak açın.
  2. Aşağıdaki komutu çalıştırın:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "PasswordExpirationTimeSpan" /t REG_DWORD /d 30 /f

Not: Bu komut, yerel yönetici parolasının 30 günde bir otomatik olarak yenilenmesini sağlar. Değerini ihtiyacınıza göre ayarlayabilirsiniz.

3. Adım: Microsoft Intune'da LAPS Politikasının Oluşturulması

Microsoft Intune'da yerel yönetici hesaplarının parola yönetimini yapılandırmak için aşağıdaki adımları izleyin:

  1. Microsoft Endpoint Manager admin center adresine gidin ve oturum açın.
  2. Devices > Windows > Configuration profiles bölümüne gidin.
  3. Create profile butonuna tıklayın ve aşağıdaki ayarları yapın:
  • Platform: Windows 10/11
  • Profile type: Settings catalog

Ardından, aşağıdaki ayarları yapılandırın:

// Yerel yönetici hesabının adı (varsayılan: Administrator)
OMA-URI: ./Vendor/MSFT/Policy/LAPS/AccountName
Data type: String
Value: Administrator

// Yerel yönetici parolasının uzunluğu (minimum 14 karakter önerilir)
OMA-URI: ./Vendor/MSFT/Policy/LAPS/PasswordLength
Data type: Integer
Value: 20

// Yerel yönetici parolasının karmaşıklığı (büyük harf, küçük harf, sayı, özel karakter)
OMA-URI: ./Vendor/MSFT/Policy/LAPS/PasswordComplexity
Data type: Integer
Value: 4

// Yerel yönetici parolasının yenilenme süresi (gün olarak)
OMA-URI: ./Vendor/MSFT/Policy/LAPS/PasswordAgeDays
Data type: Integer
Value: 30

// Yerel yönetici parolasının yerel olarak saklanması (varsayılan: true)
OMA-URI: ./Vendor/MSFT/Policy/LAPS/DoNotAllowPasswordExpirationTime
Data type: Boolean
Value: false

İpucu: Parola karmaşıklığı için aşağıdaki değerler kullanılabilir:

  • 0: Basit parola (yalnızca sayılar)
  • 1: Karmaşık parola (büyük harf, küçük harf, sayı)
  • 2: Çok karmaşık parola (büyük harf, küçük harf, sayı, özel karakter)
  • 3: En karmaşık parola (büyük harf, küçük harf, sayı, özel karakter, Unicode karakterleri)

4. Adım: Politikayı Cihazlara Atama

Oluşturulan politikayı cihazlara atamak için aşağıdaki adımları izleyin:

  1. Politikayı oluşturduktan sonra, Assignments bölümüne gidin.
  2. Select groups to include seçeneğiyle politikayı uygulamak istediğiniz cihaz gruplarını seçin.
  3. Review + create butonuna tıklayarak politikayı yayınlayın.

5. Adım: Yerel Yönetici Parolasının Doğrulanması

Yerel yönetici parolasının doğru şekilde ayarlandığını doğrulamak için aşağıdaki adımları izleyin:

  1. Cihazın komut istemini yönetici olarak açın.
  2. Aşağıdaki komutu çalıştırın:
powershell -Command "Get-LocalUser -Name Administrator | Select-Object Name, PasswordExpires"

Bu komut, yerel yönetici hesabının parolasının ne zaman yenileneceğini gösterir. Ayrıca, aşağıdaki komutla yerel yönetici parolasını doğrudan okuyabilirsiniz:

powershell -Command "Get-LAPSPassword -TargetComputerName  -UserName Administrator"

Uyarı: Yerel yönetici parolasını okumak için yetkili bir kullanıcı olmanız gerekir. Parolayı yetkisiz kullanımlardan korumak için Azure AD'deki yetkilendirme kurallarını doğru şekilde yapılandırın.

Sorun Giderme

Windows LAPS ve Microsoft Intune entegrasyonunda karşılaşılan yaygın sorunlar ve çözümleri aşağıda listelenmiştir:

Sorun 1: Politikalar Cihazlara Uygulanmıyor

Nedenleri:

  • Cihazların Microsoft Intune'a kaydedilmemiş olması.
  • Windows LAPS CSP'nin cihazlarda etkinleştirilmemiş olması.
  • Politikanın yanlış gruplara atanmış olması.

Çözüm:

  1. Cihazların Microsoft Intune'a kaydedildiğinden emin olun.
  2. Windows LAPS CSP'nin etkinleştirildiğinden emin olun (yukarıdaki adımları izleyin).
  3. Politikanın doğru gruplara atandığından emin olun.

Sorun 2: Yerel Yönetici Parolası Oluşturulmuyor

Nedenleri:

  • Windows LAPS'in cihazda yüklenmemiş olması.
  • Parola karmaşıklığı ayarlarının çok yüksek olması.
  • Cihazın İnternet'e bağlı olmaması.

Çözüm:

  1. Windows LAPS'in cihazda yüklü olduğundan emin olun.
  2. Parola karmaşıklığını azaltın ve tekrar deneyin.
  3. Cihazın İnternet'e bağlı olduğundan emin olun.

Sorun 3: Parola Yenilenmiyor

Nedenleri:

  • Parola yenileme süresinin çok uzun olması.
  • Cihazın kapalı olması.
  • Windows LAPS hizmetinin çalışmıyor olması.

Çözüm:

  1. Parola yenileme süresini kısaltın (örneğin, 15 gün olarak ayarlayın).
  2. Cihazın sürekli olarak açık olduğundan emin olun.
  3. Windows LAPS hizmetinin çalıştığından emin olun:
Get-Service -Name lpssvc | Start-Service

En İyi Uygulamalar

1. Parola karmaşıklığını yüksek tutun: Yerel yönetici hesaplarının parolalarını en karmaşık seviyede ayarlayın. Bu, saldırganların parolaları tahmin etmesini zorlaştırır.

2. Parola yenileme süresini optimize edin: Parolaların yenilenme sıklığını kuruluşunuzun güvenlik politikalarına göre ayarlayın. Örneğin, 30 günde bir yenileme yerine 15 günde bir yenileme tercih edilebilir.

3. Politikaları test ortamında uygulayın: Politikaları üretim ortamına uygulamadan önce, test ortamında test edin. Bu, olası sorunları tespit etmenize yardımcı olur.

4. Parolaları güvenli şekilde saklayın: Yerel yönetici parolalarını Azure AD'deki yetkili kullanıcılar dışında kimseyle paylaşmayın. Parolaları yalnızca gerekli durumlarda okuyun.

5. Cihaz gruplarını doğru şekilde yönetin: Politikaları uygulamak istediğiniz cihaz gruplarını dikkatli bir şekilde seçin. Yanlış gruplara politika atamak, istenmeyen sonuçlara yol açabilir.

Sonuç

Windows LAPS ve Microsoft Intune entegrasyonu, yerel yönetici hesaplarının parola yönetimini otomatikleştirerek kuruluşların güvenlik durumunu önemli ölçüde iyileştirir. Bu entegrasyon sayesinde, yerel yönetici hesaplarının parolaları karmaşık ve benzersiz hale getirilebilir, periyodik olarak yenilenebilir ve güvenli bir şekilde saklanabilir. Bu makalede sunulan adım adım rehberi izleyerek, yerel yönetici hesaplarının güvenliğini artırabilir ve yönetim yükünüzü azaltabilirsiniz.

Unutmayın, yerel yönetici hesaplarının güvenliği yalnızca parola yönetimiyle sınırlı değildir. Diğer güvenlik önlemlerini de (örneğin, çok faktörlü kimlik doğrulama, saldırı tespit sistemleri) uygulamak, kuruluşunuzun genel güvenlik durumunu daha da güçlendirecektir.

Kaynak

4sysops