Microsoft Local Administrator Password Solution (LAPS) Microsoft Yerel Yönetici Parola Çözümü
Mayıs 8, 2023
Ağdaki birden fazla sistem “Administrator” yerel yönetici hesabına ve “@Mmin01” parolasına sahipse, her şeyden önce bu büyük bir problemdir. İkincisi ve daha da önemlisi, bu sistemlerden birinin hesap bilgileri ele geçirilirse, ağdaki tüm sistemlerin güvenliği ihlal edilir. Yerel yönetici kimlik bilgileri, aynı yerel kimlik bilgilerine sahip bir sisteme iletilirse, hedef sistem kimlik bilgileriyle oturum açmış gibi erişim sağlanır. Bu sebeple tüm sistemlerde yönetici olarak erişim sağlamak için yalnızca tek bir sistemin kimlik bilgilerinin ele geçirilmesi yeterlidir. Bu sorunu azaltmak için yapılabilecek en temel çözüm ise parolaların farklı ve daha karmaşık bir şekilde olması ve sürekli güncellenmesidir.
LAPS veya başka bir yerel yönetici parola çözümü dağıtsanız bile, KB2871997’yi yüklemeniz ve yerel hesapların ağ üzerinden kimlik doğrulamasını engellemek için bir Grup İlkesi’nin yapılandırılması önerilmektedir. KB2871997, yöneticiler grubunun üyesi olan herhangi bir yerel hesap için LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP(S-1-5-114) dahil olmak üzere yeni SID ekler. Bu SID’yi “Ağdan bu bilgisayara erişimi engelle” ve “Uzak Masaüstü Hizmetleri aracılığıyla oturum açmayı reddet” ayarlarıyla bir Grup İlkesinde yapılandırmak, yerel hesapların ağ üzerinden bağlanmasını engeller.
Microsoft Local Administrator Password Solution (LAPS)
LAPS, Active Directory’deki her bilgisayar için otomatik yerel yönetici hesabı yönetimi sağlar. Her bilgisayarda yüklü bir istemci tarafı bileşeni, rastgele bir parola oluşturur, ilişkili Active Directory bilgisayar hesabındaki LAPS parolasını günceller ve parolayı yerel olarak ayarlar. LAPS yapılandırması, parola karmaşıklığı, parola uzunluğu, parola değişikliği için yerel hesap adı, parola değiştirme sıklığı vb. için değerler sağlayan Grup İlkesi aracılığıyla yönetilir.
Kullanıcıların etki alanı kimlik bilgileri olmayan bilgisayarlarda oturum açmasının gerekli olduğu durumlarda parola yönetimi karmaşık bir sorun haline gelebilir. Bu tür ortamlar, Pass-the-Hash gibi saldırıların başarı oranını arttırır. LAPS, bir etki alanındaki her bilgisayarda aynı parolayla ortak bir yerel hesap kullanma sorununa bir çözüm sunar. LAPS, etki alanındaki her bilgisayarda ortak yerel yönetici hesabı için farklı, rastgele bir parola ayarlayarak bu sorunu çözer. Çözümü kullanan etki alanı yöneticileri, helpdesk yöneticileri gibi hangi kullanıcıların parolaları okuma yetkisine sahip olduğunu belirleyebilir.
LAPS, parola yönetimini basitleştirirken, müşterilerin siber saldırılara karşı önerilen savunmaları uygulamalarına yardımcı olur. Çözüm, özellikle, müşteriler bilgisayarlarında aynı idari yerel hesap ve parola kombinasyonunu kullandıklarında ortaya çıkan Yanal Yükselme riskini azaltır. LAPS, her bilgisayarın yerel yönetici hesabının parolasını, bilgisayarın karşılık gelen Active Directory nesnesindeki gizli bir öznitelikte güvenli olarak saklar. Bilgisayarın Active Directory’de kendi parola verilerini güncellemesine izin verilir ve etki alanı yöneticileri, iş istasyonu helpdesk yöneticileri gibi yetkili kullanıcılara veya gruplara okuma erişimi verebilir.
LAPSToolKit
LAPSToolKit, LAPS’ı dağıtan Active Directory ortamlarını denetlemek ve bunlara saldırmak için PowerView’dan yararlanan PowerShell’de yazılmış işlevlerdir. Sistem yöneticileri tarafından özel olarak yetkilendirilen grupları bulmayı, parolaları görüntüleyebilen “Tüm Genişletilmiş Haklara (All Extended Rights)” sahip kullanıcıları bulmayı ve LAPS’ın etkin olduğu tüm bilgisayarları görüntülemeyi içerir.
- Get-LAPSComputers: LAPS etkinleştirilmiş tüm bilgisayarları, parola geçerliliğini ve kullanıcının erişimi varsa parolayı görüntüler. Komutun sonuna “| Export-Csv -Path LAPS_Computers.csv -NoType” yazarak CSV formatında kaydedilmesini sağlanabilir.
- Find-LAPSDelegatedGroups: Hangi AD gruplarının ms-Mcs-AdmPwd niteliğini okuyabildiğini görmek için tüm Organizational Unit’lerde(OU) arama yapar.
- Find-AdmPwdExtendedRights: LAPS’ın etkin olduğu her AD bilgisayarı için ExtendedRights aracılığıyla ayrıştırır ve hangi grubun okuma erişimine sahip olduğunu ve herhangi bir kullanıcının “Tüm Genişletilmiş Haklara” sahip olup olmadığını arar. Sistem yöneticileri, Tüm Genişletilmiş Haklara sahip kullanıcıların parolaları görüntüleyebileceğinin farkında olmayabilir ve yetki verilen gruplardaki kullanıcılardan daha az korumalı olabilir. Komutun sonuna “| Export-Csv -Path LAPS_AdmPwdExtendedRights.csv -NoType” yazarak CSV formatında kaydedilmesini sağlanabilir.
