Sistem yöneticilerinin bir diğer görevi de yönettikleri cihazlardaki yerel yönetici şifrelerinin güvenliğini sağlamaktır ve bunu birçok yolla sağlayabilirler. Genellikle bunu sağlamanın en etkili aracı Microsoft’un yerel yönetici şifre çözümü (LAPS) uygulamasıdır. Bu yazı içerisinde sizlere LAPS uygulamasının ne işe yaradığından ve Intune ortamlarında nasıl konfigüre edebileceğiniz hakkında bilgi vermeye çalışacağım.
LAPS, Windows cihazlarındaki yerel yönetici parolalarını yönetmenize ve yetkisiz erişimi engellemenize yardımcı olan ücretsiz bir Microsoft aracıdır. LAPS aracı kullanılmadığı durumlarda kullanıcı cihazlarında aynı yerel yönetici parolasına sahip olması durumunda güvenlik açığı yaratarak saldırganların yetkisiz erişim elde etmesini sağlar. LAPS her istemci cihazı için otomatik olarak benzersiz parolalar oluşturarak bunları Active Directory içerisinde güvenli bir şekilde depolanmasını sağlar. Bu şifreler periyodik olarak değiştirilir. Windows LAPS’ın Intune ile uygulanması sonucu tüm cihazlarda yerel yönetici şifrelerinin merkezi olarak yönetilmesi sağlanarak güvenli bir ortamın sürdürülmesini ve yetkisiz erişimin önüne geçilmesi sağlanmış olur. LAPS’ı uygulayarak her cihazın benzersiz ve karmaşık bir yerel yönetici parolasına sahip olmasını sağlayabilirsiniz. LAPS’ı Intune’a entegre ederek tüm Windows cihazlarında yerel yönetici parolalarını kolayca yönetebilirsiniz. LAPS Intune entegrasyonu ile yerel yönetici parola değişikliklerinin kolayca izlenmesini ve raporlanmasını sağlayabilirsiniz. LAPS Intune ile yapılandırılacak ise LAPS aracının dağıtılmasına gerek yoktur. LAPS’ı Intune ile uygulamak isterseniz temel Intune aboneliği olan Microsoft Intune Plan 1 olması gerekmektedir. Ek olarak Microsoft Entra ID Free ile beraber LAPS’ın tüm özelliklerini kullanabilirsiniz. Windows LAPS için Intune politikası ile yerel yönetici hesabını ve parolasını bulut veya yerel ortamlarda yedeklenmesini sağlayabilirsiniz.
Windows 11 22H2, Windows 11 21H2, Windows 10 20H2, 21H2, 22H2 işletim sistemleri Windows LAPS desteklenmektedir. Microsoft Intune ile Windows LAPS’ı entegre etmek için;
-Microsoft Entra içerisinde LAPS’ı etkinleştirme
-Yerleşik yönetici hesabının etkinleştirilmesi
-Intune LAPS politikasının oluşturulması
-LAPS politikasının Windows cihazlara atanması ile ilgili tüm süreçlerin oluşturulması gerekmektedir.
Microsoft Entra içerisinde LAPS’ı etkinleştirme
Microsoft Entra’da LAPS’ı etkinleştirmek için Microsoft Entra Admin Center ekranında Identity altında Devices bölümünde Device Settings seçeneğine tıklayalım.
Local Administrator Settings altında “Enable Local Administrator Password Solution(LAPS)” ayarını “Yes” butonuna tıklayıp ilgili ayarı aktif edip “Save” butonuna tıklayıp yapılan ayarı kaydedebilirsiniz. Bu işlem ile LAPS ayarını Microsoft Entra ID üzerinde etkileştirmiş olacağız.
Resim-1
Yerleşik yönetici hesabının etkinleştirilmesi
Yeni Windows kurulumlarında yerel yönetici hesabı devre dışı olabilir. Intune üzerinde yerel yönetici hesabını yönetmek için bir LAPS politikası oluşturduğunuzda önce yerleşik yönetici hesabının etkinleştirilmesi gerekir. Aksi taktirde LAPS politikasının cihazlarınız üzerinde bir etkisi olmaz. Yerleşik yönetici hesabını Intune yada Grup Policy aracılığıyla etkinleştirmeyi seçebilirsiniz.
Intune LAPS politikasının oluşturulması
LAPS politikasını oluşturmak ve yönetmek için Microsoft Intune yönetim merkezinde oturum açıp Endpoint Security ekranında Account Protection sekmesine gidelim. Account protection ekranında Create Policy seçeneğini seçip LAPS politikasını oluşturmaya başlayalım.
Resim-2
Create a profile ekranında Platform bölümünde Windows 10 or later, Profile bölümünde ise Local Admin Password Solution (Windows LAPS) seçeneğini seçip Create butonu ile politikayı oluşturmaya başlayalım.
Resim-3
Basics ekranında Name bölümünde profil adını girip Description bölümünde profil için kısa bir açıklama girebilirsiniz. Next butonu ile ilerleyelim.
Resim-4
Configuration Settings ekranında LAPS politikanız için bazı önemli ayarları yapılandırabilirsiniz. Backup Directory, yerel yönetici hesabı parolanızın hangi dizine yedekleneceğini yapılandırmak için bu ayarı kullanabilirsiniz. Yedekleme işleminde Disabled, Backup the password to Azure AD Only, Backup the password to the Active Directory, Not Configured ayarlarını yapınıza uygun olarak belirleyebilirsiniz.
Yedekleme dizinini Backup the password to Azure AD Only yedekleyecek şekilde yapılandırılacak şekilde ayarlayalım.
Resim-5
Password Age Days bölümünde yönetilen yerel yönetici hesabının parolasının maximum geçerlilik süresini bu bölümden ayarlayabilirsiniz. Varsayılan olarak bu ayar 30 gündür. Bu ayarın parolayı şirket için Active Directory’ye yedeklerden izin verilen değer minimum 1 gündür. Azure Active Directory’ye yedeklerken ise bu süre 7 gündür. Bu ayar için verilen maximum değer ise 365 gündür. Ben süreyi 30 gün olarak seçip ilerliyorum.
Administrator Account Name bölümünde yönetilen yerel yönetici hesabının adını yapılandırmak için bu ayarı kullanabilirsiniz. Bu ayar belirtilmezse varsayılan yerleşik yönetici hesabı bilinen bir SID’de bulunur. Intune, yerleşik yönetici hesabının adını bir yapılandırma politikası aracılığıyla değiştirmenizi sağlar. Yönetici hesabının adını değiştirmek zorunda değildir. Bu işlem tamamen sizin şirket politikanıza bağlı olarak değişir.
Resim-6
Password Complexity bölümünde yönetilen yerel yönetici hesabınızın parola karmaşıklığını yapılandırmanızı sağlar. Yerel yönetic hesabının parola karmaşıklığını ayarlamak için;
- Büyük Harfler
- Büyük Harfler+Küçük Harfler
- Büyük Harfler+Küçük Harfler+Sayılar
- Büyük Harfler+Küçük Harfler+Sayılar+Özel Karakterler
- Büyük Harfler+Küçük Harfler+Sayılar+Özel Karakterler(gelişitirilmiş okunabilirlik)
- Yapılandırılmadı(Not Configured)
olarak parola karmaşıklığını ayarlayabilirsiniz.
Password Length kısmında yönetilen yerel yönetici hesabının parolasının uzunluğunu yapılandırabilirsiniz. Parola uzunluğu herhangi bir değer belirtilmezse varsayılan olarak 14 karakter uzunluğunda olacaktır. Minimum parola uzunluğunu 8 karakter olarak belirleyebileceğiniz gibi maksimum parola uzunluğunu da 64 karakter olarak belirleyebilirsiniz.
Resim-7
Post Authentication Actions ayarı yapılandırma süresinin sona ermesinden sonra gerçekleşecek olan eylemleri belirlemek için kullanılır. Belirtilmezse bu ayar varsayılan olarak 3 olur. (Şifreyi sıfırlar ve yönetilen hesaptan çıkış yapar.) Aşağıdaki seçenekler arasından seçim yapılabilir.
-Şifreyi sıfırla
-Parolayı sıfırlanan ve yönetilen hesaptan çıkış yapın
-Şifreyi sıfırlayın ve yeniden başlatın
-Yapılandırılmadı
Post Authentication Reset Delay ayarı kimlik doğrulamasından sonra belirtilen kimlik doğrulama sonrası eylemleri gerçekleştirmeden önce beklenecek süreyi (saat cinsinden) belirleyebilirsiniz. Belirtilmezse bu ayar varsayılan olarak 24 saattir. Bu ayarın izin verilen minimum değeri sıfır saattir. (bu tür kimlik doğrulama sonrası eylemleri devre dışı bırakır.) Bu ayarın izin verilen maximum değeri 24 saattir. Intune LAPS politikamız için kimlik doğrulama sonrası sıfırlama gecikmesini 24 saat olarak konfigüre edip ilerleyelim.
Resim-8
Automatic Account Management Enabled bölümü Microsoft Intune üzerinde otomatik hesap yönetim bölümünü kapsamaktadır. Bu seçenek etkinleştirildiğinde hedef cihazlar üzerinde kullanıcı hesabı otomatik oluşturulup yönetilir. Enabled seçilirse sistem otomatik olarak bir yönetici hesabı oluşturur.
Automatic Account Management Enable Account kısmında ise, hesap oluşturulduğunda otomatik olarak etkinleştirilip etkinleştirilemeyeceğini belirler. “The target account will be enabled” seçilirse oluşturulan hesap aktif olur. Devre dışı bırakılırsa hesap oluşturulur ancak pasif durumda olur.
Automatic Account Management Randomize Name bölümünde oluşturulan hesabın adının rasgele sayılarla bitip bitmeyeceğini belirler. “The name of the target account will not use a random numeric suffix” seçeneği ile oluşturulan hesabın ismi sabit olur.
Automatic Account Management Target kısmında ise otomatik olarak yönetilecek hedef hesabın türünü belirler. “Manage a new custom Administrator account (Default) seçilirse özel bir yönetici hesabı oluşturulur ve yönetilir.
Automatic Account Management Name or Prefix bölümünde oluşturulacak yönetici hesabının adı veya ad için kullanılacak ön ek kullanılır.
Bu ayarlar özellikle şirket cihazlarının ilk kurulumu sırasında, her cihazda otomatik olarak bir yönetici hesabı oluşturmak için kullanılır. Böylece IT yöneticileri manuel işlem yapmadan her cihazda yönetim hesabı oluşturabilir.
LAPS ayarlarını yapılandırdıktan sonra politikayı Windows aygıtlarına atama işlemini gerçekleştirelim.
Windows aygıtlarında LAPS yapılandırma ayarlarını
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policy\LAPS altında Intune politikası ile alınan ayarları görebilirsiniz.
Resim-9
Intune LAPS politikalarının uygulanıp uygulanmadığını Event Viewer içerisinde 813 veya 814 ID’li olayları inceleyerek görebilirsiniz. v bu bölümde 10022 Event ID’yi kullanarak filtreleyebilirsiniz. Event ID 10022 Intune aracılığıyla geçerli Windows cihazınıza uyguladığınız LAPS politikası ayarlarını görebilirsiniz.
Resim-10
LAPS tarafından yönetilen Windows cihazlarda yerel yönetici parolasını alabileceğiniz üç yöntem bulunmaktadır. Intune Admin Center, Entra Admin Center ve Powershell kullanarak yerel yönetici parolalarına erişim sağlayabilirsiniz. Yerel yönetici hesaplarına erişmek için yerleşik Azure rollerinden (Global Administrator, Cloud Administrator veya Intune Administrator) en az birine sahip olması gereklidir.
Microsoft Intune Admin Center ekranında yönetilen yerel yönetici parolasını almak için Devices bölümünden Windows seçeneğini seçin. Bu ekranda yerel yönetici parolasını almak istediğiniz Windows cihazınıza tıklayıp “Show local administrator password” seçeneğini kullanarak yerel yönetici parolasına ulaşabilirsiniz. Varsayılan olarak parola güvenlik nedeniyle gizlenmiştir. Yönetici hesabının parolasını görüntülemek için yerel yönetici parolası bölmesinde Show butonuna tıklayarak parolaya düz metin olarak görebilirsiniz Copy butonu ile parolayı görmeden kopyalayabilirsiniz.
Resim-11
Entra Admin Center ekranını kullanarak ta yerleşik yönetici hesabı parolalarına ulaşabilirsiniz. Microsoft Entra Admin Center oturum açıp sırasıyla Identity, Devices, All Devices bölümüne gidin. Local Administrator password recovery kısmında yerel yönetici parolasını almak istediğiniz cihazın aratıp sonrasında “Show local Administrator password” seçeneğini seçip yerel yönetici parolasına erişebilirsiniz. Varsayılan olarak parola güvenlik nedeniyle gizlenmiştir. Yönetici hesabının parolasını görüntülemek için yerel yönetici parolası bölmesinde Show butonuna tıklayarak parolaya düz metin olarak görebilirsiniz Copy butonu ile parolayı görmeden kopyalayabilirsiniz.
Resim-12
Get-LapsAADPassword cmdlet’ini kullanarak yöneticilerin Microsoft Entra’ya katılmış bir cihazın LAPS parolalarını ve parola geçmişini almalarına olanak tanır. Bu işlemi yaparken Microsoft Graph’a sorgular göndererek işlemi gerçekleştirir. LAPS parolalarını sorgulamak için hesabın DeviceLocalCredential.ReadBasic.All ve DeviceLocalCredential.Read.All yetkilerine sahip olması gerekmektedir. Aşağıdaki komutu kullanarak istenilen cihazın LAPS parola bilgisine ulaşabilirsiniz.
Connect-MgGraph -TenantId tenantID -ClientId clientID
Get-LapsAADPassword -DeviceIds LAPSXXXXXX
Bazı durumlarda Windows 10 cihazlardaki LAPS politikasının çalışması için öncelikle cihaz içerinde lokal admin yetkisine sahip bir kullanıcı yaratılması gerekebilir. Sonrasında bu kullanıcı bilgisini kullanarak bu kullanıcı hesabı için LAPS politikası uygulayabilirsiniz. Windows 11 cihazlarda ise böyle bir gereksinim olmasına gerek kalmayabilir.
LAPS politikasını Intune aracılığıyla Windows cihazlarına uygulamak cihazların güvenliğini önemli ölçüde arttırır. Kurumlar, yerel yönetici parolalarını yönetmek için LAPS politikalarını uygulamak, yönetmek ve yönetimini merkezileştirmek için Intune’u kullanarak yetkisiz erişim riskini azaltabilir ve genel güvenlik seviyesini arttırabilirsiniz.
Faydalı Olması Dileğiyle….
Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Mobile Device Management, Microsoft Endpoint Manager Admin Center, Group Policy, System Center Configuraton Manager, Azure Active Directory, LAPS, Microsoft Entra ID, Global Administrator, Cloud Administrator, Intune Administrator, Password Complexity, Local Admin Password Solution