Local Administrator Password Solution

Bumerang - Yazarkafe

Microsoft LAPS’e Giriş;

Mayıs 2014 de Group Policy Preferences da CPassword’lerin kullanıldığında kolayca decrypted edildiği yayınlandı, Organizasyonlar istemci lokal hesapların şifrelerinin yönetiminde başka bir yol olmadığından dolayı Microsoft Local Administrator Password Solution, ya da kısa adıyla LAPS çözümünü duyurdu. Şirketler bu yöntemle lokal Administrator şifrelerini  güvenle yönetebilmektedir. Bu makalede, CPassword güvenlik açığını ve local yönetici hesapların parolalarını yönetmek için LAPS’ı ele alacağım.

İstemci ve Sunucu üzerindeki Lokal Administrator hesapları bugün halen bir çok büyük organizasyonlar için bir zorunluluktur. Bu hesaplara genellikle yönetim amaçları için ihtiyaç duyulmaktadır. Network problemleri ya da active directory’e erişemediği durumlarda BT ekipleri için bir arka kapı niteliğindedir.

Bu hesaplarla ilgili sorun, çoğunlukla işletim sistemi kurulumu esnasında şifrelerinin verilmesi ve bir daha değiştirilmemesidir. Daha kötüsü, aynı şifre onlarca hatta yüzlerce bilgisayarlar için kullanılabiliyor olmasıdır. Bu durum, bir saldırganın bu şifreyi ele geçirmesi durumunda organizasyondaki yüzlerce sisteme izinsiz erişim kazanması demektir.

Group Policy Tercihleri ile Administrator Şifrelerinin Yönetimi,

Geçmişte, bir active directory domainine üye olan bilgisayarlar için Group Policy tercihleri ile lokal administrator hesaplarının şifrelerinin güncellenmesi mümkündü. Group Policy Yönetim Konsolunda (GPMC) Group Policy Object (GPO) üzerine sağ tuş sonrasında Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups sırasıyla tıklayın. Sağ tuş’a tıklayın ve sağda açılan alanda New > Local User tıklayın.

New Local User Properties Penceresinde Administrator (built-in) alanında kullanıcı Adı’nı değiştirebilirsiniz ancak Password ve Password Confirm alanlarının gri geldiğini hızlıca fark edebilirsiniz.

sistemdestegi.com laps

 

Mayıs 2014 te güvenlik tavsiyesi olarak Group Policy Preferences da password depolaması için  MS14-025 yayınladı. CPassword özniteliğini kullanan bu parolalar, kolayca geri alınabilen bir şifreleme kullanır.

Bunun anlamı,  Sysvol klasörüne (AD’deki herkes) erişimi olan herhangi bir kullanıcının, CP parolalarını içeren herhangi bir GPO’yu çekebileceği anlamına gelir. Kolayca şifrelemeyi decrypt yaparak Grup İlkesi Tercihleri kullanılarak değiştirilen yerel hesapların (Yönetici hesapları dahil) parolalarını öğrenebilir.

Ek olarak parola değişikliği sistemlerin tüm Kuruluş Birimleri’ne (OU’lar) iletilir, saldırgan ayarlarını GPO’dan alan tüm sistemlerin parolasını anında öğrenebilir. Bundan dolayı lokal yönetici hesapların parolalarını yönetmek için Grup İlkesi Tercihleri’ni kullanmayın. MS14-025 güvenlik uyarısı, yerel kullanıcı hesabı parolalarını güncellemek için Grup İlkesi Tercihleri’ni kullanma olanağını devre dışı bırakan bir güncelleştirme içerir.

LAPS’a Giriş

Bu sorununu çözümü için Microsoft 1 Mayıs 2015’te LAPS’ı duyurdu. LAPS, domain dahil edilmiş bilgisayarlarda yerel Yönetici şifresini (randomize, benzersiz ve düzenli olarak değiştirilir) yönetmenizi sağlar. Bu parolalar merkezi olarak Active Directory’de saklanır ve ACL’leri kullanarak yetkili kullanıcılarla sınırlandırır. Şifreler, Kerberos v5 ve AES’yi kullanarak istemciden sunucuya transit olarak korunur.

LAPS_sistemdestegi.com

LAPS Gereksinimleri

LAPS .Net Framework 4.0 ve PowerShell 2.0 ya da daha yükseği gereklidir. Server sistemler üzerinde LAPS Lokal Administrator hesapların parolalarını yönetecek ise Windows Server 2003 SP1 ya da üstü olmalıdır. İstemci işletim sistemlerinde ise Windows Vista SP2 ya da üstü çalışması zorunludur.(Windows XP işletim sistemi desteği bulunmamaktadır.) Lokal Administrator hesapların şifrelerini yönetmek için tüm istemci ve sunucu işletim sistemlerinde Group Policy client side extension içerisinde bir MSI yüklenmek zorundadır.

Active Directory ortamınızda en az Windows Server 2003 SP1 çalışıyor olması ve ms-Mcs-AdmPwd ve ms-Mcs-AdmPwdExpirationTime niteliklerini eklemek için LAPS’yi desteklemek üzere bir şema güncelleştirmesi gerektirecektir. Bu öznitelikler, yerel yönetici parolasını ve parolanın son kullanım süresini depolamak için kullanılır.

LAPS Kısıtlılığı

Laps’ın en büyük kısıtlılığı Active Directory Schema’ının güncelleme ihtiyacıdır. Bazı organizasyonlar için bu bir sorun değildir. Fakat diğer organizasyonlar için bir schema değişikliğinin onaylanması ve test edilmesi zor bir değişiklik kontrol süreci olabilir.

LAPS’ın yalnızca etki alanına dahil edilen sistemlerin lokal administrator hesaplarının parolalarını ya da kendi lokal administrator hesabınızı oluşturduysanız yönetir. (aynı zamanda adı değiştirilmiş olan local administrator hesabının parolasını yönetebilirsiniz ). Eğer makine etki alanına dahil edilmemişze LAPS’ı kullanamazsınız. LAPS ayrıca diğer lokal servis hesaplarını yönetemez. Örneğin SQL ya da zamanlandırılmış task’lar gibi.

İş istasyonlarınız ve istemcileriniz için lokal yönetici hesaplarında şifrelerin düzenli aralıklara otomatik olarak değiştirilmesini, yönetilmesini istiyorsanız Microsoft Local Administrator Password Solution (LAPS) çözümü ücretsiz ve kuruluşunuz için kolay kullanımlı bir seçenektir. Bu serinin sonraki bölümünde LAPS için Active Directory ortamınızı kurmayı ele alacağız.