LAPS ile Local Admin Parolalarını Güvenceye Alma

LAPS (Local Administrator Password Solution), Active Directory ortamlarında lokal admin hesaplarının güvenliğini sağlamak için geliştirilmiş bir Microsoft çözümüdür. Her bilgisayar için benzersiz, otomatik değiştirilmiş parolalar oluşturur ve merkezi olarak AD’de saklar. Bu rehberde, LAPS kurulumu, konfigürasyonu ve en iyi uygulamaları adım adım anlatıyoruz.

1. LAPS Kurulumu

Microsoft’un resmi sitesinden LAPS MSI paketini indirin.
Domain Controller ve yönetim iş istasyonlarına MSI kurulumunu yapın.
Yönetim konsolunu (LAPS UI) ve PowerShell modülünü yükleyin.

2. AD Schema Genişletme

Domain’e LAPS attribute’larını ekleyin: (Powershell)

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

Schema değişikliğinin tüm DC’lere replike olduğundan emin olun.

3. GPO ile LAPS Uygulaması

Yeni bir Group Policy Object (GPO) oluşturun.
Bilgisayar yapılandırması → Policies → Administrative Templates → LAPS yolunu takip edin.
“Enable local admin password management” seçeneğini etkinleştirin.
Parola karmaşıklığını ve değişim periyodunu belirleyin (örn. 30 gün).

4. Parola Görüntüleme ve Yönetim

PowerShell ile belirli bir bilgisayarın admin parolasını görüntüleyin: (Powershell)

Get-AdmPwdPassword -ComputerName "BilgisayarAdi"

Centralized AD attribute üzerinden yetkili kullanıcılar parolayı görebilir.

5. En İyi Uygulamalar

LAPS hesaplarını sadece yetkili kullanıcılar görebilir şekilde sınırlandırın.
Parola değişim periyodunu iş ihtiyaçlarına göre optimize edin.
Düzenli olarak log ve denetim raporları oluşturun.
LAPS’ı Tier-0 varlıklar ve kritik sunucular için mutlaka uygulayın.

Sonuç / Özet:

LAPS, AD ortamındaki lokal admin hesaplarını merkezi ve güvenli bir şekilde yönetmenizi sağlar. Düzenli yapılandırma ve izleme ile olası saldırıları önler ve parola yönetimini otomatikleştirir.