Windows LAPS Configuration Guide – Modern LAPS Yönetimi
Windows LAPS Configuration Guide, Windows cihazlarında yerel yönetici parolalarının modern, güvenli ve merkezi bir çözümle yönetilmesine yönelik yapılandırma adımlarını, en iyi uygulamaları ve kurumsal güvenlik standartlarını kapsayan profesyonel bir rehberdir. Windows Local Administrator Password Solution (LAPS), Microsoft’un Zero Trust mimarisine uyumlu olarak geliştirdiği, cihaz güvenliğini doğrudan etkileyen kritik bir bileşendir.
Modern LAPS sürümü, hem Microsoft Entra ID (Azure AD) hem de On-Premises Active Directory ile entegre çalışarak hibrit ortamlarda parola korumasını güçlendirir. Bu nedenle Windows LAPS, kurumlarda lateral movement, credential harvesting ve privilege escalation risklerini azaltmak için temel güvenlik katmanlarından biri olarak kabul edilir.
Windows LAPS Neden Kritik Öneme Sahiptir?
Kurumsal ağlardaki en yaygın saldırı yöntemlerinden biri, paylaşılan veya değiştirilmeyen yerel yönetici hesaplarının kötüye kullanılmasıdır. Windows LAPS aşağıdaki yeteneklerle bu riskleri etkin şekilde azaltır:
Temel yetenekler
Cihaz bazlı benzersiz yerel yönetici parolası üretme
Parolaları belirli aralıklarla otomatik olarak döndürme
Parolaların AD veya Azure AD üzerinde şifreli ve güvenli depolanması
Entra ID RBAC ile yetkilendirilmiş erişim kontrolü
Intune ile bulut tabanlı merkezi yönetim
PowerShell ile gelişmiş otomasyon ve doğrulama
Eski LAPS sürümüne göre modern Windows LAPS daha kapsamlı, daha güvenli ve Microsoft’un güncel güvenlik standartlarına tamamen uyumludur.
Yeni Nesil Windows LAPS ile Gelen Gelişmiş Özellikler
Microsoft’un modern LAPS sürümü aşağıdaki avantajları kurumlara sunar:
Cloud backup (Azure AD/Entra ID) desteği
Intune Endpoint Security üzerinden yerel yöneticinin tamamen politikalarla yönetilmesi
Post Authentication Actions (ör. hesabı devre dışı bırakma, parola sıfırlama)
Hybrid Azure AD Join cihazlar için uyumluluk
PowerShell cmdlet’leriyle otomatik raporlama
Geriye dönük klasik LAPS desteği
Önkoşullar ve Uyumluluk Gereksinimleri
| Gereksinim | Açıklama |
|---|---|
| İşletim Sistemi | Windows 11 22H2+, Windows Server 2022+ |
| Directory Servisi | Microsoft Entra ID veya On-Prem AD |
| Yönetim | Microsoft Intune, GPO |
| PowerShell | PowerShell 7.x önerilir |
| Cihaz Durumu | Azure AD Join veya Hybrid Join |
Bölüm 1 – Intune ile Windows LAPS Configuration Guide
Modern organizasyonların çoğu, LAPS yönetimini Intune üzerinden gerçekleştirmektedir. Bu yöntem, bulut tabanlı yapılar için en hızlı ve en güvenli tercih olarak öne çıkar.
A. Intune’da Politika Oluşturma
Microsoft Intune Admin Center → Endpoint Security → Account Protection
Create Policy → Windows LAPS (Local Administrator Password Solution)
Politika ayarlarını aşağıdaki şekilde yapılandırın:
Önerilen kurumsal LAPS yapılandırma
Backup directory: Azure AD
Password age: 30 gün
Password complexity: High
Administrator account name: Administrator
Post authentication actions: Reset password on logon
Enable password encryption: Enabled
Bu yapılandırma, kurum içi siber güvenlik standartlarıyla uyumlu en güçlü konfigürasyonlardan biridir.
B. Politikayı Cihaz Grubuna Atama
Politikayı pilot cihaz grubuna atayın, ardında tüm üretim cihazlarına genişletin.
C. Doğrulama Adımları
Event Viewer → Microsoft → Windows → LAPS
Intune Device → Local Administrator Password bölümünden parola durumunu görüntüleme
PowerShell ile server-side kontrol
Bölüm 2 – Group Policy ile Windows LAPS Configuration Guide (On-Prem AD)
On-prem ortam kullanan kuruluşlar için LAPS GPO yönetimi geçerliliğini korur.
A. LAPS GPO Kurulumu
Yönetim sunucusuna LAPS.msi yüklenir
Group Policy Management Console açılır
Yeni bir GPO oluşturulur
B. LAPS GPO Ayarları
Enable local admin password management
Password settings (length, complexity, age)
Name of managed administrator account
AD schema extension gerekiyorsa yürütülür
C. GPO Uygulama
OU’ya bağlanır
İstemcilerde:
PowerShell ile LAPS Doğrulama
Cihaz parolasını sorgulama:
Parolayı zorunlu döndürme:
Azure AD üzerinden parola alma:
En İyi Kurumsal Uygulamalar
Microsoft’un güvenlik ekipleri tarafından önerilen kurumsal en iyi uygulamalar:
Parola rotasyonunu en fazla 30 gün olacak şekilde ayarlayın
Parola görüntüleme yetkilerini RBAC ile sınırlandırın
Azure AD audit loglarını düzenli olarak izleyin
Cihaz uyumluluğunu Intune Compliance Policies ile ilişkilendirin
SOC ekipleri için LAPS erişim izleme dashboardu oluşturun
OT/IoT ortamlarında LAPS kullanımı için özel hesap tanımı yapın
Windows LAPS Configuration Guide, kuruluşların yerel yönetici parolalarını modern güvenlik standartlarıyla yönetmesini sağlayan kritik bir yapıdır. Intune ve GPO entegrasyonu sayesinde hem bulut hem yerel yapılar için güçlü, ölçeklenebilir ve güvenli bir çözüm sunar. Kurumsal güvenlikte LAPS artık opsiyonel bir bileşen değil, zorunlu bir gerekliliktir.
