Windows LAPS Configuration Guide – Modern LAPS Yönetimi

Windows LAPS Configuration Guide, Windows cihazlarında yerel yönetici parolalarının modern, güvenli ve merkezi bir çözümle yönetilmesine yönelik yapılandırma adımlarını, en iyi uygulamaları ve kurumsal güvenlik standartlarını kapsayan profesyonel bir rehberdir. Windows Local Administrator Password Solution (LAPS), Microsoft’un Zero Trust mimarisine uyumlu olarak geliştirdiği, cihaz güvenliğini doğrudan etkileyen kritik bir bileşendir.

Modern LAPS sürümü, hem Microsoft Entra ID (Azure AD) hem de On-Premises Active Directory ile entegre çalışarak hibrit ortamlarda parola korumasını güçlendirir. Bu nedenle Windows LAPS, kurumlarda lateral movement, credential harvesting ve privilege escalation risklerini azaltmak için temel güvenlik katmanlarından biri olarak kabul edilir.

Windows LAPS Neden Kritik Öneme Sahiptir?

Kurumsal ağlardaki en yaygın saldırı yöntemlerinden biri, paylaşılan veya değiştirilmeyen yerel yönetici hesaplarının kötüye kullanılmasıdır. Windows LAPS aşağıdaki yeteneklerle bu riskleri etkin şekilde azaltır:

Temel yetenekler

• Cihaz bazlı benzersiz yerel yönetici parolası üretme

• Parolaları belirli aralıklarla otomatik olarak döndürme

• Parolaların AD veya Azure AD üzerinde şifreli ve güvenli depolanması

• Entra ID RBAC ile yetkilendirilmiş erişim kontrolü

• Intune ile bulut tabanlı merkezi yönetim

• PowerShell ile gelişmiş otomasyon ve doğrulama

Eski LAPS sürümüne göre modern Windows LAPS daha kapsamlı, daha güvenli ve Microsoft’un güncel güvenlik standartlarına tamamen uyumludur.

Yeni Nesil Windows LAPS ile Gelen Gelişmiş Özellikler

Microsoft’un modern LAPS sürümü aşağıdaki avantajları kurumlara sunar:

• Cloud backup (Azure AD/Entra ID) desteği

• Intune Endpoint Security üzerinden yerel yöneticinin tamamen politikalarla yönetilmesi

• Post Authentication Actions (ör. hesabı devre dışı bırakma, parola sıfırlama)

• Hybrid Azure AD Join cihazlar için uyumluluk

• PowerShell cmdlet’leriyle otomatik raporlama

• Geriye dönük klasik LAPS desteği

Önkoşullar ve Uyumluluk Gereksinimleri

Bölüm 1 – Intune ile Windows LAPS Configuration Guide

Modern organizasyonların çoğu, LAPS yönetimini Intune üzerinden gerçekleştirmektedir. Bu yöntem, bulut tabanlı yapılar için en hızlı ve en güvenli tercih olarak öne çıkar.

A. Intune’da Politika Oluşturma

1. Microsoft Intune Admin Center → Endpoint Security → Account Protection

2. Create Policy → Windows LAPS (Local Administrator Password Solution)

3. Politika ayarlarını aşağıdaki şekilde yapılandırın:

Önerilen kurumsal LAPS yapılandırma

• Backup directory: Azure AD

• Password age: 30 gün

• Password complexity: High

• Administrator account name: Administrator

• Post authentication actions: Reset password on logon

• Enable password encryption: Enabled

Bu yapılandırma, kurum içi siber güvenlik standartlarıyla uyumlu en güçlü konfigürasyonlardan biridir.

B. Politikayı Cihaz Grubuna Atama

Politikayı pilot cihaz grubuna atayın, ardında tüm üretim cihazlarına genişletin.

C. Doğrulama Adımları

• Event Viewer → Microsoft → Windows → LAPS

• Intune Device → Local Administrator Password bölümünden parola durumunu görüntüleme

• PowerShell ile server-side kontrol

Bölüm 2 – Group Policy ile Windows LAPS Configuration Guide (On-Prem AD)

On-prem ortam kullanan kuruluşlar için LAPS GPO yönetimi geçerliliğini korur.

A. LAPS GPO Kurulumu

1. Yönetim sunucusuna LAPS.msi yüklenir

2. Group Policy Management Console açılır

3. Yeni bir GPO oluşturulur

B. LAPS GPO Ayarları

• Enable local admin password management

• Password settings (length, complexity, age)

• Name of managed administrator account

• AD schema extension gerekiyorsa yürütülür

C. GPO Uygulama

• OU’ya bağlanır

• İstemcilerde:

  gpupdate /force

PowerShell ile LAPS Doğrulama

Cihaz parolasını sorgulama:

Get-LapsADPassword -Identity PC001

Parolayı zorunlu döndürme:

Reset-LapsPassword -Identity PC001

Azure AD üzerinden parola alma:

Get-LapsAADPassword -DeviceName "PC001"

En İyi Kurumsal Uygulamalar

Microsoft’un güvenlik ekipleri tarafından önerilen kurumsal en iyi uygulamalar:

• Parola rotasyonunu en fazla 30 gün olacak şekilde ayarlayın

• Parola görüntüleme yetkilerini RBAC ile sınırlandırın

• Azure AD audit loglarını düzenli olarak izleyin

• Cihaz uyumluluğunu Intune Compliance Policies ile ilişkilendirin

• SOC ekipleri için LAPS erişim izleme dashboardu oluşturun

• OT/IoT ortamlarında LAPS kullanımı için özel hesap tanımı yapın

Windows LAPS Configuration Guide, kuruluşların yerel yönetici parolalarını modern güvenlik standartlarıyla yönetmesini sağlayan kritik bir yapıdır. Intune ve GPO entegrasyonu sayesinde hem bulut hem yerel yapılar için güçlü, ölçeklenebilir ve güvenli bir çözüm sunar. Kurumsal güvenlikte LAPS artık opsiyonel bir bileşen değil, zorunlu bir gerekliliktir.

Daha Fazla Bilgi

• Microsoft Learn: Windows LAPS Overview

• Microsoft Learn: Intune Account Protection Policies