Windows PowerShell ve ADAudit Plus kullanarak LAPS parolasını denetleme

Yerel Yönetici Parola Çözümü (LAPS), rutin olarak değiştirilebilen güçlü, benzersiz parolalar atayarak ağ güvenliğinin artırılmasına yardımcı olmuştur. Ancak bu parolalar merkezi olarak Active Directory'de saklandığından, yetkisiz kullanıcıların da parola deposuna erişmesi ve herhangi bir iş istasyonunda oturum açması riski mevcuttur. LAPS'ın yerleşik bir denetim işlevi bulunmadığından, yerel yönetici parolalarına erişen kullanıcıları denetlemek için üçüncü taraf uygulamaların kullanılması gerekecektir.

Gerçek zamanlı bir AD denetim çözümü olan ManageEngine ADAudit Plus, yerel AD'de gerçekleştirilen işleme çok daha kolay bir alternatif sunar.

Bu makalede, LAPS parola erişimini Windows PowerShell ve ADAudit Plus kullanılarak denetlemenin yolları açıklanmaktadır.

Windows PowerShell'in Kullanımı

PowerShell, LAPS parola erişiminin denetimini ayarlayabilir. Bu, Active Directory'de LAPS parolalarına erişen kullanıcıları denetleyecek ve bilgiler, olay kimliği 4662 ile AD Olay Görüntüleyicisine kaydedilecektir.

PowerShell denetimi kurulumu için:

  • Denetlemeniz gereken etki alanını belirleyin.
  • AdmPwd.PS modülünü içe aktarın.
  • Kodu yazın. Bu bölümün sonuna örnek bir PowerShell komut dosyası eklenmiştir.
  • Komut dosyasını derleyin.
  • Bunu PowerShell'de yürütün.
  • Bu, denetim kurulumunu gerçekleştirecektir.

Burada örnek bir komut dosyası verilmiştir:

Set-AdmPwdAuditing -Identity:Clients -AuditedPrincipals:Everyone

ADAudit Plus Kullanarak

  • Parolalara erişen kullanıcılar hakkında bir rapor oluşturmak için ADAudit Plus konsolunda, Raporlar > LAPS Denetimleri > LAPS Parola Okuma öğesine tıklayın.
  • İlgili etki alanını ve OU'yu seçin.
  • Raporu listelenen farklı biçimlerde (CSV, PDF, HTML, CSVDE, XLSX) dışa aktarmak için Dışa Aktar öğesine tıklayın.

LAPS Parola Raporları, seçilen zaman diliminde parolalar erişen kullanıcıları sergiler. Yalnızca küçük bir yetkili kullanıcı grubunun, genellikle de ağ yöneticilerinin parolalara erişmesine izin verilir. Raporun düzenli olarak kontrol edilmesi, yalnızca belirlenen kullanıcıların bilgilere erişmesini sağlamaya yardımcı olabilir.

Burada örnek bir rapor bulabilirsiniz:

powershell-set-admpwdauditing-1

LAPS'yi denetlemek için PowerShell kullanmanın sınırlamaları aşağıdaki gibidir:

  • PowerShell yalnızca denetimi etkinleştirebilir. Raporu kendisi sağlamaz.
  • Bu yöntem, denetim için birden fazla uygulamanın kullanılmasını gerektirir. Yöneticilerin, LAPS parolasına erişen kullanıcılar hakkında bilgi almak için PowerShell'de denetimi etkinleştirmesi ve Olay Görüntüleyicisine bakması gerekir. Olay Görüntüleyicisi ile dahi tüm LAPS parola erişimlerini tek bir rapor halinde kapsamlı bir şekilde görüntülemek mümkün değildir. Tüm olayları inceleyerek manuel olarak elemek zaman alıcı bir iştir.

ADAudit Plus ağı sürekli olarak denetleyen ve tüm AD nesneleri için önceden pakete dahil edilmiş raporları oluşturan bir Active Directory denetimi ve raporlaması aracıdır. Ayrıca ağda şüpheli etkinliklerin olması halinde gerçek zamanlı uyarılar oluşturur. LAPS için ayrı bir bölümü vardır ve gerektiğinde hızlıca bir rapor oluşturabilir.

  • Karmaşık PowerShell komut dosyalarından kaçının ve ADAudit Plus ile AD değişiklik denetimini basitleştirin
  • Ücretsiz Denemenizi Alın

İlgili Kaynaklar