Microsoft, yakın zamanda eklenen Windows Yerel Yönetici Parola Çözümü (LAPS) özelliği ile eski LAPS ilkeleri arasındaki birlikte çalışabilirlik hatasını araştırmaktadır.
Windows LAPS, yöneticilerin Azure Active Directory’ye katılmış veya Windows Server Active Directory’ye katılmış cihazlarda yerel yönetici hesapları için parolaları otomatik olarak döndürerek ve AD etki alanı denetleyicilerine yedekleyerek yönetmesine yardımcı olur.
Bu ayın Salı Yaması sırasında Microsoft, Windows LAPS’nin Windows 10, Windows 11 ve Windows Server 2019 veya daha yeni sürümlere entegrasyonunu duyurdu.
Ancak duyurudan günler sonra şirket, Nisan 2023 güncellemelerinin uygulanmasının hem eski LAPS’yi hem de yeni piyasaya sürülen Windows LAPS’yi bozacağına dair raporları doğruladı.
“Sürücüde eski bir LAPS birlikte çalışma hatası var. [..] 11 Nisan 2023 güncellemesi. Eski LAPS GPO CSE’yi 11 Nisan 2023 güvenlik güncelleştirmesi ve uygulanmış bir eski LAPS ilkesi ile yamalı bir makineye yüklerseniz, hem Windows LAPS hem de eski LAPS bozulur” diye açıklıyor Microsoft.
“Belirtiler, Windows LAPS olay günlüğü kimlikleri 10031 ve 10032’nin yanı sıra eski LAPS olay kimliği 6’yı içerir. Microsoft bu sorun için bir düzeltme üzerinde çalışıyor.”
Bu soruna yönelik bir düzeltme bulunana kadar Microsoft, yöneticilerin şirket içi Active Directory senaryolarında LAPS işlevselliğini geri yüklemesine yardımcı olacak bir geçici çözüm paylaştı.
Bu, eski LAPS’nin kaldırılmasını veya HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State kayıt defteri anahtarı altındaki tüm kayıt defteri değerlerinin silinmesini gerektirir.
Neden Windows LAPS’a geçmelisiniz?
Microsoft, LAPS’nin artık bir gelen kutusu özelliği olarak Windows’a yerel olarak entegre edildiğini ve standart Windows düzeltme eki işlemleriyle bakımdan geçeceğini söylüyor.
Microsoft, “11 Nisan 2023 güvenlik güncelleştirmesinden başlayarak, şirket içi AD senaryoları için yeni yetenekler ve yakında sunulacak Azure Active Directory avantajları (şu anda özel önizlemede) ile yerel olarak Windows’a tümleştirilmiştir” diyor.
“Yeni özelliklerden bazıları arasında zengin ilke yönetimi, otomatik döndürme, özel olay günlüğü, yeni PowerShell modülü, hibrit birleştirilmiş destek ve daha fazlası yer alıyor.”
Yeni özelliklerin eklenmesinin yanı sıra, yerel yönetici hesabı parolalarını düzenli olarak döndürmek ve yedeklemek için Windows LAPS kullanmak da bir güvenlik artışı sağlar:
- Karma geçiş ve yanal geçiş saldırılarına karşı koruma
- Uzak yardım masası senaryoları için geliştirilmiş güvenlik
- Başka türlü erişilemeyen cihazlarda oturum açma ve bu cihazları kurtarma yeteneği
- Windows Server Active Directory’de depolanan parolaların güvenliğini sağlamak için ayrıntılı bir güvenlik modeli (erişim kontrol listeleri ve isteğe bağlı parola şifreleme)
- Azure Active Directory’de depolanan parolaların güvenliğini sağlamak için Azure rol tabanlı erişim denetimi modeli desteği