Windows LAPS ile Local Admin Parola Rotasyonu (AD/Entra)

Kurumsal ortamlarda en sık gördüğüm sessiz risklerden biri şudur: aynı local admin parolası (veya aynı imajdan çoğalmış hesap) onlarca/ yüzlerce makinede yaşar. Bir noktada tek bir cihaz düşer, parola alınır ve saldırgan “aynı anahtarla” yatayda yürür.

LAPS (Local Administrator Password Solution) bunun için çok pratik bir savunmadır: her makine için local admin parolası benzersiz ve süreli olur, erişim ise yetki + audit ile yönetilir.

Hedef tasarım: LAPS’i “güvenli operasyon” olarak kur

Başarılı kurulumun bileşenleri:

• Ring rollout: pilot OU → kademeli genişleme
• Okuma yetkisi: Helpdesk/ops herkes değil, role-based gruplar
• Süre: 7–30 gün (kritik sunucularda daha kısa)
• Audit: parolayı kim okudu, ne zaman okudu, hangi biletle?
• Break-glass: LAPS yokken “acil erişim” modeli ayrı olsun

1) AD tabanlı LAPS (Windows LAPS) için hazırlık

Kurumda iki dünyayı ayır:

• Workstation LAPS: uç kullanıcı cihazları (daha sık rotasyon)
• Server LAPS: sunucular (değişiklik etkisi daha yüksek; ring daha kontrollü)

Yetki modeli (öneri)

• Parola okuyabilen grup: GRP-LAPS-READ-SERVERS / GRP-LAPS-READ-WKS
• Parola sıfırlayabilen grup (ops): GRP-LAPS-RESET
• GPO yönetimi: GRP-GPO-ADMINS

2) GPO ile etkinleştirme (pilot)

Pilot OU’da şu prensiplerle başla:

• Sadece belirli bir local admin hesabı hedefle (kurum standardı)
• Parola uzunluğu ve karmaşıklığı standardize et
• Rotation interval: ör. 14 gün (pilot), sonra 7/30 gün

İstemci kırılmasın diye ilk etapta:

• domain join olmayan cihazları kapsam dışı bırak
• kritik otomasyon hesaplarını (eski script’ler) tespit et

3) Delegasyon: “kim parolayı görebilir?”

En büyük hata: “Helpdesk grubu görebilir” deyip yüzlerce kişiye okumayı açmak.

Pratik yaklaşım:

1. Helpdesk sadece workstation LAPS görür (sunucular değil)
2. Sunucu LAPS okumayı sadece L3 ops / incident commander / platform ekibine ver
3. Okuma her zaman ticket ile ilişkilendir (prosedür + denetim)

4) Audit ve operasyon disiplini

Minimum denetim hedefleri:

• LAPS parolasını okuyan event’lerin merkezi log’a akması
• “parola okundu” olayı çıktığında ilgili ticket/incident ile ilişki
• Şüpheli durum: aynı kişi kısa sürede çok sayıda makinenin parolasını okuyorsa alarm

5) Entra/Intune tarafı (cihaz yönetimi olan kurumlar)

Eğer uç cihazları MDM ile yönetiyorsan:

• LAPS politikasını Intune üzerinden dağıt
• Parola erişimini role-based scope ile sınırla
• “Cihaz kayboldu / çalındı” senaryosu için parola okuma ve reset süreçlerini ayır

Runbook: “Bir sunucuya acil local admin erişimi gerekti”

Üretimde en kritik an burasıdır. Benim sahada sevdiğim akış:

1. Ticket/incident aç (owner + süre)
2. LAPS parolası okunur (okuma log’u SIEM’e düşer)
3. Erişim sağlanır, iş tamamlanır
4. İş bitince hemen rotate tetiklenir (süre beklenmez)
5. Post-action: “neden local admin gerekti?” kök neden notu düşülür

Sonuç

Windows LAPS ile local admin parolası, kurumsal ölçekte “paylaşılan sır” olmaktan çıkar; süreli ve denetlenebilir bir erişim bileşenine dönüşür. Doğru rollout, doğru delegasyon ve sağlam audit ile LAPS; özellikle ransomware ve kimlik sızıntısı sonrası yatay hareket riskini ciddi biçimde düşüren, düşük maliyetli bir güvenlik standardıdır.