Vynucení místní ochrany Azure AD heslem pro Active Directory Domain Services

Azure AD ochrana heslem detekuje a blokuje známá slabá hesla a jejich varianty a může také blokovat další slabé termíny specifické pro vaši organizaci. Místní nasazení služby Azure AD Password Protection používá stejné globální a vlastní seznamy zakázaných hesel, které jsou uložené v Azure AD, a provádí stejné kontroly místních změn hesel jako Azure AD pro cloudové změny. Tyto kontroly se provádějí během změn hesel a událostí resetování hesel u řadičů domény služby Místní Active Directory Domain Services (AD DS).

Principy návrhu

Azure AD ochrana heslem je navržena s následujícími principy:

  • Řadiče domény (DCS) nikdy nemusí komunikovat přímo s internetem.
  • Na řadičích domény nejsou otevřeny žádné nové síťové porty.
  • Nejsou vyžadovány žádné změny schématu služby AD DS. Software používá existující kontejner AD DS a objekty schématu serviceConnectionPoint .
  • Můžete použít jakoukoli podporovanou úroveň funkčnosti domény nebo doménové struktury služby AD DS.
  • Software nevytvoří ani nevyžaduje účty v doménách služby AD DS, které chrání.
  • Hesla pro vymazání textu uživatele nikdy neopustí řadič domény, a to buď během operací ověření hesla, nebo kdykoliv jindy.
  • Software není závislý na dalších funkcích Azure AD. Například Azure AD synchronizaci hodnot hash hesel (PHS) nesouvisí ani nevyžaduje pro Azure AD ochranu heslem.
  • Přírůstkové nasazení se podporuje, ale zásady hesel se vynucuje jenom v případě, že je nainstalovaný agent řadiče domény (DC Agent).

Přírůstkové nasazení

Azure AD Ochrana heslem podporuje přírůstkové nasazení napříč řadiči domény služby AD DS. Je důležité pochopit, co to skutečně znamená a co jsou kompromisy.

Software agenta dc pro ochranu hesel Azure AD může ověřit hesla jenom v případě, že je nainstalovaný v řadiči domény, a pouze pro změny hesla, které se odesílají do daného řadiče domény. Není možné řídit, které řadiče domény jsou zvoleny klientskými počítači s Windows pro zpracování změn hesla uživatele. Aby bylo možné zaručit konzistentní chování a univerzální Azure AD vynucování zabezpečení ochrany heslem, musí být software agenta DC nainstalovaný na všech řadičích domény.

Mnoho organizací chce pečlivě otestovat Azure AD ochranu heslem na podmnožině svých počítačů před úplným nasazením. Pokud chcete tento scénář podporovat, Azure AD ochrana heslem podporuje částečné nasazení. Software agenta DC na daném řadiči domény aktivně ověřuje hesla, i když ostatní řadiče domény v doméně nemají nainstalovaný software agenta DC. Částečná nasazení tohoto typu nejsou zabezpečená a nedoporučuje se jinak než pro účely testování.

Diagram architektury

Před nasazením Azure AD ochrany heslem v místním prostředí AD DS je důležité pochopit základní koncepty návrhu a funkce. Následující diagram ukazuje, jak společně fungují komponenty Azure AD ochrana heslem:

Spolupráce komponent ochrany hesel Azure AD

  • Služba proxy Azure AD heslem běží na libovolném počítači připojeném k doméně v aktuální doménové struktuře služby AD DS. Primárním účelem služby je předat žádosti o stažení zásad hesel z řadičů domény do Azure AD a poté vrátit odpovědi z Azure AD do řadiče domény.
  • Knihovna DLL filtru hesel agenta ŘADIČE domény přijímá žádosti o ověření hesla uživatele z operačního systému. Filtr je přeposílá do služby agenta ŘADIČE domény, která je spuštěná místně v řadiči domény.
  • Služba agenta řadiče domény Azure AD Ochrana heslem přijímá žádosti o ověření hesla z knihovny DLL filtru hesel agenta ŘADIČE domény. Služba agenta DC je zpracovává pomocí aktuálních (místně dostupných) zásad hesel a vrátí výsledek předání nebo selhání.

Jak funguje Azure AD ochrana heslem

Místní Azure AD součásti ochrany heslem fungují takto:

  1. Každá Azure AD instanci služby Proxy pro ochranu heslem inzeruje do řadičů domény v doménové struktuře vytvořením objektu serviceConnectionPoint ve službě Active Directory.

    Každá služba agenta ŘADIČE domény pro Azure AD Ochrana heslem také vytvoří objekt serviceConnectionPoint ve službě Active Directory. Tento objekt se používá především pro vytváření sestav a diagnostiku.

  2. Služba agenta DC zodpovídá za iniciování stahování nových zásad hesel z Azure AD. Prvním krokem je vyhledání služby proxy Azure AD ochrany heslem dotazováním doménové struktury pro objekty proxy serviceConnectionPoint.

  3. Když se najde dostupná proxy služba, agent řadiče domény odešle žádost o stažení zásad hesel do proxy služby. Služba proxy zase odešle požadavek na Azure AD a pak vrátí odpověď na službu agenta řadiče domény.

  4. Jakmile služba agenta ŘADIČE domény obdrží nové zásady hesel z Azure AD, uloží tato služba zásadu do vyhrazené složky v kořenové složce sdílené složky sysvol domény. Služba agenta DC také monitoruje tuto složku v případě, že se novější zásady replikují z jiných služeb agenta DC v doméně.

  5. Služba agenta řadiče domény vždy vyžaduje novou zásadu při spuštění služby. Po spuštění služby agenta DC zkontroluje věk aktuální místní dostupné zásady hodinově. Pokud je zásada starší než jedna hodina, agent řadiče domény požádá o novou zásadu z Azure AD prostřednictvím proxy služby, jak je popsáno výše. Pokud aktuální zásada není starší než jedna hodina, agent řadiče domény tuto zásadu dál používá.

  6. Když řadič domény přijme události změny hesla, použije se zásada uložená v mezipaměti k určení, jestli je nové heslo přijato nebo odmítnuto.

Klíčové aspekty a funkce

  • Kdykoli se stáhnou Azure AD zásady hesel ochrany heslem, jsou zásady specifické pro tenanta. Jinými slovy, zásady hesel jsou vždy kombinací globálního seznamu zakázaných hesel Microsoftu a seznamu zakázaných hesel pro jednotlivé tenanty.
  • Agent řadiče domény komunikuje se službou proxy přes PROTOKOL TCP. Proxy služba naslouchá těmto voláním dynamického nebo statického portu RPC v závislosti na konfiguraci.
  • Agent řadiče domény nikdy naslouchá na portu dostupném v síti.
  • Proxy služba nikdy nevolá službu agenta řadiče domény.
  • Proxy služba je bezstavová. Zásady ani žádný jiný stav stažený z Azure nikdy neupamětí.
  • Služba agenta DC vždy používá nejnovější místně dostupné zásady hesel k vyhodnocení hesla uživatele. Pokud nejsou v místním řadiči domény k dispozici žádné zásady hesel, heslo se automaticky přijme. V takovém případě se zaprotokoluje zpráva o události, která správce upozorní.
  • Azure AD ochrana heslem není aplikační modul zásad v reálném čase. Při změně konfigurace zásad hesel v Azure AD a vynucování této změny na všech řadičích domény může dojít ke zpoždění.
  • Azure AD ochrana heslem funguje jako doplněk stávajících zásad hesel služby AD DS, nikoli jako náhrada. To zahrnuje všechny ostatní knihovny dll filtru hesel třetích stran, které mohou být nainstalovány. Služba AD DS vždy vyžaduje, aby všechny komponenty ověřování hesel souhlasily před přijetím hesla.

Vazba doménové struktury / tenanta pro ochranu hesel Azure AD

Nasazení ochrany hesel Azure AD v doménové struktuře služby AD DS vyžaduje registraci této doménové struktury pomocí Azure AD. Každá nasazená proxy služba musí být také zaregistrovaná v Azure AD. Tyto doménové struktury a registrace proxy serveru jsou přidružené ke konkrétnímu tenantovi Azure AD, který je implicitně identifikován přihlašovacími údaji, které se používají při registraci.

Doménová struktura SLUŽBY AD DS a všechny nasazené proxy služby v rámci doménové struktury musí být zaregistrované ve stejném tenantovi. Nepodporuje se, aby byla doménová struktura služby AD DS ani žádné proxy služby v této doménové struktuře zaregistrované v různých Azure AD tenantech. Mezi příznaky takového chybného nasazení patří nemožnost stáhnout zásady hesel.

Poznámka

Zákazníci, kteří mají více tenantů Azure AD, proto musí zvolit jednoho rozlišujícího tenanta, aby si zaregistrovali každou doménovou strukturu pro účely ochrany hesel Azure AD.

Stáhnout

Tyto dva požadované instalační programy agentů pro Azure AD Ochranu heslem jsou k dispozici na webu Stažení softwaru společnosti Microsoft.

Další kroky

Pokud chcete začít používat místní Azure AD ochranu heslem, postupujte následovně: