Bagikan melalui

Menerapkan Perlindungan Kata Sandi Microsoft Entra lokal untuk Active Directory Domain Services

Perlindungan Kata Sandi Microsoft Entra mendeteksi dan memblokir kata sandi lemah yang diketahui dan variannya, dan juga dapat memblokir istilah lemah tambahan yang khusus untuk organisasi Anda. Penyebaran Perlindungan Kata Sandi Microsoft Entra lokal menggunakan daftar kata sandi terlarang global dan kustom yang sama yang disimpan di ID Microsoft Entra, dan melakukan pemeriksaan yang sama untuk perubahan kata sandi lokal seperti yang dilakukan ID Microsoft Entra untuk perubahan berbasis cloud. Pemeriksaan ini dilakukan selama perubahan kata sandi dan peristiwa pengaturan ulang kata sandi terhadap pengontrol domain Layanan Domain Active Directory (AD DS) lokal.

Prinsip desain

Perlindungan Kata Sandi Microsoft Entra dirancang dengan ingat prinsip-prinsip berikut:

  • Pengendali domain (DC) tidak perlu berkomunikasi langsung dengan internet.
  • Tidak ada port jaringan baru yang dibuka pada DC.
  • Tidak diperlukan perubahan skema AD DS. Perangkat lunak ini menggunakan kontainer AD DS yang ada dan objek skema serviceConnectionPoint .
  • Domain AD DS atau tingkat fungsi forest yang didukung dapat digunakan.
  • Perangkat lunak ini tidak membuat atau mengharuskan akun di domain AD DS yang dilindunginya.
  • Kata sandi teks-jelas pengguna tidak pernah meninggalkan pengontrol domain, baik selama operasi validasi kata sandi atau di lain waktu.
  • Perangkat lunak ini tidak bergantung pada fitur Microsoft Entra lainnya. Misalnya, sinkronisasi hash kata sandi Microsoft Entra (PHS) tidak terkait atau diperlukan untuk Perlindungan Kata Sandi Microsoft Entra.
  • Penyebaran bertahap didukung, tetapi kebijakan kata sandi hanya diberlakukan di tempat Agen Pengontrol Domain (Agen DC) terpasang.

Penyebaran bertahap

Perlindungan Kata Sandi Microsoft Entra mendukung penyebaran bertahap di seluruh DC di domain AD DS. Penting untuk memahami apa artinya ini dan apa pertukarannya.

Perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra hanya dapat memvalidasi kata sandi saat diinstal pada DC, dan hanya untuk perubahan kata sandi yang dikirim ke DC tersebut. Tidak dimungkinkan untuk mengontrol DC mana yang dipilih oleh komputer klien Windows untuk memproses perubahan kata sandi pengguna. Untuk menjamin perilaku yang konsisten dan penegakan keamanan Perlindungan Kata Sandi Microsoft Entra secara universal, perangkat lunak agen DC harus diinstal pada semua DC dalam domain.

Banyak organisasi ingin menguji Perlindungan Kata Sandi Microsoft Entra dengan cermat pada subset DC mereka sebelum penyebaran penuh. Untuk mendukung skenario ini, Perlindungan Kata Sandi Microsoft Entra mendukung penyebaran parsial. Perangkat lunak agen DC pada DC tertentu secara aktif memvalidasi kata sandi bahkan ketika DC lain di domain tidak menginstal perangkat lunak agen DC. Penyebaran parsial jenis ini tidak aman dan tidak direkomendasikan selain untuk tujuan pengujian.

Diagram arsitektur

Penting untuk memahami konsep desain dan fungsi yang mendasar sebelum Anda menyebarkan Perlindungan Kata Sandi Microsoft Entra di lingkungan AD DS lokal. Diagram berikut menunjukkan bagaimana komponen Perlindungan Kata Sandi Microsoft Entra bekerja sama:

Cara komponen Perlindungan Kata Sandi Microsoft Entra bekerja sama

  • Layanan Proksi Perlindungan Kata Sandi Microsoft Entra berjalan pada komputer apa pun yang bergabung dengan domain di forest AD DS saat ini. Tujuan utama layanan ini adalah untuk meneruskan permintaan unduhan kebijakan kata sandi dari DC ke ID Microsoft Entra lalu mengembalikan respons dari ID Microsoft Entra ke DC.
  • DLL filter kata sandi milik Agen DC menerima permintaan validasi kata sandi pengguna dari sistem operasi. Filter meneruskannya ke layanan Agen DC yang beroperasi secara lokal di DC.
  • Layanan Agen DC dari Microsoft Entra Password Protection menerima permintaan validasi kata sandi dari DLL filter kata sandi Agen DC. Layanan Agen DC memprosesnya dengan menggunakan kebijakan kata sandi saat ini (tersedia secara lokal) dan mengembalikan hasil pass atau gagal.

Cara kerja Perlindungan Kata Sandi Microsoft Entra

Komponen Perlindungan Kata Sandi Microsoft Entra lokal berfungsi sebagai berikut:

  1. Setiap instans layanan Proksi Perlindungan Kata Sandi Microsoft Entra memperkenalkan dirinya ke DC di forest dengan cara membuat objek serviceConnectionPoint di Active Directory.

    Setiap layanan Agen DC untuk Perlindungan Kata Sandi Microsoft Entra juga membuat objek serviceConnectionPoint di Direktori Aktif. Objek ini digunakan terutama untuk pelaporan dan diagnostik.

  2. Layanan Agen DC bertanggung jawab untuk memulai pengunduhan kebijakan kata sandi baru dari ID Microsoft Entra. Langkah pertama adalah menemukan layanan Proksi Perlindungan Kata Sandi Microsoft Entra dengan meminta query pada forest untuk objek proksi serviceConnectionPoint.

  3. Ketika layanan proksi yang tersedia ditemukan, Agen DC mengirimkan permintaan unduhan kebijakan kata sandi ke layanan proksi. Layanan proksi pada gilirannya mengirimkan permintaan ke ID Microsoft Entra, lalu mengembalikan respons ke layanan Agen DC.

  4. Setelah layanan Agen DC menerima kebijakan kata sandi baru dari ID Microsoft Entra, layanan menyimpan kebijakan dalam folder khusus di akar berbagi folder sysvol domainnya. Layanan Agen DC juga memantau folder ini jika ada kebijakan baru yang direplikasi dari layanan Agen DC lainnya di domain.

  5. Layanan Agen DC selalu meminta kebijakan baru pada saat memulai layanan. Setelah layanan Agen DC dimulai, layanan ini memeriksa masa berlaku kebijakan yang tersedia secara lokal setiap jam. Jika kebijakan sudah berusia lebih dari satu jam, Agen DC akan meminta kebijakan baru dari Microsoft Entra ID melalui layanan proksi, seperti yang dijelaskan sebelumnya. Jika kebijakan saat ini berusia kurang dari satu jam, Agen DC akan terus menggunakan kebijakan tersebut.

  6. Ketika peristiwa perubahan kata sandi diterima oleh DC, kebijakan yang di-cache digunakan untuk menentukan apakah kata sandi baru diterima atau ditolak.

Pertimbangan dan fitur utama

  • Setiap kali kebijakan kata sandi Perlindungan Kata Sandi Microsoft Entra diunduh, kebijakan tersebut khusus untuk penyewa. Dengan kata lain, kebijakan kata sandi selalu merupakan kombinasi dari daftar kata sandi terlarang global Microsoft dan daftar kata sandi terlarang kustom per penyewa.
  • Agen DC berkomunikasi dengan layanan proksi melalui RPC melalui TCP. Layanan proksi mendengarkan panggilan ini pada port RPC dinamis atau statis, tergantung pada konfigurasinya.
  • Agen DC tidak pernah menggunakan port yang dapat diakses oleh jaringan.
  • Layanan proksi tidak pernah memanggil layanan Agen DC.
  • Layanan proksi tidak memiliki status. Ini tidak pernah menyimpan kebijakan atau status lain yang diunduh dari Azure.
  • Pendaftaran proksi berfungsi dengan menambahkan kredensial ke Perwakilan Layanan AADPasswordProtectionProxy. Jangan khawatir dengan peristiwa apa pun di log audit ketika ini terjadi.
  • Layanan Agen DC selalu menggunakan kebijakan kata sandi terbaru yang tersedia secara lokal untuk mengevaluasi kata sandi pengguna. Jika tidak ada kebijakan kata sandi yang tersedia di DC lokal, kata sandi akan diterima secara otomatis. Ketika itu terjadi, pesan peristiwa dicatat untuk memperingatkan administrator.
  • Perlindungan Kata Sandi Microsoft Entra bukanlah mesin penerapan kebijakan yang bekerja secara waktu-nyata. Mungkin ada penundaan antara ketika perubahan konfigurasi kebijakan kata sandi dilakukan di ID Microsoft Entra dan ketika perubahan tersebut mencapai dan diberlakukan pada semua DC.
  • Perlindungan Kata Sandi Microsoft Entra bertindak sebagai suplemen untuk kebijakan kata sandi AD DS yang ada, bukan pengganti. Ini termasuk dll filter kata sandi pihak ketiga lainnya yang mungkin diinstal. AD DS selalu mengharuskan semua komponen validasi kata sandi setuju sebelum menerima kata sandi.

Pengikatan forest / penyewa untuk Perlindungan Kata Sandi Microsoft Entra

Penyebaran Perlindungan Kata Sandi Microsoft Entra di forest AD DS memerlukan pendaftaran forest tersebut dengan ID Microsoft Entra. Setiap layanan proksi yang disebarkan juga harus didaftarkan dengan ID Microsoft Entra. Pendaftaran forest dan proksi ini dikaitkan dengan penyewa Microsoft Entra tertentu, yang diidentifikasi secara implisit oleh kredensial yang digunakan selama pendaftaran.

Forest AD DS dan semua layanan proksi yang disebarkan dalam forest harus didaftarkan ke penyewa yang sama. Dukungan tidak diberikan untuk memiliki forest AD DS atau layanan proksi apa pun di forest tersebut yang didaftarkan ke penyewa Microsoft Entra yang berbeda-beda. Gejala penyebaran yang salah dikonfigurasi seperti itu termasuk ketidakmampuan untuk mengunduh kebijakan kata sandi.

Nota

Oleh karena itu, pelanggan yang memiliki beberapa penyewa Microsoft Entra harus memilih satu penyewa khusus untuk mendaftarkan setiap forest untuk tujuan Perlindungan Kata Sandi Microsoft Entra.

Mengunduh

Dua alat penginstal agen yang diperlukan untuk Perlindungan Kata Sandi Microsoft Entra tersedia dari Pusat Unduhan Microsoft.

Langkah selanjutnya

Untuk mulai menggunakan Perlindungan Kata Sandi Microsoft Entra lokal, selesaikan cara berikut:

Menyebarkan Perlindungan Kata Sandi Microsoft Entra lokal