Wymuszanie lokalnej ochrony haseł Azure AD dla Active Directory Domain Services

Azure AD ochrona haseł wykrywa i blokuje znane słabe hasła oraz ich warianty, a także może blokować dodatkowe słabe terminy specyficzne dla twojej organizacji. Lokalne wdrożenie usługi Azure AD Password Protection używa tych samych globalnych i niestandardowych list haseł zabronionych, które są przechowywane w Azure AD i wykonuje te same kontrole lokalnych zmian haseł co Azure AD w przypadku zmian w chmurze. Te kontrole są wykonywane podczas zmian haseł i zdarzeń resetowania haseł względem kontrolerów domeny usług lokalna usługa Active Directory Domain Services (AD DS).

Zasady projektowania

Azure AD ochrona haseł została zaprojektowana z uwzględnieniem następujących zasad:

  • Kontrolery domeny nigdy nie muszą komunikować się bezpośrednio z Internetem.
  • W kontrolerach domeny nie są otwierane żadne nowe porty sieciowe.
  • Nie są wymagane żadne zmiany schematu usług AD DS. Oprogramowanie używa istniejącego kontenera usług AD DS i obiektów schematu serviceConnectionPoint .
  • Można użyć dowolnego obsługiwanego poziomu funkcjonalności domeny lub lasu usług AD DS.
  • Oprogramowanie nie tworzy ani nie wymaga kont w domenach usług AD DS, które chroni.
  • Hasła w postaci zwykłego tekstu użytkownika nigdy nie opuszczają kontrolera domeny podczas operacji sprawdzania poprawności hasła lub w innym czasie.
  • Oprogramowanie nie jest zależne od innych funkcji Azure AD. Na przykład Azure AD synchronizacja skrótów haseł (PHS) nie jest powiązana ani wymagana do ochrony haseł Azure AD.
  • Wdrażanie przyrostowe jest obsługiwane, jednak zasady haseł są wymuszane tylko w przypadku zainstalowania agenta kontrolera domeny (agenta kontrolera domeny).

Wdrażanie przyrostowe

Azure AD Ochrona haseł obsługuje wdrażanie przyrostowe na kontrolerach domeny w domenie usług AD DS. Ważne jest, aby zrozumieć, co to naprawdę oznacza i jakie są kompromisy.

Oprogramowanie agenta dc ochrony haseł Azure AD może weryfikować hasła tylko wtedy, gdy jest zainstalowane na kontrolerze domeny i tylko w przypadku zmian haseł wysyłanych do tego kontrolera domeny. Nie można kontrolować, które kontrolery domeny są wybierane przez komputery klienckie z systemem Windows do przetwarzania zmian haseł użytkownika. Aby zagwarantować spójne zachowanie i uniwersalne Azure AD wymuszanie zabezpieczeń ochrony haseł, oprogramowanie agenta kontrolera domeny musi być zainstalowane na wszystkich kontrolerach domeny w domenie.

Wiele organizacji chce dokładnie przetestować Azure AD ochronę haseł w podzestawie kontrolerów domeny przed pełnym wdrożeniem. Aby obsłużyć ten scenariusz, usługa Azure AD Password Protection obsługuje częściowe wdrożenie. Oprogramowanie agenta kontrolera domeny na danym kontrolerze domeny aktywnie weryfikuje hasła nawet wtedy, gdy inne kontrolery domeny w domenie nie mają zainstalowanego oprogramowania agenta kontrolera domeny. Częściowe wdrożenia tego typu nie są bezpieczne i nie są zalecane do celów testowych.

Diagram architektoniczny

Przed wdrożeniem Azure AD ochrony haseł w lokalnym środowisku usług AD DS ważne jest zapoznanie się z podstawowymi pojęciami dotyczącymi projektowania i funkcji. Na poniższym diagramie przedstawiono sposób współdziałania składników Azure AD ochrony haseł:

Jak składniki ochrony haseł Azure AD współpracują ze sobą

  • Usługa serwera proxy ochrony haseł Azure AD jest uruchamiana na dowolnej maszynie przyłączonej do domeny w bieżącym lesie usług AD DS. Podstawowym celem usługi jest przekazywanie żądań pobierania zasad haseł z kontrolerów domeny do Azure AD, a następnie zwracanie odpowiedzi z Azure AD do kontrolera domeny.
  • Biblioteka DLL filtru haseł agenta kontrolera domeny odbiera żądania weryfikacji hasła użytkownika z systemu operacyjnego. Filtr przekazuje je do usługi agenta kontrolera domeny, która działa lokalnie na kontrolerze domeny.
  • Usługa agenta kontrolera domeny usługi Azure AD Password Protection odbiera żądania weryfikacji haseł z biblioteki DLL filtru haseł agenta kontrolera domeny. Usługa agenta kontrolera domeny przetwarza je przy użyciu bieżących (dostępnych lokalnie) zasad haseł i zwraca wynik powodzenia lub niepowodzenia.

Jak działa Azure AD ochrona haseł

Składniki lokalnej ochrony haseł Azure AD działają w następujący sposób:

  1. Każde wystąpienie usługi serwera proxy ochrony haseł Azure AD anonsuje się do kontrolerów domeny w lesie przez utworzenie obiektu serviceConnectionPoint w usłudze Active Directory.

    Każda usługa agenta kontrolera domeny dla ochrony haseł Azure AD tworzy również obiekt serviceConnectionPoint w usłudze Active Directory. Ten obiekt jest używany głównie do raportowania i diagnostyki.

  2. Usługa agenta kontrolera domeny jest odpowiedzialna za zainicjowanie pobierania nowych zasad haseł z Azure AD. Pierwszym krokiem jest zlokalizowanie usługi serwera proxy ochrony haseł Azure AD przez wysłanie zapytania do lasu dla obiektów proxy ServiceConnectionPoint.

  3. Po znalezieniu dostępnej usługi serwera proxy agent kontrolera domeny wysyła żądanie pobrania zasad haseł do usługi serwera proxy. Usługa serwera proxy z kolei wysyła żądanie do Azure AD, a następnie zwraca odpowiedź do usługi agenta kontrolera domeny.

  4. Po odebraniu przez usługę agenta kontrolera domeny nowych zasad haseł z Azure AD usługa przechowuje zasady w dedykowanym folderze w folderze głównym udziału folderu sysvol domeny. Usługa agenta kontrolera domeny monitoruje również ten folder w przypadku, gdy nowsze zasady są replikowane z innych usług agenta kontrolera domeny w domenie.

  5. Usługa agenta kontrolera domeny zawsze żąda nowych zasad podczas uruchamiania usługi. Po uruchomieniu usługi agenta kontrolera domeny sprawdza wiek bieżącej lokalnie dostępnej zasady co godzinę. Jeśli zasady są starsze niż jedna godzina, agent kontrolera domeny żąda nowych zasad z Azure AD za pośrednictwem usługi serwera proxy, zgodnie z wcześniejszym opisem. Jeśli bieżące zasady nie są starsze niż jedna godzina, agent kontrolera domeny nadal używa tych zasad.

  6. Gdy zdarzenia zmiany hasła są odbierane przez kontroler domeny, buforowane zasady są używane do określenia, czy nowe hasło jest akceptowane, czy odrzucane.

Kluczowe zagadnienia i funkcje

  • Za każdym razem, gdy są pobierane zasady haseł ochrony haseł Azure AD, te zasady są specyficzne dla dzierżawy. Innymi słowy, zasady haseł są zawsze kombinacją globalnej listy zakazanych haseł firmy Microsoft i niestandardowej listy zakazanych haseł dla poszczególnych dzierżaw.
  • Agent kontrolera domeny komunikuje się z usługą serwera proxy za pośrednictwem protokołu RPC za pośrednictwem protokołu TCP. Usługa serwera proxy nasłuchuje tych wywołań na dynamicznym lub statycznym porcie RPC, w zależności od konfiguracji.
  • Agent kontrolera domeny nigdy nie nasłuchuje na porcie dostępnym w sieci.
  • Usługa serwera proxy nigdy nie wywołuje usługi agenta kontrolera domeny.
  • Usługa serwera proxy jest bezstanowa. Nigdy nie buforuje zasad ani żadnego innego stanu pobranego z platformy Azure.
  • Usługa agenta kontrolera domeny zawsze używa najnowszych lokalnie dostępnych zasad haseł do oceny hasła użytkownika. Jeśli na lokalnym kontrolerze domeny nie są dostępne żadne zasady haseł, hasło zostanie automatycznie zaakceptowane. W takim przypadku jest rejestrowany komunikat o zdarzeniu ostrzegający administratora.
  • Azure AD ochrona haseł nie jest aparatem aplikacji zasad w czasie rzeczywistym. Może wystąpić opóźnienie między wprowadzeniem zmiany konfiguracji zasad haseł w Azure AD a tym, kiedy ta zmiana osiągnie wartość i jest wymuszana na wszystkich kontrolerach domeny.
  • Azure AD ochrona haseł działa jako uzupełnienie istniejących zasad haseł usług AD DS, a nie zastąpienie. Obejmuje to wszystkie inne biblioteki dll filtru haseł innych firm, które mogą być zainstalowane. Usługi AD DS zawsze wymagają, aby wszystkie składniki sprawdzania poprawności haseł zgadzały się przed zaakceptowaniem hasła.

Powiązanie lasu/dzierżawy na potrzeby ochrony haseł Azure AD

Wdrożenie ochrony haseł Azure AD w lesie usług AD DS wymaga rejestracji tego lasu przy użyciu Azure AD. Każda wdrożona usługa serwera proxy musi być również zarejestrowana w Azure AD. Te rejestracje lasu i serwera proxy są skojarzone z określoną dzierżawą Azure AD, która jest identyfikowana niejawnie przez poświadczenia używane podczas rejestracji.

Las usług AD DS i wszystkie wdrożone usługi proxy w lesie muszą być zarejestrowane w tej samej dzierżawie. Nie jest obsługiwane posiadanie lasu usług AD DS ani żadnych usług proxy w tym lesie zarejestrowanych w różnych dzierżawach Azure AD. Objawy takiego nieprawidłowo skonfigurowanego wdrożenia obejmują brak możliwości pobierania zasad haseł.

Uwaga

Klienci z wieloma dzierżawami Azure AD muszą zatem wybrać jedną wyróżniającą dzierżawę, aby zarejestrować każdy las na potrzeby ochrony haseł Azure AD.

Pobierz

Dwa wymagane instalatory agentów do ochrony haseł Azure AD są dostępne w Centrum pobierania Microsoft.

Następne kroki

Aby rozpocząć korzystanie z lokalnej ochrony haseł Azure AD, wykonaj następujące instrukcje: