Udostępnij za pośrednictwem

Historia wersji agenta ochrony haseł Microsoft Entra

Aby pobrać najnowszą wersję, zobacz Microsoft Entra Password Protection for Windows Server Active Directory.

1.2.177.1

Data wydania: 28 marca 2022 r.

  • Naprawiono nieprawidłową wersję oprogramowania

1.2.177.0

Data wydania: 14 marca 2022 r.

  • Drobne poprawki usterek
  • Rozwiązano problem polegający na tym, że program Microsoft Entra Connect Agent Updater nie był aktualizowany

1.2.176.0

Data wydania: 4 czerwca 2021 r.

  • Drobne poprawki błędów, które uniemożliwiały działanie agentów proxy i DC w niektórych środowiskach.

1.2.172.0

Data wydania: 22 lutego 2021 r.

Minęło prawie dwa lata od czasu wydania ogólnodostępnych wersji lokalnych agentów ochrony haseł Microsoft Entra. Dostępna jest nowa aktualizacja — zobacz opisy zmian poniżej. Dziękujemy wszystkim, którzy przekazali nam opinię na temat produktu.

  • Zarówno oprogramowanie agenta DC, jak i agenta proxy, wymagają teraz zainstalowania programu .NET 4.7.2.
  • Moduł AzureADPasswordProtection programu PowerShell jest teraz również instalowany przez oprogramowanie agenta DC.
  • Dodano dwa nowe polecenia cmdlet programu PowerShell związane z monitorowaniem zdrowia systemu: Test-AzureADPasswordProtectionProxy i Test-AzureADPasswordProtectionDCAgent.
  • Biblioteka filtrująca hasła DC Agent AzureADPasswordProtection DLL będzie teraz ładowana i uruchamiana na maszynach, na których lsass.exe jest skonfigurowany do działania w trybie PPL.
  • Poprawka usterek algorytmu haseł, która zezwalała na nieprawidłowe akceptowanie zakazanych haseł o długości mniejszej niż pięć znaków.
    • Ta usterka ma zastosowanie tylko wtedy, gdy lokalne zasady minimalnej długości hasła usługi AD zostały skonfigurowane tak, aby zezwalać na mniej niż pięć znaków haseł.
  • Inne drobne poprawki błędów.

Nowe instalatory będą automatycznie uaktualniać starsze wersje oprogramowania. Jeśli na jednej maszynie zainstalowano zarówno agenta kontrolera domeny, jak i oprogramowanie proxy (zalecane tylko w przypadku środowisk testowych), należy uaktualnić oba te elementy jednocześnie.

Obsługiwane jest uruchamianie starszych i nowszych wersji agenta DC i oprogramowania proxy w domenie lub lesie, chociaż zalecamy uaktualnienie wszystkich agentów do najnowszej wersji jako najlepszą praktykę. Obsługiwana jest dowolna kolejność uaktualnień agentów — nowi agenci DC mogą komunikować się za pośrednictwem starszych agentów proxy, a starsi agenci DC mogą komunikować się za pośrednictwem nowszych agentów proxy.

1.2.125.0

Data wydania: 2 marca 2019 r.

  • Napraw drobne błędy literowe w komunikatach dziennika zdarzeń
  • Zaktualizować umowę EULA do finalnej wersji dostępnej publicznie

Notatka

Kompilacja 1.2.125.0 jest wersją ogólnodostępną. Dziękujemy ponownie wszystkim, którzy przekazali opinię na temat produktu!

1.2.116.0

Data wydania: 3 marca 2019 r.

  • Polecenia cmdlet Get-AzureADPasswordProtectionProxy i Get-AzureADPasswordProtectionDCAgent teraz raportują wersję oprogramowania i obecnego dzierżawcę Azure z następującymi ograniczeniami:
    • Wersja oprogramowania i dane dzierżawy platformy Azure są dostępne wyłącznie dla agentów DC i proxy działających w wersji 1.2.116.0 lub nowszej.
    • Dane dzierżawcy usługi Azure mogą nie być zgłaszane do momentu ponownej rejestracji (lub odnowienia) serwera proxy lub lasu.
  • Usługa proxy wymaga teraz zainstalowania programu .NET 4.7.
  • Usługa proxy obsługuje teraz automatyczne uaktualnianie. Automatyczne uaktualnianie korzysta z usługi Microsoft Entra Connect Agent Updater, która jest instalowana obok usługi serwera proxy. Automatyczne uaktualnianie jest domyślnie włączone.
  • Automatyczne uaktualnianie można włączyć lub wyłączyć przy użyciu polecenia cmdlet Set-AzureADPasswordProtectionProxyConfiguration. Bieżące ustawienie można odpytować przy użyciu polecenia cmdlet Get-AzureADPasswordProtectionProxyConfiguration.
  • Plik binarny usługi agenta kontrolera domeny (DC) został zmieniony na AzureADPasswordProtectionDCAgent.exe.
  • Nazwa pliku binarnego usługi serwera proxy została zmieniona na AzureADPasswordProtectionProxy.exe. Reguły zapory mogą wymagać odpowiednich modyfikacji, jeśli używana jest zapora innej firmy.
    • UWAGA: jeśli plik konfiguracji serwera proxy http był używany w poprzedniej instalacji serwera proxy, należy zmienić jego nazwę (z proxyservice.exe.config na AzureADPasswordProtectionProxy.exe.config) po uaktualnieniu.
  • Wszystkie testy funkcji ograniczonych czasowo zostały usunięte z agenta DC.
  • Drobne poprawki błędów i ulepszenia rejestrowania.

1.2.65.0

Data wydania: 1 lutego 2019 r.

Zmiany:

  • Agent DC i usługa serwera proxy są teraz obsługiwane w systemie Server Core. Minimalne wymagania systemowe pozostają niezmienione od wcześniej: Windows Server 2012 dla agentów kontrolera domeny i Windows Server 2012 R2 dla serwerów proxy.

  • Polecenia cmdlet Register-AzureADPasswordProtectionProxy i Register-AzureADPasswordProtectionForest obsługują teraz tryby uwierzytelniania platformy Azure oparte na kodzie urządzenia.

  • Polecenie cmdlet Get-AzureADPasswordProtectionDCAgent zignoruje uszkodzone i/lub nieprawidłowe punkty połączenia z usługą. Ta zmiana naprawia usterkę polegającą na tym, że kontrolery domeny czasami pojawiały się wiele razy w danych wyjściowych.

  • Polecenie cmdlet Get-AzureADPasswordProtectionSummaryReport zignoruje zniekształcone i/lub nieprawidłowe punkty połączenia z usługą. Ta zmiana naprawia usterkę polegającą na tym, że kontrolery domeny czasami pojawiały się wiele razy w danych wyjściowych.

  • Moduł proxy programu PowerShell jest teraz zarejestrowany z %ProgramFiles%\WindowsPowerShell\Modules. Zmienna środowiskowa PSModulePath maszyny nie jest już modyfikowana.

  • Dodano nowe polecenie cmdlet Get-AzureADPasswordProtectionProxy ułatwiające odnajdywanie zarejestrowanych serwerów proxy w lesie lub domenie.

  • Agent DC używa nowego folderu w udziale sysvol do replikowania zasad haseł i innych plików.

    Stara lokalizacja folderu:

    \\<domain>\sysvol\<domain fqdn>\Policies\{4A9AB66B-4365-4C2A-996C-58ED9927332D}

    Nowa lokalizacja folderu:

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    (Ta zmiana została wprowadzona, aby uniknąć fałszywych alarmów dotyczących "osieroconych GPO").

    Notatka

    Migracja ani udostępnianie danych nie zostaną wykonane między starym folderem a nowym folderem. Starsze wersje agenta DC będą nadal używać starej lokalizacji do czasu zaktualizowania do tej wersji lub nowszej. Gdy wszyscy agenci DC działają w wersji 1.2.65.0 lub nowszej, stary folder sysvol może zostać ręcznie usunięty.

  • Agent DC i usługa proxy będą teraz wykrywać i usuwać uszkodzone kopie swoich odpowiednich punktów połączenia usług.

  • Każdy agent DC będzie okresowo usuwać uszkodzone i nieaktualne punkty połączenia usługi w swojej domenie, zarówno dla punktów połączenia usług agenta DC, jak i punktów połączenia usług proxy. Zarówno agent DC, jak i punkty połączenia usługi serwera proxy są uważane za nieaktualne, jeśli znacznik czasu tętna jest starszy niż siedem dni.

  • Agent DC odnowi teraz certyfikat lasu w razie potrzeby.

  • Usługa proxy odnowi teraz certyfikat serwera proxy zgodnie z potrzebami.

  • Aktualizacje algorytmu sprawdzania poprawności haseł: globalna lista zakazanych haseł i lista haseł zabronionych dla klienta (jeśli jest skonfigurowana) są łączone przed weryfikacją hasła. Podane hasło może zostać odrzucone (niezakwalifikowane lub tylko do audytu), jeśli zawiera tokeny zarówno z listy globalnej, jak i specyficznej dla klienta. Dokumentacja dziennika zdarzeń została zaktualizowana, co odzwierciedla te zmiany. Zobacz Monitor Microsoft Entra Password Protection.

  • Poprawki wydajności i niezawodności

  • Ulepszone rejestrowanie

Ostrzeżenie

Ograniczone czasowo funkcje: usługa agenta kontrolera domeny w tej wersji (1.2.65.0) przestanie przetwarzać żądania weryfikacji haseł od 1 września 2019 r. Usługi agenta DC w poprzednich wersjach (patrz poniższa lista) zakończą działanie od 1 lipca 2019 r. Usługa agenta DC we wszystkich wersjach będzie rejestrowała zdarzenia 10021 w dzienniku zdarzeń administratora przez dwa miesiące przed tymi terminami. Wszystkie ograniczenia limitu czasu zostaną usunięte w nadchodzącej wersji ogólnie dostępnej. Usługa agenta serwera proxy nie jest ograniczona czasowo w żadnej wersji, ale powinna być nadal uaktualniana do najnowszej wersji w celu skorzystania ze wszystkich kolejnych poprawek błędów i innych ulepszeń.

1.2.25.0

Data wydania: 1 listopada 2018 r.

Poprawki:

  • Agent DC i usługa proxy nie powinny już kończyć się niepowodzeniem z powodu błędów zaufania certyfikatów.
  • Agent DC i usługa proxy mają poprawki dla maszyn zgodnych ze standardem FIPS.
  • Usługa serwera proxy będzie teraz działać prawidłowo w środowisku sieciowym tylko do obsługi protokołu TLS 1.2.
  • Drobne poprawki wydajności i niezawodności
  • Ulepszone rejestrowanie

Zmiany:

  • Minimalny wymagany poziom systemu operacyjnego dla usługi proxy to teraz Windows Server 2012 R2. Minimalny wymagany poziom systemu operacyjnego dla usługi agenta kontrolera domeny pozostaje w systemie Windows Server 2012.
  • Usługa proxy wymaga teraz platformy .NET w wersji 4.6.2.
  • Algorytm sprawdzania poprawności hasła używa rozszerzonej tabeli normalizacji znaków. Ta zmiana może spowodować odrzucenie haseł, które zostały zaakceptowane w poprzednich wersjach.

1.2.10.0

Data wydania: 17 sierpnia 2018 r.

Poprawki:

  • Register-AzureADPasswordProtectionProxy i Register-AzureADPasswordProtectionForest obsługują teraz uwierzytelnianie wieloskładnikowe
  • Register-AzureADPasswordProtectionProxy wymaga kontrolera domeny WS2012 lub nowszego w domenie, aby uniknąć błędów szyfrowania.
  • Usługa agenta DC jest bardziej niezawodna w zakresie żądania nowej polityki haseł z platformy Azure podczas uruchamiania.
  • Usługa agenta kontrolera domeny będzie żądać nowej polityki haseł z platformy Azure co godzinę, jeśli to konieczne, ale teraz zrobi to w losowo wybranym czasie początkowym.
  • Usługa agenta kontrolera domeny nie będzie już powodować nieokreślonego opóźnienia w rozgłaszaniu nowego kontrolera domeny, gdy jest zainstalowana na serwerze, zanim zostanie awansowany do roli repliki.
  • Usługa agenta DC będzie teraz respektować ustawienie konfiguracji "Włącz ochronę hasła w usłudze Active Directory systemu Windows Server"
  • Zarówno agent DC, jak i instalatory proxy będą teraz obsługiwać bezpośrednią aktualizację przy aktualizacji do przyszłych wersji.

Ostrzeżenie

Bezpośrednia aktualizacja z wersji 1.1.10.3 nie jest obsługiwana i spowoduje błąd podczas instalacji. Aby przeprowadzić uaktualnienie do wersji 1.2.10 lub nowszej, należy najpierw całkowicie odinstalować agenta kontrolera domeny i oprogramowanie usługi proxy, a następnie zainstalować nową wersję od podstaw. Wymagana jest ponowna rejestracja usługi microsoft Entra Password Protection Proxy. Nie jest wymagane ponowne zarejestrowanie lasu.

Notatka

Bezpośrednie aktualizacje oprogramowania agenta kontrolera domeny będą wymagać restartu.

  • Agent kontrolera domeny i usługa proxy obecnie obsługują działanie na serwerze skonfigurowanym do używania wyłącznie algorytmów zgodnych ze standardem FIPS.
  • Drobne poprawki wydajności i niezawodności
  • Ulepszone rejestrowanie

1.1.10.3

Data wydania: 15 czerwca 2018 r.

Początkowa publiczna wersja zapoznawcza

Następne kroki

Wdrażanie ochrony haseł Microsoft Entra