Lokalna ochrona haseł firmy Microsoft Entra — często zadawane pytania

Ta sekcja zawiera odpowiedzi na wiele często zadawanych pytań dotyczących ochrony haseł firmy Microsoft.

Pytania ogólne

Jakie wskazówki należy podać użytkownikom na temat wybierania bezpiecznego hasła?

Aktualne wskazówki firmy Microsoft dotyczące tego tematu można znaleźć pod następującym linkiem:

Wskazówki dotyczące haseł firmy Microsoft

Czy lokalna ochrona haseł firmy Microsoft entra jest obsługiwana w chmurach innych niż publiczne?

Lokalna ochrona haseł firmy Microsoft Entra jest obsługiwana zarówno w chmurach globalnych platformy Azure, jak i w chmurach platformy Azure Government.

Centrum administracyjne firmy Microsoft Entra umożliwia modyfikację lokalnej konfiguracji "Ochrona hasłem dla usługi Active Directory systemu Windows Server" nawet w nieobsługiwanych chmurach; takie zmiany zostaną utrwalone, ale w przeciwnym razie nigdy nie zaczną obowiązywać. Rejestracja lokalnych agentów serwera proxy lub lasów nie jest obsługiwana w chmurach nieobsługiwanych, a wszelkie takie próby rejestracji zawsze kończą się niepowodzeniem.

Jak mogę zastosować korzyści z ochrony haseł firmy Microsoft do podzbioru moich użytkowników lokalnych?

Nieobsługiwane. Po wdrożeniu i włączeniu usługi Microsoft Entra Password Protection nie dyskryminuje — wszyscy użytkownicy otrzymują równe korzyści zabezpieczeń.

Jaka jest różnica między zmianą hasła a zestawem haseł (lub resetowaniem)?

Zmiana hasła jest wtedy, gdy użytkownik wybierze nowe hasło po udowodnieniu, że ma wiedzę o starym haśle. Na przykład zmiana hasła ma miejsce, gdy użytkownik zaloguje się do systemu Windows, a następnie zostanie wyświetlony monit o wybranie nowego hasła.

Zestaw haseł (czasami nazywany resetowaniem hasła) jest wtedy, gdy administrator zastępuje hasło na koncie nowym hasłem, na przykład za pomocą narzędzia do zarządzania Użytkownicy i komputery usługi Active Directory. Ta operacja wymaga wysokiego poziomu uprawnień (zazwyczaj domeny Administracja), a osoba wykonująca operację zwykle nie ma wiedzy o starym haśle. Scenariusze pomocy technicznej często wykonują zestawy haseł, na przykład podczas pomagania użytkownikowi, który zapomniał hasła. Zobaczysz również zdarzenia zestawu haseł po utworzeniu zupełnie nowego konta użytkownika po raz pierwszy przy użyciu hasła.

Zasady sprawdzania poprawności hasła zachowują się tak samo niezależnie od tego, czy jest wykonywana zmiana hasła, czy zestaw. Usługa microsoft Entra Password Protection DC Agent rejestruje różne zdarzenia, aby poinformować, czy została wykonana zmiana hasła, czy operacja zestawu. Zobacz Monitorowanie i rejestrowanie w usłudze Microsoft Entra Password Protection.

Czy po zainstalowaniu program Microsoft Entra Password Protection weryfikuje istniejące hasła?

Nie — usługa Microsoft Entra Password Protection może wymuszać zasady haseł tylko na hasłach w postaci zwykłego tekstu podczas operacji zmiany lub ustawiania hasła. Po zaakceptowaniu hasła przez usługę Active Directory tylko skróty specyficzne dla protokołu uwierzytelniania tego hasła są utrwalane. Hasło w postaci zwykłego tekstu nigdy nie jest utrwalane, dlatego usługa Microsoft Entra Password Protection nie może zweryfikować istniejących haseł.

Po początkowym wdrożeniu usługi Microsoft Entra Password Protection wszyscy użytkownicy i konta w końcu zaczną używać hasła zweryfikowanego przez firmę Microsoft Entra, ponieważ istniejące hasła wygasają normalnie. W razie potrzeby ten proces można przyspieszyć przez jednorazowe ręczne wygaśnięcie haseł konta użytkownika.

Konta skonfigurowane za pomocą opcji "hasło nigdy nie wygasa" nigdy nie zostaną zmuszone do zmiany hasła, chyba że zostanie wykonane ręczne wygaśnięcie.

Dlaczego podczas próby ustawienia słabego hasła przy użyciu przystawki zarządzania Użytkownicy i komputery usługi Active Directory są rejestrowane zdarzenia odrzucenia hasła?

Przystawka zarządzania Użytkownicy i komputery usługi Active Directory najpierw spróbuje ustawić nowe hasło przy użyciu protokołu Kerberos. Po awarii przystawka podejmie drugą próbę ustawienia hasła przy użyciu starszego protokołu (SAM RPC) (używane protokoły nie są ważne). Jeśli nowe hasło jest uznawane za słabe przez firmę Microsoft Entra Password Protection, to zachowanie przystawki spowoduje zarejestrowanie dwóch zestawów zdarzeń odrzucenia resetowania hasła.

Dlaczego zdarzenia sprawdzania poprawności hasła ochrony haseł w usłudze Microsoft Entra są rejestrowane przy użyciu pustej nazwy użytkownika?

Usługa Active Directory obsługuje możliwość testowania hasła, aby sprawdzić, czy spełnia bieżące wymagania dotyczące złożoności hasła domeny, na przykład przy użyciu interfejsu API NetValidatePasswordPolicy . Gdy hasło zostanie zweryfikowane w ten sposób, testowanie obejmuje również walidację przez produkty oparte na filtrze haseł, takie jak Ochrona haseł firmy Microsoft Entra — ale nazwy użytkowników przekazane do danej biblioteki dll filtru haseł będą puste. W tym scenariuszu ochrona haseł firmy Microsoft będzie nadal weryfikować hasło przy użyciu aktualnie obowiązujących zasad haseł i będzie wysyłać komunikat dziennika zdarzeń w celu przechwycenia wyniku, jednak komunikat dziennika zdarzeń będzie miał puste pola nazwy użytkownika.

Mam użytkowników hybrydowych, którzy próbują zmienić hasło w identyfikatorze Entra firmy Microsoft i otrzymują odpowiedź "Widzieliśmy to zbyt wiele razy wcześniej. Wybierz coś trudniejszego do odgadnięcia." Dlaczego w takim przypadku nie widzę lokalnej próby weryfikacji?

Gdy użytkownik hybrydowy zmieni swoje hasło w usłudze Microsoft Entra ID, niezależnie od tego, czy jest to identyfikator microsoft Entra SSPR, MyAccount, czy inny mechanizm zmiany hasła firmy Microsoft Entra, ich hasło jest oceniane względem globalnych i niestandardowych list haseł zakazanych w chmurze. Gdy hasło dociera do usługi Active Directory za pośrednictwem zapisywania zwrotnego haseł, zostało ono już zweryfikowane w identyfikatorze Entra firmy Microsoft.

Resetowanie haseł i zmiany zainicjowane w identyfikatorze Entra firmy Microsoft, które kończą się niepowodzeniem weryfikacji dla użytkowników hybrydowych, można znaleźć w dziennikach inspekcji firmy Microsoft Entra. Zobacz Rozwiązywanie problemów z samoobsługowym resetowaniem hasła w identyfikatorze Entra firmy Microsoft.

Czy jest obsługiwana instalacja ochrony haseł firmy Microsoft obok innych produktów opartych na filtrach haseł?

Tak. Obsługa wielu zarejestrowanych bibliotek dll filtrów haseł jest podstawową funkcją systemu Windows, a nie specyficzną dla ochrony haseł firmy Microsoft Entra. Wszystkie zarejestrowane biblioteki dll filtru haseł muszą być zgodne przed zaakceptowaniem hasła.

Jak mogę wdrożyć i skonfigurować ochronę haseł firmy Microsoft w środowisku usługi Active Directory bez korzystania z platformy Azure?

Nieobsługiwane. Microsoft Entra Password Protection to funkcja platformy Azure, która obsługuje rozszerzanie na środowisko lokalna usługa Active Directory.

Jak mogę zmodyfikować zawartość zasad na poziomie usługi Active Directory?

Nieobsługiwane. Zasady można administrować tylko przy użyciu centrum administracyjnego firmy Microsoft Entra. Zobacz również poprzednie pytanie.

Dlaczego usługa DFSR jest wymagana do replikacji folderu sysvol?

Usługa FRS (poprzednia technologia dfSR) ma wiele znanych problemów i jest całkowicie nieobsługiwana w nowszych wersjach usługi Active Directory systemu Windows Server. W domenach skonfigurowanych przez usługę FRS zostanie przeprowadzone zerowe testowanie ochrony haseł firmy Microsoft.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Przypadek migracji replikacji sysvol do usługi DFSR

Koniec jest Nigh dla FRS

Jeśli domena nie korzysta jeszcze z usługi DFSR, musisz przeprowadzić migrację do korzystania z usługi DFSR przed zainstalowaniem usługi Microsoft Entra Password Protection. Aby uzyskać więcej informacji, zobacz następujący link:

Przewodnik migracji replikacji SYSVOL: replikacja usługi FRS do systemu plików DFS

Ostrzeżenie

Oprogramowanie microsoft Entra Password Protection DC Agent jest obecnie instalowane na kontrolerach domeny w domenach, które nadal używają usługi FRS do replikacji folderu sysvol, ale oprogramowanie nie będzie działać prawidłowo w tym środowisku. Dodatkowe negatywne skutki uboczne obejmują pojedyncze pliki, których nie można replikować, a procedury przywracania folderu sysvol wydają się zakończyć się powodzeniem, ale dyskretnie nie można replikować wszystkich plików. Należy zmigrować domenę do korzystania z usługi DFSR tak szybko, jak to możliwe, zarówno w przypadku korzyści związanych z usługą DFSR, jak i odblokowania wdrożenia usługi Microsoft Entra Password Protection. Przyszłe wersje oprogramowania zostaną automatycznie wyłączone podczas uruchamiania w domenie, która nadal korzysta z usługi FRS.

Ile miejsca na dysku wymaga funkcja w udziale sysvol domeny?

Dokładne użycie miejsca różni się, ponieważ zależy od czynników, takich jak liczba i długość zakazanych tokenów na globalnej liście zakazanych firmy Microsoft oraz lista niestandardowa dla poszczególnych dzierżaw oraz obciążenie związane z szyfrowaniem. Zawartość tych list może wzrosnąć w przyszłości. Mając to na uwadze, uzasadnione jest oczekiwanie, że funkcja będzie potrzebować co najmniej pięciu (5) megabajtów miejsca w udziale sysvol domeny.

Dlaczego do zainstalowania lub uaktualnienia oprogramowania agenta kontrolera domeny wymagany jest ponowny rozruch?

To wymaganie jest spowodowane zachowaniem podstawowego systemu Windows.

Czy istnieje sposób konfigurowania agenta kontrolera domeny do korzystania z określonego serwera proxy?

L.p. Ponieważ serwer proxy jest bezstanowy, nie jest ważne, który konkretny serwer proxy jest używany.

Czy można wdrożyć usługę proxy ochrony haseł firmy Microsoft obok innych usług, takich jak Microsoft Entra Połączenie?

Tak. Usługa microsoft Entra Password Protection Proxy i firma Microsoft Entra Połączenie nigdy nie powinny wzajemnie powodować konfliktów.

Niestety, znaleziono niezgodność między wersją usługi Microsoft Entra Połączenie Agent Updater zainstalowaną przez oprogramowanie proxy ochrony haseł firmy Microsoft i wersją usługi zainstalowanej przez oprogramowanie proxy aplikacji Microsoft Entra. Ta niezgodność może spowodować, że usługa Aktualizator agenta nie może skontaktować się z platformą Azure w celu uzyskania aktualizacji oprogramowania. Nie zaleca się instalowania serwera proxy ochrony haseł firmy Microsoft i serwera proxy aplikacji Microsoft Entra na tym samym komputerze.

W jakiej kolejności należy zainstalować i zarejestrować agentów kontrolera domeny i serwerów proxy?

Obsługiwana jest dowolna kolejność instalacji agenta proxy, instalacja agenta kontrolera domeny, rejestracja lasu i rejestracja serwera proxy.

Czy powinienem być zaniepokojony trafieniem wydajności na kontrolerach domeny przed wdrożeniem tej funkcji?

Usługa microsoft Entra Password Protection DC Agent nie powinna znacząco wpływać na wydajność kontrolera domeny w istniejącym wdrożeniu usługi Active Directory w dobrej kondycji.

W przypadku większości wdrożeń usługi Active Directory operacje zmiany hasła są niewielką częścią ogólnego obciążenia na dowolnym kontrolerze domeny. Załóżmy na przykład, że domena usługi Active Directory ma 10000 kont użytkowników i zasady MaxPasswordAge ustawione na 30 dni. Ta domena będzie średnio widzieć 10000/30=~333 operacje zmiany hasła każdego dnia, co jest niewielką liczbą operacji dla nawet jednego kontrolera domeny. Rozważ potencjalny najgorszy scenariusz: załóżmy, że te zmiany hasła ok. 333 na jednym kontrolerze domeny zostały wykonane w ciągu jednej godziny. Na przykład ten scenariusz może wystąpić, gdy wielu pracowników przychodzi do pracy w poniedziałek rano. Nawet w takim przypadku nadal patrzymy na ok. 333/60 minut = sześć zmian haseł na minutę, co ponownie nie jest znaczącym obciążeniem.

Jeśli jednak bieżące kontrolery domeny są już uruchomione na ograniczonych do wydajności poziomach (na przykład maksymalnie w odniesieniu do procesora CPU, miejsca na dysku, we/wy dysku itd.), zaleca się dodanie dodatkowych kontrolerów domeny lub rozszerzenie dostępnego miejsca na dysku przed wdrożeniem tej funkcji. Zobacz również powyższe pytanie dotyczące użycia miejsca na dysku sysvol powyżej.

Chcę przetestować ochronę haseł firmy Microsoft na kilku kontrolerach domeny w mojej domenie. Czy można wymusić zmiany haseł użytkowników w celu korzystania z tych określonych kontrolerów domeny?

L.p. System operacyjny klienta systemu Windows kontroluje, który kontroler domeny jest używany, gdy użytkownik zmienia hasło. Kontroler domeny jest wybierany na podstawie czynników, takich jak lokacja usługi Active Directory i przypisania podsieci, konfiguracja sieci specyficzna dla środowiska itd. Usługa Microsoft Entra Password Protection nie kontroluje tych czynników i nie może wpływać na to, który kontroler domeny został wybrany do zmiany hasła użytkownika.

Jednym ze sposobów częściowego osiągnięcia tego celu jest wdrożenie ochrony haseł firmy Microsoft entra na wszystkich kontrolerach domeny w danej lokacji usługi Active Directory. Takie podejście zapewni rozsądny zakres dla klientów systemu Windows przypisanych do tej lokacji, a tym samym dla użytkowników, którzy logują się do tych klientów i zmieniają swoje hasła.

Jeśli zainstaluję usługę microsoft Entra Password Protection DC Agent tylko na podstawowym kontrolerze domeny (PDC), wszystkie inne kontrolery domeny w domenie również będą chronione?

L.p. Gdy hasło użytkownika zostanie zmienione na danym kontrolerze domeny innego niż PDC, hasło w postaci zwykłego tekstu nigdy nie jest wysyłane do kontrolera PDC (ten pomysł jest typowym błędnym postrzeganiem). Po zaakceptowaniu nowego hasła na danym kontrolerze domeny kontroler domeny używa tego hasła do tworzenia różnych skrótów specyficznych dla protokołu uwierzytelniania tego hasła, a następnie utrwala te skróty w katalogu. Hasło w postaci zwykłego tekstu nie jest utrwalane. Zaktualizowane skróty są następnie replikowane do kontrolera PDC. W niektórych przypadkach hasła użytkownika mogą zostać zmienione bezpośrednio na kontrolerze PDC, w zależności od różnych czynników, takich jak topologia sieci i projekt lokacji usługi Active Directory. (Zobacz poprzednie pytanie).

Podsumowując, wdrożenie usługi microsoft Entra Password Protection DC Agent na pdC jest wymagane do osiągnięcia 100% pokrycia zabezpieczeń funkcji w domenie. Wdrożenie funkcji na kontrolerze PDC nie zapewnia korzyści zabezpieczeń ochrony haseł firmy Microsoft dla innych kontrolerów domeny w domenie.

Dlaczego niestandardowe inteligentne blokowanie nie działa nawet po zainstalowaniu agentów w środowisku lokalna usługa Active Directory?

Niestandardowa inteligentna blokada jest obsługiwana tylko w identyfikatorze Entra firmy Microsoft. Zmiany niestandardowych ustawień inteligentnej blokady w centrum administracyjnym firmy Microsoft Entra nie mają wpływu na środowisko lokalna usługa Active Directory, nawet w przypadku zainstalowanych agentów.

Czy pakiet administracyjny programu System Center Operations Manager jest dostępny dla ochrony haseł firmy Microsoft?

L.p.

Dlaczego identyfikator Entra firmy Microsoft nadal odrzuca słabe hasła, mimo że skonfigurowano zasady tak, aby był w trybie inspekcji?

Tryb inspekcji jest obsługiwany tylko w środowisku lokalna usługa Active Directory. Identyfikator entra firmy Microsoft jest niejawnie zawsze w trybie "wymuszania" podczas oceniania haseł.

Moi użytkownicy widzą tradycyjny komunikat o błędzie systemu Windows, gdy hasło zostanie odrzucone przez usługę Microsoft Entra Password Protection. Czy można dostosować ten komunikat o błędzie, aby użytkownicy wiedzieli, co naprawdę się stało?

L.p. Komunikat o błędzie wyświetlany przez użytkowników, gdy hasło jest odrzucane przez kontroler domeny, jest kontrolowany przez komputer kliencki, a nie przez kontroler domeny. Takie zachowanie ma miejsce, czy hasło jest odrzucane przez domyślne zasady haseł usługi Active Directory, czy przez rozwiązanie oparte na filtrze haseł, takie jak Ochrona haseł firmy Microsoft.

Procedury testowania haseł

Warto wykonać kilka podstawowych testów różnych haseł, aby zweryfikować prawidłowe działanie oprogramowania i lepiej zrozumieć algorytm oceny haseł. W tej sekcji opisano metodę takiego testowania, która jest przeznaczona do generowania powtarzalnych wyników.

Dlaczego należy wykonać takie kroki? Istnieje kilka czynników, które utrudniają kontrolowane, powtarzalne testowanie haseł w środowisku lokalna usługa Active Directory:

  • Zasady haseł są konfigurowane i utrwalane na platformie Azure, a kopie zasad są okresowo synchronizowane przez lokalnych agentów kontrolera domeny przy użyciu mechanizmu sondowania. Opóźnienie związane z tym cyklem sondowania może powodować zamieszanie. Jeśli na przykład skonfigurujesz zasady na platformie Azure, ale zapomnisz je zsynchronizować z agentem kontrolera domeny, testy mogą nie przynieść oczekiwanych wyników. Interwał sondowania jest obecnie zakodowany jako jeden raz na godzinę, ale oczekiwanie na godzinę między zmianami zasad nie jest idealne dla scenariusza testowania interakcyjnego.
  • Po zsynchronizowaniu nowych zasad haseł z kontrolerem domeny wystąpi większe opóźnienie podczas replikacji do innych kontrolerów domeny. Te opóźnienia mogą spowodować nieoczekiwane wyniki, jeśli przetestujesz zmianę hasła względem kontrolera domeny, który nie otrzymał jeszcze najnowszej wersji zasad.
  • Testowanie zmian haseł za pośrednictwem interfejsu użytkownika utrudnia zaufanie do wyników. Na przykład łatwo jest źle wpisać nieprawidłowe hasło do interfejsu użytkownika, zwłaszcza że większość interfejsów użytkownika haseł ukrywa dane wejściowe użytkownika (na przykład windows Ctrl-Alt-Delete —> zmienianie interfejsu użytkownika hasła).
  • Nie można ściśle kontrolować, który kontroler domeny jest używany podczas testowania zmian haseł z klientów przyłączonych do domeny. System operacyjny klienta systemu Windows wybiera kontroler domeny na podstawie czynników, takich jak lokacja usługi Active Directory i przypisania podsieci, konfiguracja sieci specyficzna dla środowiska itd.

Aby uniknąć tych problemów, poniższe kroki są oparte na testowaniu wiersza polecenia resetowania haseł podczas logowania do kontrolera domeny.

Ostrzeżenie

Te procedury powinny być używane tylko w środowisku testowym, ponieważ wszystkie przychodzące zmiany i resetowanie haseł zostaną zaakceptowane bez walidacji, gdy usługa agenta kontrolera domeny jest zatrzymana, a także aby uniknąć zwiększonego ryzyka związanego z logowaniem się do kontrolera domeny.

W poniższych krokach przyjęto założenie, że agent kontrolera domeny został zainstalowany na co najmniej jednym kontrolerze domeny, zainstalowano co najmniej jeden serwer proxy i zarejestrowano zarówno serwer proxy, jak i las.

  1. Zaloguj się do kontrolera domeny przy użyciu poświadczeń Administracja domeny (lub innych poświadczeń, które mają wystarczające uprawnienia do tworzenia kont użytkowników testowych i resetowania haseł), które ma zainstalowane oprogramowanie agenta kontrolera domeny i zostało ponownie uruchomione.

  2. Otwórz Podgląd zdarzeń i przejdź do dziennika zdarzeń agenta kontrolera domeny Administracja.

  3. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień.

  4. Tworzenie konta testowego na potrzeby testowania haseł

    Istnieje wiele sposobów tworzenia konta użytkownika, ale opcja wiersza polecenia jest oferowana tutaj jako sposób ułatwienia podczas powtarzalnych cykli testowania:

    net.exe user <testuseraccountname> /add <password>
    

    Na potrzeby dyskusji poniżej załóżmy, że utworzyliśmy konto testowe o nazwie "ContosoUser", na przykład:

    net.exe user ContosoUser /add <password>
    
  5. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator uwierzytelniania.

  6. Przejdź do strony Ochrona > metod > uwierzytelniania Ochrona haseł.

  7. Zmodyfikuj zasady ochrony haseł firmy Microsoft zgodnie z potrzebami na potrzeby testowania, które chcesz wykonać. Możesz na przykład zdecydować się na skonfigurowanie trybu wymuszonego lub inspekcji albo zmodyfikować listę zakazanych terminów na liście niestandardowych zakazanych haseł.

  8. Zsynchronizuj nowe zasady, zatrzymując i ponownie uruchamiając usługę agenta kontrolera domeny.

    Ten krok można wykonać na różne sposoby. Jednym ze sposobów jest użycie konsoli administracyjnej zarządzania usługami, klikając prawym przyciskiem myszy usługę Microsoft Entra Password Protection DC Agent i wybierając polecenie "Uruchom ponownie". Inny sposób można wykonać z okna wiersza polecenia w następujący sposób:

    net stop AzureADPasswordProtectionDCAgent && net start AzureADPasswordProtectionDCAgent
    
  9. Sprawdź Podgląd zdarzeń, aby sprawdzić, czy zostały pobrane nowe zasady.

    Za każdym razem, gdy usługa agenta kontrolera domeny jest zatrzymywana i uruchamiana, powinny zostać wyświetlone dwa zdarzenia 30006 wystawione w krótkim odstępie czasu. Pierwsze zdarzenie 30006 będzie odzwierciedlać zasady buforowane na dysku w udziale sysvol. Drugie zdarzenie 30006 (jeśli istnieje) powinno mieć zaktualizowaną datę zasad dzierżawy i jeśli tak będzie odzwierciedlać zasady pobrane z platformy Azure. Wartość daty zasad dzierżawy jest obecnie kodowana, aby wyświetlić przybliżony znacznik czasu pobrany z platformy Azure.

    Jeśli drugie zdarzenie 30006 nie jest wyświetlane, przed kontynuowaniem należy rozwiązać problem.

    Zdarzenia 30006 będą wyglądać podobnie do tego przykładu:

    The service is now enforcing the following Azure password policy.
    
    Enabled: 1
    AuditOnly: 0
    Global policy date: ‎2018‎-‎05‎-‎15T00:00:00.000000000Z
    Tenant policy date: ‎2018‎-‎06‎-‎10T20:15:24.432457600Z
    Enforce tenant policy: 1
    

    Na przykład zmiana między trybem wymuszonym a trybem inspekcji spowoduje zmodyfikowanie flagi AuditOnly (powyższe zasady z właściwością AuditOnly=0 są w trybie wymuszonym); zmiany niestandardowej listy zakazanych haseł nie są bezpośrednio odzwierciedlane w powyższym zdarzeniu 30006 (i nie są rejestrowane nigdzie indziej ze względów bezpieczeństwa). Pomyślne pobranie zasad z platformy Azure po takiej zmianie spowoduje również dołączenie zmodyfikowanej niestandardowej listy zakazanych haseł.

  10. Uruchom test, próbując zresetować nowe hasło na koncie użytkownika testowego.

    Ten krok można wykonać w oknie wiersza polecenia w następujący sposób:

    net.exe user ContosoUser <password>
    

    Po uruchomieniu polecenia możesz uzyskać więcej informacji o wyniku polecenia, patrząc w podglądzie zdarzeń. Zdarzenia wyniku weryfikacji hasła są udokumentowane w temacie dziennika zdarzeń agenta kontrolera domeny Administracja; takie zdarzenia będą używane do sprawdzania poprawności wyniku testu oprócz interaktywnych danych wyjściowych z poleceń net.exe.

    Spróbujmy użyć przykładu: próba ustawienia hasła, które jest zakazane przez listę globalną firmy Microsoft (należy pamiętać, że lista nie jest udokumentowana , ale możemy przetestować tutaj pod znanym zakazanym terminem). W tym przykładzie przyjęto założenie, że zasady zostały skonfigurowane w trybie wymuszonym i dodano zero terminów do niestandardowej listy zakazanych haseł.

    net.exe user ContosoUser PassWord
    The password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements.
    
    More help is available by typing NET HELPMSG 2245.
    

    Zgodnie z dokumentacją, ponieważ nasz test był operacją resetowania hasła, powinna zostać wyświetlona operacja 10017 i zdarzenie 30005 dla użytkownika ContosoUser.

    Zdarzenie 10017 powinno wyglądać następująco:

    The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
    
    UserName: ContosoUser
    FullName: 
    

    Zdarzenie 30005 powinno wyglądać następująco:

    The reset password for the specified user was rejected because it matched at least one of the tokens present in the Microsoft global banned password list of the current Azure password policy.
    
    UserName: ContosoUser
    FullName: 
    

    To było zabawne - spróbujmy inny przykład! Tym razem podejmiemy próbę ustawienia hasła, które jest zakazane przez niestandardową listę zakazaną, gdy zasady są w trybie inspekcji. W tym przykładzie przyjęto założenie, że zostały wykonane następujące kroki: skonfigurowano zasady, które mają być w trybie inspekcji, dodano termin "lachrymose" do niestandardowej listy zakazanych haseł i zsynchronizował wynikowe nowe zasady z kontrolerem domeny przez jazdę na rowerze usługi agenta kontrolera domeny, zgodnie z powyższym opisem.

    Ok, ustaw odmianę zakazanego hasła:

    net.exe user ContosoUser LaChRymoSE!1
    The command completed successfully.
    

    Pamiętaj, że tym razem powiodło się, ponieważ zasady są w trybie inspekcji. Powinno zostać wyświetlone zdarzenie 10025 i 30007 dla użytkownika ContosoUser.

    Zdarzenie 10025 powinno wyglądać następująco:

    The reset password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
    
    UserName: ContosoUser
    FullName: 
    

    Zdarzenie 30007 powinno wyglądać następująco:

    The reset password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
    
    UserName: ContosoUser
    FullName: 
    
  11. Kontynuuj testowanie różnych haseł i sprawdź wyniki w podglądzie zdarzeń, korzystając z procedur opisanych w poprzednich krokach. Jeśli musisz zmienić zasady w centrum administracyjnym firmy Microsoft Entra, nie zapomnij zsynchronizować nowych zasad z agentem kontrolera domeny zgodnie z wcześniejszym opisem.

Omówiliśmy procedury, które umożliwiają przeprowadzanie kontrolowanego testowania zachowania weryfikacji haseł firmy Microsoft Entra Password Protection. Resetowanie haseł użytkowników z wiersza polecenia bezpośrednio na kontrolerze domeny może wydawać się dziwnym sposobem wykonywania takich testów, ale zgodnie z wcześniejszym opisem jest przeznaczony do generowania powtarzalnych wyników. Podczas testowania różnych haseł należy pamiętać o algorytmie oceny haseł, ponieważ może to pomóc w wyjaśnieniu wyników, których nie oczekiwano.

Ostrzeżenie

Po zakończeniu wszystkich testów nie zapomnij usunąć żadnych kont użytkowników utworzonych do celów testowych.

Dodatkowa zawartość

Dostępne szkolenia pomocy technicznej Microsoft Premier\Unified

Jeśli chcesz dowiedzieć się więcej na temat ochrony haseł firmy Microsoft i wdrożyć ją w swoim środowisku, możesz skorzystać z proaktywnej usługi firmy Microsoft dostępnej dla tych klientów z umową pomocy technicznej Premier lub Unified. Usługa nosi nazwę Microsoft Entra ID: Password Protection. Aby uzyskać więcej informacji, skontaktuj się z menedżerem konta sukcesu klienta.

Następne kroki

Jeśli masz lokalne pytanie dotyczące ochrony haseł firmy Microsoft, na które nie udzielono odpowiedzi, prześlij poniższy element opinii — dziękuję!

Wdrażanie ochrony haseł w usłudze Microsoft Entra