Framtvinga lokalt Azure AD lösenordsskydd för Active Directory Domain Services

Azure AD lösenordsskydd identifierar och blockerar kända svaga lösenord och deras varianter och kan även blockera ytterligare svaga termer som är specifika för din organisation. Lokal distribution av Azure AD Lösenordsskydd använder samma globala och anpassade listor över förbjudna lösenord som lagras i Azure AD, och samma kontroller av lokala lösenordsändringar som Azure AD gör för molnbaserade ändringar. Dessa kontroller utförs vid lösenordsändringar och återställning av lösenord mot domänkontrollanter lokal Active Directory Domain Services (AD DS).

Designprinciper

Azure AD lösenordsskydd är utformat med följande principer i åtanke:

  • Domänkontrollanter (DCs) behöver aldrig kommunicera direkt med Internet.
  • Inga nya nätverksportar öppnas på domänkontrollanter.
  • Inga AD DS-schemaändringar krävs. Programvaran använder befintliga AD DS-container - och serviceConnectionPoint-schemaobjekt .
  • Alla AD DS-domäner som stöds eller skogens funktionsnivå kan användas.
  • Programvaran skapar eller kräver inte konton i de AD DS-domäner som den skyddar.
  • Användarens klartextlösenord lämnar aldrig domänkontrollanten, varken under lösenordsverifieringsåtgärder eller vid någon annan tidpunkt.
  • Programvaran är inte beroende av andra Azure AD funktioner. Till exempel är Azure AD synkronisering av lösenordshash (PHS) inte relaterat eller krävs för Azure AD lösenordsskydd.
  • Inkrementell distribution stöds, men lösenordsprincipen tillämpas endast där domänkontrollantagenten (DC Agent) är installerad.

Inkrementell distribution

Azure AD Lösenordsskydd stöder inkrementell distribution mellan domänkontrollanter i en AD DS-domän. Det är viktigt att förstå vad detta verkligen betyder och vad kompromisserna är.

Dc-agentprogramvaran för Azure AD Password Protection kan bara validera lösenord när den är installerad på en domänkontrollant och endast för lösenordsändringar som skickas till domänkontrollanten. Det går inte att styra vilka domänkontrollanter som väljs av Windows-klientdatorer för bearbetning av ändringar av användarlösenord. För att garantera konsekvent beteende och universell Azure AD säkerhet för lösenordsskydd måste DC-agentprogramvaran installeras på alla domänkontrollanter i en domän.

Många organisationer vill noggrant testa Azure AD lösenordsskydd på en delmängd av sina domänkontrollanter före en fullständig distribution. För att stödja det här scenariot stöder Azure AD lösenordsskydd partiell distribution. DC-agentprogramvaran på en viss domänkontrollant validerar aktivt lösenord även när andra domänkontrollanter i domänen inte har DC-agentprogramvaran installerad. Partiella distributioner av den här typen är inte säkra och rekommenderas inte annat än i testsyfte.

Arkitekturdiagram

Det är viktigt att förstå de underliggande design- och funktionsbegreppen innan du distribuerar Azure AD lösenordsskydd i en lokal AD DS-miljö. Följande diagram visar hur komponenterna i Azure AD lösenordsskydd fungerar tillsammans:

Så här fungerar Azure AD lösenordsskyddskomponenter tillsammans

  • Tjänsten Azure AD Proxy för lösenordsskydd körs på alla domänanslutna datorer i den aktuella AD DS-skogen. Tjänstens primära syfte är att vidarebefordra begäranden om nedladdning av lösenordsprinciper från domänkontrollanter till Azure AD och sedan returnera svaren från Azure AD till domänkontrollanten.
  • DLL:en för lösenordsfiltret för DC-agenten tar emot begäranden om verifiering av användarlösenord från operativsystemet. Filtret vidarebefordrar dem till dc-agenttjänsten som körs lokalt på domänkontrollanten.
  • DC Agent-tjänsten för Azure AD Lösenordsskydd tar emot begäranden om lösenordsverifiering från DLL-filen för lösenordsfiltret för DC-agenten. DC Agent-tjänsten bearbetar dem med hjälp av den aktuella lösenordsprincipen (lokalt tillgänglig) och returnerar resultatet av pass eller fail.

Så här fungerar Azure AD lösenordsskydd

De lokala komponenterna Azure AD lösenordsskydd fungerar på följande sätt:

  1. Varje Azure AD proxytjänstinstans för lösenordsskydd annonserar sig till domänkontrollanterna i skogen genom att skapa ett serviceConnectionPoint-objekt i Active Directory.

    Varje DC Agent-tjänst för Azure AD lösenordsskydd skapar också ett serviceConnectionPoint-objekt i Active Directory. Det här objektet används främst för rapportering och diagnostik.

  2. DC Agent-tjänsten ansvarar för att initiera nedladdningen av en ny lösenordsprincip från Azure AD. Det första steget är att hitta en Azure AD proxytjänst för lösenordsskydd genom att fråga skogen efter proxytjänstenConnectionPoint-objekt.

  3. När en tillgänglig proxytjänst hittas skickar DC-agenten en begäran om nedladdning av lösenordsprincip till proxytjänsten. Proxytjänsten skickar i sin tur begäran till Azure AD och returnerar sedan svaret till DC Agent-tjänsten.

  4. När DC Agent-tjänsten har fått en ny lösenordsprincip från Azure AD lagrar tjänsten principen i en dedikerad mapp i roten på dess sysvol-domänmappresurs. DC Agent-tjänsten övervakar också den här mappen om nyare principer replikeras från andra DC Agent-tjänster i domänen.

  5. DC Agent-tjänsten begär alltid en ny princip vid start av tjänsten. När DC Agent-tjänsten har startats kontrollerar den åldern för den aktuella lokalt tillgängliga principen varje timme. Om principen är äldre än en timme begär DC-agenten en ny princip från Azure AD via proxytjänsten, enligt beskrivningen ovan. Om den aktuella principen inte är äldre än en timme fortsätter DC-agenten att använda den principen.

  6. När händelser för lösenordsändring tas emot av en domänkontrollant används den cachelagrade principen för att avgöra om det nya lösenordet accepteras eller avvisas.

Viktiga överväganden och funktioner

  • När en Azure AD lösenordsskyddsprincip laddas ned är den principen specifik för en klientorganisation. Lösenordsprinciper är med andra ord alltid en kombination av Microsofts globala lista över förbjudna lösenord och listan med anpassade förbjudna lösenord per klientorganisation.
  • DC-agenten kommunicerar med proxytjänsten via RPC via TCP. Proxytjänsten lyssnar efter dessa anrop på en dynamisk eller statisk RPC-port, beroende på konfigurationen.
  • DC-agenten lyssnar aldrig på en nätverkstillgänglig port.
  • Proxytjänsten anropar aldrig DC Agent-tjänsten.
  • Proxytjänsten är tillståndslös. Den cachelagrar aldrig principer eller något annat tillstånd som laddats ned från Azure.
  • DC Agent-tjänsten använder alltid den senaste lokalt tillgängliga lösenordsprincipen för att utvärdera en användares lösenord. Om det inte finns någon lösenordsprincip på den lokala domänkontrollanten godkänns lösenordet automatiskt. När det händer loggas ett händelsemeddelande för att varna administratören.
  • Azure AD lösenordsskydd är inte en principprogrammotor i realtid. Det kan uppstå en fördröjning mellan när en konfigurationsändring av lösenordsprincipen görs i Azure AD och när ändringen når och framtvingas på alla domänkontrollanter.
  • Azure AD lösenordsskydd fungerar som ett komplement till befintliga AD DS-lösenordsprinciper, inte en ersättning. Detta omfattar alla andra dll-filer för lösenordsfilter från tredje part som kan installeras. AD DS kräver alltid att alla komponenter för lösenordsverifiering godkänns innan ett lösenord accepteras.

Skog/klientbindning för Azure AD lösenordsskydd

Distribution av Azure AD lösenordsskydd i en AD DS-skog kräver registrering av skogen med Azure AD. Varje proxytjänst som distribueras måste också registreras med Azure AD. Dessa skogs- och proxyregistreringar är associerade med en specifik Azure AD klientorganisation, som identifieras implicit av de autentiseringsuppgifter som används under registreringen.

AD DS-skogen och alla distribuerade proxytjänster i en skog måste registreras med samma klientorganisation. Det går inte att ha en AD DS-skog eller proxytjänster i skogen som registreras i olika Azure AD klienter. Symtom på en sådan felkonfigurerad distribution är att det inte går att ladda ned lösenordsprinciper.

Anteckning

Kunder som har flera Azure AD klientorganisationer måste därför välja en framstående klientorganisation för att registrera varje skog för Azure AD lösenordsskydd.

Ladda ned

De två nödvändiga agentinstallationsverktygen för Azure AD Lösenordsskydd är tillgängliga från Microsoft Download Center.

Nästa steg

Kom igång med att använda lokalt Azure AD lösenordsskydd genom att göra följande: