Vynucení místní ochrany hesel Azure AD pro Active Directory Domain Services

Azure AD Password Protection detekuje a blokuje známá slabá hesla a jejich varianty a může také blokovat další slabé termíny, které jsou specifické pro vaši organizaci. Místní nasazení služby Azure AD Password Protection používá stejné globální a vlastní seznamy zakázaných hesel, které jsou uložené ve službě Azure AD, a provádí stejné kontroly změn místních hesel jako služba Azure AD pro cloudové změny. Tyto kontroly se provádějí při změnách hesel a událostech resetování hesel u řadičů domény služby místní Active Directory Domain Services (AD DS).

Principy návrhu

Služba Azure AD Password Protection je navržená s následujícími principy:

  • Řadiče domény (DCS) nikdy nemusí komunikovat přímo s internetem.
  • Na řadičích domény nejsou otevřeny žádné nové síťové porty.
  • Nejsou vyžadovány žádné změny schématu služby AD DS. Software používá existující objekty schématu služby AD DS a serviceConnectionPoint .
  • Nevyžaduje se minimální úroveň funkčnosti domény služby AD DS nebo doménové struktury (DFL/FFL).
  • Software nevytvoří nebo nevyžaduje účty v doménách služby AD DS, které chrání.
  • Hesla pro vymazání textu uživatele nikdy neopustí řadič domény, a to buď během operací ověřování hesel, nebo kdykoli jindy.
  • Software není závislý na jiných funkcích Azure AD. Synchronizace hodnot hash hesel Azure AD (PHS) například nesouvisí nebo nevyžaduje ochranu hesel Azure AD.
  • Přírůstkové nasazení se podporuje, ale zásady hesel se vynucuje jenom v případě, že je nainstalovaný agent řadiče domény (DC Agent).

Přírůstkové nasazení

Azure AD Password Protection podporuje přírůstkové nasazení napříč řadiči domény služby AD DS. Je důležité pochopit, co to skutečně znamená a co jsou kompromisy.

Software agenta Azure AD Password Protection DC může ověřovat hesla jenom v případě, že je nainstalovaný v řadiči domény, a pouze pro změny hesla, které se odesílají do daného řadiče domény. Není možné řídit, které řadiče domény jsou zvoleny Windows klientskými počítači pro zpracování změn hesel uživatelů. Aby bylo možné zaručit konzistentní chování a univerzální vynucování zabezpečení služby Azure AD Password Protection, musí být software agenta DC nainstalovaný na všech řadičích domény v doméně.

Mnoho organizací chce pečlivě otestovat službu Azure AD Password Protection na podmnožině svých řadičů domény před úplným nasazením. Pro podporu tohoto scénáře podporuje Azure AD Password Protection částečné nasazení. Software agenta ŘADIČE domény na daném řadiči domény aktivně ověřuje hesla, i když ostatní řadiče domény v doméně nemají nainstalovaný software agenta ŘADIČE domény. Částečná nasazení tohoto typu nejsou zabezpečená a nedoporučuje se jinak než pro účely testování.

Diagram architektury

Před nasazením služby Azure AD Password Protection v místním prostředí AD DS je důležité pochopit základní koncepty návrhu a funkcí. Následující diagram ukazuje, jak komponenty služby Azure AD Password Protection spolupracují:

How Azure AD Password Protection components work together

  • Služba Proxy služby Azure AD Password Protection běží na libovolném počítači připojeném k doméně v aktuální doménové struktuře SLUŽBY AD DS. Primárním účelem služby je předávání žádostí o stažení zásad hesel z řadičů domény do Azure AD a následné vrácení odpovědí z Azure AD do řadiče domény.
  • Knihovna DLL filtru hesel agenta DC přijímá žádosti o ověření hesla uživatele z operačního systému. Filtr je předá službě agenta řadiče domény, která je spuštěná místně na řadiči domény.
  • Služba agenta DC služby Azure AD Password Protection přijímá žádosti o ověření hesla z knihovny DLL filtru hesel agenta DC. Služba agenta DC je zpracovává pomocí aktuálních (místně dostupných) zásad hesel a vrací výsledek průchodu nebo selhání.

Jak funguje azure AD Password Protection

Místní komponenty služby Azure AD Password Protection fungují takto:

  1. Každá instance proxy služby Azure AD pro ochranu heslem inzeruje do řadičů domény v doménové struktuře vytvořením objektu serviceConnectionPoint ve službě Active Directory.

    Každá služba agenta DC pro službu Azure AD Password Protection také vytvoří objekt serviceConnectionPoint ve službě Active Directory. Tento objekt se používá především pro vytváření sestav a diagnostiku.

  2. Služba agenta DC zodpovídá za iniciování stahování nových zásad hesel z Azure AD. Prvním krokem je vyhledání služby Proxy služby Azure AD Password Protection dotazováním doménové struktury pro objekty proxy serviceConnectionPoint .

  3. Když se najde dostupná proxy služba, agent řadiče domény odešle žádost o stažení zásad hesel do proxy služby. Proxy služba zase odešle požadavek do Azure AD a pak vrátí odpověď na službu agenta DC.

  4. Jakmile služba agenta DC obdrží novou zásadu hesel ze služby Azure AD, uloží tato služba zásadu do vyhrazené složky v kořenovém adresáři sdílené složky sysvol své domény. Služba agenta DC také monitoruje tuto složku v případě, že se novější zásady replikují z jiných služeb agenta řadiče domény v doméně.

  5. Služba agenta DC vždy požaduje při spuštění služby novou zásadu. Po spuštění služby agenta DC zkontroluje stáří aktuální místně dostupné zásady po hodinách. Pokud je zásada starší než jedna hodina, agent řadiče domény požádá o novou zásadu z Azure AD prostřednictvím služby proxy, jak je popsáno výše. Pokud aktuální zásada není starší než jedna hodina, agent řadiče domény bude tuto zásadu dál používat.

  6. Když řadič domény přijme události změny hesla, použije se zásada uložená v mezipaměti k určení, jestli je nové heslo přijato nebo odmítnuto.

Klíčové aspekty a funkce

  • Pokaždé, když se stáhnou zásady hesel služby Azure AD, jsou zásady specifické pro tenanta. Jinými slovy, zásady hesel jsou vždy kombinací globálního seznamu zakázaných hesel Microsoftu a seznamu zakázaných hesel pro jednotlivé tenanty.
  • Agent řadiče domény komunikuje se službou proxy prostřednictvím protokolu RPC přes protokol TCP. Proxy služba naslouchá těmto voláním na dynamickém nebo statickém portu RPC v závislosti na konfiguraci.
  • Agent řadiče domény nikdy neposlouchá na portu dostupném v síti.
  • Proxy služba nikdy nevolá službu agenta řadiče domény.
  • Proxy služba je bezstavová. Zásady ani žádný jiný stav stažený z Azure nikdy neuchová.
  • Služba agenta DC vždy používá nejnovější místně dostupné zásady hesel k vyhodnocení hesla uživatele. Pokud v místním řadiči domény nejsou k dispozici žádné zásady hesel, heslo se automaticky přijme. V takovém případě se zaprotokoluje zpráva události, která správce upozorní.
  • Azure AD Password Protection není aplikační modul zásad v reálném čase. Může dojít ke zpoždění mezi tím, kdy se v Azure AD provede změna konfigurace zásad hesel a kdy tato změna dosáhne a vynucuje se na všech řadičích domény.
  • Azure AD Password Protection funguje jako doplněk stávajících zásad hesel služby AD DS, nikoli jako náhrada. To zahrnuje všechny další knihovny DLL filtru hesel třetích stran, které mohou být nainstalovány. Služba AD DS vždy vyžaduje, aby všechny komponenty ověřování hesel souhlasily před přijetím hesla.

Vazba doménové struktury nebo tenanta pro službu Azure AD Password Protection

Nasazení služby Azure AD Password Protection v doménové struktuře SLUŽBY AD DS vyžaduje registraci této doménové struktury ve službě Azure AD. Každá nasazená proxy služba musí být zaregistrovaná také ve službě Azure AD. Tyto doménové struktury a registrace proxy serveru jsou přidružené ke konkrétnímu tenantovi Azure AD, který je implicitně identifikován přihlašovacími údaji, které se používají při registraci.

Doménová struktura služby AD DS a všechny nasazené proxy služby v rámci doménové struktury musí být zaregistrované ve stejném tenantovi. Nepodporuje se, aby byla doménová struktura služby AD DS ani žádné proxy služby v této doménové struktuře zaregistrované v různých tenantech Azure AD. Mezi příznaky takového chybného nasazení patří nemožnost stáhnout zásady hesel.

Poznámka

Zákazníci, kteří mají více tenantů Azure AD, proto musí zvolit jednoho rozlišujícího tenanta pro registraci každé doménové struktury pro účely ochrany hesel Azure AD.

Stáhnout

Na webu Microsoft Download Center jsou k dispozici dva požadované instalační programy agenta pro službu Azure AD Password Protection.

Další kroky

Pokud chcete začít používat místní službu Azure AD Password Protection, postupujte následovně: