Усиленная защита паролей Azure AD для доменных служб Active Directory

Служба защиты паролей Azure AD обнаруживает и блокирует известные ненадежные пароли и их варианты, а также может блокировать другие ненадежные пароли, характерные для вашей организации. Локальное развертывание защиты паролей Azure AD использует те же списки глобальных и заданных запрещенных паролей, которые хранятся в Azure AD, и выполняет те же проверки для локальных изменений паролей, что и Azure AD для облачных изменений. Эти проверки выполняются во время изменений паролей и событий сброса пароля для локальных контроллеров домена доменных служб Active Directory (AD DS).

Принципы проектирования

Защита паролем Azure AD создана с учетом следующих принципов.

  • Контроллеры домена не должны взаимодействовать напрямую с Интернетом ни при каких обстоятельствах.
  • Новые сетевые порты не открыты на контроллерах домена.
  • Изменения доменных служб Active Directory не требуются. Данное программное обеспечение использует имеющийся контейнер Active Directory и объекты схемы serviceConnectionPoint.
  • Минимальный режим работы доменных служб Active Directory или леса (DFL/FFL) не требуется.
  • Программное обеспечение не создает или не требует учетных записей в защищенных доменах доменных служб Active Directory.
  • Пользовательские пароли никогда не покидают контроллер домена во время операций проверки пароля или в любое другое время.
  • Программное обеспечение не зависит от других функций Azure AD. Например, служба синхронизации хэшированных паролей Azure AD (PHS) не связана и не является обязательной для защиты паролей Azure AD.
  • Есть поддержка добавочного развертывания, однако политика паролей применяется только в том случае, когда установлен агент контроллера домена (агент доменных служб).

Добавочное развертывание

Защита паролей Azure AD поддерживает добавочное развертывание на контроллерах домена в домене AD DS. Важно понимать, что это означает и на что влияет.

Программное обеспечение агента контроллера домена для защиты паролей Azure AD может проверять только пароли, установленные на контроллере домена, и только для изменения паролей, отправленных на этот контроллер домена. Невозможно контролировать, какие контроллеры домена выбираются клиентскими компьютерами Windows для обработки изменений паролей пользователей. Чтобы обеспечить согласованное поведение и обеспечение защиты паролей в универсальной службе Azure AD, необходимо установить ПО для всех контроллеров домена в домене программного обеспечения агента DC.

Многим организациям необходимо тщательно протестировать защиту паролей Azure AD на подмножестве контроллеров домена до полного развертывания. Для поддержки этого сценария защита паролей Azure AD поддерживает частичное развертывание. Программное обеспечение агента контроллера домена на заданном контроллере активно проверяет пароли, даже если на других контроллерах не установлено программное обеспечение агента DC. Частичные развертывания этого типа не являются безопасными и не рекомендуются для целей тестирования.

Схема архитектуры

Прежде чем развертывать защиту паролей Azure AD в локальной среде AD DS, важно понимать основные понятия проектирования и функций. На следующей схеме показано, как компоненты Защиты паролей Azure AD работают вместе.

Взаимодействие компонентов защиты паролем Azure AD

  • Служба прокси-сервера Защиты паролей Azure AD выполняется на любом компьютере, присоединенном к домену, в текущем лесу AD DS. Основная цель службы — перенаправление запросов загрузки политики паролей с контроллеров домена в Azure AD и возврат ответа от Azure AD на контроллер домена.
  • Библиотека DLL фильтра паролей агента контроллера домена получает запросы проверки пароля пользователя от операционной системы. Фильтр перенаправляет их в службу агента контроллера домена, которая работает локально на контроллере домена.
  • Служба агента контроллера домена в службе защиты паролей Azure AD получает запросы на проверку пароля от библиотеки DLL фильтра паролей агента контроллера домена. Служба агента контроллера домена обрабатывает их с использованием текущей политики паролей (доступной локально) и возвращает результат Pass или Fail.

Как работает защита паролей Azure AD

Компоненты защиты паролей в локальной среде Azure AD работают следующим образом.

  1. Каждый экземпляр прокси-службы защиты паролей Azure AD объявляет о себе контроллерам домена в лесу и создает объект serviceConnectionPoint в Active Directory.

    Каждая служба агента контроллера домена для защиты паролей Azure AD также создает объект serviceConnectionPoint в Active Directory. Данный объект используется в основном для создания отчетов и диагностики.

  2. Служба агента контроллера домена Защиты паролей Azure AD отвечает за инициирование загрузки новой политики паролей от Azure AD. Первый шаг — найти службу прокси-сервера Защиты паролей Azure AD, отправив в лес запрос на наличие прокси-объектов serviceConnectionPoint.

  3. При обнаружении доступной прокси-службы агент контроллера домена отправляет соответствующий запрос на скачивание политики паролей в прокси-службу. Прокси-служба, в свою очередь, отправляет запрос в Azure AD, а затем передает ответ службе агента контроллера домена.

  4. После получения новой политики паролей из Azure AD служба агента контроллера домена сохраняет политику в выделенной папке в корне общего ресурса sysvol своего домена. Служба агента контроллера домена также отслеживает данную папку на случай репликации новых политик из других служб агента контроллера в домене.

  5. Служба агента доменных служб всегда запрашивает новую политику при запуске службы. После запуска службы агента контроллера домена он проверяет возраст текущей локальной политики каждый час. Если политика старше одного часа, агент контроллера домена запрашивает новую политику из Azure AD через прокси-службу в соответствии с описанием выше. Если текущая политика не старше одного часа, агент контроллера домена продолжает руководствоваться данной политикой.

  6. Когда контроллер домена получает информацию об изменении пароля, используется кэшированная политика, позволяющая определить, принимается ли новый пароль или отклоняется.

Ключевые аспекты и функции

  • Скаченная политика паролей для защиты паролей Azure AD относится к клиенту. Иными словами, политики паролей всегда являются сочетанием списка с глобальными запрещенными паролями Майкрософт и списка заданных запрещенных паролей для каждого клиента.
  • Агент контроллера домена взаимодействует со службой прокси посредством RPC через протокол TCP. Служба прокси-сервера ожидает этих вызовов через динамический или статический порт RPC в зависимости от конфигурации.
  • Агент контроллера домена никогда не прослушивает порт, доступный по сети.
  • Служба прокси никогда не вызывает службу агента контроллера домена.
  • Служба прокси-сервера не имеет состояния. Она никогда не кэширует политики или другие состояния, скачанные из Azure.
  • Служба агента контроллера домена всегда использует последнюю локальную политику паролей для вычисления пароля пользователя. Если на локальном контроллере домена нет доступной политики паролей, пароль будет автоматически принят. В этом случае в журнал заносится сообщение о событии, чтобы предупредить администратора.
  • Защита паролей Azure AD не является подсистемой применения политик в режиме реального времени. Возможна задержка между изменением конфигурации политики паролей в Azure AD, а также тем, когда это изменение достигается и применяется ко всем контроллерам домена.
  • Защита паролей Azure AD действует как дополнение к существующим политикам паролей AD DS, а не как замена. Сюда входят любые другие DLL-библиотеки фильтрации паролей сторонних производителей, которые могут быть установлены. AD DS всегда требует, чтобы все компоненты проверки пароля были согласованы перед принятием пароля.

Привязка клиента или леса для защиты паролей Azure AD

Для развертывания защиты паролей Azure AD в лесу AD DS требуется регистрация этого леса в Azure AD. Каждая развернутая служба прокси-сервера также должна быть зарегистрирована в Azure AD. Эти регистрации леса и прокси-серверы связаны с определенным клиентом Azure AD, который неявно определяется учетными данными, используемыми во время регистрации.

Лес AD DS и все развернутые прокси-службы в лесу должны быть зарегистрированы в одном и том же клиенте. Не поддерживается наличие леса AD DS или любых прокси-служб в лесу, которые зарегистрирован в разных клиентах Azure AD. Признаки такого неправильного развертывания включают невозможность скачивания политик паролей.

Примечание

Поэтому потребители, имеющие несколько клиентов Azure AD, должны выбрать один отличающийся клиент для регистрации каждого леса в целях защиты паролей Azure AD.

Скачивание

Два обязательных установщика агента для защиты паролей Azure AD доступны в Центре загрузки Майкрософт.

Дальнейшие действия

Чтобы приступить к работе с локальной защитой паролей Azure AD, выполните следующие шаги.