Framtvinga lokalt Microsoft Entra-lösenordsskydd för Active Directory-domän Services
Microsoft Entra Password Protection identifierar och blockerar kända svaga lösenord och deras varianter, och kan även blockera ytterligare svaga termer som är specifika för din organisation. Lokal distribution av Microsoft Entra Password Protection använder samma globala och anpassade listor över förbjudna lösenord som lagras i Microsoft Entra-ID och gör samma kontroller av lokala lösenordsändringar som Microsoft Entra-ID:t gör för molnbaserade ändringar. Dessa kontroller utförs under lösenordsändringar och händelser för lösenordsåterställning mot domänkontrollanter lokal Active Directory Domain Services (AD DS).
Designprinciper
Microsoft Entra Password Protection är utformat med följande principer i åtanke:
- Domänkontrollanter (DCs) behöver aldrig kommunicera direkt med Internet.
- Inga nya nätverksportar öppnas på domänkontrollanter.
- Inga AD DS-schemaändringar krävs. Programvaran använder den befintliga AD DS-containern och tjänsten Anslut ionPoint-schemaobjekt.
- Alla AD DS-domäner som stöds eller skogens funktionsnivå kan användas.
- Programvaran skapar eller kräver inte konton i DE AD DS-domäner som den skyddar.
- Användarens klartextlösenord lämnar aldrig domänkontrollanten, varken under lösenordsverifieringsåtgärder eller vid någon annan tidpunkt.
- Programvaran är inte beroende av andra Microsoft Entra-funktioner. Microsoft Entra-synkronisering av lösenordshash (PHS) är till exempel inte relaterat eller krävs för Microsoft Entra-lösenordsskydd.
- Inkrementell distribution stöds, men lösenordsprincipen tillämpas bara där domänkontrollantagenten (DC Agent) är installerad.
Inkrementell distribution
Microsoft Entra Password Protection stöder inkrementell distribution mellan domänkontrollanter i en AD DS-domän. Det är viktigt att förstå vad detta verkligen betyder och vad kompromisserna är.
Microsoft Entra Password Protection DC-agentprogramvaran kan bara verifiera lösenord när den är installerad på en domänkontrollant och endast för lösenordsändringar som skickas till domänkontrollanten. Det går inte att styra vilka domänkontrollanter som väljs av Windows-klientdatorer för bearbetning av ändringar av användarlösenord. För att garantera konsekvent beteende och universell säkerhet för Microsoft Entra-lösenordsskydd måste DC-agentprogramvaran installeras på alla domänkontrollanter i en domän.
Många organisationer vill noggrant testa Microsoft Entra Password Protection på en delmängd av sina domänkontrollanter före en fullständig distribution. För att stödja det här scenariot stöder Microsoft Entra Password Protection delvis distribution. DC-agentprogramvaran på en viss domänkontrollant validerar aktivt lösenord även när andra domänkontrollanter i domänen inte har dc-agentprogramvaran installerad. Partiella distributioner av den här typen är inte säkra och rekommenderas inte annat än i testsyfte.
Arkitekturdiagram
Det är viktigt att förstå de underliggande design- och funktionsbegreppen innan du distribuerar Microsoft Entra Password Protection i en lokal AD DS-miljö. Följande diagram visar hur komponenterna i Microsoft Entra Password Protection fungerar tillsammans:
- Tjänsten Microsoft Entra Password Protection Proxy körs på alla domänanslutna datorer i den aktuella AD DS-skogen. Tjänstens främsta syfte är att vidarebefordra begäranden om nedladdning av lösenordsprinciper från domänkontrollanter till Microsoft Entra-ID och sedan returnera svaren från Microsoft Entra-ID:t till domänkontrollanten.
- DLL:en för lösenordsfiltret för DC-agenten tar emot begäranden om lösenordsverifiering från operativsystemet. Filtret vidarebefordrar dem till dc-agenttjänsten som körs lokalt på domänkontrollanten.
- DC Agent-tjänsten för Microsoft Entra Password Protection tar emot begäranden om lösenordsverifiering från DLL för lösenordsfiltret för DC-agenten. DC Agent-tjänsten bearbetar dem med hjälp av den aktuella lösenordsprincipen (lokalt tillgänglig) och returnerar resultatet av pass eller fail.
Så här fungerar Microsoft Entra Password Protection
De lokala Microsoft Entra-komponenterna för lösenordsskydd fungerar på följande sätt:
Varje Microsoft Entra Password Protection Proxy-tjänstinstans annonserar sig till domänkontrollanterna i skogen genom att skapa ett tjänst Anslut ionPoint-objekt i Active Directory.
Varje DC-agenttjänst för Microsoft Entra Password Protection skapar också ett tjänst Anslut ionPoint-objekt i Active Directory. Det här objektet används främst för rapportering och diagnostik.
DC Agent-tjänsten ansvarar för att initiera nedladdningen av en ny lösenordsprincip från Microsoft Entra-ID. Det första steget är att hitta en Microsoft Entra Password Protection Proxy-tjänst genom att fråga skogen efter proxytjänst Anslut ionPoint-objekt.
När en tillgänglig proxytjänst hittas skickar DC-agenten en begäran om nedladdning av lösenordsprinciper till proxytjänsten. Proxytjänsten skickar i sin tur begäran till Microsoft Entra-ID och returnerar sedan svaret till DC Agent-tjänsten.
När DC Agent-tjänsten har fått en ny lösenordsprincip från Microsoft Entra-ID lagrar tjänsten principen i en dedikerad mapp i roten på domänens sysvol-mappresurs . DC Agent-tjänsten övervakar även den här mappen om nyare principer replikeras från andra DC Agent-tjänster i domänen.
DC Agent-tjänsten begär alltid en ny princip vid tjänststart. När DC Agent-tjänsten har startats kontrollerar den åldern för den aktuella lokalt tillgängliga principen varje timme. Om principen är äldre än en timme begär DC-agenten en ny princip från Microsoft Entra-ID via proxytjänsten, enligt beskrivningen tidigare. Om den aktuella principen inte är äldre än en timme fortsätter DC-agenten att använda den principen.
När händelser för lösenordsändring tas emot av en domänkontrollant används den cachelagrade principen för att avgöra om det nya lösenordet godkänns eller avvisas.
Viktiga överväganden och funktioner
- När en Lösenordsprincip för Microsoft Entra-lösenordsskydd laddas ned är den principen specifik för en klientorganisation. Med andra ord är lösenordsprinciper alltid en kombination av Microsofts globala lista över förbjudna lösenord och listan med anpassade förbjudna lösenord per klientorganisation.
- DC-agenten kommunicerar med proxytjänsten via RPC via TCP. Proxytjänsten lyssnar efter dessa anrop på en dynamisk eller statisk RPC-port, beroende på konfigurationen.
- DC-agenten lyssnar aldrig på en nätverkstillgänglig port.
- Proxytjänsten anropar aldrig DC Agent-tjänsten.
- Proxytjänsten är tillståndslös. Den cachelagrar aldrig principer eller något annat tillstånd som laddats ned från Azure.
- Proxyregistrering fungerar genom att lägga till autentiseringsuppgifter i tjänstenS huvudnamn AADPasswordProtectionProxy. Oroa dig inte för några händelser i granskningsloggarna när detta inträffar.
- DC Agent-tjänsten använder alltid den senaste lokalt tillgängliga lösenordsprincipen för att utvärdera en användares lösenord. Om ingen lösenordsprincip är tillgänglig på den lokala domänkontrollanten godkänns lösenordet automatiskt. När det händer loggas ett händelsemeddelande för att varna administratören.
- Microsoft Entra Password Protection är inte en principprogrammotor i realtid. Det kan uppstå en fördröjning mellan när en konfigurationsändring av lösenordsprinciper görs i Microsoft Entra-ID och när ändringen når och tillämpas på alla domänkontrollanter.
- Microsoft Entra Password Protection fungerar som ett komplement till befintliga AD DS-lösenordsprinciper, inte en ersättning. Detta omfattar alla andra dll:er för lösenordsfilter från tredje part som kan installeras. AD DS kräver alltid att alla komponenter för lösenordsverifiering godkänns innan ett lösenord godkänns.
Skogs-/klientbindning för Microsoft Entra Password Protection
Distribution av Microsoft Entra Password Protection i en AD DS-skog kräver registrering av skogen med Microsoft Entra-ID. Varje proxytjänst som distribueras måste också registreras med Microsoft Entra-ID. Dessa skogs- och proxyregistreringar är associerade med en specifik Microsoft Entra-klientorganisation, som identifieras implicit av de autentiseringsuppgifter som används under registreringen.
AD DS-skogen och alla distribuerade proxytjänster i en skog måste registreras med samma klientorganisation. Det stöds inte att ha en AD DS-skog eller några proxytjänster i skogen som registreras till olika Microsoft Entra-klienter. Symtom på en sådan felkonfigurerad distribution är att det inte går att ladda ned lösenordsprinciper.
Kommentar
Kunder som har flera Microsoft Entra-klienter måste därför välja en unikt klientorganisation för att registrera varje skog för Microsoft Entra-lösenordsskydd.
Ladda ned
De två nödvändiga agentinstallationerna för Microsoft Entra Password Protection är tillgängliga från Microsoft Download Center.
Nästa steg
Kom igång med att använda lokalt Microsoft Entra-lösenordsskydd genom att göra följande: