Поделиться через

Принудительное применение локальной защиты паролей Microsoft Entra для доменных служб Active Directory

Microsoft Entra Password Protection обнаруживает и блокирует известные слабые пароли и их варианты, а также может блокировать дополнительные слабые термины, относящиеся к вашей организации. Локальное развертывание Microsoft Entra Password Protection использует те же глобальные и настраиваемые списки запрещенных паролей, которые хранятся в идентификаторе Microsoft Entra ID, и выполняет те же проверки на наличие локальных изменений паролей, что и идентификатор Microsoft Entra id для облачных изменений. Эти проверки выполняются во время изменений паролей и событий сброса пароля для локальных контроллеров домена доменных служб Active Directory (AD DS).

Принципы проектирования

Защита паролей Microsoft Entra разработана с учетом следующих принципов:

  • Контроллеры домена (DCs) никогда не должны взаимодействовать напрямую с Интернетом.
  • Новые сетевые порты не открываются на контроллерах домена.
  • Изменения доменных служб Active Directory не требуются. Программное обеспечение использует существующий контейнер AD DS и объекты схемы ServiceConnectionPoint .
  • Можно использовать любой поддерживаемый домен AD DS или функциональный уровень леса.
  • Программное обеспечение не создает или не требует учетных записей в защищенных доменах доменных служб Active Directory.
  • Пароли с понятным текстом пользователя никогда не покидают контроллер домена во время операций проверки пароля или в любое другое время.
  • Программное обеспечение не зависит от других функций Microsoft Entra. Например, синхронизация хэша паролей Microsoft Entra (PHS) не связана или требуется для защиты паролей Microsoft Entra.
  • Добавочное развертывание поддерживается, однако политика паролей применяется только при установке агента контроллера домена (агента контроллера домена).

Добавочное развертывание

Защита паролей Microsoft Entra поддерживает добавочное развертывание в доменах AD DS. Важно понимать, что это действительно означает и что такое компромиссы.

Программное обеспечение агента Microsoft Entra для защиты паролей на контроллере домена (DC) может проверять пароли только в том случае, если оно установлено на контроллер домена, и только для изменений паролей, отправленных этому контроллеру домена. Невозможно управлять выбором контроллеров домена, которые клиентские компьютеры Windows используют для обработки изменений паролей пользователей. Чтобы гарантировать устойчивое функционирование и повсеместное применение защитных мер Microsoft Entra Password Protection, необходимо установить программное обеспечение агента контроллера домена на всех контроллерах домена.

Многие организации хотят тщательно проверить защиту паролей Microsoft Entra на подмножестве своих контроллеров домена до полного развертывания. Для поддержки этого сценария Microsoft Entra Password Protection поддерживает частичное развертывание. Программное обеспечение агента контроллера домена на определенном контроллере домена активно проверяет пароли, даже когда на других контроллерах домена в домене программное обеспечение агента контроллера домена не установлено. Частичные развертывания этого типа не защищены и не рекомендуется использовать для тестирования.

Схема архитектуры

Перед развертыванием защиты паролей Microsoft Entra в локальной среде AD DS важно понимать основные понятия проектирования и функций. На следующей схеме показано, как компоненты Microsoft Entra Password Protection работают вместе:

Как компоненты защиты паролей Microsoft Entra работают вместе

  • Служба прокси-сервера защиты паролей Microsoft Entra выполняется на любом присоединенном к домену компьютере в текущем лесу служб доменов Active Directory. Основная цель службы — передавать запросы на загрузку политики паролей от контроллеров домена в Microsoft Entra ID, а затем возвращать ответы от Microsoft Entra ID обратно в контроллеры домена.
  • Библиотека DLL фильтра паролей агента DC получает запросы на проверку паролей пользователей из операционной системы. Фильтр перенаправляет их в Службу Агента Контроллера Домена, которая работает локально на контроллере домена.
  • Служба DC Agent Microsoft Entra Password Protection получает запросы на проверку паролей от DLL фильтра паролей DC Agent. Служба DC Agent обрабатывает их, используя текущую (локально доступную) политику паролей и возвращает результат успех или неудача.

Как работает защита паролей Microsoft Entra

Локальные компоненты защиты паролей Microsoft Entra работают следующим образом:

  1. Каждый экземпляр прокси-службы защиты паролей Microsoft Entra объявляет себя контроллерам домена в лесу путем создания объекта serviceConnectionPoint в Active Directory.

    Каждая служба агента контроллера домена для Защиты паролей Microsoft Entra также создает объект serviceConnectionPoint в Active Directory. Этот объект используется в основном для создания отчетов и диагностики.

  2. Служба DC Agent отвечает за запуск загрузки новой политики паролей из Microsoft Entra ID. Первым шагом является поиск службы прокси-сервера защиты паролей Microsoft Entra, запрашивая лес для объектов proxy serviceConnectionPoint .

  3. При обнаружении доступной прокси-службы агент контроллера домена отправляет запрос на скачивание политики паролей в службу прокси-сервера. Прокси-служба отправляет запрос в Microsoft Entra ID и затем возвращает ответ службе агента контроллера домена.

  4. После того как служба DC Agent получает новую политику паролей от Microsoft Entra ID, она сохраняет эту политику в выделенной папке в корне папки общего доступа домена sysvol. Служба агентов DC также отслеживает эту папку на случай репликации новых политик из других служб-агентов в домене.

  5. Служба DC Agent всегда запрашивает новую политику при запуске службы. После запуска службы агента контроллера домена каждый час проверяется возраст текущей локально доступной политики. Если политика старше одного часа, агент DC запрашивает новую политику из Microsoft Entra ID через прокси-службу, как было описано ранее. Если текущая политика не старше одного часа, агент DC продолжает использовать эту политику.

  6. Когда контроллер домена получает информацию об изменении пароля, используется кэшированная политика, позволяющая определить, принимается ли новый пароль или отклоняется.

Основные соображения и характеристики

  • Всякий раз, когда загружается политика защиты паролей Microsoft Entra Password Protection, эта политика специфична для клиента. Другими словами, политики паролей всегда являются сочетанием глобального списка запрещенных паролей Майкрософт и пользовательского списка запрещенных паролей для каждого клиента.
  • Агент DC взаимодействует с прокси-службой через RPC по TCP. Служба прокси-сервера прослушивает эти вызовы на динамический или статический порт RPC в зависимости от конфигурации.
  • Агент DC никогда не прослушивает порт, доступный в сети.
  • Служба прокси никогда не обращается к службе агента доменного контроллера.
  • Прокси-служба является независимой от состояния. Он никогда не кэширует политики или любое другое состояние, скачаемое из Azure.
  • Регистрация прокси работает путем добавления учетных данных в служебный принципал AADPasswordProtectionProxy. Не следует беспокоиться о каких-либо событиях в журналах аудита, когда это происходит.
  • Служба агента DC всегда использует самую последнюю локально доступную политику паролей для оценки пароля пользователя. Если политика паролей недоступна в локальном контроллере домена, пароль автоматически принимается. В этом случае сообщение о событии регистрируется, чтобы предупредить администратора.
  • Защита паролей Microsoft Entra не является движком применения политики в режиме реального времени. Может возникнуть задержка между изменением конфигурации политики паролей в Microsoft Entra ID и тем, когда это изменение достигает всех контроллеров домена и начинает применяться.
  • Защита паролей Microsoft Entra выступает в качестве дополнения к существующим политикам паролей AD DS, а не замене. Сюда входят все другие библиотеки фильтров паролей сторонних поставщиков, которые могут быть установлены. AD DS всегда требует, чтобы все компоненты проверки паролей согласились перед принятием пароля.

Лес или привязка клиента для защиты паролей Microsoft Entra

Для развертывания защиты паролей Microsoft Entra в лесу AD DS требуется регистрация этого леса с помощью идентификатора Microsoft Entra. Каждая развернутая служба прокси-сервера также должна быть зарегистрирована с идентификатором Microsoft Entra. Эти регистрации леса и прокси-сервера связаны с определенным клиентом Microsoft Entra, который определяется неявно учетными данными, используемыми во время регистрации.

Лес доменных служб Active Directory (AD DS) и все развернутые прокси-службы в этом лесу должны быть зарегистрированы у одного арендатора. Не поддерживается, чтобы лес AD DS или какие-либо службы прокси в этом лесу были зарегистрированы в различных клиентах Microsoft Entra. Симптомы такого неправильно настроенного развертывания включают неспособность скачать политики паролей.

Замечание

Таким образом, пользователи с несколькими клиентами Microsoft Entra должны выбрать один выделенный клиент, чтобы зарегистрировать каждый лес для защиты паролей в Microsoft Entra.

Загрузка

Два необходимых установщика агента для защиты паролей Microsoft Entra доступны в Центре загрузки Майкрософт.

Дальнейшие шаги

Чтобы приступить к работе с локальной защитой паролей Microsoft Entra, выполните следующие инструкции.

Развертывание локальной защиты паролей Microsoft Entra

  • Last updated on