On-premises Microsoft Entra-wachtwoordbeveiliging afdwingen voor Active Directory-domein Services

  • Artikel

Microsoft Entra Password Protection detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten, en kan ook aanvullende zwakke termen blokkeren die specifiek zijn voor uw organisatie. On-premises implementatie van Microsoft Entra Password Protection maakt gebruik van dezelfde algemene en aangepaste lijsten met verboden wachtwoorden die zijn opgeslagen in Microsoft Entra-id, en controleert op on-premises wachtwoordwijzigingen zoals Microsoft Entra ID doet voor cloudwijzigingen. Deze controles worden uitgevoerd tijdens wachtwoordwijzigingen en gebeurtenissen voor het opnieuw instellen van wachtwoorden op on-premises Active Directory-domein Services-domeincontrollers (AD DS).

Ontwerpbeginselen

Microsoft Entra Password Protection is ontworpen met de volgende principes in gedachten:

  • Domeincontrollers (DC's) hoeven nooit rechtstreeks met internet te communiceren.
  • Er worden geen nieuwe netwerkpoorten geopend op DC's.
  • Er zijn geen wijzigingen in het AD DS-schema vereist. De software maakt gebruik van de bestaande AD DS-container en -service Verbinding maken ionPoint-schemaobjecten.
  • Elk ondersteund AD DS-domein of forestfunctionaliteitsniveau kan worden gebruikt.
  • De software maakt of vereist geen accounts in de AD DS-domeinen die worden beveiligd.
  • Wachtwoorden die door gebruikers worden gewist, verlaten de domeincontroller nooit, hetzij tijdens wachtwoordvalidatiebewerkingen of op een ander moment.
  • De software is niet afhankelijk van andere Functies van Microsoft Entra. Microsoft Entra-wachtwoordhashsynchronisatie (PHS) is bijvoorbeeld niet gerelateerd of vereist voor Microsoft Entra-wachtwoordbeveiliging.
  • Incrementele implementatie wordt ondersteund, maar het wachtwoordbeleid wordt alleen afgedwongen wanneer de domeincontrolleragent (DC-agent) is geïnstalleerd.

Incrementele implementatie

Microsoft Entra Password Protection ondersteunt incrementele implementatie tussen DC's in een AD DS-domein. Het is belangrijk om te begrijpen wat dit echt betekent en wat de compromissen zijn.

De Microsoft Entra Password Protection DC-agentsoftware kan alleen wachtwoorden valideren wanneer deze is geïnstalleerd op een DC en alleen voor wachtwoordwijzigingen die naar die DC worden verzonden. Het is niet mogelijk om te bepalen welke DC's worden gekozen door Windows-clientcomputers voor het verwerken van wijzigingen in gebruikerswachtwoorden. Om consistent gedrag en universele beveiliging van Microsoft Entra Password Protection te garanderen, moet de DC-agentsoftware worden geïnstalleerd op alle DC's in een domein.

Veel organisaties willen Microsoft Entra-wachtwoordbeveiliging zorgvuldig testen op een subset van hun DC's vóór een volledige implementatie. Ter ondersteuning van dit scenario ondersteunt Microsoft Entra Password Protection gedeeltelijke implementatie. De DC-agentsoftware op een bepaalde DC valideert actief wachtwoorden, zelfs wanneer andere DC's in het domein de DC-agentsoftware niet hebben geïnstalleerd. Gedeeltelijke implementaties van dit type zijn niet veilig en worden niet aanbevolen voor testdoeleinden.

Architectuurdiagram

Het is belangrijk om inzicht te hebben in de onderliggende ontwerp- en functieconcepten voordat u Microsoft Entra-wachtwoordbeveiliging implementeert in een on-premises AD DS-omgeving. In het volgende diagram ziet u hoe de onderdelen van Microsoft Entra Password Protection samenwerken:

How Microsoft Entra Password Protection components work together

  • De Microsoft Entra Password Protection Proxy-service wordt uitgevoerd op elke computer die lid is van een domein in het huidige AD DS-forest. Het primaire doel van de service is het doorsturen van aanvragen voor het downloaden van wachtwoordbeleid van DC's naar Microsoft Entra-id en vervolgens de antwoorden van Microsoft Entra-id naar de DC retourneren.
  • De DLL van het wachtwoordfilter van de DC-agent ontvangt aanvragen voor wachtwoordvalidatie van gebruikers van het besturingssysteem. Het filter stuurt deze door naar de DC Agent-service die lokaal wordt uitgevoerd op de DC.
  • De DC Agent-service van Microsoft Entra Password Protection ontvangt aanvragen voor wachtwoordvalidatie van het DLL-bestand met het wachtwoordfilter van de DC-agent. De DC Agent-service verwerkt deze met behulp van het huidige (lokaal beschikbare) wachtwoordbeleid en retourneert het resultaat van doorgeven of mislukken.

Hoe Microsoft Entra Password Protection werkt

De on-premises onderdelen van Microsoft Entra Password Protection werken als volgt:

  1. Elk exemplaar van de Microsoft Entra Password Protection Proxy-service kondigt zichzelf aan bij de DC's in het forest door een service Verbinding maken ionPoint-object te maken in Active Directory.

    Elke DC Agent-service voor Microsoft Entra Password Protection maakt ook een service Verbinding maken ionPoint-object in Active Directory. Dit object wordt voornamelijk gebruikt voor rapportage en diagnostische gegevens.

  2. De DC Agent-service is verantwoordelijk voor het initiëren van het downloaden van een nieuw wachtwoordbeleid van Microsoft Entra ID. De eerste stap is het vinden van een Microsoft Entra Password Protection Proxy-service door een query uit te voeren op het forest voor proxyservice Verbinding maken ionPoint-objecten.

  3. Wanneer een beschikbare proxyservice wordt gevonden, verzendt de DC-agent een aanvraag voor het downloaden van wachtwoordbeleid naar de proxyservice. De proxyservice stuurt de aanvraag vervolgens naar Microsoft Entra ID en retourneert vervolgens het antwoord op de DC Agent-service.

  4. Nadat de DC Agent-service een nieuw wachtwoordbeleid van Microsoft Entra ID heeft ontvangen, slaat de service het beleid op in een toegewezen map in de hoofdmap van de sysvol-mapshare van het domein. De DC Agent-service bewaakt deze map ook voor het geval nieuwere beleidsregels worden gerepliceerd vanuit andere DC Agent-services in het domein.

  5. De DC Agent-service vraagt altijd een nieuw beleid aan bij het opstarten van de service. Nadat de DC Agent-service is gestart, wordt de leeftijd gecontroleerd van het huidige lokaal beschikbare beleid per uur. Als het beleid ouder is dan één uur, vraagt de DC-agent een nieuw beleid aan bij Microsoft Entra-id via de proxyservice, zoals eerder beschreven. Als het huidige beleid niet ouder is dan één uur, blijft de DC-agent dat beleid gebruiken.

  6. Wanneer gebeurtenissen voor wachtwoordwijziging worden ontvangen door een domeincontroller, wordt het beleid in de cache gebruikt om te bepalen of het nieuwe wachtwoord wordt geaccepteerd of geweigerd.

Belangrijke overwegingen en functies

  • Wanneer een wachtwoordbeleid voor Microsoft Entra-wachtwoordbeveiliging wordt gedownload, is dat beleid specifiek voor een tenant. Met andere woorden, wachtwoordbeleid is altijd een combinatie van de algemene lijst met verboden wachtwoorden van Microsoft en de aangepaste lijst met verboden wachtwoorden per tenant.
  • De DC-agent communiceert met de proxyservice via RPC via TCP. De proxyservice luistert naar deze aanroepen op een dynamische of statische RPC-poort, afhankelijk van de configuratie.
  • De DC-agent luistert nooit op een poort die beschikbaar is voor het netwerk.
  • De proxyservice roept nooit de DC Agent-service aan.
  • De proxyservice is staatloos. Er worden nooit beleidsregels of andere statussen in de cache opgeslagen die zijn gedownload uit Azure.
  • Proxyregistratie werkt door referenties toe te voegen aan de AADPasswordProtectionProxy-service-principal. Wees niet gealarmeerd door gebeurtenissen in de auditlogboeken wanneer dit gebeurt.
  • De DC Agent-service maakt altijd gebruik van het meest recente lokaal beschikbare wachtwoordbeleid om het wachtwoord van een gebruiker te evalueren. Als er geen wachtwoordbeleid beschikbaar is op de lokale domeincontroller, wordt het wachtwoord automatisch geaccepteerd. Wanneer dat gebeurt, wordt een gebeurtenisbericht geregistreerd om de beheerder te waarschuwen.
  • Microsoft Entra Password Protection is geen realtime toepassingsengine voor beleid. Er kan een vertraging optreden tussen wanneer een wijziging in de configuratie van het wachtwoordbeleid wordt aangebracht in Microsoft Entra-id en wanneer deze wijziging wordt bereikt en wordt afgedwongen op alle DC's.
  • Microsoft Entra Password Protection fungeert als aanvulling op het bestaande AD DS-wachtwoordbeleid, niet als vervanging. Dit omvat eventuele andere dll's voor wachtwoordfilters van derden die kunnen worden geïnstalleerd. AD DS vereist altijd dat alle onderdelen voor wachtwoordvalidatie akkoord gaan voordat u een wachtwoord accepteert.

Forest/tenantbinding voor Microsoft Entra-wachtwoordbeveiliging

Voor de implementatie van Microsoft Entra Password Protection in een AD DS-forest is registratie van dat forest met Microsoft Entra-id vereist. Elke proxyservice die wordt geïmplementeerd, moet ook worden geregistreerd bij Microsoft Entra-id. Deze forest- en proxyregistraties zijn gekoppeld aan een specifieke Microsoft Entra-tenant, die impliciet wordt geïdentificeerd door de referenties die tijdens de registratie worden gebruikt.

Het AD DS-forest en alle geïmplementeerde proxyservices binnen een forest moeten worden geregistreerd bij dezelfde tenant. Het wordt niet ondersteund om een AD DS-forest of proxyservices in dat forest te hebben dat wordt geregistreerd bij verschillende Microsoft Entra-tenants. Symptomen van een dergelijke onjuist geconfigureerde implementatie omvatten het niet kunnen downloaden van wachtwoordbeleid.

Notitie

Klanten met meerdere Microsoft Entra-tenants moeten daarom één DN-tenant kiezen om elk forest te registreren voor Microsoft Entra-wachtwoordbeveiligingsdoeleinden.

Downloaden

De twee vereiste agentinstallatieprogramma's voor Microsoft Entra Password Protection zijn beschikbaar via het Microsoft Downloadcentrum.

Volgende stappen

Voltooi de volgende procedures om aan de slag te gaan met het gebruik van on-premises Microsoft Entra-wachtwoordbeveiliging:

On-premises Microsoft Entra-wachtwoordbeveiliging implementeren