Menerapkan Perlindungan Kata Sandi Microsoft Entra lokal untuk Active Directory Domain Services

  • Artikel

Perlindungan Kata Sandi Microsoft Entra mendeteksi dan memblokir kata sandi lemah yang diketahui dan variannya, dan juga dapat memblokir istilah lemah tambahan yang khusus untuk organisasi Anda. Penyebaran Perlindungan Kata Sandi Microsoft Entra lokal menggunakan daftar kata sandi terlarang global dan kustom yang sama yang disimpan di ID Microsoft Entra, dan melakukan pemeriksaan yang sama untuk perubahan kata sandi lokal seperti yang dilakukan ID Microsoft Entra untuk perubahan berbasis cloud. Pemeriksaan ini dilakukan selama perubahan kata sandi dan peristiwa pengaturan ulang kata sandi terhadap pengontrol domain Layanan Domain Active Directory (AD DS) lokal.

Prinsip desain

Perlindungan Kata Sandi Microsoft Entra dirancang dengan ingat prinsip-prinsip berikut:

  • Pengontrol domain (DC) tidak perlu berkomunikasi langsung dengan internet.
  • Tidak ada port jaringan baru yang dibuka di DC.
  • Tidak diperlukan perubahan skema AD DS. Perangkat lunak menggunakan kontainer AD DS yang ada dan objek skema serviceConnectionPoint.
  • Domain AD DS atau tingkat fungsi forest yang didukung dapat digunakan.
  • Perangkat lunak ini tidak membuat atau mengharuskan akun di domain AD DS yang dilindunginya.
  • Kata sandi teks biasa pengguna tidak pernah meninggalkan pengontrol domain, baik selama operasi validasi kata sandi atau di lain waktu.
  • Perangkat lunak ini tidak bergantung pada fitur Microsoft Entra lainnya. Misalnya, sinkronisasi hash kata sandi Microsoft Entra (PHS) tidak terkait atau diperlukan untuk Perlindungan Kata Sandi Microsoft Entra.
  • Penyebaran bertambah bertahap didukung, tetapi kebijakan kata sandi hanya diberlakukan di mana Agen Pengontrol Domain (Agen DC) diinstal.

Penyebaran bertambah bertahap

Perlindungan Kata Sandi Microsoft Entra mendukung penyebaran bertahap di seluruh DC di domain AD DS. Penting untuk memahami apa artinya ini sebenarnya dan apa tradeoff itu.

Perangkat lunak agen DC Perlindungan Kata Sandi Microsoft Entra hanya dapat memvalidasi kata sandi saat diinstal pada DC, dan hanya untuk perubahan kata sandi yang dikirim ke DC tersebut. Tidak mungkin mengontrol DC mana yang dipilih oleh komputer klien Windows untuk memproses perubahan kata sandi pengguna. Untuk menjamin perilaku yang konsisten dan penegakan keamanan Perlindungan Kata Sandi Microsoft Entra universal, perangkat lunak agen DC harus diinstal pada semua DC dalam domain.

Banyak organisasi ingin menguji Perlindungan Kata Sandi Microsoft Entra dengan cermat pada subset DC mereka sebelum penyebaran penuh. Untuk mendukung skenario ini, Perlindungan Kata Sandi Microsoft Entra mendukung penyebaran parsial. Perangkat lunak agen DC di DC tertentu secara aktif memvalidasi kata sandi bahkan ketika DC lain di domain tidak menginstal perangkat lunak agen DC. Penyebaran parsial jenis ini tidak aman dan tidak disarankan selain untuk tujuan pengujian.

Diagram arsitektur

Penting untuk memahami konsep desain dan fungsi yang mendasar sebelum Anda menyebarkan Perlindungan Kata Sandi Microsoft Entra di lingkungan AD DS lokal. Diagram berikut menunjukkan bagaimana komponen Perlindungan Kata Sandi Microsoft Entra bekerja sama:

How Microsoft Entra Password Protection components work together

  • Layanan Proksi Perlindungan Kata Sandi Microsoft Entra berjalan pada komputer apa pun yang bergabung dengan domain di forest AD DS saat ini. Tujuan utama layanan ini adalah untuk meneruskan permintaan unduhan kebijakan kata sandi dari DC ke ID Microsoft Entra lalu mengembalikan respons dari ID Microsoft Entra ke DC.
  • DLL filter kata sandi Agen DC menerima permintaan validasi kata sandi pengguna dari sistem operasi. Filter meneruskannya ke layanan Agen DC yang berjalan secara lokal di DC.
  • Layanan Agen DC dari Perlindungan Kata Sandi Microsoft Entra menerima permintaan validasi kata sandi dari DLL filter kata sandi Agen DC. Layanan Agen DC memprosesnya menggunakan kebijakan kata sandi saat ini (tersedia secara lokal) dan mengembalikan hasil lulus atau gagal.

Cara kerja Perlindungan Kata Sandi Microsoft Entra

Komponen Perlindungan Kata Sandi Microsoft Entra lokal berfungsi sebagai berikut:

  1. Setiap instans layanan Proksi Perlindungan Kata Sandi Microsoft Entra mengiklankan dirinya ke DC di forest dengan membuat objek service Koneksi ionPoint di Direktori Aktif.

    Setiap layanan Agen DC untuk Perlindungan Kata Sandi Microsoft Entra juga membuat objek layanan Koneksi ionPoint di Direktori Aktif. Objek ini digunakan terutama untuk pelaporan dan diagnostik.

  2. Layanan Agen DC bertanggung jawab untuk memulai pengunduhan kebijakan kata sandi baru dari ID Microsoft Entra. Langkah pertama adalah menemukan layanan Proksi Perlindungan Kata Sandi Microsoft Entra dengan mengkueri forest untuk objek layanan proksi Koneksi ionPoint.

  3. Ketika layanan proksi yang tersedia ditemukan, Agen DC mengirimkan permintaan unduhan kebijakan kata sandi ke layanan proksi. Layanan proksi pada gilirannya mengirimkan permintaan ke ID Microsoft Entra, lalu mengembalikan respons ke layanan Agen DC.

  4. Setelah layanan Agen DC menerima kebijakan kata sandi baru dari ID Microsoft Entra, layanan menyimpan kebijakan dalam folder khusus di akar berbagi folder sysvol domainnya. Layanan Agen DC juga memantau folder ini jika kebijakan yang lebih baru direplikasi dari layanan Agen DC lainnya di domain.

  5. Layanan Agen DC selalu meminta kebijakan baru pada saat memulai layanan. Setelah layanan Agen DC dimulai, layanan ini memeriksa usia kebijakan yang tersedia secara lokal saat ini per jam. Jika kebijakan lebih dari satu jam, Agen DC meminta kebijakan baru dari ID Microsoft Entra melalui layanan proksi, seperti yang dijelaskan sebelumnya. Jika kebijakan saat ini tidak lebih dari satu jam, Agen DC terus menggunakan kebijakan tersebut.

  6. Ketika peristiwa perubahan kata sandi diterima oleh DC, kebijakan cache digunakan untuk menentukan apakah kata sandi baru diterima atau ditolak.

Pertimbangan dan fitur utama

  • Setiap kali kebijakan kata sandi Perlindungan Kata Sandi Microsoft Entra diunduh, kebijakan tersebut khusus untuk penyewa. Dengan kata lain, kebijakan kata sandi selalu merupakan kombinasi dari daftar kata sandi yang dilarang global Microsoft dan daftar kata sandi yang dilarang khusus per penyewa.
  • Agen DC berkomunikasi dengan layanan proksi melalui RPC melalui TCP. Layanan proksi mendengarkan panggilan ini di port RPC dinamis atau statis, tergantung pada konfigurasinya.
  • Agen DC tidak pernah mendengarkan di port yang tersedia untuk jaringan.
  • Layanan proksi tidak pernah memanggil layanan Agen DC.
  • Layanan proksi tidak berstatus. Layanan ini tidak pernah melakukan cache kebijakan atau status lain yang diunduh dari Azure.
  • Pendaftaran proksi berfungsi dengan menambahkan kredensial ke Perwakilan Layanan AADPasswordProtectionProxy. Jangan khawatir dengan peristiwa apa pun di log audit ketika ini terjadi.
  • Layanan Agen DC selalu menggunakan kebijakan kata sandi terbaru yang tersedia secara lokal untuk mengevaluasi kata sandi pengguna. Jika tidak ada kebijakan kata sandi di DC lokal, kata sandi akan diterima secara otomatis. Ketika hal itu terjadi, pesan peristiwa dicatat untuk memperingatkan administrator.
  • Perlindungan Kata Sandi Microsoft Entra bukan mesin aplikasi kebijakan real time. Mungkin ada penundaan antara ketika perubahan konfigurasi kebijakan kata sandi dilakukan di ID Microsoft Entra dan ketika perubahan tersebut mencapai dan diberlakukan pada semua DC.
  • Perlindungan Kata Sandi Microsoft Entra bertindak sebagai suplemen untuk kebijakan kata sandi AD DS yang ada, bukan pengganti. Ini termasuk dll filter kata sandi pihak ke-3 lainnya yang dapat diinstal. AD DS selalu mengharuskan semua komponen validasi kata sandi setuju sebelum menerima kata sandi.

Pengikatan forest / penyewa untuk Perlindungan Kata Sandi Microsoft Entra

Penyebaran Perlindungan Kata Sandi Microsoft Entra di forest AD DS memerlukan pendaftaran forest tersebut dengan ID Microsoft Entra. Setiap layanan proksi yang disebarkan juga harus didaftarkan dengan ID Microsoft Entra. Pendaftaran forest dan proksi ini dikaitkan dengan penyewa Microsoft Entra tertentu, yang diidentifikasi secara implisit oleh kredensial yang digunakan selama pendaftaran.

Forest AD DS dan semua layanan proksi yang digunakan di dalam forest harus terdaftar dengan penyewa yang sama. Tidak didukung untuk memiliki forest AD DS atau layanan proksi apa pun di forest tersebut yang didaftarkan ke penyewa Microsoft Entra yang berbeda. Gejala penyebaran yang salah dikonfigurasi termasuk ketidakmampuan untuk mengunduh kebijakan kata sandi.

Catatan

Oleh karena itu, pelanggan yang memiliki beberapa penyewa Microsoft Entra harus memilih satu penyewa khusus untuk mendaftarkan setiap forest untuk tujuan Perlindungan Kata Sandi Microsoft Entra.

Mengunduh

Dua alat penginstal agen yang diperlukan untuk Perlindungan Kata Sandi Microsoft Entra tersedia dari Pusat Unduhan Microsoft.

Langkah berikutnya

Untuk mulai menggunakan Perlindungan Kata Sandi Microsoft Entra lokal, selesaikan cara berikut:

Menyebarkan Perlindungan Kata Sandi Microsoft Entra lokal