Использование новой функции защиты паролем Azure Active Directory

Опубликовано: 2 Марта, 2023
Использование новой функции защиты паролем Azure Active Directory

Microsoft выпустила новую функцию в Azure под названием «Защита паролем Azure Active Directory». Он решает одну из основных проблем безопасности в любой среде каталога аутентификации, а именно пароли, которые кажутся отвечающими требованиям сложности, но на самом деле являются слабыми.

По умолчанию Active Directory не проверяет вводимые пароли. Хотя мы можем форсировать сложность, у нас все еще есть проблемы с пользователями, которые меняют свои пароли на те, которые все еще легко угадываются. Некоторые пользователи просто заменяют буквы специальными символами. Хороший пример: допустим, что в прошлом моим паролем по умолчанию был anderson1234, теперь, когда сложность политик Active Directory возросла, я мог бы прекрасно обойтись с @nd3rS0n1234, но, в конце концов, по-прежнему легко быть догадался.

Дизайн функции защиты паролем

При использовании функции в Active Directory решение требует наличия двух компонентов программного обеспечения: прокси-службы защиты паролем Azure AD, которая будет отвечать за загрузку политик из Azure Active Directory и кэширование такой информации для использования контроллеры домена Active Directory и служба агента защиты паролем Azure AD, которая установлена на контроллере домена и каждый час взаимодействует с для получения последних политик.

Все решение изображено на изображении ниже (предоставленном документацией Microsoft) и суммирует весь процесс. Прокси-служба защиты паролей Azure AD отвечает за связь с Azure Active Directory, а также за получение и кэширование , а контроллеры домена будут иметь защиту паролей Azure AD между LSASS и базой данных Active Directory, и этот компонент будет быть тем, кто разрешает или не разрешает проходить пароль.

Некоторые важные моменты об этой функции, которые я узнал на этапе тестирования:

  • В вашей Active Directory не требуется никаких обновлений схемы.
  • При использовании пользовательского списка запрещенных паролей вам потребуется как минимум лицензия Azure Premium P1.
  • При использовании гибридных сред минимальным требованием к лицензии является Azure Premium P1.
  • На всех контроллерах домена должен быть установлен агент для обеспечения согласованности.

Настройка службы защиты паролем в Microsoft Azure

Конфигурация этой функции очень проста. Войдите на портал Azure, щелкните Azure Active Directory, щелкните Методы аутентификации, расположенные в разделе .

Новый блейд будет иметь полную функцию защиты паролем (предварительная версия). Да! Это так просто! требуется всего две настройки: пороговое значение (сколько неудачных попыток входа перед блокировкой), которое по умолчанию равно 10, и продолжительность блокировки.

Тем не менее, мы сосредоточимся на разделе , где ради функциональности мы собираемся включить настраиваемый список и добавить несколько слов, которые имеют смысл для нашей компании. Поскольку все наши пользователи из вселенной Хранителей, имеет смысл добавить некоторые ключевые слова, связанные с этим, в наш список.

Поскольку мы хотим воспользоваться этой функцией в нашей локальной Active Directory, обязательно включите ее, выбрав «Да» в разделе .

И последняя деталь — как мы хотим использовать эту функцию. Рекомендуется использовать аудит и сначала посмотреть результаты, посмотреть, как это работает, а после получения хороших результатов мы можем включить эту функцию, выбрав Enforced.

Установка и настройка прокси-службы защиты паролей Azure AD.

Первый шаг — загрузить обе части программного обеспечения, которые необходимо установить локально. Один из них будет установлен на контроллерах домена, а другой — на рядовом сервере, назначенном . Вы можете скачать программное обеспечение здесь.

Выполнив вход на рядовой сервер, который будет нашим , нам нужно выполнить AzureADPasswordProtectionProxy.msi и принять лицензионные соглашения, и все. Процесс установки не требует дополнительной настройки.

В результате процесса установки на сервере будет создана новая служба под названием Azure AD Password Protection Proxy, которая должна работать, как показано на изображении ниже.

Вся установка программного обеспечения будет находиться в папке C:Program FilesAzure AD Password Protection Proxy, и нам нужно запустить пару командлетов, чтобы зарегистрировать этот текущий сервер в Azure AD и в текущем лесу.

Прежде чем идти дальше, нам нужно убедиться, что путь, по которому было установлено программное обеспечение, является частью вашей текущей среды, и именно по этой причине мы проверяем значение переменной среды PSModulePath, прежде чем пытаться импортировать модуль, который был добавлен в сервер в процессе установки.

Гораздо проще запустить указанные ниже командлеты PowerShell от имени и использовать учетную запись в учетных данных. Начальная часть приведенного ниже скрипта показана на изображении ниже.

$env:PSModulePath Import-Module AzureADPasswordProtection $Azurecred = Get-Credential Register-AzureADPasswordProtectionProxy -AzureCredential $Azurecred Register-AzureADPasswordProtectionForest -AzureCredential $Azurecred

Точка подключения службы будет создана на компьютере, который назначен , и мы можем проверить это с помощью ADSIEdit.msc.

Установка агента защиты паролем Azure AD на контроллере домена

Установка агента контроллера домена намного проще, чем прокси-сервера, но требует перезагрузки сервера как часть процесса. Обязательно запланируйте перезапуск после развертывания агента.

Просто запустите AzureADPasswordProtectionDCAgent.msi и используйте настройки по умолчанию — будьте осторожны с последним экраном, потому что он запросит перезагрузку сервера.

Поскольку у нас будет более одного контроллера домена, использующего политики с прокси-сервера, в SYSVOL<domain>Policies создается папка с политиками паролей, полученными из Azure AD. Агент на контроллере домена проверит наличие обновлений в этом расположении.

Тестирование функции защиты паролем

Теперь, когда у нас развернута инфраструктура, мы можем начать тестирование нашей среды с нашим пользователем Уолтером Ковачем (также известным как Роршах во вселенной Хранителей!). И поскольку он супергерой, он думает, что он защищен от плохих парней, поэтому он пытается ввести [email protected], и, поскольку мы находимся в режиме аудита, он сможет с легкостью изменить пароль.

Примечание. По умолчанию ваша текущая политика домена будет иметь политику возраста в один день, что означает, что тестовая учетная запись, созданная сегодня, не сможет изменить свой пароль. Имейте это в виду при тестировании.

Как мы можем отслеживать поведение функции защиты паролем Azure AD? Это просто. Войдите в систему на контроллере домена, откройте средство просмотра событий и перейдите к Applications and Services LogsMicrosoftAzureADPasswordProtectionDCAgentAdmin, дважды щелкните записи с правой стороны.

Сообщение об ошибке носит описательный характер, а также сообщает, был ли пароль отклонен либо Microsoft Global, либо запрещенным паролем для каждого арендатора, и это даст представление о том, насколько внимательно конечные пользователи относятся к созданию сложных паролей.

Это все, что касается функции защиты паролем Azure AD. Его относительно легко развернуть и проще настроить, но имейте в виду, что мы рассматриваем функцию предварительного просмотра, и некоторые изменения могут произойти до того, как продукт станет окончательным.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023