Erzwingen des lokalen Microsoft Entra-Kennwortschutzes für Active Directory-Domänendienste

Der Microsoft Entra-Kennwortschutz erkennt und blockiert bekannte schwache Kennwörter und deren Varianten und kann auch zusätzliche schwache Begriffe blockieren, die für Ihre Organisation spezifisch sind. Die lokale Bereitstellung von Microsoft Entra Password Protection verwendet die gleichen globalen und benutzerdefinierten gesperrten Kennwortlisten, die in Microsoft Entra ID gespeichert sind, und überprüft dieselben Änderungen an lokalen Kennwörtern wie microsoft Entra ID für cloudbasierte Änderungen. Diese Überprüfungen erfolgen bei Kennwortänderungen und Kennwortzurücksetzungen auf lokalen AD DS-Domänencontrollern (Active Directory Domain Services).

Designprinzipien

Der Microsoft Entra-Kennwortschutz wurde unter Berücksichtigung der folgenden Prinzipien entwickelt:

• Domänencontroller (DCs) müssen nie direkt mit dem Internet kommunizieren.
• Auf DCs werden keine neuen Netzwerkports geöffnet.
• AD DS-Schemaänderungen sind nicht erforderlich. Die Software verwendet die vorhandenen AD DS-Container - und serviceConnectionPoint-Schemaobjekte .
• Jede unterstützte AD DS-Domäne oder Gesamtstruktur-Funktionsebene kann verwendet werden.
• Die Software erstellt oder erfordert keine Konten in den von ihr geschützten AD DS-Domänen.
• Benutzer-Textkennwörter verlassen niemals den Domänencontroller, weder während der Kennwortüberprüfungsvorgänge noch zu einem anderen Zeitpunkt.
• Die Software ist nicht von anderen Microsoft Entra-Features abhängig. Beispielsweise steht die Microsoft Entra-Kennwort-Hashsynchronisierung (PHS) nicht in Zusammenhang mit dem Microsoft Entra-Kennwortschutz bzw. stellt keine Voraussetzung für diesen dar.
• Die inkrementelle Bereitstellung wird unterstützt. Die Kennwortrichtlinie wird jedoch nur dort erzwungen, wo der Domänencontroller-Agent (DC-Agent) installiert ist.

Inkrementelle Bereitstellung

Der Microsoft Entra-Kennwortschutz unterstützt die inkrementelle Bereitstellung auf mehreren Domänencontrollern in einer AD DS-Domäne. Es ist wichtig zu verstehen, was dies wirklich bedeutet und was die Kompromisse sind.

Die Microsoft Entra Password Protection DC-Agentsoftware kann Kennwörter nur überprüfen, wenn sie auf einem DC installiert ist, und nur für Kennwortänderungen, die an diesen DC gesendet werden. Es ist nicht möglich zu steuern, welche DCs von Windows-Clientcomputern zur Verarbeitung von Benutzerkennwortänderungen ausgewählt werden. Um ein einheitliches Verhalten und eine universelle Microsoft Entra Password Protection-Sicherheitserzwingung zu gewährleisten, muss die DC-Agent-Software auf allen DCs in einer Domäne installiert werden.

Viele Organisationen möchten microsoft Entra Password Protection vor einer vollständigen Bereitstellung sorgfältig auf einer Teilmenge ihrer DCs testen. Um dieses Szenario zu unterstützen, unterstützt Microsoft Entra Password Protection die partielle Bereitstellung. Die DC-Agent-Software auf einem bestimmten DC überprüft Kennwörter aktiv, auch wenn andere DCs in der Domäne nicht die DC-Agent-Software installiert haben. Partielle Bereitstellungen dieses Typs sind nicht sicher und werden nur für Testzwecke empfohlen.

Architekturdiagramm

Es ist wichtig, die zugrunde liegenden Design- und Funktionskonzepte zu verstehen, bevor Sie Microsoft Entra Password Protection in einer lokalen AD DS-Umgebung bereitstellen. Das folgende Diagramm zeigt, wie die Komponenten von Microsoft Entra Password Protection zusammenarbeiten:

• Der Proxydienst für den Microsoft Entra-Kennwortschutz wird auf einem beliebigen in die Domäne eingebundenen Computer in der aktuellen AD DS-Gesamtstruktur ausgeführt. Der Hauptzweck des Diensts besteht darin, Kennwortrichtliniendownloadanforderungen von DCs an die Microsoft Entra-ID weiterzuleiten und dann die Antworten von Microsoft Entra ID an den DC zurückzugeben.
• Die Kennwortfilter-DLL des DC-Agents empfängt Benutzerkennwortüberprüfungsanforderungen vom Betriebssystem. Der Filter leitet diese an den DC-Agent-Dienst weiter, der lokal auf dem Domänencontroller ausgeführt wird.
• Der DC-Agent-Dienst von Microsoft Entra Password Protection empfängt Kennwortüberprüfungsanforderungen von der Kennwortfilter-DLL des DC-Agents. Der DC-Agent-Dienst verarbeitet sie mit der aktuellen (lokal verfügbaren) Kennwortrichtlinie und gibt das Ergebnis zurück: pass (erfolgreich) oder fail (fehlerhaft).

Funktionsweise des Microsoft Entra-Kennwortschutzes

Die lokalen Microsoft Entra Password Protection-Komponenten funktionieren wie folgt:

1. Jede Instanz des Proxydiensts für den Microsoft Entra-Kennwortschutz kündigt sich selbst bei Domänencontrollern in der Gesamtstruktur an, indem ein Objekt vom Typ serviceConnectionPoint in Active Directory erstellt wird.

   Jeder DC-Agent-Dienst für den Microsoft Entra-Kennwortschutz erstellt darüber hinaus ein Objekt vom Typ serviceConnectionPoint in Active Directory. Dieses Objekt wird hauptsächlich für Berichte und Diagnosen verwendet.

2. Der DC-Agent-Dienst ist für das Initiieren des Downloads einer neuen Kennwortrichtlinie von Microsoft Entra ID verantwortlich. Im ersten Schritt sucht der Agent einen Proxydienst für den Microsoft Entra-Kennwortschutz. Dazu fragt er Proxyobjekte vom Typ serviceConnectionPoint aus der Gesamtstruktur ab.

3. Wenn ein verfügbarer Proxydienst gefunden wird, sendet der DC-Agent eine Anforderung zum Herunterladen einer Kennwortrichtlinie an den Proxydienst. Der Proxydienst sendet wiederum die Anforderung an die Microsoft Entra-ID und gibt dann die Antwort an den DC-Agent-Dienst zurück.

4. Nachdem der DC-Agent-Dienst eine neue Kennwortrichtlinie von Microsoft Entra ID erhalten hat, speichert er die Richtlinie in einem dedizierten Ordner im Stammverzeichnis der sysvol-Ordnerfreigabe seiner Domäne. Der DC-Agent-Dienst überwacht diesen Ordner ebenfalls, um zu prüfen, ob neuere Richtlinien von anderen DC-Agent-Diensten in der Domäne repliziert werden.

5. Der DC-Agent-Dienst fordert beim Starten des Diensts immer eine neue Richtlinie an. Nachdem der DC-Agent-Dienst gestartet wurde, überprüft er stündlich das Alter der aktuellen lokal verfügbaren Richtlinie. Wenn die Richtlinie älter als eine Stunde ist, fordert der DC-Agent eine neue Richtlinie von Microsoft Entra ID über den Proxydienst an, wie zuvor beschrieben. Wenn die aktuelle Richtlinie nicht älter als eine Stunde ist, verwendet der DC-Agent diese Richtlinie weiterhin.

6. Wenn Kennwortänderungsereignisse von einem DC empfangen werden, wird die zwischengespeicherte Richtlinie verwendet, um zu ermitteln, ob das neue Kennwort akzeptiert oder abgelehnt wird.

Wichtige Überlegungen und Features

• Wenn eine Kennwortschutzrichtlinie für den Microsoft Entra-Kennwortschutz heruntergeladen wird, ist diese Richtlinie spezifisch für einen Mandanten. Mit anderen Worten: Kennwortrichtlinien sind immer eine Kombination aus der globalen Liste des gesperrten Kennworts von Microsoft und der benutzerdefinierten Liste mit gesperrten Kennwörtern pro Mandant.
• Der DC-Agent kommuniziert mit dem Proxydienst über RPC über TCP. Der Proxydienst überwacht diese Aufrufe je nach Konfiguration auf einem dynamischen oder statischen RPC-Port.
• Der DC-Agent lauscht nie an einem im Netzwerk verfügbaren Port.
• Der Proxydienst ruft niemals den DC-Agent-Dienst auf.
• Der Proxydienst ist statuslos. Richtlinien oder andere aus Azure heruntergeladene Zustände werden nicht zwischengespeichert.
• Für die Proxyregistrierung werden Anmeldeinformationen zum AADPasswordProtectionProxy-Dienstprinzipal hinzugefügt. Lassen Sie sich nicht durch Ereignisse in den Überwachungsprotokollen alarmiert werden, wenn dies geschieht.
• Der DC-Agent-Dienst verwendet immer die neueste lokal verfügbare Kennwortrichtlinie, um das Kennwort eines Benutzers auszuwerten. Wenn keine Kennwortrichtlinie auf dem lokalen DC verfügbar ist, wird das Kennwort automatisch akzeptiert. In diesem Fall wird eine Ereignismeldung protokolliert, um den Administrator zu warnen.
• Der Microsoft Entra-Kennwortschutz ist kein Anwendungsmodul für Echtzeitrichtlinien. Es kann zu einer Verzögerung zwischen dem Zeitpunkt, wann eine Änderung der Kennwortrichtlinienkonfiguration in Microsoft Entra ID vorgenommen wird und dem Zeitpunkt, wann diese Änderung alle DCs erreicht und dort durchgesetzt wird, kommen.
• Der Microsoft Entra-Kennwortschutz dient als Ergänzung zu den vorhandenen AD DS-Kennwortrichtlinien, nicht als Ersatz. Dazu gehören alle anderen Kennwortfilter-DLL-Dateien von Drittanbietern, die möglicherweise installiert werden. AD DS erfordert immer, dass alle Kennwortüberprüfungskomponenten zustimmen, bevor sie ein Kennwort akzeptieren.

Gesamtstruktur-/Mandantenbindung für den Microsoft Entra-Kennwortschutz

Die Bereitstellung von Microsoft Entra Password Protection in einer AD DS-Gesamtstruktur erfordert die Registrierung dieser Gesamtstruktur bei Microsoft Entra ID. Jeder bereitgestellte Proxydienst muss auch mit der Microsoft Entra-ID registriert werden. Diese Registrierungen der Gesamtstrukturen und Proxydienste sind einem bestimmten Microsoft Entra-Mandanten zugeordnet, der implizit über die bei der Registrierung verwendeten Anmeldeinformationen identifiziert wird.

Die AD DS-Gesamtstruktur und alle bereitgestellten Proxydienste innerhalb einer Gesamtstruktur müssen beim selben Mandanten registriert werden. AD DS-Gesamtstrukturen oder andere Proxydienste in dieser Gesamtstruktur können nicht bei unterschiedlichen Microsoft Entra-Mandanten registriert werden. Symptome einer solchen falsch konfigurierten Bereitstellung umfassen die Unfähigkeit, Kennwortrichtlinien herunterzuladen.

Herunterladen

Die beiden erforderlichen Agent-Installationsprogramme für Microsoft Entra Password Protection stehen im Microsoft Download Centerzur Verfügung.

Nächste Schritte

Um mit der Verwendung der lokalen Microsoft Entra Password Protection zu beginnen, führen Sie die folgenden Vorgehensweisen aus: