为本地配置 Azure AD 密码保护

当您想要保护组织免受弱用户密码的侵害时，Azure Active Directory 非常适合。这是因为 Microsoft 不断分析 Azure AD 安全遥测数据，寻找常用的弱密码或泄露密码，并在 Azure AD 中维护一份全球禁止的密码列表。在本文中，你将了解如何为 Windows Server Active Directory 配置和启用 Azure AD 密码保护，以防止在使用 Windows Server Active Directory 的组织中使用弱密码。

介绍

在 Active Directory 中，您可以启用 GPO，以帮助您在组织中实施强密码，例如：

1. 最小密码长度

2. 密码最短使用期限

3. 密码最长使用期限

4. 密码必须满足复杂性要求

5. 强制执行密码历史记录

这并不意味着您可以保护组织免受攻击，因为管理员和用户可以创建弱密码（称为众所周知的密码），这是您不想要的！

用户每天使用的众所周知的密码有数千个。一些众所周知的密码是：

• 欢迎01！

• P@ssw0rd1234

• 法拉利红！@

此时，Azure AD 密码保护是部署在 Azure AD 和本地 AD 中的一项出色功能。让我们多了解一点。

Azure AD 密码保护

许多安全指南建议您不要在多个地方使用相同的密码，不要使其复杂，并避免使用像Password123这样的简单密码。您可以为用户提供有关如何选择密码的指导，但仍然经常使用弱密码或不安全的密码。 Azure AD 密码保护可检测并阻止已知的弱密码及其变体。它还可以阻止特定于您的组织的其他弱术语。

Azure AD 密码保护许可证

请参阅下表了解 Azure AD 密码保护许可。

Azure 无广告

Azure AD 高级版 P1 或 P2

您需要 Azure AD Premium P1 或 P2，从本地 Active Directory 域服务 (AD DS) 同步的用户才能工作。

Azure AD 密码保护图

下图显示了 Azure AD 密码保护的基本组件如何在本地 Active Directory 环境中协同工作。

1. 用户请求域控制器更改密码。

2. DC 代理密码过滤器 dll 接收来自操作系统的密码验证请求，并将其转发到安装在 DC 上的Azure AD 密码保护 DC 代理服务。然后，此代理会验证密码是否符合本地存储的 Azure 密码策略。

3. DC 上的代理每 1 小时通过林中的 SCP（服务连接点）定位 Azure AD 密码保护代理服务，以下载 Azure 密码的新副本政策。

4. DC 上的代理从代理服务接收新版本的 Azure 密码策略并将其存储在 Sysvol 中，从而使该新策略能够复制到同一域中的所有其他 DC。

Azure 密码策略存储在 Sysvol 中。

如何配置 Azure AD 密码保护

在为本地 Active Directory 启用 Azure AD 密码保护之前，我们将完成以下步骤并确保一切就绪。

启用 Azure AD 密码写回

阅读文章中的更多内容：启用自助服务密码重置。

确保您看到消息您的本地写回客户端已启动并正在运行，并且将密码写回到本地目录功能已启用。

下载 Azure AD 密码保护所需的软件

本地 Azure AD 密码保护部署需要两个安装程序：

• Azure AD 密码保护代理 (AzureADPasswordProtectionProxySetup.msi)

• Azure AD 密码保护 DC 代理 (AzureADPasswordProtectionDCAgentSetup.msi)

从 Microsoft 下载中心下载这两个安装程序。

现在我们已经拥有了所需的安装程序，我们可以进入下一步。

Azure AD 密码保护代理服务先决条件

以下要求适用于 Azure AD 密码保护代理服务：

• Windows Server 2012 R2 或更高版本。

• 安装了 .NET 4.7.2 或更高版本。

• 不要安装在 RODC（只读域控制器）上。

• 允许出站 TLS 1.2 HTTP 流量。

• 首次在给定租户中注册 Azure AD 密码保护代理服务需要全局管理员帐户。

• 对端点的网络访问：https://login.microsoftonline.com 和 https://enterpriseregistration.windows.net。

Azure AD 密码保护代理服务会自动升级。自动升级使用 Microsoft Azure AD Connect Agent Updater 服务，该服务与代理服务并行安装。

安装和配置 Azure AD 密码保护代理服务

在本地 AD DS 环境中的成员服务器上安装 Azure AD 密码保护代理服务。此外，您还可以使用专用的成员服务器来提供代理服务。安装后，Azure AD 密码保护代理服务将与 Azure AD 通信，以维护 Azure AD 租户的全局和客户禁止密码列表的副本。

注意：请勿在域控制器 (DC) 或只读域控制器 (RODC) 上安装代理服务。

我们建议每个林至少有两个 Azure AD 密码保护代理服务器以实现冗余。在我们的示例中，我们将其安装在成员服务器 AP-01（应用程序服务器）上。

将 AzureADPasswordProtectionProxySetup.msi 放入 C:\install 文件夹中。然后，以管理员身份运行命令提示符并启动安装程序AzureADPasswordProtectionProxySetup.msi。

C:\>cd C:\install
C:\Install>AzureADPasswordProtectionProxySetup.msi

完成 Azure AD 密码保护代理设置并单击完成。

验证 Azure AD 密码保护代理设置是否显示在程序和功能中。

以管理员身份运行 Windows PowerShell（64 位）。导入模块 AzureADPasswordProtection。

PS C:\> Import-Module AzureADPasswordProtection

检查 Azure AD 密码保护代理服务是否正在运行。结果将显示状态正在运行。

PS C:\> Get-Service AzureADPasswordProtectionProxy | fl


Name                : AzureADPasswordProtectionProxy
DisplayName         : Azure AD Password Protection Proxy
Status              : Running
DependentServices   : {}
ServicesDependedOn  : {SAMSS, KEYISO, RPCSS}
CanPauseAndContinue : False
CanShutdown         : False
CanStop             : True
ServiceType         : Win32OwnProcess

代理服务正在计算机上运行，但没有与 Azure AD 通信的凭据。使用全局管理员凭据向 Azure AD 注册 Azure AD 密码保护代理服务器。在每个 Azure AD 密码保护代理服务器上执行此操作。

注意：首次运行以下 cmdlet 后可能会出现明显的延迟。除非报告失败，否则不必担心这种延迟。

PS C:\> Register-AzureADPasswordProtectionProxy -AccountUpn '[email protected]'

使用 Register-AzureADPasswordProtectionForest PowerShell cmdlet 向本地 Active Directory 林注册所需的凭据，以便与 Azure 进行通信。

注意：如果您的环境中安装了多个 Azure AD 密码保护代理服务器，则使用哪个代理服务器来注册林并不重要。此步骤在每个林中运行一次。

该 cmdlet 需要 Azure 租户的全局管理员或安全管理员凭据。它还需要本地 Active Directory 企业管理员权限。您还必须使用具有本地管理员权限的帐户运行此 cmdlet。用于注册林的 Azure 帐户可能与本地 Active Directory 帐户不同。

注意：首次运行以下 cmdlet 后可能会出现明显的延迟。除非报告失败，否则不必担心这种延迟。

PS C:\> Register-AzureADPasswordProtectionForest -AccountUpn '[email protected]'

Azure AD 密码保护审核模式

在继续下一步并安装 Azure AD 密码保护 DC 代理服务之前，请验证 Azure AD 密码保护是否已设置为审核模式。默认情况下，它设置为审核模式。

注意：如果 Azure AD 密码保护设置为审核模式，则只会记录该尝试（事件日志）。

登录到 Azure 门户。导航到Azure AD Active Directory > 安全 > 身份验证方法 > 密码保护。另一种方法是在顶部搜索Azure AD 密码保护。

我们建议启用“强制执行”自定义列表功能并添加公司名称。确保审核模式处于活动状态。单击保存。

Azure AD 密码保护 DC 代理先决条件

以下要求适用于 Azure AD 密码保护 DC 代理：

• Windows Server 2012 R2 或更高版本。

• 安装了 .NET 4.7.2 或更高版本。

• 不要安装在 RODC（只读域控制器）上。

• 用于 sysvol 复制的分布式文件系统复制 (DFSR)。如果你的域尚未使用 DFSR，则必须先从 RFS（文件复制系统 - DFSR 的前身）迁移到 DFSR，然后再安装 Azure AD 密码保护。

Azure AD 密码保护 DC 代理不会自动升级。相反，手动升级是通过运行最新版本的 AzureADPasswordProtectionDCAgentSetup.msi 软件安装程序来完成的。该软件的最新版本可从 Microsoft 下载中心获取。

安装 Azure AD 密码保护 DC 代理服务

在本地域控制器上安装 Azure AD 密码保护 DC 代理服务。在我们的示例中，组织中只有一个域控制器。

将 AzureADPasswordProtectionDCAgentSetup.msi 放置在域控制器上的 C:\install 文件夹中。然后，以管理员身份运行命令提示符并启动安装程序AzureADPasswordProtectionDCAgentSetup.msi。

C:\>cd C:\install
C:\Install>AzureADPasswordProtectionDCAgentSetup.msi

完成安装向导并单击完成。

单击是重新启动域控制器。如果环境中只有一台 DC，请安排重新启动。

验证 Azure AD 密码保护 DC 代理是否显示在程序和功能中。

以管理员身份运行 Windows PowerShell（64 位）。检查哪些域控制器上安装了 Azure AD 密码保护 DC 代理。

PS C:\> Get-AzureADPasswordProtectionDCAgent


ServerFQDN            : DC01-2016.exoip.local
SoftwareVersion       : 1.2.176.0
Domain                : exoip.local
Forest                : exoip.local
PasswordPolicyDateUTC : 1/1/0001 12:00:00 AM
HeartbeatUTC          : 10/3/2021 4:27:51 PM
AzureTenant           :

验证 Azure AD 密码保护审核模式

为本地 Active Directory 启用 Azure AD 密码保护审核模式后，重置或更改密码时将注册一个事件。例如，它将显示管理员、帮助台或用户设置的新密码是被拒绝还是接受。

查看它的运行情况并验证它是否正常工作。让我们在 Active Directory 中为测试用户重置密码。首先，创建一个强密码。之后，再次重置密码，但这次使用弱密码。

Azure AD 密码保护 DC 代理事件日志

在域控制器上启动事件查看器。导航到应用程序和服务日志 > Microsoft > AzureADPasswordProtection > DCAgent > 管理。

Azure 密码策略拒绝密码

当 Azure 拒绝密码时，它将显示事件 ID 10025 和事件 ID 30009。

事件 10025，DCAgent
指定用户的重置密码通常会被拒绝，因为它不符合当前的 Azure 密码策略。当前的 Azure 密码策略配置为仅审核模式，因此密码已被接受。请参阅相关事件日志消息以了解更多详细信息。

事件 30009，DCAgent
指定用户的重置密码通常会被拒绝，因为它至少与当前 Azure 密码策略的 Microsoft 全局禁止密码列表中存在的令牌之一匹配。当前的 Azure 密码策略配置为仅审核模式，因此密码已被接受。

Azure 密码策略接受密码

当 Azure 验证密码合规时，它将显示事件 ID 10015。

事件 10015，DCAgent
指定用户的重置密码已验证为符合当前 Azure 密码策略。

Azure AD 密码保护摘要报告

获取摘要报告，显示有多少个新密码集已验证以及有多少个新密码集已验证失败。

PS C:\> Get-AzureADPasswordProtectionSummaryReport


DomainController                : DC01-2016.exoip.local
PasswordChangesValidated        : 0
PasswordSetsValidated           : 4
PasswordChangesRejected         : 0
PasswordSetsRejected            : 0
PasswordChangeAuditOnlyFailures : 0
PasswordSetAuditOnlyFailures    : 3
PasswordChangeErrors            : 0
PasswordSetErrors               : 0

下一步，也是最后一步，是从审核模式切换到强制模式。

实施 Azure AD 密码保护

登录到 Azure 门户。导航到Azure AD Active Directory > 安全 > 身份验证方法 > 密码保护。另一种方法是在顶部搜索Azure AD 密码保护。

注意：如果设置为“强制”，将阻止用户设置禁止的密码，并且将记录该尝试。

启用强制模式。单击保存。

你已成功配置 Windows Server Active Directory 的 Azure AD 密码保护。

了解更多：强制密码与 Azure AD Connect 同步 »

结论

您了解了如何为本地 Active Directory 配置 Azure AD 密码保护。首先，按照以下步骤在审核模式下配置 Azure AD 密码保护。然后，在一切就绪并且您感到满意后，从审核模式切换到强制模式。

您喜欢这篇文章吗？您可能还喜欢将 Azure AD Connect 升级到 V2.x。不要忘记关注我们并分享这篇文章。