So aktivieren Sie Azure AD Password Protection in einer hybriden Umgebung

Bei den Standard-Passwortrichtlinien von Active Directory stellen viele Unternehmen fest, dass Benutzer schwache, leicht zu erratende oder inkrementelle Passwörter erstellen, die Angreifer leicht kompromittieren können. Mit Azure AD Password Protection können Unternehmen eine zusätzliche Sicherheitsebene für die Passwörter der Benutzer einrichten.

Die gute Nachricht ist, dass Sie Ihr lokales Active Directory nicht ablösen müssen, um strengere Kennwortrichtlinien zu implementieren oder Benutzer an der Verwendung kompromittierter Kennwörter zu hindern. Wir zeigen Ihnen, wie Sie Azure AD Password Protection für Ihre On-Premise-Umgebung aktivieren und wie Sie diese Funktionen noch einmal erweitern können.

Was ist Azure AD Password Protection?

Die Azure AD Password Protection-Lösung von Microsoft ermöglicht es Ihnen, die standardmäßig in Azure AD definierten globalen Sperrlisten für Passwörter in lokalen Active Directory Domain Services (AD DS)-Umgebungen durchzusetzen. Sie können auch eine benutzerdefinierte Blacklist erstellen. Das Microsoft-Sicherheitsteam analysiert die Azure AD-Sicherheitsergebnisse, um neue schwache oder kompromittierte Kennwörter zur globalen Verbotsliste hinzuzufügen und sie auf alle Kennwortänderungs- oder -rücksetzvorgänge anzuwenden.

Wenn Benutzer ihre Passwörter ändern oder zurücksetzen, wird das Passwort mit der Azure AD Password Protection-Lösung überprüft, um sicherzustellen, dass sie nicht auf der in Azure AD definierten globalen Sperrliste für Passwörter zu finden sind. Sie ermöglicht es Unternehmen, Passwort-Filterlisten in Azure AD zu definieren und diese zusätzlich zu ihrem Azure AD-Tenant auch auf lokale AD DS-Umgebungen anzuwenden.

Was ist der Vorteil dieser Maßnahme? Es ist ein Versuch, das uralte Problem der Verwendung derselben Passwörter für mehrere Konten, einschließlich persönlicher Konten, durch Endbenutzer zu lösen. Benutzer neigen dazu, schwache Passwörter zu erstellen und dann das Risiko einer Kompromittierung ihrer Anmeldedaten zu erhöhen, indem sie diese Passwörter für persönliche Geräte und Accounts wiederverwenden. Selbst Passwörter, die den traditionellen Komplexitätsanforderungen der Active Directory Domain Services (AD DS)-Passwortrichtlinien entsprechen, können immer noch schwach sein und leicht erraten werden. Je mehr Enduser Ihre Organisation hat, desto größer ist dementsprechend das daraus entstehende Risiko durch Password-Reuse.

Aktivieren von Azure AD-Password Protection auf der lokalen Umgebung

Wenn ihre Umgebungen vor der Implementierung von Azure AD-Password Protection hybrid sind, können Unternehmen den Kennwortschutz mit den folgenden Schritten auf ihre lokalen AD DS-Umgebungen ausweiten:

1. Die Proxy-Service-Instanz von Azure AD Password Protection wird den lokalen Domänencontrollern im Forest bekannt gemacht, indem ein serviceConnectionPoint-Objekt erstellt wird. Dieses Objekt wird in der AD DS-Umgebung erstellt.
2. Der Agent-Service für Domänencontroller für Azure AD Password Protection erstellt ebenfalls ein serviceConnectionPoint-Objekt in Active Directory. Er verwendet dieses Objekt für Berichts- und Diagnosevorgänge.
3. Der auf jedem Domänencontroller installierte Agent initiiert den Download neuer Kennwortrichtlinien aus Azure AD. Der Forest wird nach dem Azure AD Password Protection Proxy Service mit Hilfe der serviceConnectionPoint-Objekte abgefragt.
4. Sobald er gefunden wurde, sendet der Domänencontroller-Agent eine Anforderung zum Herunterladen von Kennwortrichtlinien an den Proxy-Dienst. Der Proxy sendet die Anforderung an Azure AD. Dann gibt er die Antwort an den Domänencontroller-Agentendienst zurück.
5. Sobald der Domänencontroller-Agentendienst eine neue Kennwortrichtlinie von Azure AD erhält, wird die Richtlinie in einem speziellen Ordner im Stammverzeichnis des SYSVOL-Ordners der Domäne gespeichert. Der Agent Service des Domänencontrollers überwacht diesen Ordner auch für den Fall, dass neuere Richtlinien von anderen Domänencontroller-Agents in der Domäne repliziert werden.
6. Der Domain Controller Agent Service fordert beim Start des Dienstes eine neue Richtlinie an. Nach dem Start des DC Agent Service prüft er stündlich das Alter der aktuellen Richtlinie, die ihm zur Verfügung steht. Wenn die Richtlinie älter als eine Stunde ist, fordert der Domain Controller Agent eine neue Richtlinie von Azure AD über den Proxy-Service, wie zuvor beschrieben, an. Wenn die Richtlinie nicht älter als eine Stunde ist, wird die vorhandene Richtlinie weiter verwendet.
7. Wenn ein Domänencontroller Passwortänderungsereignisse empfängt, bestimmt die zwischengespeicherte Richtlinie, ob das neue Passwort akzeptiert oder abgelehnt wird.

Limitierungen von On-Premise-Azure AD Password Protection

Bei der Lösung von Azure AD Password Protection für on-premise-Umgebungen gibt es einige Einschränkungen zu beachten. Die folgenden Punkte müssen Sie berücksichtigen:

• Azure AD Password Protection on-premises kann nicht auf eine Teilmenge von Benutzern angewendet werden. Es handelt sich um eine globale Lösung, und alle Benutzer erhalten die gleichen Sicherheitsbestimmungen.
• Bestehende Passwörter werden nach der Installation nicht überprüft. Sie kann die Kennwortrichtlinie nur bei Klartextkennwörtern während des Kennwortänderungs- oder -einstellungsvorgangs durchsetzen.
• Lizenzierung – Sie müssen über ein gültiges Azure AD-Abonnement verfügen, um Azure AD Password Protection und ein Azure AD Premium P1- oder P2-Abonnement zu nutzen.
• Die Endbenutzererfahrung für Azure AD Password Protection lässt sehr zu wünschen übrig, insbesondere im Vergleich zu einer Drittanbieterlösung wie Specops Password Policy.

Zwei Identitätsquellen können die Einhaltung von Kennwörtern erschweren

Viele Unternehmen nutzen heute Microsoft 365 mit Active Directory Domain Services, was bedeutet, dass es die Möglichkeit gibt, mehrere Identitätsquellen und Passwortrichtlinien zu nutzen. Unternehmen können sich dafür entscheiden, Passwörter zwischen ihren Active Directory-Domain Services und Azure AD zu synchronisieren. Sie müssen sich jedoch Gedanken über ihre Identitätsstruktur machen und darüber, wie sie die Einhaltung von Kennwörtern zentralisieren wollen und ob sie Dienste wie Azure AD Password Protection nutzen wollen.

Diejenigen, die ein Azure AD-Abonnement haben, können etwas namens Password Writeback verwenden. Password Writeback wird verwendet, wenn Azure AD mit lokalen Richtlinien über Azure AD abgeglichen werden muss. Beachten Sie das Folgende:

• Es ist in Ihrem Azure AD-Abonnement enthalten
• Es kann Änderungen an Ihren Active Directory-Identitäten in einem bestimmten Intervall mit Azure AD synchronisieren. Bei diesem Prozess kommt es zu einer Verzögerung.
• Sie können benutzerdefinierte Attribute mit Lösungen von Drittanbietern synchronisieren

Specops Password Policy mit Azure AD Connect Passwort-Synchronisation

Zusätzlich zu Azure AD Password Protection für On-Premises entscheiden sich viele Organisationen für Specops Password Policy, um robuste moderne Passwortrichtlinien und Schutz vor kompromittierten Passwörtern zu bieten. Wenn Password Writeback aktiviert ist, prüft Azure SSPR die Passwortrichtlinien vor Ort, bevor eine Passwortrücksetzung oder -änderung von Azure AD bestätigt wird.

Wenn das Passwort von Specops Password Policy kontrolliert wird, muss das Passwort die spezifizierten Anforderungen von Specops Password Policy erfüllen. Wenn das geänderte Passwort die Anforderungen erfüllt, wird das Passwort in Azure AD geändert und mit Ihrer lokalen Active Directory Domain Services (AD DS) Umgebung synchronisiert.

Berücksichtigen Sie den folgenden SSPR-Benutzerpasswort-Synchronisationsfluss mit Password Writeback:

Wie von Microsoft erwähnt, können Sie mehrere Passwortschutzlösungen mit Passwortfilter-DLLs verwenden. Specops Password Policy wird also nahtlos mit Azure AD Password Protection zusammenarbeiten, um eine weitere Ebene des Kennwortschutzes in Ihrer Umgebung hinzuzufügen, einschließlich einer Breached Password Protection-Funktion. Darüber hinaus können mit der aktivierten Password Writeback-Funktion lokale Passwortrichtlinien als zentraler Punkt für die Einhaltung von Richtlinien fungieren, was beim Jonglieren mit mehreren Identitätsquellen zur Beseitigung von Passwort-Compliance-Kopfschmerzen beiträgt. Erfahren Sie mehr über Specops Password Policy und testen Sie es kostenlos.