Password Policy Sentinel
The Specops Password Policy Sentinel is an installation package that must be installed on all writable domain controllers in a domain.
The Specops Sentinel consists of the Sentinel Password Filter, and the Sentinel Service.
- Sentinel Password Filter: The Sentinel Password Filter is a Windows Password Filter that verifies whether a new password matches the Specops Password Policy settings assigned to the user.
- Sentinel Service: The Sentinel Service is always installed as part of the Specops Password Policy, but effective only if the Breached Password Protection add-on is configured.
Funktionsweise des Sentinel
Der Sentinel-Service bietet eine Web-API, auf die das SPP Admin-Tool und SPP Cmdlets zurückgreifen.
Standardmäßig ist die Web-API nur auf dem PDC-Emulator aktiv, wenn der SPP-Sentinel dort installiert ist. Andere DCs haben standardmäßig keine aktive Web-API, selbst wenn der SPP-Sentinel auf ihnen installiert sein sollte. Falls es erforderlich ist, kann die Web-API auf diesen DCs ebenfalls aktiviert werden, indem man den korrekten Registry-Schlüssel ändert (siehe unten).
Die Sentinel Service Web API muss:
- Anmeldeinformationen für das Senden von E-Mails über den Sentinel-Dienst und den Arbiter konfigurieren
- Testnachrichten senden
- den Status aus dem Admin-Tool einholen
- den periodischen Scan starten und dessen Status anzeigen
Ports
Die Sentinel-Web-API bedient Anfragen auf http://*:4385, wenn sie aktiv ist.
Wenn der Sentinel-Dienst anläuft und die Web-API auf diesem DC aktiviert ist, fügt der Sentinel-Dienst eine Firewall-Regel für eingehenden Traffic auf Port 4385 hinzu.
Aktivieren und Deaktivieren der Web-API
Soll die Web-API explizit aktiviert oder deaktiviert werden, um sie beispielsweise auf dem PDC-Emulator zu deaktivieren oder auf einem anderen DC als dem PDC-Emulator zu aktivieren, muss der nachstehende Registry-Schlüssel auf 0 bzw. 1 gestellt werden. Starten Sie den Sentinel-Dienst nach Ändern des Registrierungswerts neu, damit die Änderung wirksam wird.
Registry-Schlüssel | Pfad | Wert |
---|---|---|
EnableWebApi (REG_DWORD32) | HKLM\SOFTWARE\Specopssoft\Specops Password Policy\SentinelService | 0 (deaktivieren), 1 (aktivieren) |