התקנה והגדרת Azure AD Password Protection

החלק החלש ברובדי אבטחת המידע בארגונים עדיין נשארו זהויות והתקני קצה (תחנות קצה + מובייל) וישנם ארגונים שעדיין לא הפנימו ולא אימצו את הצורך במנגנון Multi factor Authentication למשתמשי קצה ובנוסף לכך במחציתם גם לא הופעל MFA על אדמינים!

ביומיום גניבת זהויות של משתמשי קצה בארגונים היא התקפה שמתרחשת לא מעט, ובמקרים רבים ישנם הצלחות שבהם התוקפים מצליחים בין היתר לאפס סיסמאות, ולכן התקפה על זהויות משתמשים רגילים שאינם טכניים אורכת זמן קצר ולעיתים ימים ספורים ואף שעות.

המאמר הראשון התמקד באפשרויות השונות של הגנה על זהויות עם Azure AD Password Protection ומהם ההמלצות והיכולות ביישום בתצורת ענן ותצורה היברידית בהגנה על שינוי סיסמאות של משתמשי קצה.

המאמר הנוכחי יתמקד בהתקנה, הגדרה ודגשים ביישום Azure AD Password Protection בתצורה היברידית.

הגדרת רכיב Proxy

דרישות סף

דרישות סף ליישום Azure AD Password Protection:

• שרתים בגרסת Windows Server 2012 ומעלה (לטובת Proxy + DC Agent)
• גרסת Active Directory המבוססת על שרתי Windows Server 2012 ומעלה
• שרתי DC’s עם תמיכה ברכיב DFSR
• הרשאות Global Admin בשירות Azure AD
• הרשאות Domain Admin מול Active Directory מקומי

הערה: בתרחיש המתואר במאמר כל היישום יבוצע על שרת אחד, למרות שהתרחיש הנ”ל עובד Microsoft אינה ממליצה ביישום של כלל הרכיבים על אותו שרת.

בכדי להגדיר את רכיב Proxy יש לבצע את הפעולות הבאות:

• הורדת רכיבים מתוך הקישור הבא Azure AD password protection for Windows Server Active Directory (יש להוריד את שני הרכיבים)
• התקנת רכיב לפי הפקודה הבאה
  Start-Process C:\Temp\AzureADPasswordProtectionProxy.msi
• טעינת מודול לפי הפקודה הבאה Import-Module AzureADPasswordProtection
• בדיקת פעולות קיימות לפי הפקודה Get-Command *AzureADP*

ביצוע רגיסטרציה של הרכיב מול שירות Azure AD ומול Active Directory מקומי באמצעות הפקודות הבאות:

$CloudCredentials = Get-Credential

$ADCredentials = Get-Credential

Register-AzureADPasswordProtectionProxy -AzureCredential $CloudCredentials -ForestCredential $ADCredentials

הערה: הרישום הראשוני מול הענן לוקח זמן בגלל עדכון מול הרכיבים הנוספים בשירות Azure AD

לאחר מכן ניתן לבדוק מול לוג בשרת המקומי שבוצע רישום מוצלח מול השרת המקומי ונשלחה בקשה מול שירות Azure AD

הגדרת רכיב DC Agent

התקנת רכיב Start-Process C:\Temp\AzureADPasswordProtectionDCAgent.msi
ביצוע רגיסטרציה לרכיב Register-AzureADPasswordProtectionForest -AzureCredential $CloudCredentials
לאחר מכן ניתן לבדוק מול לוג בשרת המקומי שבוצע רישום מוצלח

בדיקת תקינות

במהלך ההתקנה נוצרו מספר קונטיינרים ותיקיות שענם עובד המנגנון ולכן מומלץ לוודא שהגדרות אלה נרשמו באופן תקין

ברמת Configuration Partition ישנו קונטיינר חדש שמכיל נתונים של Forest ושל Proxy

ברמת תיקיית Sysvol ישנה תיקייה חדשה שמכילה פוליסי, רפליקציה והגדרות נוספות

דגשים והערות חשובות

• רכיב Proxy ניתן להגדרה ברמת Forest ולכן ניתן להחיל רק פוליסי אחד לאותו Forest, ובמידה ומבצעים הפרדה בין רכיב Proxy לבין DC Agent חייב להיות קישוריות בין השרתים
• רכיב Proxy דורש קישוריות מול הענן ולכן עדיף להתקין על שרת שאינו DC
• הרישום של הרכיבים חייב להיעשות מול משתמשים בעלי הרשאות
• העדכון מול הרישום הראשוני מול הענן אורך לפחות 45 דקות
• יש לבצע רישום רק פעם אחת של הרכיב ואין משמעות לביצוע רישום מספר פעמים
• יכולים להיות מספר רכיבי Proxy ברמת Forest/Domain
• הפרוטוקול גישה מתוך רכיב DC Agent נעשה על גבי RPC/TCP
• רכיב Proxy מבצע האזנה לפורטים דינמיים על גבי RPC ובמידת הצורך ניתן להגדיר פורט סטטי
• לאחר התקנת הרכיבים צריך לבצע אתחול לשרתים בכדי שייכנסו לתוקף
• אין צורך להתקין DC Agent על שרת RODC

איך מגדירים? התקנה והגדרת Azure AD Password Protection