Como implementar o Azure AD Password Protection?

Fala pessoal, tudo bem?

Gostaria de compartilhar com vocês um recurso presente no Azure AD para bloquearmos supostas senhas conhecidas num ambiente. Vamos lá?

Existem requisitos para esse recurso? Sim e abaixo temos eles.

Requisitos:

  • Windows Server 2012 R2 com a feature do Active Directory
  • Windows Server 2012 R2 como proxy server e membro do domínio local
  • Visual C++ instalado em ambos servidores
  • .NET Framework 4.7.2 instalado em ambos servidores
  • Softwares do Azure AD Protection Password (disponível no fim do tutorial)

Leia mais:

Como Habilitar o Blob Soft Delete no Storage account
Como criar um alerta de gastos no Microsoft Azure
Configurando Blueprints no Microsoft Azure
Como Remover o Azure AD Connect
Como inserir o Windows 10 no Azure Active Directory

O pontapé inicial pode ser dado pelos passwords que gostaríamos de bloquear, estes inserimos diretamente na dashboard de senhas no Azure AD, abaixo segue o caminho.

Azure AD > Segurança > Métodos de autenticação > Proteção de senha.

Mapa – Esquema de implantação

Para que a proteção de senha funcione nós precisamos instalar o software de proxy numa máquina que não seja controlador de domínio e que tenha o sistema operacional instalado a partir da versão Windows Server 2012 R2.

Após instalarmos o software de proxy, o próximo passo é importar o módulo de powershell:

Import-Module AzureADPasswordProtection

Com o módulo importado vamos rodar os comando para registrar o proxy server:

Register-AzureADPasswordProtectionProxy -AccountUpn '[email protected]'

Agora vamos rodar o comando para registrarmos a floresta do active directory:

Register-AzureADPasswordProtectionForest -AccountUpn '[email protected]'

O motivo destas configurações são para garantir a comunicação/configuração que este servidor terá diretamente com o Azure AD e propriamente dito será o gateway para download da política de senha.

Após o download da política o proxy server gera um arquivo DLL, o transfere para o controlador de domínio, em seguida este arquivo é injetado no banco de dados do Active Directory e com isso resulta no bloqueio das senhas personalizada.

Para que a comunicação entre o proxy server e o controlador de domínio ocorra, é necessário que seja instalado o agente de proteção de senha no servidor de active directory. A instalação é bem simples, é praticamente next > next > finish.

Caminho para consultar os logs do Proxy server:

Caminho para consultar os logs no servidor do Active Directory:

Log mostrando que a senha do USER5 não está em compliance (Modo de auditoria):

The reset password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.

Log mostrando que a senha do USER5 não está em compliance e que foi bloqueada (Política imposta):

The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!