Azure’s verboden wachtwoordenlijst synchroniseren met Windows-domein

Veel organisaties maken hedendaags gebruik van een hybride-omgeving. Dit betekent dat het netwerk uit twee onderdelen bestaat. Eén onderdeel wat bij de klant op locatie (of extern in een datacenter) draait en één onderdeel wat in een public cloud draait. Wij zien vaak dat er op locatie gebruik wordt gemaakt van een Windows-domein voor het faciliteren van netwerkschijven, databases, etc. Dit Windows-domein wordt vervolgens gesynchroniseerd naar Microsoft Azure voor het faciliteren van Microsoft Outlook, Teams en Office365. 

In Microsoft Azure kun je een lijst met verboden woorden instellen om te voorkomen dat bepaalde termen in wachtwoorden worden gebruikt. Dit biedt extra beveiliging door bijvoorbeeld te verhinderen dat de bedrijfsnaam, jaartallen of andere voorspelbare woorden in wachtwoorden voorkomen.

Om deze reden raden wij altijd sterk aan om makkelijk te raden wachtwoorden te verbieden door middel van deze verboden wachtwoordenlijst. Deze wachtwoorden worden standaard echter niet gesynchroniseerd met het on-premises Windows-domein, waardoor gebruikers nogsteeds binnen het Windows-domein een makkelijk te raden wachtwoord kunnen instellen.

Met Entra Password Protection is het mogelijk om deze verboden wachtwoordenlijst ook te synchroniseren naar Windows-domein. In dit blog beschrijven wij hoe deze verboden wachtwordenlijst gesynchroniseerd kan worden naar het on-premises Windows-domein. 

Om gebruik te maken van Entra Password Protection dienen er twee “agents” geïnstalleerd te worden. Deze zijn beschikbaar op de site van Microsoft.

De proxy agent fungeert als verbinding tussen het Windows-domein en Microsoft Azure. Deze proxy agent dient geïnstalleerd te worden op een separaat systeem (dus niet op één van de domeincontrollers). Hier is voor gekozen zodat de domeincontrollers niet direct met Microsoft Azure communiceren. 

Naast de proxy agent dient er ook een agent op de domeincontrollers geïnstalleerd te worden. Deze agent communiceert met de proxy agent om de verboden wachtwoordenlijst te synchroniseren.

De proxy agent is verantwoordelijk voor het communiceren met Microsoft Azure. Dit is dan ook een verplicht onderdeel van Entra Password Protection (ook als de domeincontrollers internettoegang hebben). Microsoft raadt aan om de proxy agent te installeren op een ander systeem dan de domeincontrollers. De proxy agent kan bijvoorbeeld geïnstalleerd worden op dezelfde server als de Microsoft Entra Connect service. 

Begin de installatie door de executable te downloaden op de server waar de proxy agent moet draaien. Na het downloaden kan de installatie gestart worden door het onderstaande commando met beheerrechten uit te voeren:

Om de proxy agent te installeren moet de Windows Firewall ingeschakeld zijn. Mocht hier bewust voor gekozen zijn, dan raad Microsoft aan om de Windows Firewall kort in te schakelen tijdens de installatie van de proxy agent.

Na de installatie is er een nieuwe PowerShell module beschikbaar genaamd AzureADPasswordProtection. Start daarom een nieuwe PowerShell prompt om de installatie te vervolgen. Voer het volgende commando uit binnen deze prompt om de module te importeren:

Controleer vervolgens of de Entra Password Protection service draait. Dit kan door het volgende commando uit te voeren in het bestaande PowerShell prompt:

Als de status op Running staat draait de Entra Password Protection service. De service heeft echter nog geen inloggegevens om te verbinden met Azure. Daarom dient eerst het Register-AzureADPasswordProtectionProxy commando uitgevoerd te worden. Dit commando registreert de proxy agent in Azure en verzorgt de nodige koppeling. Om dit te doen dient er ingelogd te worden met een Global Administrator account. Dit kan middels drie authenticatiemethoden:

• Interactive authentication mode, hierbij wordt een nieuw browservenster geopend. In dit browser venster dient er ingelogd te worden. 

• Device-code authentication mode, waarbij een device code wordt gegenereerd. Vervolgens kan er op elk ander systeem ingelogd met deze device code. 

• Silent authentication mode, hierbij worden de inloggegevens opgeslagen in een systeemvariabele. Deze authenticatiemethode kan niet gebruikt worden wanneer er multi-factorauthenticatie afgedwongen wordt binnen de Azure-omgeving. 

Om de proxy agent te configureren middels de interactive authentication mode kan het onderstaande commando uitgevoerd worden. Dit opent dus een browservenster. Log in dit venster in met een gebruiker die Global Administrator is binnen de Azure omgeving.

Na het koppelen van de proxy agent met Microsoft Azure, moet de proxy agent ook gekoppeld worden aan het Windows-domein. Dit doen wij nogmaals middels de interactive authentication mode door het volgende commando uit te voeren:

Hierna dient de verbinding getest te worden. Dit kan met het onderstaande commando:

Als er driemaal “Passed” wordt teruggegeven is de proxy agent succesvol gekoppeld aan de Azure-omgeving. Mocht dit niet het geval zijn raden wij aan het bovenstaande commando’s nogmaals uit te voeren en anders de documentatie van Microsoft te controleren.

De domeincontroller agent is verantwoordelijk voor het syncen van de wachtwoorden naar Azure en andersom. Wij raden aan deze agent op alle domeincontrollers te installeren. 

Begin de installatie door de executable te downloaden op de domeincontroller(s). Na het downloaden kan de installer uitgevoerd worden door het onderstaande commando met beheerrechten uit te voeren:

Er is geen verdere configuratie benodigd. Zodra de installatie is gelukt, is de agent succesvol geïnstalleerd.

Om gebruik te maken van deze functie moet er minimaal een P1 licentie beschikbaar zijn in de Azure-omgeving. Log in op het Azure portaal als gebruiker met Global Administrator rechten en navigeer vervolgens naar Microsoft Entra ID -> Beveiliging -> Verificatiemethoden -> Wachtwoordbeveiliging. Dit laat het volgende scherm zien:

Wij raden aan om de volgende instellingen aan te passen

• Zet “Aangepaste lijst afdwingen” op “Ja” zodat de verboden wachtwoordenlijst ook wordt afgedwongen.

• Implementeer een lijst met verboden wachtwoorden. Wij raden tenminste de volgende categorieën aan om hier in op te nemen: maanden, seizoenen, adressen, bedrijfsnamen en variaties hier op.

• Zet “Wachtwoordbeveiliging op Windows Server Active Directory inschakelen” op “Ja” zodat de verboden wachtwoordenlijst wordt afgedwongen op het on-prem Active Directory. 

• Zet de modus op “Afgedwongen” zodat de verboden wachtwoorden afgedwongen worden. 

Een voorbeeld ziet er als volgt uit:

Zodra dit is ingesteld heeft Azure ongeveer een halfuur nodig om deze instellingen te synchroniseren naar het on-premises Windows-domein. Als een gebruiker hierna zijn of haar wachtwoord probeert te veranderen naar een wachtwoord wat verboden is wordt de volgende foutmelding getoond:

• https://docs.azure.cn/en-us/entra/identity/authentication/howto-password-ban-bad-on-premises-deploy

• https://docs.azure.cn/en-us/entra/identity/authentication/howto-password-ban-bad-on-premises-operations