Ensure password protection is enabled for on-prem Active Directory
Miért fontos ez
A gyenge jelszavak a hibrid környezetekben a hitelesítő adatok elleni támadások elsődleges vektora. Ha a helyszíni Active Directoryban nincs engedélyezve a Microsoft Entra Password Protection, a felhasználók továbbra is választhatnak gyenge vagy gyakran kiszivárgott jelszavakat, amelyek megkerülik a felhőalapú fiókokra alkalmazott védelmet. A funkció kényszerítésével biztosítható, hogy a tiltott jelszavak listája következetesen érvényesüljön az összes hitelesítési forrásnál, csökkentve a jelszószóró és brute force támadások okozta kompromittálódás kockázatát.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a Microsoft Entra Password Protection engedélyezve és Kényszerített üzemmódban van-e konfigurálva a helyszíni Active Directory Domain Services környezethez. Ez az ellenőrzés az Aether365 irányítópultján az Entra ID biztonsági ellenőrzései között ENTRA.1155 azonosítóval jelenik meg.
Javítás menete
- Töltse le és telepítse az Azure AD Password Protection proxy szolgáltatást és a DC-ügynököt a Microsoft letöltőközpontból.
- Jelentkezzen be a Microsoft Entra admin centerbe a https://entra.microsoft.com címen.
- Bontsa ki a Protection szakaszt, és válassza az Authentication methods lehetőséget.
- A bal oldali navigációs ablakban válassza a Password protection elemet.
- Állítsa a Enable password protection on Windows Server Active Directory beállítást Yes értékre.
- A Mode alatt válassza az Enforced lehetőséget a tiltott jelszavak listájának azonnali érvényesítéséhez.
- Várjon akár egy órát, amíg a konfiguráció replikálódik az összes tartományvezérlőre.
Megfelelőség
- CIS Microsoft 365 Foundations Benchmark 5.0.0 5.2.3.3 (E3 Level 1)
- Csak hibrid telepítésekre vonatkozik
Kapcsolódó források
- Microsoft Learn: Helyszíni Azure AD Password Protection üzembe helyezése
- Microsoft letöltőközpont: Azure AD Password Protection proxyk és DC-ügynökök