Monitorování a kontrola protokolů místního prostředí ochrany heslem Microsoft Entra
Po nasazení služby Microsoft Entra Password Protection jsou nezbytné úlohy monitorování a vytváření sestav. Tento článek podrobně popisuje různé techniky monitorování, včetně informací o tom, kde jednotlivé informace o službě protokolují a jak hlásit použití služby Microsoft Entra Password Protection.
Monitorování a vytváření sestav se provádí buď pomocí zpráv protokolu událostí, nebo spuštěním rutin PowerShellu. Agent řadiče domény i proxy služby protokoluje zprávy protokolu událostí. Všechny níže popsané rutiny PowerShellu jsou dostupné jenom na proxy serveru (viz modul PowerShellu AzureADPasswordProtection). Software agenta DC nenainstaluje modul PowerShellu.
Protokolování událostí agenta DC
Na každém řadiči domény zapisuje software služby agenta DC výsledky jednotlivých operací ověření hesla (a další stav) do místního protokolu událostí:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Protokol agenta DC Správa je primárním zdrojem informací o tom, jak se software chová.
Všimněte si, že protokol trasování je ve výchozím nastavení vypnutý.
Události protokolované různými komponentami agenta řadiče domény spadají do následujících rozsahů:
| Komponenta | Rozsah ID události |
|---|---|
| Knihovna DLL filtru hesel agenta DC | 10000-19999 |
| Proces hostování služby agenta DC | 20000-29999 |
| Logika ověřování zásad služby agenta DC | 30000-39999 |
Protokol událostí agenta DC Správa
Události výsledku ověření hesla
Na každém řadiči domény zapisuje software služby agenta DC výsledky každého ověření hesla do protokolu událostí správce agenta DC.
Pro úspěšnou operaci ověření hesla je obvykle zaznamenána jedna událost z knihovny DLL filtru hesel agenta DC. V případě neúspěšné operace ověření hesla jsou obvykle zaznamenány dvě události, jedna ze služby agenta DC a jedna z knihovny DLL filtru hesel agenta DC.
Diskrétní události pro zachycení těchto situací se protokolují na základě následujících faktorů:
- Určuje, jestli se dané heslo nastavuje nebo mění.
- Jestli bylo ověření zadaného hesla úspěšné nebo neúspěšné
- Ověření selhalo kvůli globálním zásadám Microsoftu, zásadám organizace nebo kombinaci.
- Bez ohledu na to, jestli je režim auditování aktuálně zapnutý nebo vypnutý pro aktuální zásady hesel.
Klíčové události související s ověřováním hesla jsou následující:
| Událost | Změna hesla | Sada hesel |
|---|---|---|
| Předání | 10014 | 10015 |
| Selhání (kvůli zásadám hesel zákazníka) | 10016, 30002 | 10017, 30003 |
| Selhání (kvůli zásadám hesel Microsoftu) | 10016, 30004 | 10017, 30005 |
| Selhání (kvůli kombinovaným zásadám hesel Microsoftu a zákazníka) | 10016, 30026 | 10017, 30027 |
| Selhání (kvůli uživatelskému jménu) | 10016, 30021 | 10017, 30022 |
| Pass jen pro audit (mohlo by se nezdařilo zásady hesel zákazníka) | 10024, 30008 | 10025, 30007 |
| Pass jen pro audit (mohlo by se nezdařilo zásady hesel Microsoftu) | 10024, 30010 | 10025, 30009 |
| Pass jen pro audit (selhalo by kombinované zásady microsoftu a hesel zákazníků) | 10024, 30028 | 10025, 30029 |
| Pass jen pro audit (selhalo by kvůli uživatelskému jménu) | 10016, 30024 | 10017, 30023 |
Případy ve výše uvedené tabulce, které odkazují na "kombinované zásady", odkazují na situace, kdy bylo zjištěno, že heslo uživatele obsahovalo alespoň jeden token ze seznamu zakázaných hesel Microsoftu i seznamu zakázaných hesel zákazníka.
Případy v tabulce výše, které odkazují na "uživatelské jméno", odkazují na situace, kdy bylo nalezeno heslo uživatele, které obsahuje buď název účtu uživatele, nebo jeden z popisných jmen uživatele. Buď scénář způsobí odmítnutí hesla uživatele, když je zásada nastavená na Vynucení, nebo pokud je zásada v režimu auditování.
Když se zaprotokoluje dvojice událostí, obě události jsou explicitně přidružené pomocí stejného ID korelace.
Souhrnné generování sestav ověření hesla prostřednictvím PowerShellu
Rutina Get-AzureADPasswordProtectionSummaryReport se může použít k vytvoření souhrnného zobrazení aktivity ověřování hesla. Příklad výstupu této rutiny je následující:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
Rozsah generování sestav rutiny může být ovlivněn pomocí některého z parametrů –Forest, -Domain nebo –DomainController. Nezadání parametru znamená –Forest.
Poznámka:
Pokud nainstalujete agenta dc pouze na jeden řadič domény, Get-AzureADPasswordProtectionSummaryReport bude číst události pouze z daného řadiče domény. Pokud chcete získat události z více řadičů domény, budete potřebovat agenta řadiče domény nainstalovaného na každém řadiči domény.
Tato rutina Get-AzureADPasswordProtectionSummaryReport funguje dotazováním protokolu událostí správce agenta DC a následným počítáním celkového počtu událostí, které odpovídají jednotlivým zobrazeným kategoriím výsledků. Následující tabulka obsahuje mapování mezi jednotlivými výsledky a odpovídajícím ID události:
| Get-AzureADPasswordProtectionSummaryReport – vlastnost | Odpovídající ID události |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Všimněte si, že rutina Get-AzureADPasswordProtectionSummaryReport se dodává ve formuláři skriptu PowerShellu a v případě potřeby se na ně může odkazovat přímo v následujícím umístění:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Poznámka:
Tato rutina funguje tak, že otevřete relaci PowerShellu pro každý řadič domény. Aby bylo možné úspěšně provést podporu vzdálené relace PowerShellu, musí být povolená na každém řadiči domény a klient musí mít dostatečná oprávnění. Další informace o požadavcích na vzdálenou relaci PowerShellu získáte spuštěním rutiny Get-Help about_Remote_Troubleshooting v okně PowerShellu.
Poznámka:
Tato rutina funguje tak, že vzdáleně dotazuje Správa protokolu událostí každé služby agenta ŘADIČE domény. Pokud protokoly událostí obsahují velký počet událostí, dokončení rutiny může trvat dlouhou dobu. Kromě toho můžou hromadné síťové dotazy velkých datových sad ovlivnit výkon řadiče domény. Proto by se tato rutina měla používat pečlivě v produkčních prostředích.
Ukázkové zprávy protokolu událostí
ID události 10014 (úspěšná změna hesla)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID události 10017 (Změna hesla se nezdařila):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID události 30003 (Změna hesla se nezdařila):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID události 10024 (heslo přijato kvůli zásadám v režimu pouze auditování)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID události 30008 (heslo přijato kvůli zásadám v režimu pouze auditování)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
ID události 30001 (heslo se přijalo kvůli nedostupné žádné zásadě)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
ID události 30006 (vynucuje se nová zásada)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
ID události 30019 (Microsoft Entra Password Protection je zakázaný)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
Provozní protokol agenta DC
Služba agenta ŘADIČE domény také protokoluje události související s provozem do následujícího protokolu:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Protokol trasování agenta DC
Služba agenta DC může také protokolovat podrobné události trasování na úrovni ladění do následujícího protokolu:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Protokolování trasování je ve výchozím nastavení zakázané.
Upozorňující
Pokud je tato možnost povolená, protokol trasování přijímá velký objem událostí a může mít vliv na výkon řadiče domény. Proto by měl být tento rozšířený protokol povolen pouze v případě, že problém vyžaduje hlubší šetření, a pak pouze po minimální dobu.
Protokolování textu agenta DC
Službu agenta DC je možné nakonfigurovat tak, aby zapisovala do textového protokolu nastavením následující hodnoty registru:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
Protokolování textu je ve výchozím nastavení zakázané. Aby se změny této hodnoty projevily, vyžaduje se restartování služby agenta DC. Když povolíte službu agenta DC, zapíše se do souboru protokolu, který se nachází v části:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Tip
Textový protokol přijímá stejné položky na úrovni ladění, které lze protokolovat do protokolu trasování, ale obecně je v jednodušším formátu pro kontrolu a analýzu.
Upozorňující
Pokud je tato možnost povolená, přijímá tento protokol velký objem událostí a může mít vliv na výkon řadiče domény. Proto by měl být tento rozšířený protokol povolen pouze v případě, že problém vyžaduje hlubší šetření, a pak pouze po minimální dobu.
Monitorování výkonu agenta DC
Software služby agenta DC nainstaluje objekt čítače výkonu s názvem Microsoft Entra Password Protection. Aktuálně jsou k dispozici následující čítače výkonu:
| Název čítače výkonu | Popis |
|---|---|
| Zpracovaná hesla | Tento čítač zobrazuje celkový počet zpracovaných hesel (přijatých nebo odmítnutých) od posledního restartování. |
| Přijatá hesla | Tento čítač zobrazí celkový počet hesel, která byla přijata od posledního restartování. |
| Hesla byla odmítnuta. | Tento čítač zobrazí celkový počet hesel, která byla odmítnuta od posledního restartování. |
| Probíhající požadavky filtru hesel | Tento čítač zobrazuje počet aktuálně probíhajících požadavků filtru hesel. |
| Požadavky filtru hesel ve špičce | Tento čítač zobrazuje maximální počet souběžných požadavků filtru hesel od posledního restartování. |
| Chyby požadavků filtru hesel | Tento čítač zobrazí celkový počet požadavků filtru hesel, které selhaly kvůli chybě od posledního restartování. K chybám může dojít v případě, že není spuštěna služba agenta DC služby Microsoft Entra Password Protection. |
| Požadavky filtru hesel za sekundu | Tento čítač zobrazuje rychlost zpracování hesel. |
| Doba zpracování požadavků filtru hesel | Tento čítač zobrazuje průměrnou dobu potřebnou ke zpracování požadavku filtru hesel. |
| Doba zpracování požadavků filtru hesel ve špičce | Tento čítač zobrazuje dobu zpracování požadavků ve špičce filtru hesel od posledního restartování. |
| Hesla přijatá z důvodu režimu auditu | Tento čítač zobrazuje celkový počet hesel, která by byla normálně odmítnuta, ale byla přijata, protože zásady hesel byly nakonfigurované tak, aby byly v režimu auditování (od posledního restartování). |
Zjišťování agenta DC
Rutina Get-AzureADPasswordProtectionDCAgent se může použít k zobrazení základních informací o různých agentech řadiče domény spuštěných v doméně nebo doménové struktuře. Tyto informace se načítají ze služby Připojení ionpointových objektů registrovaných spuštěnými službami agenta řadiče domény.
Příklad výstupu této rutiny je následující:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
Různé vlastnosti jsou aktualizovány každou službou agenta řadiče domény přibližně každou hodinu. Na data se stále vztahuje latence replikace služby Active Directory.
Rozsah dotazu rutiny může být ovlivněn pomocí parametrů –Forest nebo –Domain.
Pokud je hodnota HeartbeatUTC zastaralá, může to být příznak, že agent řadiče domény Microsoft Entra Password Protection na tomto řadiči domény není spuštěný nebo byl odinstalován nebo byl počítač degradován a už není řadičem domény.
Pokud je hodnota PasswordPolicyDateUTC zastaralá, může to být příznak, že agent DC služby Microsoft Entra Password Protection na tomto počítači nefunguje správně.
Dostupná novější verze agenta DC
Služba agenta DC zaznamená do provozního protokolu událost upozornění 30034, když zjistí, že je k dispozici novější verze softwaru agenta DC, například:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
Výše uvedená událost neurčuje verzi novějšího softwaru. U této informace byste měli přejít na odkaz ve zprávě události.
Poznámka:
Navzdory odkazům na "autoupgrade" ve výše uvedené zprávě události software agenta DC tuto funkci v současné době nepodporuje.
Protokolování událostí proxy služby
Služba Proxy generuje minimální sadu událostí do následujících protokolů událostí:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Všimněte si, že protokol trasování je ve výchozím nastavení vypnutý.
Upozorňující
Pokud je tato možnost povolená, protokol trasování přijímá velký objem událostí a to může mít vliv na výkon hostitele proxy serveru. Proto by měl být tento protokol povolen pouze v případě, že problém vyžaduje hlubší šetření, a pak pouze po minimální dobu.
Události jsou protokolovány různými komponentami proxy pomocí následujících rozsahů:
| Komponenta | Rozsah ID události |
|---|---|
| Proces hostování proxy služby | 10000-19999 |
| Základní obchodní logika služby proxy | 20000-29999 |
| Rutiny PowerShell | 30000-39999 |
Protokolování textu služby proxy
Službu Proxy je možné nakonfigurovat tak, aby zapisovala do textového protokolu nastavením následující hodnoty registru:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters! EnableTextLogging = 1 (hodnota REG_DWORD)
Protokolování textu je ve výchozím nastavení zakázané. Aby se změny této hodnoty projevily, vyžaduje se restartování služby Proxy. Když povolíte službu Proxy, zapíše se do souboru protokolu, který se nachází v části:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Tip
Textový protokol přijímá stejné položky na úrovni ladění, které lze protokolovat do protokolu trasování, ale obecně je v jednodušším formátu pro kontrolu a analýzu.
Upozorňující
Pokud je tato možnost povolená, přijímá velký objem událostí a může mít vliv na výkon počítače. Proto by měl být tento rozšířený protokol povolen pouze v případě, že problém vyžaduje hlubší šetření, a pak pouze po minimální dobu.
Protokolování rutin PowerShellu
Rutiny PowerShellu, které vedou ke změně stavu (například Register-AzureADPasswordProtectionProxy), obvykle protokolují událost výsledku do provozního protokolu.
Kromě toho většina rutin Prostředí PowerShell pro ochranu heslem Microsoft Entra zapisuje do textového protokolu, který se nachází v části:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Pokud dojde k chybě rutiny a příčina nebo řešení nejsou snadno zřejmé, můžou se tyto textové protokoly také poradit.
Zjišťování proxy serveru
Rutina Get-AzureADPasswordProtectionProxy se může použít k zobrazení základních informací o různých službách proxy služby microsoft Entra Password Protection spuštěné v doméně nebo doménové struktuře. Tyto informace se načtou ze služby Připojení ionpointové objekty zaregistrované spuštěnými službami proxy serveru.
Příklad výstupu této rutiny je následující:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
Různé vlastnosti jsou aktualizovány každou službou proxy přibližně každou hodinu. Na data se stále vztahuje latence replikace služby Active Directory.
Rozsah dotazu rutiny může být ovlivněn pomocí parametrů –Forest nebo –Domain.
Pokud je hodnota HeartbeatUTC zastaralá, může to být příznak, že microsoft Entra Password Protection Proxy na tomto počítači není spuštěn nebo byl odinstalován.
Dostupná novější verze agenta proxy serveru
Služba Proxy zaznamená do provozního protokolu událost upozornění 20002, když zjistí, že je k dispozici novější verze proxy softwaru, například:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
Výše uvedená událost neurčuje verzi novějšího softwaru. U této informace byste měli přejít na odkaz ve zprávě události.
Tato událost se vygeneruje i v případě, že je agent proxy nakonfigurovaný s povoleným automatickým upgradem.
Další kroky
Řešení potíží s ochranou hesel Microsoft Entra
Další informace o globálních a vlastních zakázaných seznamech hesel najdete v článku Zákaz chybných hesel.