Monitorowanie i przeglądanie dzienników dla środowisk lokalnej ochrony haseł w usłudze Microsoft Entra
Po wdrożeniu usługi Microsoft Entra Password Protection monitorowanie i raportowanie są podstawowymi zadaniami. W tym artykule szczegółowo opisano różne techniki monitorowania, w tym informacje o tym, gdzie każda usługa rejestruje informacje i jak raportować korzystanie z usługi Microsoft Entra Password Protection.
Monitorowanie i raportowanie odbywa się za pomocą komunikatów dziennika zdarzeń lub uruchamiania poleceń cmdlet programu PowerShell. Agent kontrolera domeny i usługi proxy usługi rejestrują komunikaty dziennika zdarzeń. Wszystkie opisane poniżej polecenia cmdlet programu PowerShell są dostępne tylko na serwerze proxy (zobacz moduł AzureADPasswordProtection programu PowerShell). Oprogramowanie agenta kontrolera domeny nie instaluje modułu programu PowerShell.
Rejestrowanie zdarzeń agenta kontrolera domeny
Na każdym kontrolerze domeny oprogramowanie usługi agenta kontrolera domeny zapisuje wyniki każdej operacji weryfikacji hasła (i innego stanu) do lokalnego dziennika zdarzeń:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Dziennik agenta kontrolera domeny Administracja jest podstawowym źródłem informacji dotyczących zachowania oprogramowania.
Pamiętaj, że dziennik śledzenia jest domyślnie wyłączony.
Zdarzenia rejestrowane przez różne składniki agenta kontrolera domeny należą do następujących zakresów:
| Składnik | Zakres identyfikatorów zdarzeń |
|---|---|
| Biblioteka dll filtru haseł agenta kontrolera domeny | 10000-19999 |
| Proces hostingu usługi agenta kontrolera domeny | 20000-29999 |
| Logika walidacji zasad agenta kontrolera domeny | 30000-39999 |
Dziennik zdarzeń agenta kontrolera domeny Administracja
Zdarzenia wyniku weryfikacji hasła
Na każdym kontrolerze domeny oprogramowanie usługi agenta kontrolera domeny zapisuje wyniki każdej weryfikacji poszczególnych haseł w dzienniku zdarzeń administratora agenta kontrolera domeny.
W przypadku pomyślnej operacji sprawdzania poprawności hasła występuje zazwyczaj jedno zdarzenie rejestrowane z biblioteki dll filtru haseł agenta kontrolera domeny. W przypadku nieudanej operacji sprawdzania poprawności hasła są zwykle rejestrowane dwa zdarzenia: jeden z usługi agenta kontrolera domeny i jeden z biblioteki dll filtru haseł agenta kontrolera domeny.
Zdarzenia dyskretne w celu przechwycenia tych sytuacji są rejestrowane na podstawie następujących czynników:
- Określa, czy dane hasło jest ustawiane, czy zmieniane.
- Czy weryfikacja danego hasła została przekazana, czy nie powiodła się.
- Sprawdzanie poprawności nie powiodło się z powodu zasad globalnych firmy Microsoft, zasad organizacyjnych lub kombinacji.
- Czy tryb tylko inspekcji jest obecnie włączony, czy wyłączony dla bieżących zasad haseł.
Zdarzenia związane z weryfikacją hasła klucza są następujące:
| Zdarzenie | Zmiana hasła | Zestaw haseł |
|---|---|---|
| Powodzenie | 10014 | 10015 |
| Niepowodzenie (z powodu zasad haseł klienta) | 10016, 30002 | 10017, 30003 |
| Niepowodzenie (z powodu zasad haseł firmy Microsoft) | 10016, 30004 | 10017, 30005 |
| Niepowodzenie (z powodu połączonych zasad firmy Microsoft i haseł klientów) | 10016, 30026 | 10017, 30027 |
| Niepowodzenie (z powodu nazwy użytkownika) | 10016, 30021 | 10017, 30022 |
| Dostęp tylko do inspekcji (zasady haseł klientów zakończyłyby się niepowodzeniem) | 10024, 30008 | 10025, 30007 |
| Dostęp próbny tylko do inspekcji (zasady haseł firmy Microsoft zakończyłyby się niepowodzeniem) | 10024, 30010 | 10025, 30009 |
| Dostęp tylko do inspekcji (połączone zasady firmy Microsoft i hasła klientów zakończyłyby się niepowodzeniem) | 10024, 30028 | 10025, 30029 |
| Przepustka tylko do inspekcji (nie powiodłaby się z powodu nazwy użytkownika) | 10016, 30024 | 10017, 30023 |
Przypadki przedstawione w powyższej tabeli odwołujące się do "połączonych zasad" odnoszą się do sytuacji, w których znaleziono hasło użytkownika zawierające co najmniej jeden token z listy haseł zabronionych przez firmę Microsoft i listę haseł zabronionych przez klienta.
Przypadki w powyższej tabeli odwołujące się do "nazwy użytkownika" odnoszą się do sytuacji, w których znaleziono hasło użytkownika zawierające nazwę konta użytkownika i/lub jedną z przyjaznych nazw użytkownika. W obu scenariuszach hasło użytkownika zostanie odrzucone, gdy zasady zostaną ustawione na wymuszanie lub zostaną przekazane, jeśli zasady są w trybie inspekcji.
Gdy para zdarzeń jest rejestrowana razem, oba zdarzenia są jawnie skojarzone z tym samym identyfikatorem CorrelationId.
Raportowanie podsumowania weryfikacji hasła za pomocą programu PowerShell
Polecenie Get-AzureADPasswordProtectionSummaryReport cmdlet może służyć do utworzenia widoku podsumowania działania sprawdzania poprawności hasła. Przykładowe dane wyjściowe tego polecenia cmdlet są następujące:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
Zakres raportowania polecenia cmdlet może mieć wpływ na użycie jednego z parametrów –Forest, -Domain lub –DomainController. Nie określono parametru oznacza –Forest.
Uwaga
Jeśli tylko zainstalujesz agenta kontrolera domeny na jednym kontrolerze domeny, polecenie Get-AzureADPasswordProtectionSummaryReport odczytuje zdarzenia tylko z tego kontrolera domeny. Aby uzyskać zdarzenia z wielu kontrolerów domeny, musisz zainstalować agenta kontrolera domeny na każdym kontrolerze domeny.
Polecenie Get-AzureADPasswordProtectionSummaryReport cmdlet działa, wysyłając zapytanie do dziennika zdarzeń administratora agenta kontrolera domeny, a następnie zliczając łączną liczbę zdarzeń odpowiadających każdej wyświetlanej kategorii wyników. Poniższa tabela zawiera mapowania między każdym wynikiem a odpowiadającym mu identyfikatorem zdarzenia:
| Właściwość Get-AzureADPasswordProtectionSummaryReport | Odpowiadający identyfikator zdarzenia |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Pamiętaj, że Get-AzureADPasswordProtectionSummaryReport polecenie cmdlet jest dostarczane w formularzu skryptu programu PowerShell i w razie potrzeby może być przywoływane bezpośrednio w następującej lokalizacji:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Uwaga
To polecenie cmdlet działa przez otwarcie sesji programu PowerShell dla każdego kontrolera domeny. Aby można było pomyślnie, obsługa sesji zdalnej programu PowerShell musi być włączona na każdym kontrolerze domeny, a klient musi mieć wystarczające uprawnienia. Aby uzyskać więcej informacji na temat wymagań dotyczących sesji zdalnej programu PowerShell, uruchom polecenie "Get-Help about_Remote_Troubleshooting" w oknie programu PowerShell.
Uwaga
To polecenie cmdlet działa przez zdalne wykonywanie zapytań dotyczących Administracja dziennika zdarzeń usługi agenta kontrolera domeny. Jeśli dzienniki zdarzeń zawierają dużą liczbę zdarzeń, wykonanie polecenia cmdlet może zająć dużo czasu. Ponadto zbiorcze zapytania sieciowe dużych zestawów danych mogą mieć wpływ na wydajność kontrolera domeny. W związku z tym to polecenie cmdlet powinno być starannie używane w środowiskach produkcyjnych.
Przykładowe komunikaty dziennika zdarzeń
Identyfikator zdarzenia 10014 (pomyślna zmiana hasła)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
Identyfikator zdarzenia 10017 (Nieudana zmiana hasła):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Identyfikator zdarzenia 30003 (Zmiana hasła nie powiodła się):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
Identyfikator zdarzenia 10024 (Hasło zaakceptowane z powodu zasad w trybie tylko inspekcji)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Identyfikator zdarzenia 30008 (Hasło zaakceptowane z powodu zasad w trybie tylko inspekcji)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
Identyfikator zdarzenia 30001 (Hasło zaakceptowane z powodu braku dostępnych zasad)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
Identyfikator zdarzenia 30006 (wymuszane są nowe zasady)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
Identyfikator zdarzenia 30019 (ochrona haseł firmy Microsoft jest wyłączona)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
Dziennik operacyjny agenta kontrolera domeny
Usługa agenta kontrolera domeny będzie również rejestrować zdarzenia związane z operacjami w następującym dzienniku:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Dziennik śledzenia agenta kontrolera domeny
Usługa agenta kontrolera domeny może również rejestrować pełne zdarzenia śledzenia na poziomie debugowania w następującym dzienniku:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Rejestrowanie śledzenia jest domyślnie wyłączone.
Ostrzeżenie
Po włączeniu dziennik śledzenia odbiera dużą liczbę zdarzeń i może mieć wpływ na wydajność kontrolera domeny. W związku z tym ten rozszerzony dziennik powinien być włączony tylko wtedy, gdy problem wymaga dokładniejszego zbadania, a następnie tylko przez minimalny czas.
Rejestrowanie tekstu agenta kontrolera domeny
Usługę agenta kontrolera domeny można skonfigurować do zapisywania w dzienniku tekstowym, ustawiając następującą wartość rejestru:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
Rejestrowanie tekstu jest domyślnie wyłączone. Aby zmiany tej wartości zaczęły obowiązywać, wymagane jest ponowne uruchomienie usługi agenta kontrolera domeny. Po włączeniu usługi agenta kontrolera domeny usługa zapisze w pliku dziennika znajdującym się poniżej:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Napiwek
Dziennik tekstu otrzymuje te same wpisy na poziomie debugowania, które mogą być rejestrowane w dzienniku śledzenia, ale ogólnie jest w łatwiejszym formacie do przeglądania i analizowania.
Ostrzeżenie
Po włączeniu ten dziennik odbiera dużą liczbę zdarzeń i może mieć wpływ na wydajność kontrolera domeny. W związku z tym ten rozszerzony dziennik powinien być włączony tylko wtedy, gdy problem wymaga dokładniejszego zbadania, a następnie tylko przez minimalny czas.
Monitorowanie wydajności agenta kontrolera domeny
Oprogramowanie usługi agenta kontrolera domeny instaluje obiekt licznika wydajności o nazwie Microsoft Entra Password Protection. Obecnie są dostępne następujące liczniki wydajności:
| Nazwa licznika wydajności | opis |
|---|---|
| Przetworzone hasła | Ten licznik wyświetla łączną liczbę przetworzonych haseł (zaakceptowanych lub odrzuconych) od czasu ostatniego ponownego uruchomienia. |
| Zaakceptowane hasła | Ten licznik wyświetla łączną liczbę haseł, które zostały zaakceptowane od czasu ostatniego ponownego uruchomienia. |
| Odrzucone hasła | Ten licznik wyświetla łączną liczbę haseł, które zostały odrzucone od czasu ostatniego ponownego uruchomienia. |
| Żądania filtrowania haseł w toku | Ten licznik wyświetla liczbę aktualnie w toku żądań filtru haseł. |
| Szczytowe żądania filtru haseł | Ten licznik wyświetla maksymalną liczbę współbieżnych żądań filtrowania haseł od czasu ostatniego ponownego uruchomienia. |
| Błędy żądania filtru haseł | Ten licznik wyświetla łączną liczbę żądań filtru haseł, które zakończyły się niepowodzeniem z powodu błędu od ostatniego ponownego uruchomienia. Błędy mogą wystąpić, gdy usługa agenta DC ochrony haseł firmy Microsoft nie jest uruchomiona. |
| Żądania filtrowania haseł na sekundę | Ten licznik wyświetla szybkość przetwarzania haseł. |
| Czas przetwarzania żądania filtru haseł | Ten licznik wyświetla średni czas wymagany do przetworzenia żądania filtru hasła. |
| Szczytowy czas przetwarzania żądań filtru haseł | Ten licznik wyświetla czas przetwarzania żądań filtrowania szczytowego filtru haseł od czasu ostatniego ponownego uruchomienia. |
| Hasła zaakceptowane z powodu trybu inspekcji | Ten licznik wyświetla łączną liczbę haseł, które normalnie zostałyby odrzucone, ale zostały zaakceptowane, ponieważ zasady haseł zostały skonfigurowane w trybie inspekcji (od ostatniego ponownego uruchomienia). |
Odnajdywanie agenta kontrolera domeny
Polecenie Get-AzureADPasswordProtectionDCAgent cmdlet może służyć do wyświetlania podstawowych informacji o różnych agentach kontrolera domeny uruchomionych w domenie lub lesie. Te informacje są pobierane z usług Połączenie ionPoint zarejestrowanych przez uruchomione usługi agenta kontrolera domeny.
Przykładowe dane wyjściowe tego polecenia cmdlet są następujące:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
Różne właściwości są aktualizowane przez każdą usługę agenta kontrolera domeny w przybliżeniu co godzinę. Dane nadal podlegają opóźnieniu replikacji usługi Active Directory.
Zakres zapytania polecenia cmdlet może mieć wpływ na parametry –Forest lub –Domain.
Jeśli wartość HeartbeatUTC jest nieaktualna, może to być objaw, że agent dc ochrony haseł firmy Microsoft na tym kontrolerze domeny nie jest uruchomiony lub został odinstalowany albo maszyna została zdegradowana i nie jest już kontrolerem domeny.
Jeśli wartość PasswordPolicyDateUTC jest nieaktualna, może to być objaw, że agent dc ochrony haseł firmy Microsoft na tej maszynie nie działa prawidłowo.
Dostępna nowsza wersja agenta kontrolera domeny
Usługa agenta kontrolera domeny zarejestruje zdarzenie ostrzegawcze 30034 w dzienniku operacyjnym po wykryciu, że dostępna jest nowsza wersja oprogramowania agenta kontrolera domeny, na przykład:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
Powyższe zdarzenie nie określa wersji nowszego oprogramowania. Aby uzyskać te informacje, przejdź do linku w komunikacie o zdarzeniu.
Uwaga
Pomimo odwołań do "autoupgrade" w powyższym komunikacie zdarzenia oprogramowanie agenta kontrolera domeny nie obsługuje obecnie tej funkcji.
Rejestrowanie zdarzeń usługi proxy
Usługa serwera proxy emituje minimalny zestaw zdarzeń do następujących dzienników zdarzeń:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Pamiętaj, że dziennik śledzenia jest domyślnie wyłączony.
Ostrzeżenie
Po włączeniu dziennik śledzenia odbiera dużą liczbę zdarzeń i może to mieć wpływ na wydajność hosta serwera proxy. W związku z tym ten dziennik powinien być włączony tylko wtedy, gdy problem wymaga dokładniejszego zbadania, a następnie tylko przez minimalny czas.
Zdarzenia są rejestrowane przez różne składniki serwera proxy przy użyciu następujących zakresów:
| Składnik | Zakres identyfikatorów zdarzeń |
|---|---|
| Proces hostingu usługi proxy | 10000-19999 |
| Podstawowa logika biznesowa usługi serwera proxy | 20000-29999 |
| Polecenia cmdlet programu PowerShell | 30000-39999 |
Rejestrowanie tekstu usługi proxy
Usługę serwera proxy można skonfigurować do zapisywania w dzienniku tekstowym, ustawiając następującą wartość rejestru:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters! EnableTextLogging = 1 (wartość REG_DWORD)
Rejestrowanie tekstu jest domyślnie wyłączone. Aby zmiany tej wartości zaczęły obowiązywać, wymagane jest ponowne uruchomienie usługi proxy. Po włączeniu usługi proxy usługa zapisze w pliku dziennika znajdującym się poniżej:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Napiwek
Dziennik tekstu otrzymuje te same wpisy na poziomie debugowania, które mogą być rejestrowane w dzienniku śledzenia, ale ogólnie jest w łatwiejszym formacie do przeglądania i analizowania.
Ostrzeżenie
Po włączeniu ten dziennik odbiera dużą liczbę zdarzeń i może mieć wpływ na wydajność maszyny. W związku z tym ten rozszerzony dziennik powinien być włączony tylko wtedy, gdy problem wymaga dokładniejszego zbadania, a następnie tylko przez minimalny czas.
Rejestrowanie poleceń cmdlet programu PowerShell
Polecenia cmdlet programu PowerShell, które powodują zmianę stanu (na przykład Register-AzureADPasswordProtectionProxy) zwykle rejestrują zdarzenie wyniku w dzienniku operacyjnym.
Ponadto większość poleceń cmdlet programu PowerShell ochrony haseł firmy Microsoft zapisze w dzienniku tekstowym znajdującym się poniżej:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Jeśli wystąpi błąd polecenia cmdlet, a przyczyna i\lub rozwiązanie nie jest łatwo widoczne, te dzienniki tekstowe mogą być również konsultowane.
Odnajdywanie serwera proxy
Polecenie Get-AzureADPasswordProtectionProxy cmdlet może służyć do wyświetlania podstawowych informacji o różnych usługach serwera proxy ochrony haseł firmy Microsoft działających w domenie lub lesie. Te informacje są pobierane z usługi Połączenie ionPoint obiektów zarejestrowanych przez uruchomione usługi proxy.
Przykładowe dane wyjściowe tego polecenia cmdlet są następujące:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
Różne właściwości są aktualizowane przez każdą usługę serwera proxy w przybliżonej godzinie. Dane nadal podlegają opóźnieniu replikacji usługi Active Directory.
Zakres zapytania polecenia cmdlet może mieć wpływ na parametry –Forest lub –Domain.
Jeśli wartość HeartbeatUTC jest nieaktualna, może to być objaw, że serwer proxy ochrony haseł firmy Microsoft na tym komputerze nie jest uruchomiony lub został odinstalowany.
Nowsza wersja agenta serwera proxy
Usługa proxy zarejestruje zdarzenie ostrzegawcze 20002 w dzienniku operacyjnym po wykryciu, że jest dostępna nowsza wersja oprogramowania proxy, na przykład:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
Powyższe zdarzenie nie określa wersji nowszego oprogramowania. Aby uzyskać te informacje, przejdź do linku w komunikacie o zdarzeniu.
To zdarzenie będzie emitowane nawet wtedy, gdy agent proxy jest skonfigurowany z włączoną funkcją automatycznego zwiększania poziomu.
Następne kroki
Rozwiązywanie problemów z ochroną haseł w usłudze Microsoft Entra
Aby uzyskać więcej informacji na temat globalnych i niestandardowych list zakazanych haseł, zobacz artykuł Zakaz złych haseł