martes, 23 de junio de 2020

Conexión de AD on-premise con Azure y bloqueo de palabras concretos en las claves de los usuarios

Estimados amigos de Inseguros!!!

En el artículo de hoy vamos a tratar algunos temas varios, relacionados entre sí, pero que creo que pueden ayudar a mucha audiencia de distintos tipos.

Vamos a comentar cómo implementar un servicio de Azure Active Directory para proporcionar single sing on de nuestros usuarios de Active Directory en Azure ( y sus servicios si queremos) ( y para los usuarios que queramos) y vamos a usar una función muy interesante para mejorar la seguridad de las contraseñas.


El servicio o función se denominada Password Protector y no es más que ampliar las funciones que vienen "de casa" en nuestros dominios con una protección para evitar que los usuarios usen ciertas palabras en sus contraseñas. Por ejemplo, que no usen el nombre de la empresa dentro del password...

Es muy interesante esta función ya que aparte de mejorar la seguridad de las contraseñas, tanto en la nube como en local, nos proporciona un registro puntual con eventos para seguir nuestras políticas de compliance de cualquiera de las mil que hay.

El proceso parte de un Active Directory sin ningún tipo de conexión con Azure, por lo que si ya tienes algún servicio tipo Microsoft  365 o similar, algunos pasos ya los tendrás.

En el portal de Azure tenemos que crear una nueva instancia de Active Directory para Azure, siguiendo varios sencillos pasos. Tienes que tener en cuenta los nombres y DNS, y entender que el dominio Active Directory en Azure puede o no ser el mismo que on-premise, es más puedes configurar todo tipo de granularidad. Por ejemplo, sincronizar en Azure solo cierto grupo de usuarios, por ejemplo, el departamento IT, para que acceda a los recursos de la nube con el Single Sign On.




Descargamos el AD Connect y procedemos a hacer la magia. Vamos a usar la opción por defecto para no entrar en esta materia que está ampliamente documentada.

Es importante crear un usuario en el AD local para la sincronización del directorio. No permite usar el usuario administrador ni se debe. El propio asistente te indica la posibilidad de ingresar uno o que crear uno, si previamente le introducimos un usuario administrador con capacidad para eso, para administrar el AD local.


Ahora es el turno del objetivo principal del post, configurar la seguridad para las contraseñas. Accedemos al portal de AD en Azure y entramos en la sección seguridad.


Accedemos a administrador, mecanismos de autenticación, protección con contraseña.***nota mental, necesitas E3 para esto o Azure Active Directory Premium 1***

Es muy forzar a que se use la lista y acometer la misma.


Ahora vamos a configurarlo para nuestro entorno local, on premise. Comenzamos descargando el agente e iniciando el proceso de instalación.



El proceso es automágico y después de un reinicio, podemos ejecutar el módulo Powershell que instala para saber si todo ha ido bien: Import-Module AzureADPasswordProtection

Ahora que tenemos el agente instalado y el proxy que se conectará a Azure, hacemos eso, conectarlo:

Register-AzureADPasswordProtectionProxy -AccountUpn 'hjkhjkh@9080.com'

El siguiente paso es registrar el bosque que queremos sincronizar: 

Register-AzureADPasswordProtectionForest -AccountUpn '0'09'90'@onmicrosoft.com'

Una vez seteado todo, vamos a hacer una prueba, vamos a realizar un cambio de contraseña a un usuario que contenga alguna de las palabras y ver qué ocurre.


Efectivamente aparece un preciado registro para nuestro SOC.

Espero que os sirva de ayuda para animaros a probar cosas de este tipo.

Gracias por leerme !!!