Azure AD Password Protection

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมจะพาทุกท่านไปรู้จักกับฟีเจอร์หนึ่งใน Azure Active Directory (Azure AD) ที่มีชื่อว่า "Azure AD Password Protection"  ครับ โดยฟีเจอร์ดังกล่าวนี้ถือว่าเป็นอีกฟีเจอร์หนึ่งที่สำคัญสำหรับการป้องกันหรือ Protect Identity หรือ User Account ในองค์กรครับ และท่านผู้อ่านท่านใดที่ติดตามบทความของผมเป็นประจำ จะสังเกตว่าผมมักจะนำเอารูปด้านล่างนี้มาใช้เป็นประจำ

เพราะรูปดังกล่าวนี้ เป็นรูปที่เกี่ยวข้องกับฟีเจอร์ต่างๆ ของ Azure AD ที่จะช่วยป้องกัน Identity ขององค์กรครับ โดยแต่ละองค์กรสามารถพิจารณาเลือกฟีเจอร์ต่างๆ จากรูปด้านบนเข้ามาประยุกต์ใช้งานในองค์กรเพื่อดำเนินการในเรื่องของ Identity Protection หรือ Identity Security ได้ครับ และบทความหนึ่งของผมก่อนหน้านี้ ผมได้เขียนเพื่อนำเสนอเรื่องราวของฟีเจอร์หนึ่งใน Azure AD ที่เข้ามาช่วย Protect และ Secure Identity ครับ โดยบทความดังกล่าวนั้นผมนำเสนอเรื่องราวของฟีเจอร์ที่ชื่อว่า Azure AD Identity Protection ครับ (ท่านผู้อ่านท่านใดสนใจสามารถย้อนกลับอ่านบทความนี้ได้จาก WT Blog ของผมได้เลยครับ) และผมตั้งใจว่าจะค่อยๆ นำเสนอฟีเจอร์ต่างๆ จากรูปด้านบนผ่านทางบทความของผมครับ 

เอาล่ะครับเรากลับมาที่เรื่องราวของ Azure AD Password Protection กันต่อครับ  โดยผมขอเริ่มจากใน Environment ที่ผมเชื่อว่าทุกท่านน่าจะคุ้นเคยคือ Active Directory Domain Service (AD DS) ซึ่งเราสามารถทำการป้องกัน Identity หรือ User Account ที่อยู่ใน Forest/Domain ของ AD DS ได้โดยการวางแผนและทำการกำหนดเรื่องของ Password Policy โดยสามารถกำหนดผ่านทาง Group Policy ซึ่งเป็นฟีเจอร์หนึ่งของ AD DS โดยไปทำการสร้าง GPO ขึ้นมาและไปกำหนดค่า Settings ที่เกี่ยวข้องกับ Password Policy เช่น

- Minimum Password Length

- Minimum และ Maximum Password Age

- Password must meet Complixity 

- อื่นๆ 

โดยค่า Settings ต่างๆ ที่ผมยกตัวอย่างข้างต้นนั้น ถือว่าเป็นการป้องกัน User Accounts ใน Forest/Domain ได้ในระดับหนึ่งเท่านั้น ซึ่งแน่นอนว่ามันยังมีความเสี่ยงต่อความไม่ปลอดภัยกับ Identity หรือ User Account เพราะการกำหนด Password Policy ที่อธิบายในข้างต้น มันยังไม่เพียงพอต่อการป้องกัน Identity หรือ User Account ครับ เพราะผู้ดูแลระบบ (Administrator) รวมถึงผู้ใช้งาน (Users) อาจจะทำการกำหนด Password ที่ง่ายต่อการเดาหรือเป็น Password ที่เป็นที่นิยมใช้กัน เช่น Passw0rd, Pa$$word, Hello01, และอื่นๆ เป็นต้น เพราะฉะนั้นถึงแม้ว่าใน Environment ดังกล่าว, ผู้ดูแลระบบ (Administrator) รวมถึงผู้ใช้งาน (Users) จะทำการกำหนด Password ให้เป็นไปตาม Password Policy ที่บังคับใช้อยู่แล้วก็ตาม 

แต่ Password ที่กำหนดเหล่านั้นอาจเป็นจุดอ่อนหรือช่องโหว่ที่ทำให้ Attacker/Hacker สามารถเข้ามาใน Environment ดังกล่าวได้ โดยใช้เทคนิคที่เรียกว่า Brute Force Attack ครับ และเมื่อได้ Password ของผู้ใช้งานไปแล้ว  Attacker/Hacker ก็จะใช้ Credential (User และ Password) ดังกล่าวเข้าถึงข้อมูลตลอดจน Resources ต่างๆ ขององค์กรครับ และจากประเด็นดังกล่าวนี้ เราจะทำการป้องกัน Identity หรือ User Accounts โดยเฉพาะประเด็นเรื่องของ Weak Password หรือ Well-Known Password ได้อย่างไร?  

เพราะฉะนั้นเบื้องต้นเราควรหลีกเลี่ยงการตั้งหรือการกำหนด Password ไม่ให้เข้าข่ายเป็น Weak Password ครับ โดยทาง Microsoft มี Password Guidance (Microsoft Password Guidance) มาช่วยแนะนำเราครับ รายละเอียดเพิ่มเติมท่านผู้อ่านสามารถดาวน์โหลดได้จาก Link นี้ครับ https://www.microsoft.com/en-us/research/publication/password-guidance/

Azure AD Password Protection คืออะไร ?

อย่างที่ผมได้เกริ่นไว้ข้างต้นของบทความว่า Azure AD Password Protection เป็นฟีเจอร์หนึ่งของ Azure AD ครับ โดยฟีเจอร์ดังกล่าวจะเข้ามาช่วยจัดการและป้องกัน Identity หรือUser Account ขององค์กรครับ โดย Azure AD Password Protection จะเข้ามาทำหน้าที่ในการค้นหา (Detect) และทำการ Block พวก Weak Passwords หรือ Well-Known Passwords ครับ เพื่อไม่ให้ผู้ใช้งานตลอดจนผู้ดูแลระบบกำหนด Password ที่เข้าข่ายดังกล่าวนี้ครับ ส่งผลทำให้การเดา Password ก็ทำได้ยากขึ้นครับ

สำหรับ Azure AD Password Protection นั้นมีค่าใช้จ่ายนะครับ โดยท่านผู้อ่านจะต้องทำการพิจารณาก่อนแล้วทำการซื้อ License ครับ โดยมีรายละเอียดดังนี้ครับ

เพราะฉะนั้นถ้าในกรณีที่องค์กรหรือออฟฟิศของท่านผู้อ่านมีลักษณะเป็น Hybrid Cloud (Hybrid Identity) คือ มีการ Sync Users จาก AD DS มายัง Azure AD และต้องการใช้ Azure AD Password Protection สำหรับ License ที่เหมาะสมหรือใช้งาน ก็จะเป็น Azure AD Premium P1 หรือ P2 ครับ

ลำดับถัดมา ผมขอนำเสนอ Azure AD Password Protection Diagram ดังรูปด้านล่างครับ

สำหรับ Diagram ข้างต้นจะแสดงให้เห็นถึง Components ที่สำคัญและเกี่ยวข้องการใช้งาน Azure AD Password Protection กับ On-Premise AD DS ครับ โดยผมขออธิบายคร่าวๆ ดังนี้ครับ

1. ผู้ใช้งานทำกำหนดหรือเปลี่ยน Password ซึ่งจะต้องมีการติดต่อไปยัง Domain Controllers

2. DC Agent password filter dll จะรับเรื่องการเปลี่ยนหรือการกำหนด Password ของผู้ใช้งานดังกล่าวแล้วทำการส่งต่อไปยัง Azure AD Psssword Protection DC Agent (ซึ่งติดตั้งอยู่ที่ Domain Controllers) โดย Agent ดังกล่าวจะทำการตรวจสอบเบื้องต้นก่อนว่า การกำหนดหรือเปลี่ยน Password ดังกล่าวนี้เป็นไปตาม Azure Password Policy หรือไม่

3. ในทุกๆ 1 ชั่วโมง Agent ที่ติดตั้งอยู่ใน Domain Controllers ทำการติดต่อกับ Azure AD Password Protection Proxy Service เพื่อทำการดาวน์โหลด Azure Password Policy เวอร์ชั่นล่าสุด

4. จากนั้น Agent ที่ติดตั้งอยู่ใน Domain Controllers รับ Azure Password Policy เวอร์ชั่นล่าสุดแล้วเก็บไว้ใน Sysvol และทำการ Replicate Policy ดังกล่าวไปยัง Domain Controllers ทุกตัวที่อยู่ใน Forest และ Domain นั้น

สำหรับรูปต่อมา จะเป็นรูปของการ Enable Azure AD Password Protection ครับ

ในตัวของ Azure AD Password Protection ยังมีสิ่งที่เรียกว่า Banned Password List ซึ่งเป็น List ของ Passwords ที่ไม่ควรกำหนดครับ ซึ่ง List ดังกล่าวนี้จะมีการอัพเดทเป็นระยะๆ ครับ และตัวของ Azure AD Password Protection จะใช้ List ดังกล่าวนี้ในการตรวจสอบการกำหนด Password ครับ นอกจากนี้เรายังสามารถเพิ่มหรือทำการ Custom Banned Password List โดยการใส่ Weak Passwords ของเราเข้าไปได้ด้วยครับ ดังรูปด้านล่าง

รายละเอียดเพิ่มเติมสำหรับเรื่องราวของ Azure AD Password Protection สามารถติดตามได้จาก Link นี้ครับ https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad-on-premises

และทั้งหมดนี้คือเรื่องราวของฟีเจอร์หนึ่ง (Azure AD Password Protection) ใน Azure AD ที่จะเข้ามช่วยปกป้อง Identity หรือ User Account ในองค์กรครับผม.....