posílení zabezpečení spravované domény Azure Active Directory domain Services

  • Článek
  • 3 min ke čtení

ve výchozím nastavení služba Azure Active Directory Domain Services (Azure služba AD DS) umožňuje používat šifry, jako je NTLM v1 a TLS v1. Tato šifra může být pro některé starší aplikace povinná, ale je pokládána za slabá a může být zakázaná, pokud je nepotřebujete. pokud máte místní hybridní připojení pomocí Azure AD Connect, můžete také zakázat synchronizaci hodnot hash hesel protokolu NTLM.

V tomto článku se dozvíte, jak posílit spravovanou doménu pomocí nastavení nastavení, jako je:

  • Zakázat šifry protokolu NTLM V1 a TLS v1
  • Zakázat synchronizaci hodnot hash hesel protokolu NTLM
  • Zakázat možnost měnit hesla pomocí šifrování RC4
  • Povolit obranu protokolu Kerberos

Požadavky

K dokončení tohoto článku potřebujete tyto prostředky:

Posílení vaší domény pomocí nastavení zabezpečení

  1. Přihlaste se k webu Azure Portal.

  2. Vyhledejte a vyberte Azure AD Domain Services.

  3. Vyberte spravovanou doménu, například aaddscontoso.com.

  4. Na levé straně vyberte nastavení zabezpečení.

  5. Klikněte na Povolit nebo Zakázat pro následující nastavení:

    • Pouze režim TLS 1,2
    • Ověřování NTLM
    • Synchronizace hesel z místního prostředí
    • Synchronizace hesel pomocí protokolu NTLM z místního prostředí
    • Šifrování RC4
    • Obranu protokolu Kerberos

    Snímek obrazovky s nastavením zabezpečení pro zakázání slabých šifr a synchronizace hodnot hash hesel NTLM

Přiřazení Azure Policy dodržování předpisů TLS 1,2

kromě nastavení zabezpečení má zásada Microsoft Azure nastavení dodržování předpisů k vymáhání využití TLS 1,2. Tato zásada nemá žádný vliv, dokud není přiřazena. Když je zásada přiřazená, zobrazí se v dodržování předpisů:

  • Pokud je přiřazení auditem, vystavuje se dodržování předpisů, pokud je instance služby Azure služba AD DS kompatibilní.
  • Pokud je přiřazení zamítnuto, dodržování předpisů zabrání v vytvoření instance služby Azure služba AD DS, pokud není potřeba TLS 1,2 a zabrání jakékoli aktualizaci instance Azure služba AD DS, dokud se nepožaduje TLS 1,2.

Snímek obrazovky s nastavením dodržování předpisů

Auditovat chyby NTLM

I když zakazujete synchronizaci hesel protokolu NTLM, dojde k vylepšení zabezpečení, mnoho aplikací a služeb není navrženo pro práci bez něj. Například připojení k jakémukoli prostředku podle jeho IP adresy, jako je například Správa serveru DNS nebo RDP, se nezdaří a přístup je odepřen. Pokud zakážete synchronizaci hesel pomocí protokolu NTLM a vaše aplikace nebo služba nefunguje podle očekávání, můžete vyhledat selhání ověřování NTLM tím, že povolíte audit zabezpečení pro kategorii události přihlášení /odhlášení > auditu , kde je v podrobnostech události zadaný protokol NTLM jako ověřovací balíček . další informace najdete v tématu povolení auditů zabezpečení pro Azure Active Directory Domain Services.

Použití PowerShellu k posílení zabezpečení vaší domény

V případě potřeby nainstalujte a nakonfigurujte Azure PowerShell. ujistěte se, že se ke svému předplatnému Azure přihlašujete pomocí rutiny Připojení-AzAccount .

V případě potřeby také nainstalujte a nakonfigurujte Azure AD PowerShell. ujistěte se, že se přihlašujete k tenantovi Azure AD pomocí rutiny Připojení-AzureAD .

Pokud chcete zakázat slabé šifrovací sady a synchronizaci hodnot hash přihlašovacích údajů NTLM, přihlaste se ke svému účtu Azure a pak pomocí rutiny Get-AzResource Získejte prostředek Azure služba AD DS:

Tip

Pokud se zobrazí chyba pomocí příkazu Get-AzResource , že prostředek Microsoft. aad/DomainServices neexistuje, Zvyšte svůj přístup na správu všech předplatných Azure a skupin pro správu.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Dále definujte DomainSecuritySettings a nakonfigurujte následující možnosti zabezpečení:

  1. Zakažte podporu protokolu NTLM v1.
  2. Zakažte synchronizaci hodnot hash hesel protokolu NTLM z místní služby AD.
  3. Zakažte protokol TLS v1.

Důležité

Pokud zakážete synchronizaci hodnoty hash hesla protokolu NTLM ve spravované doméně Azure služba AD DS, uživatelé a účty služeb nemůžou provádět jednoduché vazby LDAP. Pokud potřebujete provést jednoduché vazby LDAP, v následujícím příkazu nenastavte možnost "SyncNtlmPasswords" = "Disabled"; nastavení zabezpečení.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"="Disabled"}}

Nakonec pomocí rutiny set-AzResource použijte definované nastavení zabezpečení pro spravovanou doménu. V prvním kroku zadejte prostředek služby Azure služba AD DS a nastavení zabezpečení z předchozího kroku.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -ApiVersion “2021-03-01” -Verbose -Force

Použití nastavení zabezpečení pro spravovanou doménu chvíli trvá.

Důležité

po zakázání protokolu NTLM proveďte úplnou synchronizaci hodnot hash hesel v Azure AD Connect, abyste ze spravované domény odebrali všechny hodnoty hash hesel. Pokud zakážete protokol NTLM, ale nevynutíte synchronizaci hodnoty hash hesla, budou hodnoty hash hesla protokolu NTLM pro uživatelský účet odebrány pouze při další změně hesla. Toto chování může uživateli dovolit, aby se mohli i nadále přihlašovat, pokud mají přihlašovací údaje uložené v mezipaměti v systému, ve kterém se jako metoda ověřování používá protokol NTLM.

Jakmile je hodnota hash hesla protokolu NTLM odlišná od hodnoty hash hesla protokolu Kerberos, záložní hodnota NTLM nebude fungovat. Přihlašovací údaje uložené v mezipaměti také nebudou fungovat, pokud má virtuální počítač připojení ke spravovanému řadiči domény.

Další kroky

Další informace o procesu synchronizace najdete v tématu jak se objekty a přihlašovací údaje synchronizují ve spravované doméně.